Re: [firewall]n'autoriser qu'un seul site
On Wed, 22 Dec 2004 09:21:06 +0100
Jonathan ILIAS <jonathan.ilias@eseo.fr> wrote:
>pyb a écrit :
>> je possède une passerelle munie d'un firewall pour mon mini réseau
>local.> Pour une seule machine (par ex 192.168.0.3) je ne veux
>autoriser qu'un > seul site à passer et un seul (comme par exemple
>> www.winchiotteupdate.com)! tous les autres doivent être dropés.
>> ma question : quelle règle iptable dois-je utiliser ?
>>
>
>iptables ne filtre basiquement que les couches 3 et 4 (i.e. IP et TCP
>principalement). Il n'existe pas de filtres pour les couches
>supérieures à ma connaissance dans netfilter. Je crois qu'il existe un
>projet nommé L7 (pour layer 7) qui a pour objet de faire ça, mais ça
>reste de l'expérimental.
>
>Je dis ça, parce que HTTP permet de spécifier un hôte virtuel. Donc
>avec la même adresse IP, tu peux avoir plusieurs serveurs. Alors il
>peut être bon de ne laisser passer que l'adresse IP (ou les adresses
>IP, parce que le site est peut-être réparti) concernée, mais ça ne sera
>pas suffisant.
>
>Si la solution de L7 ne te convient pas, il est toujours possible
>d'utiliser un proxy, éventuellement transparent.
>
>Bon, je donne des pistes, mais désolé, je n'ai aucune expérience de
>celles-ci ;-)
>
>Bon courage !
>
>--
>Jonathan ILIAS
>
>
Sur mon firewall/router j'ai également installé un proxy (squid) qui
permet déjà pas mal de choses et surtout squidguard qui serait la
solution. ( squid + squidguard)
amicalement
mess-mate
Reply to: