Re: Firewall niveau 7 ( 4 !!!! ) OSI c'est seulement pour ip…

Top Page

Reply to this message
Author: Sylvain Letuffe
Date:  
To: Guilde
Old-Topics: Re: Firewall niveau 7
Subject: Re: Firewall niveau 7 ( 4 !!!! ) OSI c'est seulement pour ipv6 ( et encore :-)
On Lundi 2 Septembre 2002 19:43, HAHN Nicolas wrote:
> Bonjour,
>
> > Savez-vous si il existe un soft permettant de faire du firewall
> > niveau 7
> > sur des protocoles usuels comme HTTP FTP SMTP POP IMAP ?
>
> ben oui, iptables.


on dit "netfilter"
... désolé ;-)

en fait la question mérite qu'on s'y arrète, que veux dire pour toi "fw niv 7"
?

quel est ton besoin spécial ?
que veux tu interdire/autoriser ?


car bien souvent le plus simple et de voir directement avec le soft concerné.

MAIS, c'est vrai que ça existe !
( et en tant que faux spécialiste du firewalling/proxing )
je n'ais jamais vu autant de manière de traiter autant en FW que en QOS
les paquets aussi bien que linux ( en patchant ton firewall 30 000 fois )
alors que le leader du fw ( chekpoint ) fait vraiment vache maigre

ex : Citrix meta frame et le proto ICA dernier cru "tag" ces paquets pour
indiquer leur priorité ( dans le champ data donc niveau 7 )
deport affichage VS printing
et seul a ma connaisance linux peux gérer en QOS ces flux.

plein d'autre exemple existe ( IRC et autre )


> Iptables permet de faire ce que l'on appelle tu statefull inspection
> packet. Autrement dit, il est tout à fait possible d'analyser le
> contenu des paquets quels qu'ils soient pour autoriser ou non leur
> passage.


exact, encore faut il le développer soit même :-(
ou trouver le module kernel
a ma connaissance ( CF sources du 2.4.19 officiel )

seul POP,FTP,IRC sont des protocols gérer en stateful
( et ce n'est pas fini, faut y aller avec les règles !!! )

Mais c'est vrai que c'est sans limite, j'ai entendu parler d'un dev kit
pour faire soit même trés facillement du stateful sur des
protocols zarbi ( mais qu'il faut maitriser parfaitement )

l'octet 0x0FA3 si vaut 0x34 alors reject !!
si vaut 0x4B alors "priorité 2 sur $tc"
bref VIVE linux, et vous êtes vivement conseillé de le lacher en GPL



--
Letuffe Sylvain ( sly )
adresse perso: 16 rue denfert rochereau 73000 CHAMBERY
web-server : http://slyserv.dyndns.org
ICQ number : 31788023
Jabber JID : sletuffe@???
Linux : "Y'a moins bien, mais c'est plus cher"
Unix IS user-friendly...
it's just selective about who its friends are