Bloquer des sites/adresses IP sur Windows

Tutoriels réseau

Modérateur : Mods Windows

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84528
Inscription : 10 sept. 2005 13:57
Contact :

Bloquer des sites/adresses IP sur Windows

Message par Malekal_morte » 13 août 2011 13:28

Une page qui explique comment bloquer la connexion vers des sites ou des services comme Skype ou MSN.
Cette page tente de donner une manière assez simple, à destination des parents, qui souhaitent bloquer les sites ou services des PC familiaux.
Bien entendu, il y a toujours moyen de contourner surtout si votre fiston se débrouille assez bien en informatique.


Fichier HOSTS

Pour rappel, le Fichier HOSTS est un fichier de cache de résolution DNS.
(adresse litérale vers adresse IP).

Le principe ici est donc d'ajouter des adresses des services à bloquer afin de les faire résoudre vers une adresse IP erronée.
Le programme tente ensuite de se connecter vers cette adresse IP mais comme bien entendu, elle est erronée, cela ne va pas fonctionner.

Pour éditer le fichier :
  • Sur Windows XP : Menu Démarrer / executer et tapez (ou copier/coller) : notepad %windir%\system32\drivers\etc\hosts
  • Sur Windows Vista/Seven : Menu Démarrer / Tous les programmes / Accessoires et sur invites de commandes, faire un clic droit puis executer en tant qu'administrateur.
    • Sur la nouvelle fenêtre noire, copiez/collez la commande suivante : notepad %windir%\system32\drivers\etc\hosts
  • Le fichier HOSTS est accessible en modification.
Le but est d'ajouter des lignes du type :
127.0.0.1 adresse a bloquer

127.0.0.1 reste fixe, et étant l'adresse IP errronée.

Par exemple si on veux bloquer le site facbook dont l'adresse est : http://www.facebook.com
Ajouter la ligne :
127.0.0.1 http://www.facebook.com

Quelque autres lignes qui bloquent notamment la connexion MSN et oovoo :
127.0.0.1 gateway.messenger.hotmail.com
127.0.0.1 gtwy.messenger.hotmail.com
127.0.0.1 messenger.hotmail.com
127.0.0.1 http://www.oovoo.com
127.0.0.1 videocallroom.oovoo.com
127.0.0.1 web.oovoo.com
127.0.0.1 www3.oovoo.com
127.0.0.1 webvideocall.oovoo.com
127.0.0.1 cdr.oovoo.com
127.0.0.1 api.oovoo.com

Enregistrer le fichier, fermer et relancer le programme (pour qu'il relise le fichier) dont vous souhaitez bloquer le service.


Bien entendu, si votre enfant a un compte administrateur de la machine, il peux éditer à son tour le fichier pour rendre les adresses accessibles.
La meilleur chose à faire est de lui créer un compte limité - Par exemple avec Windows Steady : windows-steady-state-gestion-des-utilis ... 19316.html
Il ne sera pas administrateur et n'aura pas les droits pour éditer le fichier HOSTS.
Cela permet aussi d'empécher l'installation de programmes et notamment de pourrir le PC avec des programems types LPIs/PUP - les ados étant fort à cela.

L'autre limite du fichier HOSTs étant que certains services, notamment Skype, se connecte directement vers des adresses IP.
Pas de résolution DNS donc, impossible donc de jouer sur les adresses litérales.
Le paragraphe suivant permet de palier à cela.

Routage vers le néant

L'autre solution consiste à jouer sur les routes.
Vous avez un survol rapide des routes sur la page suivante dans le premier paragraphe : problemes-reseau-courants-t28300.html
C'est donc un petit peu plus compliquer à comprendre.
Lorsque vous utilisez un routeur/box, quand vous vous connectez à un serveur sur internet, le système d'exploitation regarde l'adresse IP du serveur et voit que celle-ci n'est pas sur votre réseau courant, afin de pouvoir se connecter à cette adresse, il doit passer par la passerelle qui est au final, l'adresse IP de votre routeur/box.
Le routeur/Box se charge ensuite d'effectuer la connexion (à travers du NAT).

Le but ici est de créer une route spéciale pour les adresses IP des sites à bloquer afin de donner une passerelle erronnée (n'importe quelle adresse).
Dès lors Windows, lors de la connexion vers ce service, va tenter de se connecter à cette passerelle et n'obtiendra pas de réponse (puisqu'elle n'existe pas), ce qui empechera la connexion au service.

Avant de commencer, vous devez connaître la classe IP de votre réseau.
Pour cela :
  • Sur Windows XP : Menu Démarrer / executer et tapez (ou copier/coller) : notepad %windir%\system32\drivers\etc\hosts
  • Sur Windows Vista/Seven : Menu Démarrer / Tous les programmes / Accessoires et sur invites de commandes, faire un clic droit puis executer en tant qu'administrateur.
    • Tapez la commande : ipconfig /all (il y a un espace entre ipconfig et /all)
    • Chercher l'interface réseau qui est utilisé pour vous connecter (ethernet en cable / Wifi/Wireless Wifi en cas de connexion Wifi) et chercher la passerelle.
Garde l'invite de commandes ouverte pour les futurs commandes à passer.

Dans le cas ci-dessous, on voit que l'adresse IP est en 192.168.1.27 et la fameuse passerelle est : 192.168.1.1
Ce sont les adresses des Livebox qui sont en 192.168.1.X avec comme adresse de Livebox : 192.168.1.1

Image

Prenons le cas de Skype dont la connexion du programme est en dure vers les IP : 80.160.91.5, 80.160.91.11, 80.160.91.13, 80.160.91.25
dont nous souhaiterions bloquer la connexion.
Dans mon cas je dois mettre une passerelle fictive en 192.168.1.X - vous devez changer l'adresse selon l'adressage de votre réseau.
La commande pour ajouter une route est : route add 80.160.91.0 mask 255.255.255.0 192.168.1.50 metric 1

La passerelle pour les adresses 80.160.91.0 (Skype) sera maintenant 192.168.1.50 qui est une adresse complètement bidon et arbitraire (faut entre en dessous de 192.168.1.255).

Par exemple, si vous êtes en 10.1.1.X avec comme passerelle 10.1.1.1 ou 10.1.1.254, on doit ajouter une passerelle pour les adresses Skype en 10.1.1.Y.
La commande pour ajouter une route est : route add 80.160.91.0 mask 255.255.255.0 10.1.1.50 metric 1

Vous pouvez ensuite essayer Skype, la connexion ne devrait pas fonctionner.

La route sera perdue au prochain démarrage, pour la rendre permanente, il faut ajouter l'option -p en début de commande.
Ce qui donne :
route -p add 80.160.91.0 mask 255.255.255.0 192.168.1.50 metric 1
route -p add 80.160.91.0 mask 255.255.255.0 10.1.1.50 metric 1

En temps normal, un tracert donne ceci, on arrive bien à destination (du moins dans le réseau de Skype).

Image
route_blocage_adresse2.png 100% 23KB 22.7KB/s 00:00

Avec la route ajoutée, et dont on peux lister les routes via la commande : ROUTE PRINT
Le tracert n'arrive plus à destination, la connexion vers l'IP n'est plus possible.

Image

Notez que les deux lignes suivantes sur le ROUTE PRINT qui en premier est la route général ede passerelle (par défaut) pour tous les adresses IPs soti donc 0.0.0.0
La route suivante pour le réseau 192.168.1.0 qui dit d'utiliser comme passerelle la machine elle même (192.168.1.27) : 192.168.1.0 255.255.255.0 192.168.1.27 192.168.1.27 10
permet donc d'envoyer des requêtes aux autres PC du LAN.
et enfin notre route, spéciale Skype, qui a comme passerelle une machine fictive 192.168.1.50 : 80.160.91.0 255.255.255.0 192.168.1.50 192.168.1.27 1

Le problème ici pour "monsieur tout le monde" est de connaître l'adresse IP utilisée par le service à bloquer.
Si vous ne savez pas ou trouvez pas , demandez sur le forum.
J'éditerai ce post ici, s'il faut pour ajouter l'adresse du service.

Blocage au niveau du routeur

Il est bien sûr tout à fait possible de bloquer les adresses au niveau du routeur/box
Chaque adresse/box étant différente, la manipulation à faire est différente.
Vous devez vous logguer sur l'interface Web du routeur/box (vous pouvez utiliser la commande ipconfig /all pour récupérer l'adresse du routeur - voir paragraphe précédent).

Sur un navigateur, il ne reste plus qu'à saisir l'adresse : http://IP
Par exemple, http://192.168.1.1 et de vous logguer.
Le mot de passe par défaut étant donné dans la notice.
Souvent le couple admin/admin ou admin/1234

Naviguez dans l'interface WEB pour trouver le firewall et y bloquer les adresses ou dans le cas de routeur grand public, une section spéciale des sites à bloquer.

Par exemple, sur un routeur netgear, il est possible d'ajouter des mots clefs qui seront bloquées sur les adresses WEB saisies, ou carrement des pages WEB contenant le mot clef.
Il est aussi possible d'autoriser certaines IP sources (donc PC) à s'y connecter (liste blanche).

Image

A la visite du site bloqué, on obtient cette magnifique page qui fait bien peur !

Image

Enfin on peux aussi éditer les règles du firewall et notamment en sortie pour bloquer la connexion vers des IP :

Image


Sinon il existe toujours les programmes type contrôle parentaux : liste-des-controles-parentaux-t3364.html
Reste, qu'encore une fois, toutes ces solutions peuvent être bypassé selon la connaissance informatique de vos enfants.
On arrive alors à un jeu du chat et de la souris, mais quand on est à ce niveau, le problème n'est plus d'ordre informatique !

Si vous avez des questions techniques, n'héstitez pas à la poser sur le forum dans un nouveau sujet.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Verrouillé

Revenir vers « Tutoriels Réseau »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité