[khoral]

Salut les gens o/

J'arrive pas à trouver de réponse franche sur un problème que j'ai, donc j'me suis dit autant demander ici, ça coute rien

Mon problème est le suivant :
Je souhaite filtrer ce qui arrive sur mon PC (tournant sous Linux) en fonction du protocole du flux d'entrée.
Un exemple : admettons que je reçoive du flux Emule (quel que soit le port), je le laisse passer, par contre du FTP, je bloque.

Je me suis tourné (par habitude) vers iptables, mais ce dernier ne fait que du filtrage sur le port au mieux. Or je souhaite filtrer selon le protocole (niveau Application dans le modèle OSI) plutôt que sur le port, qui peut changer à tout moment.
J'ai réussi à trouver une surcouche iptables baptisée l7-filter, qui fait plus ou moins ce que je veux, mais ils déconseillent de l'utiliser en tant que filtre bloquant :/ (probablement parce que ça prend trop de temps CPU). EDIT : Ah non, en fait c'est qu'il est obligé de laisser passer les premiers paquets pour être sûr du protocole :/

Donc, pour résumer, je souhaite trouver un filtre qui lit jusqu'à la couche applicative (du DPI pour ceux qui connaissent) et qui permette de fixer des règles dessus.

Merci

EDIT 2 : A priori, utiliser un proxy comme Squid serait conseillé. Mais je pige pas comment le mettre en place <_<

EDIT 3 : Apparement, Snort fait ce que je veux. J'vais me pencher dessus. Et j'suis toujours preneur de toute remarque ;)

[cerber]

Squid c'est pour faire un serveur un proxy. J'ai essayé une fois de le mettre en place, et c'est carrément ardu, même pour ne faire qu'une configuration basique.
De plus, de ce que j'en ai vu, je ne vois pas trop comment le détourner pour faire du DPI.

Tout ce qu'on peut en faire qui s'en rapproche le plus, c'est de le configurer pour filtrer un range de ports.
Et en admettant qu'on veuille l'utiliser pour faire de l'inspection de paquets, ça supposerait de configurer iptable pour faire passer tout le trafique
par squid. Et après, est ce que squid est capable de faire des choses évoluées sur ce trafique? Je ne me souviens de rien de tel à ce sujet...

Snort je ne connais pas, mais d'après la description, ça a vraiment l'air d'être ce que tu cherches. Je creuserait plutôt de ce coté...

[Iznogoud]

khoral, le 21/04/2010 à 22:19, dit :

Donc, pour résumer, je souhaite trouver un filtre qui lit jusqu'à la couche applicative (du DPI pour ceux qui connaissent) et qui permette de fixer des règles dessus.

Je sais que certains routeurs en sont capables.

ça doit sûrement exister en logiciel, mais je ne connais pas le sujet.

[khoral]

Tout à fait, certains pare-feu physiques sont complètement capables de faire ça (en fait, on considère même qu'un "vrai" pare-feu est un pare-feu qui fait du DPI).
Mais comme j'ai pas envie d'acheter un matériel supplémentaire, je cherche côté logiciel ^^ (surtout qu'au final, j'ai un PC qui servira qu'à ça et que j'ai déjà, ça reviendra à une machine séparée type pare-feu)

cerber > Merci pour ton retour d'expérience ;) De ce que j'en ai lu, certains mecs disaient qu'on pouvait récupérer les règles Squid pour les adapter à iptables, mais que ça restait du haut niveau ^^

Je continue de regarder sur Snort Pour l'instant, c'est du tout bon, et ça peut être lié à iptables ou pas.