non … ca serait beaucoup plus complexe que ca…
un simple filtrage DNS ne limiterais rien du tout … les gen passeraient vite a des DNS hors FAI et hors france (google, open DNS)
Oui… bah c’est très simple : tu bloques les routes vers les DNS qui ne sont pas whit-lister. C’est vraiment pas compliqué.
Voilà, vous allez l’éduquer… Et tu penses que la première chose sur laquelle il va se jeter c’est la fiche Wikipedia de Kant ?.. Pour moi un enfant (car il s’agit bien d’enfants en sixième) n’a rien à faire avec un smartphone entre les mains. Ça reste mon avis. Après, vous pouvez toujours lui donner un Nokia 8210 si ça vous travaille tant de pouvoir le joindre (et réciproquement) n’importe quand.
heu … si c’est ca qui est compliqué.
Je vais te passer les details techniques… ca peut paraitre simple, mais ca ne l’est que si l’infrastructure le permet.
En l’occurance, il faudrais pouvoir controler ce qui rentre et sort du pays.
En france, a l’heure actuelle ca n’est pas possible
ca necessiterais de monter des infrastructure reseau lourdes, et ce sur chaque point d’interconnection avec les autres pays.
infrastructures qui permettraient des faire massivement du DPI sans ecrouler le reseau.
ET en s’assurant de bloquer TOR et les VPN (sans pouvoir faire de distinction sur ce qui passe dessus) qui rendraient le systeme caducq.
pour schematiser, ca nessessite la contruction d’un data center massif sur chaque point d’interconnection du pays…
pour te donner une vague idée, cette image represente que les cables sous marins :
donc, chaque point d’entrée d’un cable en france necessiterais de lourds investissements, sans compter les connections terrestes qui existent avec chaque pays limitrophes… souvent en plusieurs points.
meme en chine et en russie, ceux qui veulement vraiment arrivent a sortir…et l’infra est prevue pour a l’orgine …
Autant que je sache, on passe toujours par un point français avant de partir à l’etranger, je ne vois donc pas du tout la difficulté.
Simplement, chaque point est whit-list et tout le reste est bloqué par les FAI… problème réglé, tu contrôle tout le net. Si t’as besoin de taper un serveur US, VPN ou pas, si t’es en France, tu ne pourrais pas si le FAI ne l’autorise pas.
Tu raisonnes comme si on avait des connexions de nos PC directement aux US sur un réseau à nous… mais on passe par un FAI français quoi qu’il arrive, s’il bloque les DNS étrangers, c’est très simple de controler le net.
Si j’ai bien compris ce que @gwlegion veut dire, c’est que le problème se poserait pour les connexions initiées depuis l’étranger et transitant par la France pour aller ailleurs (genre USA → Allemagne en transitant par la France).
Aucun problème, les requêtes peuvent être réorientées de switch en switch sans distribuer un réseau interne.
ben apres, ca deviens tres technique … je voudrais pas t’assomer avec ca…
mais les noeuds reseaux sont juste des elements de routages. il ne sont pas prevu pour faire du filtrage.
donc pour faire ca, il faudrais monter du materiel de filtrage a chaque noeud du reseau…
C’est juste encore plus compliqué, cher et visible (cout faramineux, multiples intervenants … delais incompressibles, et coupures a tout vas)
on peut faire une analogie avec le reseau auto routier.
si tu veux empecher les francais de sortir de france, il faut que tu controle les routes qui sortent de france … il ne sert strictement a rien de controler chaque peage … tu serais amené a controler bien plus de voiture que réelement necessaire, alors que la majorité reste juste en france.
non … c’est pas ca que je voulais dire.
comme le dit @megadub, pour les connections transitant pas la france, ca ne poserais pas de soucis … en ayant les infra necessaires, les connections traversant la frances seraient exclues du systeme pour alleger le traitement du DPI
non … ce que je veux dire, c’est que si on veut controler ce que font les francais sur le net, il faut controler chaque point d’entrée sortie … y’a pas d’autres solutions viable
Les tables de routage ne sont pas créées de manière spontanée, configurer les routes pour éviter de désservir un réseau interne c’est du boulot mais il n’y a rien de compliqué.
Il n’y a pas besoin de matériel en plus.
Si tu veux faire une analogie avec le réseau routier c’est très simple : au péage à la sortie du territoire tu refoules toutes les voitures françaises qui viennent de tes départementales bien françaises et en entrée tu crées des déviations pour empêcher les véhicules de sortir de l’autoroute et ressortir par une autre frontière.
C’est déjà le cas en fait 
La limite c’est surement les satellites, parce qu’avec la connexion sat, sans accord avec la communautée internationale tu peux pas bloquer les connexions.
ben en quelque sorte si … bon, spontanée, c’est pas le mot, mais dynamiques … par echange point a point.
Il n’y a pas de table de routage inscrite en dur dans les routeurs (en tout cas pas au niveau de l’infra nationale)
C’est bien ce que je te disait. Si on veut exercer ce genre de controle, il faut le faire au niveau des points d’entrée sortie du territoire.
non, ce n’est pas le cas…enfin, tres probablement pas.
Ca necessiterais du DPI avec des quantités de données tres importantes …
Pour faire ca, ca necessite de decomposer chaque paquet pour savoir qui communique avec qui, et de comparer les IP avec des listes authorisées ou interdites.
Ca parais pas grand chose comme ca, mais sur les milliards de paquets qui passents a la minute, c’est un travail absolument enorme, qui necessite une puissance de traitement tres important.
Non mais attends, ça fait longtemps qu’on peut géolocaliser un internaute en fonction de l’IP, c’est extrêment simple du coup de filtrer les paquets.
Et pour les tables routages dynamiques, c’est basé sur des règles qu’on peut modifier à l’envie. Ca ne se fait pas d’un claquement de doigts mais on a déjà toute l’infra pour ce faire.
c’est quoi le rapport entre la feolocalisation d’une IP (qui n’est pas si evidente que tu semble le croire pour les connection filaires… les gsm etant beaucoup plus faciles) et le filtrage de paquets ?
les regles de routages appliqués ne necessitent pas de DPI … la difference entre les deux est la.
pour faire du DPI, il faut decomposer le paquet pour regarde ce qu’il y a dedans, controler qu’on veut bien le laisser passer, puis le recomposer.
Simplement de savoir si la transaction concerne un français ou pas et ainsi ouvrir la route ou pas.
Le contrôle du net non plus :
- DNS controlé par l’Etat avec whit-list → pas de site non autorisé accessible par url
- table de routage n’autorisant les accès qu’à des DNS officiels pour les requêtes venant de France.
Et il n’y a pas besoin de matériel supplémentaire
pour faire simple si tu veux imposer un DNS d’etat, ils faut interdire les autres.
pour interdire un IP sur le net, il faut faire du DPI
libre a toi de me croire ou pas…
c’etais une bonne conversation.
C’est effectivement là dessus qu’on n’est pas d’accord 
Le DPI sera utile pour le QoS, en revanche, pour le filtrage, tout ce qui importe c’est la route et là, il suffit d’une origine et une destination pour définir la route que tu veux appliquer à untel ou untel.
Tous les français passent par un switch en France avant d’aller ailleurs, c’est donc très simple de dire que si ailleurs c’est pas en France, tu bloques. Inutile de connaitre la nature du flux mais évidemment ça veut dire plus de Netflix, Google, etc.