Bonjour,
 
tout le monde est au courant pour adopi, et voilà que j'ai de la visite familiale en provenance de l'étranger qui me demande pour connecter leur ordi portable sur mon routeur ADSL.
Mais j'ai un peu peur d'avoir des soucis de P2P avec (peut être) des invités indélicats (jeunes gens très habitués au P2P dans leur pays et je ne peu contrôler leur machines en permanence évidement).
 
Je me pose la question des risques sachant qu'il est possible de se connecter tel quel sur du P2P mais que les ports concernés ne sont pas routé vers mon réseau interne et ceci pour aucune machine (moi même je ne télécharge pas).
 
Ma question après cet intro un peu longue:
Si les ports de mon routeur ne sont pas "ouvert" au P2P (pas de ports de machines routé donc je crois tout les logiciels devraient être en "low id"?) est ce qu'il y a un risque si un visiteur essaye de télécharger?
Est ce qu'il faut bloquer autre chose? mais quoi et comment? (pas vu d'option sur mon routeur)
 
Par risque je veux évidement dire d'avoir des ennuis avec la loi. Je ne parle pas de surchauffe du modem évidement.
 
Note:
J'ai conscience qu'on ne peut pas parler de P2P sur ce site, j'espère que c'est uniquement dans le sens de la promotion de P2P chose que je ne pense pas faire dans ma question. Si toutefois fermer mon post, mais j'en serais profondément déçu étant donné le caractère préventif au niveau de la loi.
 
merci pour votre aide ou avis.

Déjà ils restent combien de temps tes invités ? Parce que le temps que le tractosaure Hadopi démarre t'a le temps avant de t'inquiéter
 
Après, non, ne pas router les ports n'est pas suffisant, comme tu l'as dit il y a le "LowID" de la mule (le serveur ed2k ou une node du bootstrap Kademlia t'envoie l'IP d'un peer et tu initialises la connexion, ça permet de traverser le NAT).
 
La meilleure chose à faire serait de demander à tes invités de ne pas télécharger illégalement du contenu soumis au droit d'auteur de chez toi en leur expliquant tes raisons. Après tout si le P2P est d'usage courant chez eux, ils doivent avoir une bonne réserve de choses à écouter/voir !
 
S'ils sont vraiment irrécupérables, tu peux mettre en place un firewall restrictif : uniquement les ports 53, 80, 443 en destination (surf) et ouvrir au fur et à mesure des besoins (sauf pour le P2P ). Ou alors tenter de faire de la reconnaissance protocole par DPI (contré par le brouillage de protocole), ou mettre en place un QoS sur les ports "non standards" tellement pourris qu'il découragera les plus téméraires (genre 2ko/s pour tout ce qui n'est pas surf, comme Free en 2005). Mais aucune de ces solutions n'est vraiment infaillible !

Sur quels OS seront tes invités ? Tes bécanes à toi ou les leurs ?
Si ces les tiennes, tu ne leur laisse pas le droits d'installer de tels programmes, et c'est réglé. Non ?

merci de vos réponses,
 
pour l'instant il y a un macOS de branché sur le wifi, ils sont la pour 8 jours et après ce sera probablement 2 windows (dont un que je suis sur qu'il n'y aura pas de souci mais l'autre...
J'y ai vu un logiciel de P2P de lancé au démarrage de la machine, donc j'ai prévenu, et (je pense) que pour les 8 jours qui vont suivre ça devrait aller.
 
Moi je suis exclusivement sur linux donc pas de problème il n'y a rien sur mes machines.
Les jeunes avant n'avaient pas leur portable "perso", mais évidement avec la démocratisation de ces engins, ils en ont tous 1 et voyage avec je peux pas leur refuser l'accès wifi, certains l'ont eu déjà l'an passé. (mais ça me tracassait pas l'an passé)
 
mon routeur est un linksys il tourne sur un noyaux linux je crois, j'y ai vu des politiques d'accès au web mais malheureusement aucune n'est configurée pour limiter le P2P.
Est ce que se serait dejà efficasse de bloquer l'accès des ports au dela de 500 dans ces politiques d'accès ? (je ne connais pas la limite maximum des ports sur une machine)
 
Je ne crois pas que ce sont des "crack" en informatique, il y a seulement que je voudrais être tranquille sans devoir répéter "attention ceci, cela" sans non plus tout bloquer (msn ou skype ou des trucs comme cela)

Heu a part mettre des portails captifs et un proxy http/https qui fasse du man in the middle (sur le https pour analyser le contenu et le bloquer éventuellement)

 
La sanction n'a pas besoin de tomber tout de suite. Le responsable légal est le titulaire de la connexion internet donc que les mômes soient encore là ou repartis, c'est quand même crouik qui prendra.
 
