Cherche Proxy DNS

Le
Jean-Philippe Odent
Bonjour

Quelqu'un connaitrai un proxy DNS paramétrable individuellement par machine ?
Est-ce qu'un tel logiciel existe déjà ?

Exemple:

1- je suis Lambda je veux www.google.com, je suis autorisé, le
"serveur DNS" transmet mes requêtes. Je veux www.yahoo.com, je suis
pas autorisé le "serveur DNS" ne transmet pas mes requêtes.

Dans la liste affecté à Lambda j'aurai :
www.google.com : autorisé
www.yahoo.com : pas autorisé


Un autre utilisateur :

2- Je suis Tartempion je veux www.google.com, je suis pas autorisé
etc..

Dans la liste affecté à Tartempion j'aurai :
www.google.com : pas autorisé
etc.


Jean-Philippe Odent
http://www.ettl.co.at/uc/french/odent.html
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Xavier Roche
Le #861746
Quelqu'un connaitrai un proxy DNS paramétrable individuellement par machine ?
Est-ce qu'un tel logiciel existe déjà ?


Je ne pense pas, mais vous pouvez mettre en place votre propre DNS
interne et empêcher quiconque de sortir sur le port adéquat (53)

Mais si c'est pour du filtrage, j'ai bien peut que ce soit totalement
innefficace:
- il est toujours possible de résoudre à la main l'IP depuis un site
quelconque, et aller sur le site en question directement
- beaucoup de sites peuvent faire office de proxy

Donc même un logiciel plus adéquat (ie. filtrage) ne sera pas forcément
très utile ..

Jean-Philippe Odent
Le #861745
Dans l'article
Mais si c'est pour du filtrage, j'ai bien peut que ce soit totalement
innefficace:
- il est toujours possible de résoudre à la main l'IP depuis un site
quelconque, et aller sur le site en question directement


J'ai pensé à ce problème mais le pare-feu de l'entreprise (où je souhaite
l'implanter) bloque déjà l'accès aux sites Web si l'on donne directement leur
numéro IP.

- beaucoup de sites peuvent faire office de proxy


Encore faut-il qu'ils soient déclarés dans la liste autorisée.


Jean-Philippe Odent
http://www.ettl.co.at/uc/french/odent.html

Xavier Roche
Le #861545
J'ai pensé à ce problème mais le pare-feu de l'entreprise (où je souhaite
l'implanter) bloque déjà l'accès aux sites Web si l'on donne directement leur
numéro IP.


Euh ? Il y a donc un proxy (dans ce cas tout bloquer et passer par les
ACL du proxy) ? Ou un filtrage niveau applicatif (beurk) (dans ce cas on
aura le même problème sur des ports non http et/ou https) ?

Non, sérieusement, l'idée du filtrage DNS, ca me parait vraiment exotique.

- beaucoup de sites peuvent faire office de proxy
Encore faut-il qu'ils soient déclarés dans la liste autorisée.



Ah, l'idée est donc une whitelist -- cela risque de limiter pas mal
l'interêt du web exterieur, mais bon..


ts
Le #861544
"X" == Xavier Roche





X> Non, sérieusement, l'idée du filtrage DNS, ca me parait vraiment exotique.

Cela marche dans certains cas, où des systèmes (je ne donnerais pas les
noms :-)) doivent passer par un serveur pour l'authentification dont l'adresse
IP change (genre gérée par akamai)

Il faut, bien sur, compléter avec ce que j'appelle une "dégradation" de
service (par opposition à QOS :-)) pour limiter le débit sur les proxys ...


--

Guy Decoux





Jean-Philippe Odent
Le #861543
Dans l'article
J'ai pensé à ce problème mais le pare-feu de l'entreprise (où je souhaite
l'implanter) bloque déjà l'accès aux sites Web si l'on donne directement leur
numéro IP.


Euh ? Il y a donc un proxy


Non un Modem-Routeur-Pare-feu mais très limité.

Ah, l'idée est donc une whitelist -- cela risque de limiter pas mal
l'interêt du web exterieur, mais bon..


Les Directeurs de l'entreprise X souhaitent justement limter les accès
extérieurs des collaborateurs aux uniques fonctions de l'entreprise
(comptabilité). Je suis surpris que cette question de filtrage n'ai jamais
interessé un développeur.

Jean-Philippe Odent
http://www.ettl.co.at/uc/french/odent.html


Xavier Roche
Le #861542
Les Directeurs de l'entreprise X souhaitent justement limter les accès
extérieurs des collaborateurs aux uniques fonctions de l'entreprise
(comptabilité). Je suis surpris que cette question de filtrage n'ai jamais
interessé un développeur.


Dans ce cas, utiliser les ACL d'un proxy et n'autorisez aucun accès vers
l'exterieur: c'est la bonne méthode.

Pascal Hambourg
Le #861541
Salut,


J'ai pensé à ce problème mais le pare-feu de l'entreprise (où je souhaite
l'implanter) bloque déjà l'accès aux sites Web si l'on donne directement leur
numéro IP.


Euh ? Il y a donc un proxy


Non un Modem-Routeur-Pare-feu mais très limité.


Si le routeur fait ce que tu dis, alors il applique un filtrage
applicatif au niveau HTTP qui peut s'apparenter à un proxy transparent.
Au niveau TCP/IP il est impossible de distinguer les accès à un site par
adresse IP ou par nom : les deux cas résultent en un connexion TCP à
l'adresse IP du serveur qui héberge le site.

Mais si ça se trouve, le routeur n'avait rien à voir dans le fait que
des sites soient inaccessibles par adresse. C'est une situation normale
lorsque plusieurs sites de noms différents sont hébergés sur un même
serveur avec la même adresse IP et le même port, ce qui est la situation
classique des serveurs d'hébergement mutualisé. Etant donné que
plusieurs sites sont accessibles sur la même adresse et le même port, le
nom est nécessaire pour que le serveur sache quel site est demandé.



gloubi
Le #861540
"Pascal Hambourg" news:46c59f8e$

Mais si ça se trouve, le routeur n'avait rien à voir dans le fait que des
sites soient inaccessibles par adresse. C'est une situation normale
lorsque plusieurs sites de noms différents sont hébergés sur un même
serveur avec la même adresse IP et le même port, ce qui est la situation
classique des serveurs d'hébergement mutualisé. Etant donné que plusieurs
sites sont accessibles sur la même adresse et le même port, le nom est
nécessaire pour que le serveur sache quel site est demandé.


Oui beaucoup de sites sont des serveurs virtuel ou il faut donner un host
dans l'entête HTTP, donc si pas de host on devrait tomber sur le serveur par
défaut si il y en a un...
Le proxy ou proxy transparent est AMHA aussi la solution la plus adéquate,
et pour la config des machines clientes un serveur de domaine pour passer la
config proxy si il y a beaucoup de machines sous Windows ou proxy
transparent, dans ce cas là pas de config sur les clients mais filtrage sur
range IP sur le serveur, donc faire plusieurs réseaux IP voire donner les
adresses par DHCP en fonction de l'adresse MAC? C'est ça ou y'a de
meilleures solutions pour un filtrage client par client sur proxy
transparent?

Publicité
Poster une réponse
Anonyme