Господа, а можно ли на Linux с использованием таких средств как iptables или ipset реализовать фильтрацию пакетов на уровне приложений. Например что бы пакеты от Internet Explorer реджектились, но что бы 80-ый порт был открыт для других приложений?

• Фильтрация на уровне приложения.,Slimm, 13:54 , 27-Июн-06
  • Фильтрация на уровне приложения.,mdanshin, 14:25 , 27-Июн-06
• Фильтрация на уровне приложения.,perece, 15:05 , 29-Июн-06

>Господа, а можно ли на Linux с использованием таких средств как iptables
>или ipset реализовать фильтрацию пакетов на уровне приложений. Например что бы
>пакеты от Internet Explorer реджектились, но что бы 80-ый порт был
>открыт для других приложений?

http://kem.p.lodz.pl/~peter/qnet/

>>Господа, а можно ли на Linux с использованием таких средств как iptables
>>или ipset реализовать фильтрацию пакетов на уровне приложений. Например что бы
>>пакеты от Internet Explorer реджектились, но что бы 80-ый порт был
>>открыт для других приложений?
>
>http://kem.p.lodz.pl/~peter/qnet/
Прошу прощения, но это очень общая ссылка. единственное, что я нашел по своей проблеме это http://l7-filter.sourceforge.net/ Это оно или я что то пропустил?

>Господа, а можно ли на Linux с использованием таких средств как iptables
>или ipset реализовать фильтрацию пакетов на уровне приложений. Например что бы
>пакеты от Internet Explorer реджектились, но что бы 80-ый порт был
>открыт для других приложений?
В общем случае это невозможно в принципе, т.к. информация о том, что за клиент пройдет только после успешного установления tcp-соединения. однако rst-ить соединение по факту обнаружения "запрещенной подстроки" - это можно.
однако, если речь идет о http конкретно, то проще поставить squid в режиме transparent proxy и резать иЁ уже на сквиде (там юзерагента в кляузе acl указывать можно). так и надежнее будет. (а то я выкрутив MTU передающей сеевой карточки так, что фраза User agent: ... в HTTP-каголовке на два пакета разобьются легко такое ограничение обойду)