Discussion :

[Mathieu Réau]

Bonjour à tous !

Vous allez sans doute trouver ma question bête, mais voici...

Est-ce qu'un pare-feu serait capable de couper la connexion d'un ordinateur avec Internet (complètement : je veux que ni les navigateurs, ni les applications, ni Windows, ni quoi que ce soit ait accès à Internet) sans pour autant couper la connexion au réseau local (autres ordinateurs, imprimantes, etc.) ? Si oui, lequel ? Si possible, quelque chose qui rendrait la manip' assez facile...

Merci par avance pour vos réponses !

[Miistik]

Bonjour,

Vous allez sans doute trouver ma question bête, mais voici...

Il n'y a pas de question bête.

Est-ce qu'un pare-feu serait capable de couper la connexion d'un ordinateur avec Internet (complètement : je veux que ni les navigateurs, ni les applications, ni Windows, ni quoi que ce soit ait accès à Internet) sans pour autant couper la connexion au réseau local (autres ordinateurs, imprimantes, etc.) ? Si oui, lequel ? Si possible, quelque chose qui rendrait la manip' assez facile...

Bien sûr, un firewall est fait pour cela !

Un firewall accepte ou bloque des communications entre des réseaux sur des ports spécifiques.
A chaque paquet entrant, il va parcourir séquentiellement ses règles de flux pour trouver la première règle qui "matche" avec l'IP source, le port source, l'IP destination et le port destination.
La dernière régle (implicite) est de refuser tout - deny any any.

La règle que tu souhaites est du type :

Ip Source	Port Source	IP destination	Port Destination	Action
IP du PC ou du réseau des PCs en question	any	any ou tout ce qui n'est pas du range IP LAN	any	Deny(Refuser)

[Mathieu Réau]

"any ou tout ce qui n'est pas du range IP LAN"

Tout ce qui n'est pas du range IP LAN, ça veut dire les IP des autres ordinateurs et périphériques du réseau local, c'est ça ? Il ne faut pas faire la même chose pour les "Port destination", par contre ? Garder les ports du réseau local, je veux dire.
Je m'excuse, mais je ne m'y connais vraiment pas, en réseaux informatiques !

Dit comme ça, ça n'a cependant pas l'air très compliqué... Selon vous, quel serait le pare-feu avec lequel je pourrais réaliser cette opération le plus facilement ?

[Miistik]

Bonjour,

Il faut bien distinguer deux choses : les adresses IP et les ports réseaux.

Le protocole http utile le port 80 (par défaut).
Lorsque vous vous connectez sur une application Web, vous utilisez son IP et le port 80.
Par exemple : http://10.0.0.8/
Il vaut mieux utiliser any pour les ports sources et destination pour les communications internes sauf si vous êtes sûrs de connaître tous les ports utilisés.

Imaginons que votre PC qui ne doit pas accéder à Internet dispose de l'IP : 10.0.0.1 avec un masque /24
Le réseau LAN est dans ce même réseau à savoir 10.0.0.0/24 avec des IPs de 10.0.0.1 à 10.0.0.254

Pour empêcher ce PC d'accèder à Internet, on écrira :
10.0.0.1 any 10.0.0.0/8 any permit (pour autoriser le trafic LAN)
10.0.0.1 any any any deny (pour bloquer tout le reste)

Selon vous, quel serait le pare-feu avec lequel je pourrais réaliser cette opération le plus facilement ?

Tout dépend de votre entreprise, du nombre de machines (PCs/imprimantes etc ....) du LAN, de votre budget.
Beaucoup de constructeurs proposent des équipements physiques de différentes gammes.
Il existe également des pare-feux logiciels.

[Mathieu Réau]

Décidément, y a vraiment un truc qui cloche avec les notifications de réception de messages : c'est la deuxième fois que je rate une réponse...

Je me rends compte que j'ai oublié de préciser que le réseau dont je parle se trouve à mon domicile et n'a donc rien de professionnel. Je pense donc plutôt m'orienter vers un pare-feu logiciel gratuit, vu que je n'ai pas le budget pour du matériel de pro !

"Pour empêcher ce PC d'accèder à Internet, on écrira :
10.0.0.1 any 10.0.0.0/8 any permit (pour autoriser le trafic LAN)
10.0.0.1 any any any deny (pour bloquer tout le reste)"

Si je comprends bien, il me faut donc combiner deux règles, c'est bien ça ?
Dans votre exemple, à quoi correspond 10.0.0.0/8, exactement ? Vous parlez d'utiliser l'IP de l'application à laquelle je me connecte et le port 80 : cela ne voudrait-il pas dire qu'il y aura une multitude d'IP différentes à combiner au port 80 ? Ou alors il s'agit d'une IP unique correspondant à mon fournisseur d'accès ? Je vous prie d'excuser mon ignorance, mais je suis un peu dans le flou !

A part cela, serait-il possible de faire ce que vous préconisez sur le pare-feu de Windows ? J'ai en effet dégoté une option qui semble permettre de créer le genre de règles que vous évoquez. Sinon, je viens d'installer Comodo Firewall qui semble lui aussi permettre de créer ce même genre de règles. Mais dans les deux cas, je n'en suis pas très sûr.