On Wed, 22 Dec 2004 09:21:06 +0100 Jonathan ILIAS <[EMAIL PROTECTED]> wrote:
>pyb a écrit : >> je possède une passerelle munie d'un firewall pour mon mini réseau >local.> Pour une seule machine (par ex 192.168.0.3) je ne veux >autoriser qu'un > seul site à passer et un seul (comme par exemple >> www.winchiotteupdate.com)! tous les autres doivent être dropés. >> ma question : quelle règle iptable dois-je utiliser ? >> > >iptables ne filtre basiquement que les couches 3 et 4 (i.e. IP et TCP >principalement). Il n'existe pas de filtres pour les couches >supérieures à ma connaissance dans netfilter. Je crois qu'il existe un >projet nommé L7 (pour layer 7) qui a pour objet de faire ça, mais ça >reste de l'expérimental. > >Je dis ça, parce que HTTP permet de spécifier un hôte virtuel. Donc >avec la même adresse IP, tu peux avoir plusieurs serveurs. Alors il >peut être bon de ne laisser passer que l'adresse IP (ou les adresses >IP, parce que le site est peut-être réparti) concernée, mais ça ne sera >pas suffisant. > >Si la solution de L7 ne te convient pas, il est toujours possible >d'utiliser un proxy, éventuellement transparent. > >Bon, je donne des pistes, mais désolé, je n'ai aucune expérience de >celles-ci ;-) > >Bon courage ! > >-- >Jonathan ILIAS > > Sur mon firewall/router j'ai également installé un proxy (squid) qui permet déjà pas mal de choses et surtout squidguard qui serait la solution. ( squid + squidguard) amicalement mess-mate