Bonjour la liste!
voilà mon souci
je possède une passerelle munie d'un firewall pour mon mini réseau local.
Pour une seule machine (par ex 192.168.0.3) je ne veux autoriser qu'un
seul site à passer et un seul (comme par exemple
www.winchiotteupdate.com)! tous les autres doivent être dropés.
ma question : quelle règle iptable dois-je utiliser ?
merci de votre aide
pyb
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jean-Michel OLTRA
bonjour,
Le mardi 21 décembre 2004, pyb a écrit...
je possède une passerelle munie d'un firewall pour mon mini réseau local. Pour une seule machine (par ex 192.168.0.3) je ne veux autoriser qu'un seul site à passer et un seul (comme par exemple www.winchiotteupdate.com)! tous les autres doivent être dropés. ma question : quelle règle iptable dois-je utiliser ?
Tu crées une règle sur la chaine FORWARD, avec l'ip source de cette machine et un ACCEPT sur l'ip du site autorisé. Puis une autre chaine qui droppe tout le reste. Attention il faut autoriser les paquets entrants de ce site. Et quelques autres aussi: icmp, dns.
-- jm
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
bonjour,
Le mardi 21 décembre 2004, pyb a écrit...
je possède une passerelle munie d'un firewall pour mon mini réseau local.
Pour une seule machine (par ex 192.168.0.3) je ne veux autoriser qu'un
seul site à passer et un seul (comme par exemple
www.winchiotteupdate.com)! tous les autres doivent être dropés.
ma question : quelle règle iptable dois-je utiliser ?
Tu crées une règle sur la chaine FORWARD, avec l'ip source de cette
machine et un ACCEPT sur l'ip du site autorisé. Puis une autre chaine
qui droppe tout le reste. Attention il faut autoriser les paquets
entrants de ce site. Et quelques autres aussi: icmp, dns.
--
jm
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
je possède une passerelle munie d'un firewall pour mon mini réseau local. Pour une seule machine (par ex 192.168.0.3) je ne veux autoriser qu'un seul site à passer et un seul (comme par exemple www.winchiotteupdate.com)! tous les autres doivent être dropés. ma question : quelle règle iptable dois-je utiliser ?
Tu crées une règle sur la chaine FORWARD, avec l'ip source de cette machine et un ACCEPT sur l'ip du site autorisé. Puis une autre chaine qui droppe tout le reste. Attention il faut autoriser les paquets entrants de ce site. Et quelques autres aussi: icmp, dns.
-- jm
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jonathan ILIAS
pyb a écrit :
je possède une passerelle munie d'un firewall pour mon mini réseau local. Pour une seule machine (par ex 192.168.0.3) je ne veux autoriser qu'un seul site à passer et un seul (comme par exemple www.winchiotteupdate.com)! tous les autres doivent être dropés. ma question : quelle règle iptable dois-je utiliser ?
iptables ne filtre basiquement que les couches 3 et 4 (i.e. IP et TCP principalement). Il n'existe pas de filtres pour les couches supérieure s à ma connaissance dans netfilter. Je crois qu'il existe un projet nommé L7 (pour layer 7) qui a pour objet de faire ça, mais ça reste de l'expérimental.
Je dis ça, parce que HTTP permet de spécifier un hôte virtuel. Donc avec la même adresse IP, tu peux avoir plusieurs serveurs. Alors il peut ê tre bon de ne laisser passer que l'adresse IP (ou les adresses IP, parce que le site est peut-être réparti) concernée, mais ça ne sera pas suf fisant.
Si la solution de L7 ne te convient pas, il est toujours possible d'utiliser un proxy, éventuellement transparent.
Bon, je donne des pistes, mais désolé, je n'ai aucune expérience de celles-ci ;-)
Bon courage !
-- Jonathan ILIAS
pyb a écrit :
je possède une passerelle munie d'un firewall pour mon mini réseau local.
Pour une seule machine (par ex 192.168.0.3) je ne veux autoriser qu'un
seul site à passer et un seul (comme par exemple
www.winchiotteupdate.com)! tous les autres doivent être dropés.
ma question : quelle règle iptable dois-je utiliser ?
iptables ne filtre basiquement que les couches 3 et 4 (i.e. IP et TCP
principalement). Il n'existe pas de filtres pour les couches supérieure s
à ma connaissance dans netfilter. Je crois qu'il existe un projet nommé
L7 (pour layer 7) qui a pour objet de faire ça, mais ça reste de
l'expérimental.
Je dis ça, parce que HTTP permet de spécifier un hôte virtuel. Donc avec
la même adresse IP, tu peux avoir plusieurs serveurs. Alors il peut ê tre
bon de ne laisser passer que l'adresse IP (ou les adresses IP, parce que
le site est peut-être réparti) concernée, mais ça ne sera pas suf fisant.
Si la solution de L7 ne te convient pas, il est toujours possible
d'utiliser un proxy, éventuellement transparent.
Bon, je donne des pistes, mais désolé, je n'ai aucune expérience de
celles-ci ;-)
je possède une passerelle munie d'un firewall pour mon mini réseau local. Pour une seule machine (par ex 192.168.0.3) je ne veux autoriser qu'un seul site à passer et un seul (comme par exemple www.winchiotteupdate.com)! tous les autres doivent être dropés. ma question : quelle règle iptable dois-je utiliser ?
iptables ne filtre basiquement que les couches 3 et 4 (i.e. IP et TCP principalement). Il n'existe pas de filtres pour les couches supérieure s à ma connaissance dans netfilter. Je crois qu'il existe un projet nommé L7 (pour layer 7) qui a pour objet de faire ça, mais ça reste de l'expérimental.
