Guillaume Kulakowski's blog

Contrôle parental sur OpenWRT

Guillaume Kulakowski par Guillaume Kulakowski dans OpenWRT 22 janvier 2021 3
Tags : Adguard Home OpenWRT sécurité
OpenWRT

La suite de ma série d’articles sur OpenWRT, le firmware Open-source pour votre routeur. Après la mise en œuvre avec Free, la gestion du Wi-Fi 802-11r, je m’attaque à présent au contrôle parental.

Tout d’abord une rapide présentation de ma problématique : mon fils dispose d’un PC portable (mon ancien) qui lui sert pour écouter de la musique, travailler (classe numérique), suivre ses cours de musique en distanciel, etc… Bien entendu, le contrôle parental automatisé ne remplacera jamais la présence et le contrôle des parents mais ça rajoute une couche de sécurité supplémentaire. Ce contrôle, pour ma part se fait de 2 manières :

  • Coupure d’internet à une heure donnée.
  • Filtrage d’internet basé sur OpenDNS.

Coupure d’internet à une heure donnée

La première chose est de s’assurer que les devices n’aient plus accès à internet à partir d’une certaine heure. Pour ceci on va se baser sur des baux statiques basés sur l’adresse MAC. Effectivement, on rencontre là une limitation sur un changement d’adresse MAC, mais pour ça il faudrait que mon fils sache le faire à 9 ans et qu’il dispose du mot de passe root…

Du coup il suffit d’aller dans « Réseau / Pare-feu« , onglet « Règles de trafic » et de créer une règle de rejet, dans mon cas seulement de WAN & WAN6 afin de lui laisser l’accès à la musique stockée sur le NAS.

Pare-feu - Règles de trafic - Paramètres généraux
Pare-feu – Règles de trafic – Paramètres généraux
Pare-feu - Règles de trafic - Paramètres avancés
Pare-feu – Règles de trafic – Paramètres avancés
Pare-feu - Règles de trafic - Restrictions de temps
Pare-feu – Règles de trafic de contrôle parental – Restrictions de temps

Filtrage internet basé sur OpenDNS

Pour la gestion de mes DNS, je me base sur des services DoH, sauf sur les machines sous contrôle parental que je redirige vers OpenDNS. OpenDNS permet via son offre gratuite à destination des familles, de faire du filtrage par catégories de site :

OpenDNS - Web Content Filtering
OpenDNS – Web Content Filtering (contrôle parental)

Pour attacher OpenDNS à des baux statiques, il va falloir passer par des tags et lier les baux statiques aux tags. Malheureusement, OpenWRT ne propose pas d’interface pour modifier cela et il va donc falloir passer par la modification de la configurations en SSH à partir de votre éditeur favori (vim chez moi).

On commence par rajouter un tag dans le fichier /etc/config/dhcp :

config tag 'kids'
        list dhcp_option '6,208.67.222.123,208.67.220.123'

Toujours dans ce fichier /etc/config/dhcp on va rattacher des baux (déjà créés à partir de l’interface) à ce tag :

config host
        option mac 'xx:xx:xx:xx:xx:xx'
        option ip '192.168.1.3'
        option dns '1'
        option name 'zukov.wifi'
        option tag 'kids'

config host
        option mac '48:5B:39:4A:2C:05'
        option ip '192.168.1.4'
        option dns '1'
        option name 'zukov'
        option tag 'kids'

Pour finir on relance le service :

/etc/init.d/dhcpd restart

Quid du contrôle parental d’AdGuard Home

J’ai fait des tests de qualification de la solution AdGuard Home. Le résultat est à la fois très efficace et très visuel. LE tout avecune gestion centralisée de l’anti-pub, des DNS, du DoH et du contrôle parental. J’aurais même eu tendance à préconiser cette solution… mais voila, mon routeur n’a que 128Mo de RAM et AdGuard Home est un véritable gouffre en mémoire… Du coup j’attends avec impatience le port d’OpenWRT pour le routeur Redmi AX6 pour sauter le pas.

Commentaires

Bartounet

De Bartounet le 23 janvier 2021

Salut.
J'utilise un peu le même système.
Sauf que je suis sous pfsense.
Pfsense est mon propre résolveur local .
J'ajoute une couche de Pihole sur les postes parentaux
et Pihole + OpenDns filtrage sur les postes enfants.

Mais Open DNS ne filtrera pas tous les contenus malheureusement...
Tu verra vite que les images Google et les vidéos peuvent contenir des choses très mauvaises...

pour cela je n'ai rien trouvé de mieux que Google Family.
Cela me suffit puisque mes enfant n'ont pas de PC et se contentent des tablettes.

Fredouille

De Fredouille le 7 mai 2021

On peut changer les options DHCP dans l'interface graphique dans openwrt (j'ai fait sur 19.07.7, WRT3200ACM)

"Menu Network" / "Interfaces"
Interface LAN / "Edit"
Onglet "General Settings" : "Use custom DNS servers" : les DNS sont là mais c'est pas suffisant (je sais pas si c'est utile)
Onglet "DHCP Server" : Sous Onglet "Advanced Settings", dans la ligne DHCP-Options, il faut rajouter la ligne : "6,208.67.222.123,208.67.220.123" (comme indiqué dans l'exemple)

Google : DHCP option 6 : pour envoyer les DNS au postes clients.
Et ça marche, cat /etc/resolv.conf sur la machine cliente montre les nouveaux DNS de OpenDNS.

C'est peu le bordel, on peut mettre aussi des DNS custom pour le port WAN, qui ne changent rien pour les postes clients, des DNS customs pour le LAN qui ne sont pas pris en compte.
Il n'y a que cette option que tu signales, et qui fonctionne, et voila la marche à suivre pour le faire graphiquement. Le résultat est présent dans /etc/config/dhcp comme dans ton tuto

kornflex

De kornflex le 29 juin 2022

Bonjour,

Merci pour cette série de tuto.
J’essaye de bloquer internet pour mes caméras de sécurité.

Impossible, elles accèdent tjs à internet !

Je les bloque par adresse MAC, ou IP, idem…

J’ai même mis cette règle en premier dans le firewall pour qu’elle soit prise de suite.

Rien a faire…
Tu peux m’aider ?

Voici ma config :
https://pasteboard.co/qQGJutKIfDjx.png
https://pasteboard.co/wfOPWNuwbLEZ.png
https://pasteboard.co/SQ1N2FtmZR2F.png

Merci beaucoup

Les commentaires pour ce poste sont fermés.

Réseaux sociaux