bloquer hotmail, yahoo & co avec regles iptables
Le
Kevin
Bonjour,
j'ai une machine linux qui partage une connection internet.
J'aimerai priver certaines machines du LAN de toute la serie webmail
comme hotmail, yahoo, caramail, etc..
Quelles est la meilleure methode?
Je pense creer une table NOMAIL, ajouter en FORWARD les machines qui
m'interessent vers cette cible, en gros:
iptables -A FORWARD -i eth0 -s 192.168.1.50 -j NOMAIL
iptables -A FORWARD -i eth0 -s 192.168.1.51 -j NOMAIL
etc..
et une serie de regle NOMAIL
iptables -A NOMAIL -i eth0 -d 207.68.173.245 -j DROP
etc
Deux questions:
est-ce que cette methode est bonne? Je trouve que ca risque de faire
beaucoup de regles
Vu qu'il y a une tetrachiee d'IP hotmail, yahoo, caramail, etc, n'y a
t'il pas plus simple? (au hasard, utiliser mon DNS qui devient
autoritaire sur la zone *.hotmail.com, etc.. pour certaines IP)
Et pour memoire: ma regle d'envoi vers NOMAIL doit etre placee en
tete de serie. Si une machine matche NOMAIL, elle lit la serie NOMAIL,
et si rien ne matche, elle retourne vers FORWARD pour lire ce qui suit
(donc ACCEPT car la requete ne pointe pas vers un webmail) J'ai bon?
Merci
--
Kevin
j'ai une machine linux qui partage une connection internet.
J'aimerai priver certaines machines du LAN de toute la serie webmail
comme hotmail, yahoo, caramail, etc..
Quelles est la meilleure methode?
Je pense creer une table NOMAIL, ajouter en FORWARD les machines qui
m'interessent vers cette cible, en gros:
iptables -A FORWARD -i eth0 -s 192.168.1.50 -j NOMAIL
iptables -A FORWARD -i eth0 -s 192.168.1.51 -j NOMAIL
etc..
et une serie de regle NOMAIL
iptables -A NOMAIL -i eth0 -d 207.68.173.245 -j DROP
etc
Deux questions:
est-ce que cette methode est bonne? Je trouve que ca risque de faire
beaucoup de regles
Vu qu'il y a une tetrachiee d'IP hotmail, yahoo, caramail, etc, n'y a
t'il pas plus simple? (au hasard, utiliser mon DNS qui devient
autoritaire sur la zone *.hotmail.com, etc.. pour certaines IP)
Et pour memoire: ma regle d'envoi vers NOMAIL doit etre placee en
tete de serie. Si une machine matche NOMAIL, elle lit la serie NOMAIL,
et si rien ne matche, elle retourne vers FORWARD pour lire ce qui suit
(donc ACCEPT car la requete ne pointe pas vers un webmail) J'ai bon?
Merci
--
Kevin
Poser une question
(Kevin DENIS) disait:
C'est plutôt le travail d'un proxy web.
--
Ceci est un message en texte brut.
-+-JFS in : Guide du Neuneu d'Usenet - Le con, le brut et le néant -+-
Puisque ce sont systématiquement des webmails, amha le plus simple est
d'utiliser les possibilités de filtrage d'un proxy comme squid par exemple.
En plus avec un peu de chance (sic) tu peux bloquer pas mal de webmail que
tu ne connais pas s'ils sont en http (pas https) en bloquant avec des regexp
des parties d'url -mail.exe, mail.cgi etc.- (attention à ne pas être trop
générique quand même sinon tu vas bloquer du traffic légitime[1]).
En plus la personne aura un message d'erreur compréhensif. Dans la solution
netfilter soit tu redigire vers un serveur web qui affiche un message
d'erreur, il faut le mettre en place[2], soit le browser affiche un message
d'erreur erroné (problème DNS ou le site ne réponds pas par exemple).
Eric.
[1] ensuite c'est la politique maison qui prime : laisse-t'on passer plus
que le nécessaire ou bloque-t-on d'abord. On peut de toute façon affiner les
règles ensuite.
[2] ou créer un morceau de code pourrave genre smtp de chez verisign :)
Team Hackers News
"Kevin DENIS" news:
patch supportant le commande "string" (par contre ça prend un peu plus de CPU
quand même)
http://netfilter.org/documentation/...tml#string
--
William.
sur le couple Squid - squidGuard.
pc