Je dis ça, parce que HTTP permet de spécifier un hôte virtuel. Donc avec la même adresse IP, tu peux avoir plusieurs serveurs. Alors il peut ê tre bon de ne laisser passer que l'adresse IP (ou les adresses IP, parce que le site est peut-être réparti) concernée, mais ça ne sera pas suf fisant.
Si la solution de L7 ne te convient pas, il est toujours possible d'utiliser un proxy, éventuellement transparent.
Bon, je donne des pistes, mais désolé, je n'ai aucune expérience de celles-ci ;-)
Bon courage !
-- Jonathan ILIAS
messmate
On Wed, 22 Dec 2004 09:21:06 +0100 Jonathan ILIAS wrote:
pyb a écrit :
je possède une passerelle munie d'un firewall pour mon mini réseau
local.> Pour une seule machine (par ex 192.168.0.3) je ne veux autoriser qu'un > seul site à passer et un seul (comme par exemple
www.winchiotteupdate.com)! tous les autres doivent être dropés. ma question : quelle règle iptable dois-je utiliser ?
iptables ne filtre basiquement que les couches 3 et 4 (i.e. IP et TCP principalement). Il n'existe pas de filtres pour les couches supérieures à ma connaissance dans netfilter. Je crois qu'il existe un projet nommé L7 (pour layer 7) qui a pour objet de faire ça, mais ça reste de l'expérimental.
Je dis ça, parce que HTTP permet de spécifier un hôte virtuel. Donc avec la même adresse IP, tu peux avoir plusieurs serveurs. Alors il peut être bon de ne laisser passer que l'adresse IP (ou les adresses IP, parce que le site est peut-être réparti) concernée, mais ça ne sera pas suffisant.
Si la solution de L7 ne te convient pas, il est toujours possible d'utiliser un proxy, éventuellement transparent.
Bon, je donne des pistes, mais désolé, je n'ai aucune expérience de celles-ci ;-)
Bon courage !
-- Jonathan ILIAS
Sur mon firewall/router j'ai également installé un proxy (squid) qui permet déjà pas mal de choses et surtout squidguard qui serait la solution. ( squid + squidguard) amicalement mess-mate
On Wed, 22 Dec 2004 09:21:06 +0100
Jonathan ILIAS <jonathan.ilias@eseo.fr> wrote:
pyb a écrit :
je possède une passerelle munie d'un firewall pour mon mini réseau
local.> Pour une seule machine (par ex 192.168.0.3) je ne veux
autoriser qu'un > seul site à passer et un seul (comme par exemple
www.winchiotteupdate.com)! tous les autres doivent être dropés.
ma question : quelle règle iptable dois-je utiliser ?
iptables ne filtre basiquement que les couches 3 et 4 (i.e. IP et TCP
principalement). Il n'existe pas de filtres pour les couches
supérieures à ma connaissance dans netfilter. Je crois qu'il existe un
projet nommé L7 (pour layer 7) qui a pour objet de faire ça, mais ça
reste de l'expérimental.
Je dis ça, parce que HTTP permet de spécifier un hôte virtuel. Donc
avec la même adresse IP, tu peux avoir plusieurs serveurs. Alors il
peut être bon de ne laisser passer que l'adresse IP (ou les adresses
IP, parce que le site est peut-être réparti) concernée, mais ça ne sera
pas suffisant.
Si la solution de L7 ne te convient pas, il est toujours possible
d'utiliser un proxy, éventuellement transparent.
Bon, je donne des pistes, mais désolé, je n'ai aucune expérience de
celles-ci ;-)
Bon courage !
--
Jonathan ILIAS
Sur mon firewall/router j'ai également installé un proxy (squid) qui
permet déjà pas mal de choses et surtout squidguard qui serait la
solution. ( squid + squidguard)
amicalement
mess-mate
On Wed, 22 Dec 2004 09:21:06 +0100 Jonathan ILIAS wrote:
pyb a écrit :
je possède une passerelle munie d'un firewall pour mon mini réseau
local.> Pour une seule machine (par ex 192.168.0.3) je ne veux autoriser qu'un > seul site à passer et un seul (comme par exemple
www.winchiotteupdate.com)! tous les autres doivent être dropés. ma question : quelle règle iptable dois-je utiliser ?
iptables ne filtre basiquement que les couches 3 et 4 (i.e. IP et TCP principalement). Il n'existe pas de filtres pour les couches supérieures à ma connaissance dans netfilter. Je crois qu'il existe un projet nommé L7 (pour layer 7) qui a pour objet de faire ça, mais ça reste de l'expérimental.
Je dis ça, parce que HTTP permet de spécifier un hôte virtuel. Donc avec la même adresse IP, tu peux avoir plusieurs serveurs. Alors il peut être bon de ne laisser passer que l'adresse IP (ou les adresses IP, parce que le site est peut-être réparti) concernée, mais ça ne sera pas suffisant.
Si la solution de L7 ne te convient pas, il est toujours possible d'utiliser un proxy, éventuellement transparent.
Bon, je donne des pistes, mais désolé, je n'ai aucune expérience de celles-ci ;-)
Bon courage !
-- Jonathan ILIAS
Sur mon firewall/router j'ai également installé un proxy (squid) qui permet déjà pas mal de choses et surtout squidguard qui serait la solution. ( squid + squidguard) amicalement mess-mate
