Quelqu'un connaitrai un proxy DNS paramétrable individuellement par machine ?
Est-ce qu'un tel logiciel existe déjà ?
Exemple:
1- je suis Lambda je veux www.google.com, je suis autorisé, le
"serveur DNS" transmet mes requêtes. Je veux www.yahoo.com, je suis
pas autorisé le "serveur DNS" ne transmet pas mes requêtes.
Dans la liste affecté à Lambda j'aurai :
www.google.com : autorisé
www.yahoo.com : pas autorisé
Un autre utilisateur :
2- Je suis Tartempion je veux www.google.com, je suis pas autorisé
... etc..
Dans la liste affecté à Tartempion j'aurai :
www.google.com : pas autorisé
... etc.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Xavier Roche
Quelqu'un connaitrai un proxy DNS paramétrable individuellement par machine ? Est-ce qu'un tel logiciel existe déjà ?
Je ne pense pas, mais vous pouvez mettre en place votre propre DNS interne et empêcher quiconque de sortir sur le port adéquat (53)
Mais si c'est pour du filtrage, j'ai bien peut que ce soit totalement innefficace: - il est toujours possible de résoudre à la main l'IP depuis un site quelconque, et aller sur le site en question directement <http://64.233.167.99/> - beaucoup de sites peuvent faire office de proxy
Donc même un logiciel plus adéquat (ie. filtrage) ne sera pas forcément très utile ..
Quelqu'un connaitrai un proxy DNS paramétrable individuellement par machine ?
Est-ce qu'un tel logiciel existe déjà ?
Je ne pense pas, mais vous pouvez mettre en place votre propre DNS
interne et empêcher quiconque de sortir sur le port adéquat (53)
Mais si c'est pour du filtrage, j'ai bien peut que ce soit totalement
innefficace:
- il est toujours possible de résoudre à la main l'IP depuis un site
quelconque, et aller sur le site en question directement
<http://64.233.167.99/>
- beaucoup de sites peuvent faire office de proxy
Donc même un logiciel plus adéquat (ie. filtrage) ne sera pas forcément
très utile ..
Quelqu'un connaitrai un proxy DNS paramétrable individuellement par machine ? Est-ce qu'un tel logiciel existe déjà ?
Je ne pense pas, mais vous pouvez mettre en place votre propre DNS interne et empêcher quiconque de sortir sur le port adéquat (53)
Mais si c'est pour du filtrage, j'ai bien peut que ce soit totalement innefficace: - il est toujours possible de résoudre à la main l'IP depuis un site quelconque, et aller sur le site en question directement <http://64.233.167.99/> - beaucoup de sites peuvent faire office de proxy
Donc même un logiciel plus adéquat (ie. filtrage) ne sera pas forcément très utile ..
Jean-Philippe Odent
Dans l'article <fa3epn$1b1$, Xavier Roche écrit:
Mais si c'est pour du filtrage, j'ai bien peut que ce soit totalement innefficace: - il est toujours possible de résoudre à la main l'IP depuis un site quelconque, et aller sur le site en question directement <http://64.233.167.99/>
J'ai pensé à ce problème mais le pare-feu de l'entreprise (où je souhaite l'implanter) bloque déjà l'accès aux sites Web si l'on donne directement leur numéro IP.
- beaucoup de sites peuvent faire office de proxy
Encore faut-il qu'ils soient déclarés dans la liste autorisée.
Dans l'article <fa3epn$1b1$1@news.httrack.net>, Xavier Roche
<xroche@free.fr.NOSPAM.invalid> écrit:
Mais si c'est pour du filtrage, j'ai bien peut que ce soit totalement
innefficace:
- il est toujours possible de résoudre à la main l'IP depuis un site
quelconque, et aller sur le site en question directement
<http://64.233.167.99/>
J'ai pensé à ce problème mais le pare-feu de l'entreprise (où je souhaite
l'implanter) bloque déjà l'accès aux sites Web si l'on donne directement leur
numéro IP.
- beaucoup de sites peuvent faire office de proxy
Encore faut-il qu'ils soient déclarés dans la liste autorisée.
Mais si c'est pour du filtrage, j'ai bien peut que ce soit totalement innefficace: - il est toujours possible de résoudre à la main l'IP depuis un site quelconque, et aller sur le site en question directement <http://64.233.167.99/>
J'ai pensé à ce problème mais le pare-feu de l'entreprise (où je souhaite l'implanter) bloque déjà l'accès aux sites Web si l'on donne directement leur numéro IP.
- beaucoup de sites peuvent faire office de proxy
Encore faut-il qu'ils soient déclarés dans la liste autorisée.
J'ai pensé à ce problème mais le pare-feu de l'entreprise (où je souhaite l'implanter) bloque déjà l'accès aux sites Web si l'on donne directement leur numéro IP.
Euh ? Il y a donc un proxy (dans ce cas tout bloquer et passer par les ACL du proxy) ? Ou un filtrage niveau applicatif (beurk) (dans ce cas on aura le même problème sur des ports non http et/ou https) ?
Non, sérieusement, l'idée du filtrage DNS, ca me parait vraiment exotique.
- beaucoup de sites peuvent faire office de proxy Encore faut-il qu'ils soient déclarés dans la liste autorisée.
Ah, l'idée est donc une whitelist -- cela risque de limiter pas mal l'interêt du web exterieur, mais bon..
J'ai pensé à ce problème mais le pare-feu de l'entreprise (où je souhaite
l'implanter) bloque déjà l'accès aux sites Web si l'on donne directement leur
numéro IP.
Euh ? Il y a donc un proxy (dans ce cas tout bloquer et passer par les
ACL du proxy) ? Ou un filtrage niveau applicatif (beurk) (dans ce cas on
aura le même problème sur des ports non http et/ou https) ?
Non, sérieusement, l'idée du filtrage DNS, ca me parait vraiment exotique.
- beaucoup de sites peuvent faire office de proxy
Encore faut-il qu'ils soient déclarés dans la liste autorisée.
Ah, l'idée est donc une whitelist -- cela risque de limiter pas mal
l'interêt du web exterieur, mais bon..
J'ai pensé à ce problème mais le pare-feu de l'entreprise (où je souhaite l'implanter) bloque déjà l'accès aux sites Web si l'on donne directement leur numéro IP.
Euh ? Il y a donc un proxy (dans ce cas tout bloquer et passer par les ACL du proxy) ? Ou un filtrage niveau applicatif (beurk) (dans ce cas on aura le même problème sur des ports non http et/ou https) ?
Non, sérieusement, l'idée du filtrage DNS, ca me parait vraiment exotique.
- beaucoup de sites peuvent faire office de proxy Encore faut-il qu'ils soient déclarés dans la liste autorisée.
Ah, l'idée est donc une whitelist -- cela risque de limiter pas mal l'interêt du web exterieur, mais bon..
ts
"X" == Xavier Roche writes:
X> Non, sérieusement, l'idée du filtrage DNS, ca me parait vraiment exotique.
Cela marche dans certains cas, où des systèmes (je ne donnerais pas les noms :-)) doivent passer par un serveur pour l'authentification dont l'adresse IP change (genre gérée par akamai)
Il faut, bien sur, compléter avec ce que j'appelle une "dégradation" de service (par opposition à QOS :-)) pour limiter le débit sur les proxys ...
--
Guy Decoux
"X" == Xavier Roche <xroche@free.fr.NOSPAM.invalid> writes:
X> Non, sérieusement, l'idée du filtrage DNS, ca me parait vraiment exotique.
Cela marche dans certains cas, où des systèmes (je ne donnerais pas les
noms :-)) doivent passer par un serveur pour l'authentification dont l'adresse
IP change (genre gérée par akamai)
Il faut, bien sur, compléter avec ce que j'appelle une "dégradation" de
service (par opposition à QOS :-)) pour limiter le débit sur les proxys ...
X> Non, sérieusement, l'idée du filtrage DNS, ca me parait vraiment exotique.
Cela marche dans certains cas, où des systèmes (je ne donnerais pas les noms :-)) doivent passer par un serveur pour l'authentification dont l'adresse IP change (genre gérée par akamai)
Il faut, bien sur, compléter avec ce que j'appelle une "dégradation" de service (par opposition à QOS :-)) pour limiter le débit sur les proxys ...
--
Guy Decoux
Jean-Philippe Odent
Dans l'article <fa3it1$1b1$, Xavier Roche écrit:
J'ai pensé à ce problème mais le pare-feu de l'entreprise (où je souhaite l'implanter) bloque déjà l'accès aux sites Web si l'on donne directement leur numéro IP.
Euh ? Il y a donc un proxy
Non un Modem-Routeur-Pare-feu mais très limité.
Ah, l'idée est donc une whitelist -- cela risque de limiter pas mal l'interêt du web exterieur, mais bon..
Les Directeurs de l'entreprise X souhaitent justement limter les accès extérieurs des collaborateurs aux uniques fonctions de l'entreprise (comptabilité). Je suis surpris que cette question de filtrage n'ai jamais interessé un développeur.
Dans l'article <fa3it1$1b1$2@news.httrack.net>, Xavier Roche
<xroche@free.fr.NOSPAM.invalid> écrit:
J'ai pensé à ce problème mais le pare-feu de l'entreprise (où je souhaite
l'implanter) bloque déjà l'accès aux sites Web si l'on donne directement leur
numéro IP.
Euh ? Il y a donc un proxy
Non un Modem-Routeur-Pare-feu mais très limité.
Ah, l'idée est donc une whitelist -- cela risque de limiter pas mal
l'interêt du web exterieur, mais bon..
Les Directeurs de l'entreprise X souhaitent justement limter les accès
extérieurs des collaborateurs aux uniques fonctions de l'entreprise
(comptabilité). Je suis surpris que cette question de filtrage n'ai jamais
interessé un développeur.
J'ai pensé à ce problème mais le pare-feu de l'entreprise (où je souhaite l'implanter) bloque déjà l'accès aux sites Web si l'on donne directement leur numéro IP.
Euh ? Il y a donc un proxy
Non un Modem-Routeur-Pare-feu mais très limité.
Ah, l'idée est donc une whitelist -- cela risque de limiter pas mal l'interêt du web exterieur, mais bon..
Les Directeurs de l'entreprise X souhaitent justement limter les accès extérieurs des collaborateurs aux uniques fonctions de l'entreprise (comptabilité). Je suis surpris que cette question de filtrage n'ai jamais interessé un développeur.
Les Directeurs de l'entreprise X souhaitent justement limter les accès extérieurs des collaborateurs aux uniques fonctions de l'entreprise (comptabilité). Je suis surpris que cette question de filtrage n'ai jamais interessé un développeur.
Dans ce cas, utiliser les ACL d'un proxy et n'autorisez aucun accès vers l'exterieur: c'est la bonne méthode.
Les Directeurs de l'entreprise X souhaitent justement limter les accès
extérieurs des collaborateurs aux uniques fonctions de l'entreprise
(comptabilité). Je suis surpris que cette question de filtrage n'ai jamais
interessé un développeur.
Dans ce cas, utiliser les ACL d'un proxy et n'autorisez aucun accès vers
l'exterieur: c'est la bonne méthode.
Les Directeurs de l'entreprise X souhaitent justement limter les accès extérieurs des collaborateurs aux uniques fonctions de l'entreprise (comptabilité). Je suis surpris que cette question de filtrage n'ai jamais interessé un développeur.
Dans ce cas, utiliser les ACL d'un proxy et n'autorisez aucun accès vers l'exterieur: c'est la bonne méthode.
Pascal Hambourg
Salut,
J'ai pensé à ce problème mais le pare-feu de l'entreprise (où je souhaite l'implanter) bloque déjà l'accès aux sites Web si l'on donne directement leur numéro IP.
Euh ? Il y a donc un proxy
Non un Modem-Routeur-Pare-feu mais très limité.
Si le routeur fait ce que tu dis, alors il applique un filtrage applicatif au niveau HTTP qui peut s'apparenter à un proxy transparent. Au niveau TCP/IP il est impossible de distinguer les accès à un site par adresse IP ou par nom : les deux cas résultent en un connexion TCP à l'adresse IP du serveur qui héberge le site.
Mais si ça se trouve, le routeur n'avait rien à voir dans le fait que des sites soient inaccessibles par adresse. C'est une situation normale lorsque plusieurs sites de noms différents sont hébergés sur un même serveur avec la même adresse IP et le même port, ce qui est la situation classique des serveurs d'hébergement mutualisé. Etant donné que plusieurs sites sont accessibles sur la même adresse et le même port, le nom est nécessaire pour que le serveur sache quel site est demandé.
Salut,
J'ai pensé à ce problème mais le pare-feu de l'entreprise (où je souhaite
l'implanter) bloque déjà l'accès aux sites Web si l'on donne directement leur
numéro IP.
Euh ? Il y a donc un proxy
Non un Modem-Routeur-Pare-feu mais très limité.
Si le routeur fait ce que tu dis, alors il applique un filtrage
applicatif au niveau HTTP qui peut s'apparenter à un proxy transparent.
Au niveau TCP/IP il est impossible de distinguer les accès à un site par
adresse IP ou par nom : les deux cas résultent en un connexion TCP à
l'adresse IP du serveur qui héberge le site.
Mais si ça se trouve, le routeur n'avait rien à voir dans le fait que
des sites soient inaccessibles par adresse. C'est une situation normale
lorsque plusieurs sites de noms différents sont hébergés sur un même
serveur avec la même adresse IP et le même port, ce qui est la situation
classique des serveurs d'hébergement mutualisé. Etant donné que
plusieurs sites sont accessibles sur la même adresse et le même port, le
nom est nécessaire pour que le serveur sache quel site est demandé.
J'ai pensé à ce problème mais le pare-feu de l'entreprise (où je souhaite l'implanter) bloque déjà l'accès aux sites Web si l'on donne directement leur numéro IP.
