Sharemanga: Filtrage de traffic sur protocole - Sharemanga

Aller au contenu

Règles de la section "Problèmes et discussions informatique"

-Cette section est destinée aux problèmes de matériel informatique, de logiciel, de divxbox/platines divx.
-Pour tous les problèmes , il est demandé de donner un maximum d'information pour pouvoir vous aider (ex: configuration de l'ordinateur, symptômes, etc...).
-Les problèmes liés aux vidéos doivent être postés dans la section "Problèmes vidéos et audios"
-Merci de lancer une recherche (ici) avant de lancer un nouveau sujet au cas où ce problème existe déjà, et a déjà été résolu.
Page 1 sur 1
  • Vous ne pouvez pas commencer un sujet
  • Vous ne pouvez pas répondre à ce sujet

Filtrage de traffic sur protocole sous Linux

Posté mercredi 21 avril 2010 à 21:19 (#1) L'utilisateur est hors-ligne   khoral 

  • Mur du forum
  • PipPipPipPipPipPipPipPip
  • Voir le blog
  • Groupe : Membres +
  • Messages : 1 106
  • Inscrit(e) : 29/04/2003

Salut les gens o/

J'arrive pas à trouver de réponse franche sur un problème que j'ai, donc j'me suis dit autant demander ici, ça coute rien >_<

Mon problème est le suivant :
Je souhaite filtrer ce qui arrive sur mon PC (tournant sous Linux) en fonction du protocole du flux d'entrée.
Un exemple : admettons que je reçoive du flux Emule (quel que soit le port), je le laisse passer, par contre du FTP, je bloque.

Je me suis tourné (par habitude) vers iptables, mais ce dernier ne fait que du filtrage sur le port au mieux. Or je souhaite filtrer selon le protocole (niveau Application dans le modèle OSI) plutôt que sur le port, qui peut changer à tout moment.
J'ai réussi à trouver une surcouche iptables baptisée l7-filter, qui fait plus ou moins ce que je veux, mais ils déconseillent de l'utiliser en tant que filtre bloquant :/ (probablement parce que ça prend trop de temps CPU). EDIT : Ah non, en fait c'est qu'il est obligé de laisser passer les premiers paquets pour être sûr du protocole :/

Donc, pour résumer, je souhaite trouver un filtre qui lit jusqu'à la couche applicative (du DPI pour ceux qui connaissent) et qui permette de fixer des règles dessus.

Merci :flowers:

EDIT 2 : A priori, utiliser un proxy comme Squid serait conseillé. Mais je pige pas comment le mettre en place <_<

EDIT 3 : Apparement, Snort fait ce que je veux. J'vais me pencher dessus. Et j'suis toujours preneur de toute remarque ;)
Pas de signature, j'ai rien à ajouter sur moi, je suis tout à fait complet comme ça :x

Posté mercredi 21 avril 2010 à 23:03 (#2) L'utilisateur est hors-ligne   cerber 

  • Membre
  • PipPip
  • Groupe : Membres
  • Messages : 49
  • Inscrit(e) : 26/06/2008

Squid c'est pour faire un serveur un proxy. J'ai essayé une fois de le mettre en place, et c'est carrément ardu, même pour ne faire qu'une configuration basique.
De plus, de ce que j'en ai vu, je ne vois pas trop comment le détourner pour faire du DPI.

Tout ce qu'on peut en faire qui s'en rapproche le plus, c'est de le configurer pour filtrer un range de ports.
Et en admettant qu'on veuille l'utiliser pour faire de l'inspection de paquets, ça supposerait de configurer iptable pour faire passer tout le trafique
par squid. Et après, est ce que squid est capable de faire des choses évoluées sur ce trafique? Je ne me souviens de rien de tel à ce sujet...

Snort je ne connais pas, mais d'après la description, ça a vraiment l'air d'être ce que tu cherches. Je creuserait plutôt de ce coté...

Posté jeudi 22 avril 2010 à 00:45 (#3) L'utilisateur est hors-ligne   Iznogoud 

  • Mémoire du forum
  • PipPipPipPipPipPipPipPipPipPipPipPip
  • Voir le blog
  • Groupe : Membres
  • Messages : 5 388
  • Inscrit(e) : 29/06/2003

 

Voir le messagekhoral, le 21/04/2010 à 22:19, dit :

Donc, pour résumer, je souhaite trouver un filtre qui lit jusqu'à la couche applicative (du DPI pour ceux qui connaissent) et qui permette de fixer des règles dessus.

Je sais que certains routeurs en sont capables.

ça doit sûrement exister en logiciel, mais je ne connais pas le sujet.
Image IPB
Merci à Az` pour la signature.

Posté jeudi 22 avril 2010 à 06:59 (#4) L'utilisateur est hors-ligne   khoral 

  • Mur du forum
  • PipPipPipPipPipPipPipPip
  • Voir le blog
  • Groupe : Membres +
  • Messages : 1 106
  • Inscrit(e) : 29/04/2003

Tout à fait, certains pare-feu physiques sont complètement capables de faire ça (en fait, on considère même qu'un "vrai" pare-feu est un pare-feu qui fait du DPI).
Mais comme j'ai pas envie d'acheter un matériel supplémentaire, je cherche côté logiciel ^^ (surtout qu'au final, j'ai un PC qui servira qu'à ça et que j'ai déjà, ça reviendra à une machine séparée type pare-feu)

cerber > Merci pour ton retour d'expérience ;) De ce que j'en ai lu, certains mecs disaient qu'on pouvait récupérer les règles Squid pour les adapter à iptables, mais que ça restait du haut niveau ^^

Je continue de regarder sur Snort >_< Pour l'instant, c'est du tout bon, et ça peut être lié à iptables ou pas.
Pas de signature, j'ai rien à ajouter sur moi, je suis tout à fait complet comme ça :x

Partager ce sujet :


Page 1 sur 1
  • Vous ne pouvez pas commencer un sujet
  • Vous ne pouvez pas répondre à ce sujet


1 utilisateur(s) en train de lire ce sujet
0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)

Thème et langage