Bonjour,
j'ai une machine linux qui partage une connection internet.
J'aimerai priver certaines machines du LAN de toute la serie webmail
comme hotmail, yahoo, caramail, etc..
Quelles est la meilleure methode?
Je pense creer une table NOMAIL, ajouter en FORWARD les machines qui
m'interessent vers cette cible, en gros:
iptables -A FORWARD -i eth0 -s 192.168.1.50 -j NOMAIL
iptables -A FORWARD -i eth0 -s 192.168.1.51 -j NOMAIL
etc..
et une serie de regle NOMAIL
iptables -A NOMAIL -i eth0 -d 207.68.173.245 -j DROP
etc...
Deux questions:
est-ce que cette methode est bonne? Je trouve que ca risque de faire
beaucoup de regles
Vu qu'il y a une tetrachiee d'IP hotmail, yahoo, caramail, etc, n'y a
t'il pas plus simple? (au hasard, utiliser mon DNS qui devient
autoritaire sur la zone *.hotmail.com, etc.. pour certaines IP)
Et pour memoire: ma regle d'envoi vers NOMAIL doit etre placee en
tete de serie. Si une machine matche NOMAIL, elle lit la serie NOMAIL,
et si rien ne matche, elle retourne vers FORWARD pour lire ce qui suit
(donc ACCEPT car la requete ne pointe pas vers un webmail) J'ai bon?
OoO En ce doux début de matinée du mardi 07 octobre 2003, vers 08:51, (Kevin DENIS) disait:
J'aimerai priver certaines machines du LAN de toute la serie webmail comme hotmail, yahoo, caramail, etc..
Quelles est la meilleure methode?
C'est plutôt le travail d'un proxy web. -- Ceci est un message en texte brut. -+-JFS in : Guide du Neuneu d'Usenet - Le con, le brut et le néant -+-
Eric Razny
"Kevin DENIS" a écrit dans le message de news:
Bonjour, j'ai une machine linux qui partage une connection internet.
J'aimerai priver certaines machines du LAN de toute la serie webmail comme hotmail, yahoo, caramail, etc..
Puisque ce sont systématiquement des webmails, amha le plus simple est d'utiliser les possibilités de filtrage d'un proxy comme squid par exemple.
En plus avec un peu de chance (sic) tu peux bloquer pas mal de webmail que tu ne connais pas s'ils sont en http (pas https) en bloquant avec des regexp des parties d'url -mail.exe, mail.cgi etc.- (attention à ne pas être trop générique quand même sinon tu vas bloquer du traffic légitime[1]).
En plus la personne aura un message d'erreur compréhensif. Dans la solution netfilter soit tu redigire vers un serveur web qui affiche un message d'erreur, il faut le mettre en place[2], soit le browser affiche un message d'erreur erroné (problème DNS ou le site ne réponds pas par exemple).
Eric.
[1] ensuite c'est la politique maison qui prime : laisse-t'on passer plus que le nécessaire ou bloque-t-on d'abord. On peut de toute façon affiner les règles ensuite.
[2] ou créer un morceau de code pourrave genre smtp de chez verisign :)
"Kevin DENIS" <Kevin@nowhere.invalid> a écrit dans le message de
news:slrnbo4iq7.ds.Kevin@slackware.local.tux...
Bonjour,
j'ai une machine linux qui partage une connection internet.
J'aimerai priver certaines machines du LAN de toute la serie webmail
comme hotmail, yahoo, caramail, etc..
Puisque ce sont systématiquement des webmails, amha le plus simple est
d'utiliser les possibilités de filtrage d'un proxy comme squid par exemple.
En plus avec un peu de chance (sic) tu peux bloquer pas mal de webmail que
tu ne connais pas s'ils sont en http (pas https) en bloquant avec des regexp
des parties d'url -mail.exe, mail.cgi etc.- (attention à ne pas être trop
générique quand même sinon tu vas bloquer du traffic légitime[1]).
En plus la personne aura un message d'erreur compréhensif. Dans la solution
netfilter soit tu redigire vers un serveur web qui affiche un message
d'erreur, il faut le mettre en place[2], soit le browser affiche un message
d'erreur erroné (problème DNS ou le site ne réponds pas par exemple).
Eric.
[1] ensuite c'est la politique maison qui prime : laisse-t'on passer plus
que le nécessaire ou bloque-t-on d'abord. On peut de toute façon affiner les
règles ensuite.
[2] ou créer un morceau de code pourrave genre smtp de chez verisign :)
Bonjour, j'ai une machine linux qui partage une connection internet.
J'aimerai priver certaines machines du LAN de toute la serie webmail comme hotmail, yahoo, caramail, etc..
Puisque ce sont systématiquement des webmails, amha le plus simple est d'utiliser les possibilités de filtrage d'un proxy comme squid par exemple.
En plus avec un peu de chance (sic) tu peux bloquer pas mal de webmail que tu ne connais pas s'ils sont en http (pas https) en bloquant avec des regexp des parties d'url -mail.exe, mail.cgi etc.- (attention à ne pas être trop générique quand même sinon tu vas bloquer du traffic légitime[1]).
En plus la personne aura un message d'erreur compréhensif. Dans la solution netfilter soit tu redigire vers un serveur web qui affiche un message d'erreur, il faut le mettre en place[2], soit le browser affiche un message d'erreur erroné (problème DNS ou le site ne réponds pas par exemple).
Eric.
[1] ensuite c'est la politique maison qui prime : laisse-t'on passer plus que le nécessaire ou bloque-t-on d'abord. On peut de toute façon affiner les règles ensuite.
[2] ou créer un morceau de code pourrave genre smtp de chez verisign :)
S-F
SQUID offre des blacklists pour ce type de service !
Team Hackers News
"Kevin DENIS" a écrit dans le message de news:
Bonjour, j'ai une machine linux qui partage une connection internet.
J'aimerai priver certaines machines du LAN de toute la serie webmail comme hotmail, yahoo, caramail, etc..
Quelles est la meilleure methode?
Je pense creer une table NOMAIL, ajouter en FORWARD les machines qui m'interessent vers cette cible, en gros: iptables -A FORWARD -i eth0 -s 192.168.1.50 -j NOMAIL iptables -A FORWARD -i eth0 -s 192.168.1.51 -j NOMAIL etc..
et une serie de regle NOMAIL iptables -A NOMAIL -i eth0 -d 207.68.173.245 -j DROP etc...
Deux questions: est-ce que cette methode est bonne? Je trouve que ca risque de faire beaucoup de regles Vu qu'il y a une tetrachiee d'IP hotmail, yahoo, caramail, etc, n'y a t'il pas plus simple? (au hasard, utiliser mon DNS qui devient autoritaire sur la zone *.hotmail.com, etc.. pour certaines IP)
Et pour memoire: ma regle d'envoi vers NOMAIL doit etre placee en tete de serie. Si une machine matche NOMAIL, elle lit la serie NOMAIL, et si rien ne matche, elle retourne vers FORWARD pour lire ce qui suit (donc ACCEPT car la requete ne pointe pas vers un webmail) J'ai bon?
Merci
-- Kevin
SQUID offre des blacklists pour ce type de service !
Team Hackers News
"Kevin DENIS" <Kevin@nowhere.invalid> a écrit dans le message de
news:slrnbo4iq7.ds.Kevin@slackware.local.tux...
Bonjour,
j'ai une machine linux qui partage une connection internet.
J'aimerai priver certaines machines du LAN de toute la serie webmail
comme hotmail, yahoo, caramail, etc..
Quelles est la meilleure methode?
Je pense creer une table NOMAIL, ajouter en FORWARD les machines qui
m'interessent vers cette cible, en gros:
iptables -A FORWARD -i eth0 -s 192.168.1.50 -j NOMAIL
iptables -A FORWARD -i eth0 -s 192.168.1.51 -j NOMAIL
etc..
et une serie de regle NOMAIL
iptables -A NOMAIL -i eth0 -d 207.68.173.245 -j DROP
etc...
Deux questions:
est-ce que cette methode est bonne? Je trouve que ca risque de faire
beaucoup de regles
Vu qu'il y a une tetrachiee d'IP hotmail, yahoo, caramail, etc, n'y a
t'il pas plus simple? (au hasard, utiliser mon DNS qui devient
autoritaire sur la zone *.hotmail.com, etc.. pour certaines IP)
Et pour memoire: ma regle d'envoi vers NOMAIL doit etre placee en
tete de serie. Si une machine matche NOMAIL, elle lit la serie NOMAIL,
et si rien ne matche, elle retourne vers FORWARD pour lire ce qui suit
(donc ACCEPT car la requete ne pointe pas vers un webmail) J'ai bon?
SQUID offre des blacklists pour ce type de service !
Team Hackers News
"Kevin DENIS" a écrit dans le message de news:
Bonjour, j'ai une machine linux qui partage une connection internet.
J'aimerai priver certaines machines du LAN de toute la serie webmail comme hotmail, yahoo, caramail, etc..
Quelles est la meilleure methode?
Je pense creer une table NOMAIL, ajouter en FORWARD les machines qui m'interessent vers cette cible, en gros: iptables -A FORWARD -i eth0 -s 192.168.1.50 -j NOMAIL iptables -A FORWARD -i eth0 -s 192.168.1.51 -j NOMAIL etc..
et une serie de regle NOMAIL iptables -A NOMAIL -i eth0 -d 207.68.173.245 -j DROP etc...
Deux questions: est-ce que cette methode est bonne? Je trouve que ca risque de faire beaucoup de regles Vu qu'il y a une tetrachiee d'IP hotmail, yahoo, caramail, etc, n'y a t'il pas plus simple? (au hasard, utiliser mon DNS qui devient autoritaire sur la zone *.hotmail.com, etc.. pour certaines IP)
Et pour memoire: ma regle d'envoi vers NOMAIL doit etre placee en tete de serie. Si une machine matche NOMAIL, elle lit la serie NOMAIL, et si rien ne matche, elle retourne vers FORWARD pour lire ce qui suit (donc ACCEPT car la requete ne pointe pas vers un webmail) J'ai bon?
Merci
-- Kevin
William
en attendant d'utiliser un proxy, tu peux bloquer par iptables avec le patch supportant le commande "string" (par contre ça prend un peu plus de CPU quand même)
en attendant d'utiliser un proxy, tu peux bloquer par iptables avec le
patch supportant le commande "string" (par contre ça prend un peu plus de CPU
quand même)
en attendant d'utiliser un proxy, tu peux bloquer par iptables avec le patch supportant le commande "string" (par contre ça prend un peu plus de CPU quand même)
J'aimerai priver certaines machines du LAN de toute la serie webmail comme hotmail, yahoo, caramail, etc.. Puisque ce sont systématiquement des webmails, amha le plus simple est
d'utiliser les possibilités de filtrage d'un proxy comme squid par exemple.
<http://cri.univ-tlse1.fr/documentations/cache> donne pas mal d'infos sur le couple Squid - squidGuard.
pc
Le 07 Oct 2003 11:58:28 GMT, Eric Razny <trash2@razny.net> disait :
J'aimerai priver certaines machines du LAN de toute la serie webmail
comme hotmail, yahoo, caramail, etc..
Puisque ce sont systématiquement des webmails, amha le plus simple est
d'utiliser les possibilités de filtrage d'un proxy comme squid par exemple.
<http://cri.univ-tlse1.fr/documentations/cache> donne pas mal d'infos
sur le couple Squid - squidGuard.
J'aimerai priver certaines machines du LAN de toute la serie webmail comme hotmail, yahoo, caramail, etc.. Puisque ce sont systématiquement des webmails, amha le plus simple est
d'utiliser les possibilités de filtrage d'un proxy comme squid par exemple.
<http://cri.univ-tlse1.fr/documentations/cache> donne pas mal d'infos sur le couple Squid - squidGuard.