Sinon, il y a aussi la solution de bloquer une IP temporairement si elle tente d'initialiser plus X connexions par Y secondes. C'est bourrin mais s'ils se font, par exemple, bloquer leur IP pour 15min au bout de 10sec de p2p, ils devraient vite comprendre.

 
c'est ce que je pense aussi, ils leur faudra du temps pour mettre en route l'affaire mais je risque d'avoir un retour de battons quelques mois après leur départ.
 
gug42 => je ne comprend malheureusement rien à ce que tu écris, de plus je n'ai pas de machine dédiée à un firewall je peux éventuellement télécharger un firmware libre plus performant qui va bien avec ce routeur linksys. Je crois qu'il offre plus de réglage que celui que j'ai d'origine.
 
Il me semble que les ports vont jusque 30.000 je vais toujours bloquer de 450 à 30000 je vais voir ce que ça donne.
N'ont qu'à se passer d'msn pour 8 jours    
 
Ce serait déjà efficace dans un premier temps?
 
Parce qu'en plus j'ai pas trop le temps de chipoter ils sont ici...

Pour les ports: http://www.iana.org/assignments/port-numbers
 
Ca va jusqu'à 49xxx, mais la limite pointe vers les 65535.

ouch bon je bloque tout ça dans un premier temps ! Merci

j'ai bloqué entre 450 et 65535 en UDP et TCP on va voir

 
Ah, je pensais que ton linksys tournait déjà en open/dd-wrt, quand tu as mentionné linux (amalgame erroné de ma part). J'ai jamais pris trop le temps de regarder les firmware officiels de mes linksys, mais ils m'ont semblé assez basiques.

non il ne tourne pas encore sous ce firmware, car je n'en ai jamais eu l'utilité (de changer) c'est plutôt "compatible" linux que j'aurais du mentionner.
 
Mais bon de toute façon, je n'aurai pas le temps cet été de faire cela et surtout de me documenter sur les possibilités de ce firmware. Mais dès cet hivers j'y pense, car avec le nombres d'ados qui arrivent dans la famille... et une maison dans le sud, ça fait de la visite.
 
En attendant si le fait de bloquer de 996 à 65535 ça peu décourager, après ma fois je ne sais si ils auront le temps et la volonté d'essayer de contourner...
Ah oui 995 c'est gmail... donc je commence à 996

Même, des invités qui viennent chez toi pour télécharger, moi je ne les inviterais pas 2 fois (namého, vous voulez voir le dernier x de Dorcel ou sortir au resto sympa que j'ai repéré pour vous ? )
 
Après, voir un cas récemment discuté ici concernant un gîte rural, ou encore une brasserie... ce qui se résume donc soit à prendre un Fon (à accès gratuit ) ou un routeur WiFi avec le firmware "kivabien" (DD-WRT par exemple) ou un petit PC avec un IPCOP, un m0n0wall, un pfSense, etc...
 
Autre solution, fournir toi-même un PC (ou un Mac ) pour les gens "de passage" si tu en as beaucoup.
Il ne faut pas grand chose matériellement pour un Windows XP ou un Ubuntu, tu mets des droits restreints et un minimum de logiciels (Firefox/Opera/Chrome, Thunderbird, OpenOffice, VLC, MSN/aMSN, XnView/GQView) et roulezzz...

+1 met un pfsense avec du portail captif et du proxy squid ce sera un gros plus  
 
(D'ailleurs vivement la version 2 de pfsense)

 
bah, c'est surtout que tu as beau leur dire interdit de télécharger car hadopi, qu'ils vont décocher la case "connecter limewire au démarrage de windows". (en + des ados ça entre par une oreille ça sort par l'autre...)
Donc tu leur dis, puis il déconnecte, et quand il relance leur broll ça se reconnecte tout seul et comme ils n'y pense plus ben ça télécharge. Je ne veux pas passer mon temps à surveiller non plus les logiciels qui seraient lancé sur leur machine.
 
Je vais voir ce que c'est pfsense jamais entendu parler.
 
Pour ce qui est d'installer une machine pour, il y en a assez ici, ça n'empêche que ceux qui ont un portable perso le prenne quand même, et ils savent qu'il y a internet ici donc.

 
les 1024 premiers ports sont réservés, 995 c'est pas gmail c'est le pop3 sécurisé.
 
