[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [firewall]n'autoriser qu'un seul site



pyb a écrit :
je possède une passerelle munie d'un firewall pour mon mini réseau local.
Pour une seule machine (par ex 192.168.0.3) je ne veux autoriser qu'un seul site à passer et un seul (comme par exemple www.winchiotteupdate.com)! tous les autres doivent être dropés.
ma question : quelle règle iptable dois-je utiliser ?


iptables ne filtre basiquement que les couches 3 et 4 (i.e. IP et TCP principalement). Il n'existe pas de filtres pour les couches supérieures à ma connaissance dans netfilter. Je crois qu'il existe un projet nommé L7 (pour layer 7) qui a pour objet de faire ça, mais ça reste de l'expérimental.

Je dis ça, parce que HTTP permet de spécifier un hôte virtuel. Donc avec la même adresse IP, tu peux avoir plusieurs serveurs. Alors il peut être bon de ne laisser passer que l'adresse IP (ou les adresses IP, parce que le site est peut-être réparti) concernée, mais ça ne sera pas suffisant.

Si la solution de L7 ne te convient pas, il est toujours possible d'utiliser un proxy, éventuellement transparent.

Bon, je donne des pistes, mais désolé, je n'ai aucune expérience de celles-ci ;-)

Bon courage !

--
Jonathan ILIAS



Reply to: