Ma politique est:
- tout interdire à mon navigateur (par exemple) avec une priorité
basse
- autoriser l'accès à des IP distantes sûres, selon mes besoins, avec
une priorité haute.
Avec des sites simples, n'utilisant qu'une IP distante, cela est
facile.
Avec des sites comme à publicités, et même des sites marchands, cela
devient très complexe... Il faut définir des plages d'IP, qui ont
parfois un très haut niveau: XXX.000.000.000 -> XXX.255.255.255, si
l'on veut que la page s'affiche correctement...
Je finis par me demander si cela ne revient à 'tout auriser'. (A quoi
bon avoir un parefeu s'il faut ouvrir la machine à de larges plages
d'IP distantes).
Quelqu'un a-t-il une réponse raisonnable à ce type de problème?
En quoi consiste une bonne politique de paramétrage de parefeu?
(Je ne dois pas être le premier à l'évoquer).
Cordialement,
Christophe.
oddo@pasdespam2002webconcept.com
--------------------------------
"... Mais c'est de l'homme qu'il s'agit! [...]
Quelqu'un au monde élèvera-t-il la voix? [...]
Se hâter! se hâter! témoignage pour l'homme!"
(Saint-John Perse, Vents, III, 4)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Rakotomandimby (R12y) Mihamina
Christophe ODDO :
Bonjour à tous,
Bonjour,
Déjà, je me demande pourquoi tu t'es d'abord attaqué aux règles sortantes plutot qu'à celles entrantes.
C'est vrai que le grand danger vient de l'utilisateur, mais j'ai toujours eu pour habitude de commencer par filtrer ce qui rentre.
Ensuite, il vaut mieux commencer par tout interdire à tout, et pas seulement à ton navigateur.
Si tu autorise ensuite en te basant sur les IPs, tu te trompe vraiment, car il existe beaucoup de sites co-hébergés sur une même machine. Tu as même des sites co-hebergés sur des clusters (des grappes de machines).
Donc, je pense que tu es parti sur une mauvaise base. Ce que tu devrais faire, à mon avis, est de mettre en place un Proxy qui filtre. Mais attention, un Proxy doit s'administrer... Mettre un proxy en place et ensuite oublier son existence, c'est catastrophique :-)
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Déjà, je me demande pourquoi tu t'es d'abord attaqué aux règles
sortantes plutot qu'à celles entrantes.
C'est vrai que le grand danger vient de l'utilisateur, mais j'ai toujours
eu pour habitude de commencer par filtrer ce qui rentre.
Ensuite, il vaut mieux commencer par tout interdire à tout, et pas
seulement à ton navigateur.
Si tu autorise ensuite en te basant sur les IPs, tu te trompe vraiment,
car il existe beaucoup de sites co-hébergés sur une même machine. Tu as
même des sites co-hebergés sur des clusters (des grappes de machines).
Donc, je pense que tu es parti sur une mauvaise base. Ce que tu devrais
faire, à mon avis, est de mettre en place un Proxy qui filtre. Mais
attention, un Proxy doit s'administrer... Mettre un proxy en place et
ensuite oublier son existence, c'est catastrophique :-)
--
Miroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
Déjà, je me demande pourquoi tu t'es d'abord attaqué aux règles sortantes plutot qu'à celles entrantes.
C'est vrai que le grand danger vient de l'utilisateur, mais j'ai toujours eu pour habitude de commencer par filtrer ce qui rentre.
Ensuite, il vaut mieux commencer par tout interdire à tout, et pas seulement à ton navigateur.
Si tu autorise ensuite en te basant sur les IPs, tu te trompe vraiment, car il existe beaucoup de sites co-hébergés sur une même machine. Tu as même des sites co-hebergés sur des clusters (des grappes de machines).
Donc, je pense que tu es parti sur une mauvaise base. Ce que tu devrais faire, à mon avis, est de mettre en place un Proxy qui filtre. Mais attention, un Proxy doit s'administrer... Mettre un proxy en place et ensuite oublier son existence, c'est catastrophique :-)
-- Miroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
jlc
Christophe ODDO :
Bonjour à tous,
Bonjour,
Déjà, je me demande pourquoi tu t'es d'abord attaqué aux règles sortantes plutot qu'à celles entrantes.
C'est vrai que le grand danger vient de l'utilisateur, mais j'ai toujours eu pour habitude de commencer par filtrer ce qui rentre.
Ensuite, il vaut mieux commencer par tout interdire à tout, et pas seulement à ton navigateur.
Si tu autorise ensuite en te basant sur les IPs, tu te trompe vraiment, car il existe beaucoup de sites co-hébergés sur une même machine. Tu as même des sites co-hebergés sur des clusters (des grappes de machines).
Donc, je pense que tu es parti sur une mauvaise base. Ce que tu devrais faire, à mon avis, est de mettre en place un Proxy qui filtre. Mais attention, un Proxy doit s'administrer... Mettre un proxy en place et ensuite oublier son existence, c'est catastrophique :-)
Une autre approche est d'utiliser le fichier hosts pour empécher l'accès aux sites indésirables: voir http://assiste.free.fr/p/internet_contre_mesures/hosts.php
Sinon je suis d'accord, il faut d'abord filtrer tout le trafic entrant, puis autoriser le DNS sortant mais uniquement vers le DNS de ton FAI, puis autoriser le trafic sortant de ton navigateur, puis interdire tout le reste.
Déjà, je me demande pourquoi tu t'es d'abord attaqué aux règles
sortantes plutot qu'à celles entrantes.
C'est vrai que le grand danger vient de l'utilisateur, mais j'ai toujours
eu pour habitude de commencer par filtrer ce qui rentre.
Ensuite, il vaut mieux commencer par tout interdire à tout, et pas
seulement à ton navigateur.
Si tu autorise ensuite en te basant sur les IPs, tu te trompe vraiment,
car il existe beaucoup de sites co-hébergés sur une même machine. Tu as
même des sites co-hebergés sur des clusters (des grappes de machines).
Donc, je pense que tu es parti sur une mauvaise base. Ce que tu devrais
faire, à mon avis, est de mettre en place un Proxy qui filtre. Mais
attention, un Proxy doit s'administrer... Mettre un proxy en place et
ensuite oublier son existence, c'est catastrophique :-)
Une autre approche est d'utiliser le fichier hosts pour empécher l'accès
aux sites indésirables:
voir http://assiste.free.fr/p/internet_contre_mesures/hosts.php
Sinon je suis d'accord, il faut d'abord filtrer tout le trafic entrant,
puis autoriser le DNS sortant mais uniquement vers le DNS de ton FAI,
puis autoriser le trafic sortant de ton navigateur, puis interdire tout
le reste.
Déjà, je me demande pourquoi tu t'es d'abord attaqué aux règles sortantes plutot qu'à celles entrantes.
C'est vrai que le grand danger vient de l'utilisateur, mais j'ai toujours eu pour habitude de commencer par filtrer ce qui rentre.
Ensuite, il vaut mieux commencer par tout interdire à tout, et pas seulement à ton navigateur.
Si tu autorise ensuite en te basant sur les IPs, tu te trompe vraiment, car il existe beaucoup de sites co-hébergés sur une même machine. Tu as même des sites co-hebergés sur des clusters (des grappes de machines).
Donc, je pense que tu es parti sur une mauvaise base. Ce que tu devrais faire, à mon avis, est de mettre en place un Proxy qui filtre. Mais attention, un Proxy doit s'administrer... Mettre un proxy en place et ensuite oublier son existence, c'est catastrophique :-)
Une autre approche est d'utiliser le fichier hosts pour empécher l'accès aux sites indésirables: voir http://assiste.free.fr/p/internet_contre_mesures/hosts.php
Sinon je suis d'accord, il faut d'abord filtrer tout le trafic entrant, puis autoriser le DNS sortant mais uniquement vers le DNS de ton FAI, puis autoriser le trafic sortant de ton navigateur, puis interdire tout le reste.