C'est quoi ton routeur exactement. parce qu'avant de te lancer dans un truc compliqué, il n'a pas simplement un filtrage P2P préréglé, c'est le cas sur certains.

c'est un Linksys WRT54GL - Wireless-G Broadband-Routeur (noyau Linux) firmware d'origine.
 
Je voulais dire que gmail se sert de ce port la, 995.
 
J'ai rien vu qui parle de P2P dans l'interface du modem, mais ça m'arrangerait de faire plutôt simple.

Si c'est Gmail par le web dont tu parles, c'est 80/443 et rien d'autre  

c'est clair qu'en plus tu passes pour un tyran  
m'enfin bon s'il s'agit de ton immunité, faut être inflexible.
faut commencer par la prévention, s'ils n'obtempèrent pas, tu coupes le wifi (ils vont vite comprendre).
sinon perso, je mettrais en place un relai iptables sur l'une de mes machines 24/24 et filtrant tous les ports sauf le surf.
après s'ils ont envie de jouer en ligne/réseau cela peu vite devenir problématique.
 
sinon, tu peux aussi leur payer un abonnement au cinoche pour les occuper autrement  
organiser des tournois de jeux en réseau local...  
et pourquoi pas une installe party  

je suis sur que ce n'est pas de la mauvaise volonté, les copains ou copines ont paramétré le broll, et ça se connecte tout seul puis ils n'y pensent plus quand ils démarrent leur machine.
Ils restent pas sur leur ordi la journée entière, il y a de l'occupation ici, mais rien à faire, faut tchater 1 H avec le petit copain et mettre à jour le facebook ou autre...
Pendant ce temps ben si c'est pas coupé, ça partage.  
Faudrait une grosse lampe rouge avec un klaxon sur le modem quand ces logiciels ce connectent    
 
Pour l'an prochain je vais étudier sérieusement quoi mettre en place ici pour cette période de vacances.

ça doit être faisable ça (idée 1, idée 2, ...)

 
c'est peut être un peu trop compliqué pour moi.
 
Une chose est sur en tout cas, si j'ai le moindre avertissement de mon FAI ou de la justice ou autre (je ne sais quel autorité d'ailleurs) il est certain que j'imprime l'avertissement, je révoque toutes les adresses mac et change la clef WPA.
 
Et lorsque qu'un visiteur me demandera si j'ai le wifi et si il peut se connecter, je lui montrerai l'avertissement et répondrai que je n'ai aucun contrôle sur ce qui est fait de ma connexion, et donc je refuse.
 
Je leur dirai d'aller au Macdo...    
 
Et si il y a urgence d'utiliser une de mes machines ici  

salut,
 
je trouve un peu gros de vouloir filtrer son réseau quand des invités viennent.
Définir le flux autorisé sur son réseau est un principe de base,  
Hadopi a bon dos, et la loi bien en retard dans le domaine informatique.
 
Si j'avais de la famille, de l'étranger ou non, qui viendrait chez moi 8 jours pour passer son temps sur internet, ce serait la porte au nez...
 
Comme si internet vital.
 
A bon entendeur

 
déjà j'ai pas dis qu'ils étaient constamment sur internet...
 
Puis si je suis ton raisonnement, ils ne sont pas là pour regarder la TV non plus, ni écouter la musique (mp3), ni jouer sur une console (il y a des cartes après tout).
C'est vrais que ça n'est pas "vital"...
 
Quid des téléphones qui se connectent au réseau wifi ? Refusé aussi, n'ont qu'à prendre le fixe...
On est chez le barbare, l'ancien le vieux, le retardataire, l'anti nouvelle technologie (d'autant plus qu'avec l'ADSL on ne paye pas plus cher) mais qu'est ce qu'il en a à foutre le vieux???
 
Wè bon ça peu être sympa aussi... si tu veux.

Apparemment, tu es l'adulte en charge, c'est donc à toi de placer les limites dans le cadre de ce que tu es prêt à risquer pour leur confort. Après tout, peut-être qu'ils ne feront rien de répréhensible, qu'ils le feront sans se faire prendre ou que tu vas t'en tirer avec une simple lettre...  
A ce niveau là, c'est "chacun sa merde". Ta décision est aussi valable qu'une autre puisque tu la prends en connaissance de cause.

Non de fait, en tout cas volontairement ils ne feront rien de répréhensible c'est vrai.
 
