Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 22/09/2011, à 04:02

wolf85kunst

Faire du filtrage applicatif sur iptables

Bonjour,

Quelle est la solution la plus évidente pour faire du filtrage applicatif (couche 7 : blacklist, filtre d'url, blockage des signatures logiciel, etc), sur un parefeu Iptables qui ne le permet pas d'origine ?

Merci.

Dernière modification par wolf85kunst (Le 22/09/2011, à 04:03)


Les raisonnables ont duré, les passionnés ont vécu.
-- 10.04 Lucid Lynx --

Hors ligne

#2 Le 22/09/2011, à 07:01

geophy

Re : Faire du filtrage applicatif sur iptables

salut vas sur ce lien tu trouvera certainement ton bonheur
http://doc.ubuntu-fr.org/iptables

Hors ligne

#3 Le 22/09/2011, à 12:43

wolf85kunst

Re : Faire du filtrage applicatif sur iptables

Bonjour,

Cette page ne parle pas de filtrage applicatif.

EDIT
Est ce que la seule solution serait de mettre un proxy avant le parefeu ?

Dernière modification par wolf85kunst (Le 22/09/2011, à 13:02)


Les raisonnables ont duré, les passionnés ont vécu.
-- 10.04 Lucid Lynx --

Hors ligne

#4 Le 22/09/2011, à 13:06

Kanor

Re : Faire du filtrage applicatif sur iptables

iptable n'est pas prévu  pour ce genre d'utilisation j'ai trouvé ça sur wikipedia
http://en.wikipedia.org/wiki/Applicatio … wall#Linux

Dernière modification par Kanor (Le 22/09/2011, à 13:10)

Hors ligne

#5 Le 23/09/2011, à 18:47

rg12101988

Re : Faire du filtrage applicatif sur iptables

bouge pas

Hors ligne

#6 Le 23/09/2011, à 18:51

rg12101988

Re : Faire du filtrage applicatif sur iptables

tu veux faire quoi en gros ?

Hors ligne

#7 Le 24/09/2011, à 15:08

wolf85kunst

Re : Faire du filtrage applicatif sur iptables

Il me semble que mon post est clair


Les raisonnables ont duré, les passionnés ont vécu.
-- 10.04 Lucid Lynx --

Hors ligne

#8 Le 04/10/2011, à 16:28

sheebang

Re : Faire du filtrage applicatif sur iptables

Salut,

Squid + squidguard par exemple avec un couplage URL Filter/DansGuardian

Sinon la distribution Artica que je conseil, très bon produit avec une bonne communauté
http://www.artica.fr/
ou
IPCOP malheureusement le projet est un peu lent, mais la solution fonctionne très bien
http://www.ipcop.org/
Au passage j'ai couplé IPCOP à IPTABLES, cela fonctionne très bien.

Sans compter les Pfsense, Untangle etc....


Debian-#!

Hors ligne

#9 Le 04/10/2011, à 21:05

wolf85kunst

Re : Faire du filtrage applicatif sur iptables

Bonsoir,

@sheebang : Merci beaucoup pour cette réponse.

Après avoir consulter dansgardian sur wikipédia, je m'interroge toujours sur ce qu'offre réellement cette solution en plus d'un filtrage par blacklist ? Un filtrage intelligent ? Sur la doc Ubuntu, il est décrit comme un système de contrôle parentale. Qu'en est-il réellement ?

sheebang a écrit :

Au passage j'ai couplé IPCOP à IPTABLES, cela fonctionne très bien.

J'ai moi même installer la solution IPCOP il y a quelques temps. C'est un gain de temps àpréciable, mais je doute réellement qu'il soit possible d'affiner ses règles de filtrage aussi précisément que le permet IPtables en ligne de commande. Qu'en penses-tu ?
Aussi, que veux-tu dire quand tu dis coupler iptables avec ipcop ? Il me semblait qu'ipcop n'était pas basé sur Iptables, un peu comme Pfsence basé sur FreeBSD.

Enfin, est-il préférable d'installer squid sur iptables ou de mettre en place le proxy web (+dansgardian) en amont sur le réseau ?

Merci pour ces compléments d'informations.

Dernière modification par wolf85kunst (Le 04/10/2011, à 21:07)


Les raisonnables ont duré, les passionnés ont vécu.
-- 10.04 Lucid Lynx --

Hors ligne

#10 Le 04/10/2011, à 21:52

sheebang

Re : Faire du filtrage applicatif sur iptables

Salut,

DansGuardian est vraiment puissant. Il va au dela des blacklist parentales en scannant le contenu des pages, badwords & phrases etc... puis va les stocker. Il est plus orienté Content Filtering.

Concernant IPcop c'est tout le problème. Une catastrophe pour gérer le Firewall (addons compris). Il est tout à fait possible de coupler IPcop à Iptables. Mais pour ce faire il faut bien sur adapter son script Iptables pour qu'il travail avec IPcop. En gros au lancement de la machine l'invocation du script Iptables permet de pouvoir gérer le flux entrant/sortant combiné au proxy IPcop.
J'ai mis un serveur en prod avec cette conf, résultat parfait, il était même trop restrictif une vrai forteresse. Ipcop n'avance pas vraiment sur le projet (firewall) la version 2 en mode Beta commence à intégrer des outils plus interessants.

Moi je serais plutot pour un Proxy Web (DansGuardian) + Iptables

ps : il faut que je retrouve la conf que j'ai sur ce serveur et la posterai


Debian-#!

Hors ligne

#11 Le 04/10/2011, à 23:19

wolf85kunst

Re : Faire du filtrage applicatif sur iptables

Merci pour ces informations


Les raisonnables ont duré, les passionnés ont vécu.
-- 10.04 Lucid Lynx --

Hors ligne

#12 Le 07/10/2011, à 18:17

sheebang

Re : Faire du filtrage applicatif sur iptables

Pour info la version stable d'IPCOP en 2.0 est en release depuis le 23/09/2011.

Je ne l'ai pas testé (testé seulement la 1.9.9 beta) , je vais m'y pencher (en esperant que la team de dev a bosser sur la partie Firewalling)


Debian-#!

Hors ligne