Euh ? Il y a donc un proxy
Non un Modem-Routeur-Pare-feu mais très limité.
Si le routeur fait ce que tu dis, alors il applique un filtrage applicatif au niveau HTTP qui peut s'apparenter à un proxy transparent. Au niveau TCP/IP il est impossible de distinguer les accès à un site par adresse IP ou par nom : les deux cas résultent en un connexion TCP à l'adresse IP du serveur qui héberge le site.
Mais si ça se trouve, le routeur n'avait rien à voir dans le fait que des sites soient inaccessibles par adresse. C'est une situation normale lorsque plusieurs sites de noms différents sont hébergés sur un même serveur avec la même adresse IP et le même port, ce qui est la situation classique des serveurs d'hébergement mutualisé. Etant donné que plusieurs sites sont accessibles sur la même adresse et le même port, le nom est nécessaire pour que le serveur sache quel site est demandé.
gloubi
"Pascal Hambourg" a écrit dans le message de news:46c59f8e$
Mais si ça se trouve, le routeur n'avait rien à voir dans le fait que des sites soient inaccessibles par adresse. C'est une situation normale lorsque plusieurs sites de noms différents sont hébergés sur un même serveur avec la même adresse IP et le même port, ce qui est la situation classique des serveurs d'hébergement mutualisé. Etant donné que plusieurs sites sont accessibles sur la même adresse et le même port, le nom est nécessaire pour que le serveur sache quel site est demandé.
Oui beaucoup de sites sont des serveurs virtuel ou il faut donner un host dans l'entête HTTP, donc si pas de host on devrait tomber sur le serveur par défaut si il y en a un... Le proxy ou proxy transparent est AMHA aussi la solution la plus adéquate, et pour la config des machines clientes un serveur de domaine pour passer la config proxy si il y a beaucoup de machines sous Windows ou proxy transparent, dans ce cas là pas de config sur les clients mais filtrage sur range IP sur le serveur, donc faire plusieurs réseaux IP voire donner les adresses par DHCP en fonction de l'adresse MAC? C'est ça ou y'a de meilleures solutions pour un filtrage client par client sur proxy transparent?
"Pascal Hambourg" <pascal.news@plouf.fr.eu.org> a écrit dans le message de
news:46c59f8e$1@ac-versailles.fr...
Mais si ça se trouve, le routeur n'avait rien à voir dans le fait que des
sites soient inaccessibles par adresse. C'est une situation normale
lorsque plusieurs sites de noms différents sont hébergés sur un même
serveur avec la même adresse IP et le même port, ce qui est la situation
classique des serveurs d'hébergement mutualisé. Etant donné que plusieurs
sites sont accessibles sur la même adresse et le même port, le nom est
nécessaire pour que le serveur sache quel site est demandé.
Oui beaucoup de sites sont des serveurs virtuel ou il faut donner un host
dans l'entête HTTP, donc si pas de host on devrait tomber sur le serveur par
défaut si il y en a un...
Le proxy ou proxy transparent est AMHA aussi la solution la plus adéquate,
et pour la config des machines clientes un serveur de domaine pour passer la
config proxy si il y a beaucoup de machines sous Windows ou proxy
transparent, dans ce cas là pas de config sur les clients mais filtrage sur
range IP sur le serveur, donc faire plusieurs réseaux IP voire donner les
adresses par DHCP en fonction de l'adresse MAC? C'est ça ou y'a de
meilleures solutions pour un filtrage client par client sur proxy
transparent?
"Pascal Hambourg" a écrit dans le message de news:46c59f8e$
Mais si ça se trouve, le routeur n'avait rien à voir dans le fait que des sites soient inaccessibles par adresse. C'est une situation normale lorsque plusieurs sites de noms différents sont hébergés sur un même serveur avec la même adresse IP et le même port, ce qui est la situation classique des serveurs d'hébergement mutualisé. Etant donné que plusieurs sites sont accessibles sur la même adresse et le même port, le nom est nécessaire pour que le serveur sache quel site est demandé.
Oui beaucoup de sites sont des serveurs virtuel ou il faut donner un host dans l'entête HTTP, donc si pas de host on devrait tomber sur le serveur par défaut si il y en a un... Le proxy ou proxy transparent est AMHA aussi la solution la plus adéquate, et pour la config des machines clientes un serveur de domaine pour passer la config proxy si il y a beaucoup de machines sous Windows ou proxy transparent, dans ce cas là pas de config sur les clients mais filtrage sur range IP sur le serveur, donc faire plusieurs réseaux IP voire donner les adresses par DHCP en fonction de l'adresse MAC? C'est ça ou y'a de meilleures solutions pour un filtrage client par client sur proxy transparent?
