Bloquer l'accès d'une IP LAN unique pour un seul Mac ?, Sans utiliser LittleSnitch

[coolapic]

Hello tous,

J'ai besoin d'un petit coup de main pour empêcher un Mac Mini de pouvoir accéder à un appareil/adresse réseau (IP) sur mon LAN.

Description du problème :
J'ai deux EyeTV (TNT), un EyeTV DTT (USB) branché à un Mac mini sous la TV du salon et un autre (EyeTV Netstream double tuner) qui est connecté au réseau (LAN) et destiné aux autres Macs de la famille.

Le problème est que le logiciel EyeTV du Mac mini "voit" le EyeTV Netstream et le "préfère" à l'EyeTV DTT (USB) qui est pourtant connecté directement dessus... Peu importe le matériel qui est choisi dans les préfs du logiciel EyeTV du Mac mini, il va toujours essayer et réussir à se connecter à l'EyeTV Netstream

Du coup, le Mac mini s'accapare une connexion sur le EyeTV Netstream et m'empêche souvent de pouvoir l'utiliser alors qu'il devrait être réservé aux Macs portables (et génère également du trafic réseau inutile) Bloquer la seule IP de l'EyeTV Netstream avec LittleSnitch ne le fait pas non plus car le simple fait que LittleSnitch soit actif sur ce Mac mini me pose d'autres problèmes, bloquant parfois toute connexion, par exemple lorsqu'une alerte est affichée sur ce Mini (sans écran, juste la TV)

Même s'il est bien possible d'utiliser LittleSnitch sur ce Mac, avec sa cohorte d'autres problèmes, j'aimerais à tout prix l'éviter car cette machine sert également de seveur (synchro iCal, tests etc). Je ne peux pas non plus interdire tout accès réseau au logiciel EyeTV du Mac mini car, de cette manière, les autres machines du réseau ne pourraient plus visionner/utiliser les enregistrement qu'il a effectué/stocké à cet effet...

Voici la question :

Existe-il une méthode permettant d'empêcher le Mac mini de voir/se connecter et accéder à l'adresse IP statique (LAN) de l'EyeTV Netstream sans utiliser LittleSnitch (ou semblables)

Merci d'avance

Ce message a été modifié par coolapic - 28 Feb 2012, 15:39.

[Polo35230]

Bonjour,

On pourrait par exemple rajouter une règle dans le firewall (du Mac).

Dans une fenêtre Terminal, on tape la commande suivante pour voir les règles dans le firewall du Mac:
sudo ipfw list
En principe, il ne devrait y avoir qu'une seule ligne ( n° 65535 allow ip from any to any) si le firewall du macmini n'est pas utilisé.
Si c'est le cas, ou s'il n'y a pas de ligne n° 100, on tape la commande suivante:

sudo ipfw add 100 deny ip from AdresseIPmacmini to me
Cette règle aura pour effet de rajouter une ligne 100 dans les règles du firewall pour interdire les comms entre le Mac et l'adresse IP d'EyeTV Netstream.

On fait un sudo ipfw list (pour voir si la ligne 100 est bien prise en compte).
Peut-être faudra-t-il rebooter le Mac pour prendre en compte la règle.

Par la suite, si on veut enlever cette règle, il faudra taper la commande suivante:
sudo ipfw delete 100

[coolapic]

Hello,

Génial, merci ! On dirait que ça marche

Mais je vais pas encore crier victoire à 100% car il faut parfois quelques heures avant que le problème surgisse...

J'ai tapé exactement la commande que tu as expliquée mais je me demandais quand-même si c'est pas l'adresse du Netstream qui faut bloquer (et pas celle du mini, donc : sudo ipfw add 100 deny ip from AdresseIPNetstream to me ) ?



EDIT : Bon, ben c'est ce que je craignais, ça marche pô...

Heureusement que tu m'avais mis sur la bonne piste, celle du firewall intégré, j'ai donc téléchargé WaterRoof et là, croisons les doigts, je crois que c'est bon

A l'aide de WaterRoof j'ai bloqué tout trafic vers l'IP du Netstream, dans les deux sens et sur tous les ports...

Voilà ce que ça donne dans le terminal :
12411 deny ip from AdresseIPNetstream to any
12412 deny ip from any to AdresseIPNetstream

D'après les logs de WaterRoof on dirait que le logiciel EyeTV (Mac mini) et le Netstream essayaient, et réussissaient, à se connecter l'un à l'autre, tout seuls, comme des grands (par Bonjour ?)...

Ce message a été modifié par coolapic - 29 Feb 2012, 03:12.

[Polo35230]

J'ai tapé exactement la commande que tu as expliquée mais je me demandais quand-même si c'est pas l'adresse du Netstream qui faut bloquer (et pas celle du mini, donc : sudo ipfw add 100 deny ip from AdresseIPNetstream to me ) ?

Autant pour moi, bien sûr que c'est l'adresse du Netstream (j'avais juste dans le commentaire... ) , le "me" étant le Mac Mini.

Curieux quand même que le "me" ne marche pas. Il marche chez moi.
Le "any" marche aussi, mais je croyais qu'il était à utiliser quand le firewall était utilisé en coupure (par exemple en partage internet) pour interdire une adresse à toutes les machines passant par le Mac Mini.

Pas sur que ce soit par Bonjour qu'ils se reconnaissent. Peut-être par un protocole d'auto-découverte comme UPnP...

Bonne journée

Ce message a été modifié par Polo35230 - 29 Feb 2012, 08:40.

[Kalm]

AMA tu dois pouvoir également pouvoir bloquer cet IP en rajoutant une ligne correspondant a l adresse du serveur dans le fichier hosts
Me concernant n ayant plus accès a certain site du Viet Nam c est ce que j ai du faire.
Pour éditer une ligne supplémentaire dans hosts il suffit de taper le terminal sudo nano /etc/hosts et rajouter a la suite l adresse que tu désires bloquer.

[Kalm]

Je viens d essayer avec l APP Store,ca fonctionne mais il faut rerouter par exemple vers 0.0.0.0 ax.init.itunes.apple.com

Ce message a été modifié par Kalm - 29 Feb 2012, 12:02.

[sparo]

Le plus simple c de rajouté une route bidon....

Route add .....

[Kalm]

Ou route 0

[Polo35230]

Le plus simple c de rajouté une route bidon....

Route add .....

Oui, on peut très bien envoyer l'adresse IP d' Eye TV vers la boucle locale (127.0.0.1), mais après, on tombe sur le pb des routes persistantes...
Y'a des solutions, mais pas forcément simple...