Ce que je veux dans ma démarche c'est luter contre les "distraits", le fait que ce type de logiciel démarre en même temps que windows (ou autre), et une fois démarré ben il partage, et la ça va plus.
 
Donc je me tourne vers des solutions qui pour moi ne m'importune pas puisque je ne télécharge pas. Perso ça me dérangerait pas que le modem soit "bridé" en permanence pour tout ce qui est P2P.
 
En tout cas je compte rendre le P2P difficilement accessible chez moi.

Tu les préviens, tu leur fais signer une sorte de "fair use policy" et si ils téléchargent et que Pascal Nègre vient t'arrêter, tu portes plainte contre eux.
 
De rien

Ils font du P2P chez toi pendant 8 jours la belle affaire ...
 
A ta place j'arrêterais de me prendre la tête tu finiras pas derrière les barreaux pour ça, et mettre en place des solutions de filtrage vont rapidement devenir un casse-tête pour toi.
C'est eux qui volent pas toi, tu as ta conscience pour toi.
 
Non mais sérieusement ... ce topic c'est un troll  
 

 
Mais dans quel monde vivez vous... ?!
Quand on va passer 8 jours chez quelqu'un on squatte forcément la connexion internet...
Respecter le droit d'auteur ok, se transformer en propre flic dans sa propre famille... mes amis vous avez pas des choses plus intéressantes a partager qu'un texte de loi ?

Ca n'empêchera pas aux vilains (lobbys/tribunaux/...) de se foutre de cet argument si il n'y a pas mise en place d'une solution technique (même si elle est légère et inefficace).

Pour reprendre la "Modération", c'est un cas que l'on pourrait qualifier de maintenant "classique", adaptable par exemple pour une location courte durée d'un appartement (et qui peut facilement être repris au vu du nombre croissant "d'échange d'appartement" durant les vacances scolaires ou la location par soi-même pour des amis, collègues), ou les 2 autres cas que j'ai cité auparavant (gîte rural et brasserie).
 
Il serait peut-être même bon (si quelqu'un veut s'y coller) de faire un topic regroupant les différentes solutions possibles, suivant le niveau de l'utilisateur (celui qui a la connexion), l'utilisation (commerciale ou non), le matériel possible...

j'ai téléchargé le DD-WRT, mais pas eu le temps de l'installer.
D'après la documentation il y a bien plus de possibilité de réglage.
Je n'ai cependant pas vu d'option permettant de rendre le P2P inaccessible.
 
@ bardiel ;
Le cas d'échange d'appartement ou de maison m'interpelle aussi car nous avons déjà envisager de le faire pour nos vacances.
Je partirais plus tranquille avec une connexion internet protégée.

Avec DD-WRT tu as plusieurs moyens :
- soit tu bloques tous les ports sauf certains avec iptables (méthode bourrin pas toujours efficace )
- soit tu limites à une vitesse vraiment faible (genre 1ko/s) avec du QoS
- soit tu passes par un service tiers comme OpenDNS, en indiquant dans ton compte (gratuit) OpenDNS que tu ne souhaites pas te connecter aux réseaux P2P.

Cela fait un bail que je n'utilise plus ce type de logiciel mais je pensais que si l'on était en LowID (pas de routage de port), le téléchargement était réduit à 2/3 ko/s ce qui découragerait n'importe qui n'aurait pas accès à la configuration de routeur pour ajouter la route.

Je me disais que quand on route pas, il y a une certaines protection pour le propriétaire de la ligne, mais ce n'est pas tout à fait le cas dans ce cas

merci bardiel,
 
pour l'instant je le fais "bourrin" en bloquant un maximum de ports. Je me pencherai plus sur cela après les vacances.
J'ai réinstallé la mule pour test sur une de mes machines ici et elle se connecte malgré tout en "low id".
Par contre elle ne trouve  plus de serveur, donc pas de recherche possible.
Ce que je me demande c'est si le "low id" c'est juste une détection que ce logiciel fait sans plus.
J'espère que si des musiques sont en partage sur la machine elles seraient effectivement bloquées. (avec mes ports bloqués en ce moment)
 
En fait quand on bloque un port, je suppose qu'il est bloqué dans les deux sens (trafic entrant et sortant) sur ce genre de routeur !

 
Oh mais je contribue.. il n'y a pas que la technique.
Je donne une solution humaine à un problème technique. C'est acceptable.
Un exemple de solution humaine à un problème technique dont vous êtes friands ici c'est de dire que si tes amis n'utilisent pas jabber, change d'amis...
 
Pour moi la seule vraie solution est de responsabiliser les gens, toutes les solutions évoquées ici restent contournables, même si dans le fond c'est intéressant, mais pas dans le cadre familial.
Leur expliquer que le système de droit d'auteur est bénéfique pour la rémunération des artistes, qu'un film ou qu'une musique est un bien comme un autre et que par conséquent le voler représente un délit, etc..
Il est facile de pousser quelqu'un dans ses retranchements sur ce sujet et de lui faire admettre qu'il a tort.
On peut consulter le lien suivant http://fr.wikipedia.org/wiki/Propr [...] acit.C3.A9 pour ne pas tomber à cours d'argument.
Évitons la parano et les procès d'intention  
 
Après si vous voulez en discuter techniquement pour le sport ça me pose pas de problème.

Tu cries au troll... Je n'appelle pas ça contribuer.

Sûrement, mais ce n'est sûrement pas ce genre de discours qui stoppera par magie les actes de certains. As tu déjà tenté ce genre de discours responsabilisateurs à des ados (ou à une population entreprise (P2P, utilisation d'internet, compression des images, etc...)) ? et quand bien même t'y arriverais ça ne couvre qu'une petite partie des cas que j'ai cité au dessus (échange d'appart, colocation, etc...) pour lesquels la confiance familiale est inexistante. Tu peux faire quelques recherches sur « réseau public & SOHO » ou ailleurs pour voir le nombre de sujet en lien avec ça (mon colloc, petit frère me bouffe en P2P toute la bande passante que je paye, etc...)
 
La responsabilisation et l'éducation des gens est, malheureusement, une utopie à moyen et long terme, on pourrait en ouvrir un topic sur discussion d'ailleurs. Je ne dis pas qu'elles ne sont pas utiles, bien au contraire, mais les résultats sont pour le moins rarement à la hauteur des espérances.
 
L'ensemble des personnes ici connait la solution de la « négociation », ce qui intéresse les personnes c'est une solution technique visant à bloquer le P2P ou à le rendre inutilisable. Si j'ai posté le message de modération, c'est pour ton approche « c'est un troll » et ta « condescendance » sur les relations familiales.

je continue mes investigations, et j'ai trouvé ce post sur le forum de DD-wrt:
 
http://www.dd-wrt.com/phpBB2/viewt [...] sc&start=0
 
Qui n'est pas très encourageant... (citation du dernier post)
 

 
La seule vrais solution pour éviter tout problème est bien de sécuriser au maximum SA connexion wifi, et ne jamais la partager avec qui que ce soit!
(du moins en ce moment à voir plus tard si d'autres solutions sont développées)

Dans l'absolu, oui.
 
Après pour avoir testé différentes solutions cette semaine (un WRT54GL prété par un pote avec DD-WRT dessus, une machine avec pfSense, une avec m0n0wall, un blocage des ports à l'arraché sur ma Livebox), autant la mule se retrouvait bien avec un lowid et une recherche difficile (mais pas impossible), autant bittorrent (en l'occurence µtorrent) pouvait télécharger à vitesse maxi de ma connexion avec un upload très lent (testé avec un film - ben oui - et une distrib Linux - SuSE 10.3)
 
Reste à savoir si les ingénieurs (il y en a au moins ? ) qui bossent dans la Haute Autorité pour la Diffusion des Oeuvres et la Protection des droits sur Internet ont fait des essais pour pouvoir proposer un logiciel efficace de sécurisation.
 
Dans la même optique, je me suis amusé à monter avec virtualbox une machine virtuel Ubuntu, une carte réseau tout aussi virtuel, et enfin d'utiliser Tor pour télécharger sur bittorrent et amule. Le résultat est consternant puisque là j'ai... un high id !

Si tu veux le bloquer le p2p efficacement, faut un contrôle sur la machine cliente.  
Ou alors, emprunter la voie ouverte par Microsoft (bridage du nombre de connexions half-open - mais ici au niveau du routeur) et par certains ISP (QoS drastique sur tous les ports et protocoles sauf ceux autorisés). Et comme je le disais au dessus, on peut aussi s'amuser à bloquer l'ip pour X minutes à chaque fois qu'un client tente d'établir un nombre suspect de connexions sur une courte durée. Enfin, désactiver l'upnp aide également.
Le problème, c'est que ça devient vite très lourd à gérer et que ça cible un type de comportement plutôt que le p2p lui-même. Les dommages collatéraux sont inévitables.