forum.opennet.ru - "Фильтрация на уровне приложения." (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Фильтрация на уровне приложения."

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Фильтрация на уровне приложения."
Сообщение от mdanshin (ok) on 27-Июн-06, 12:01
Господа, а можно ли на Linux с использованием таких средств как iptables или ipset реализовать фильтрацию пакетов на уровне приложений. Например что бы пакеты от Internet Explorer реджектились, но что бы 80-ый порт был открыт для других приложений?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Фильтрация на уровне приложения., Slimm, 13:54 , 27-Июн-06, (1)

Фильтрация на уровне приложения., mdanshin, 14:25 , 27-Июн-06, (2)

Фильтрация на уровне приложения., perece, 15:05 , 29-Июн-06, (3)

Сообщения по теме [Сортировка по времени, UBB]

1. "Фильтрация на уровне приложения."

Сообщение от Slimm (??) on 27-Июн-06, 13:54

>Господа, а можно ли на Linux с использованием таких средств как iptables
>или ipset реализовать фильтрацию пакетов на уровне приложений. Например что бы
>пакеты от Internet Explorer реджектились, но что бы 80-ый порт был
>открыт для других приложений?
http://kem.p.lodz.pl/~peter/qnet/

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Фильтрация на уровне приложения."

Сообщение от mdanshin (ok) on 27-Июн-06, 14:25

>>Господа, а можно ли на Linux с использованием таких средств как iptables
>>или ipset реализовать фильтрацию пакетов на уровне приложений. Например что бы
>>пакеты от Internet Explorer реджектились, но что бы 80-ый порт был
>>открыт для других приложений?
>
>http://kem.p.lodz.pl/~peter/qnet/
Прошу прощения, но это очень общая ссылка. единственное, что я нашел по своей проблеме это http://l7-filter.sourceforge.net/ Это оно или я что то пропустил?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Фильтрация на уровне приложения."

Сообщение от perece on 29-Июн-06, 15:05

>Господа, а можно ли на Linux с использованием таких средств как iptables
>или ipset реализовать фильтрацию пакетов на уровне приложений. Например что бы
>пакеты от Internet Explorer реджектились, но что бы 80-ый порт был
>открыт для других приложений?
В общем случае это невозможно в принципе, т.к. информация о том, что за клиент пройдет только после успешного установления tcp-соединения. однако rst-ить соединение по факту обнаружения "запрещенной подстроки" - это можно.
однако, если речь идет о http конкретно, то проще поставить squid в режиме transparent proxy и резать иЁ уже на сквиде (там юзерагента в кляузе acl указывать можно). так и надежнее будет. (а то я выкрутив MTU передающей сеевой карточки так, что фраза User agent: ... в HTTP-каголовке на два пакета разобьются легко такое ограничение обойду)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Фильтрация на уровне приложения."
Сообщение от Slimm (??) on 27-Июн-06, 13:54
>Господа, а можно ли на Linux с использованием таких средств как iptables >или ipset реализовать фильтрацию пакетов на уровне приложений. Например что бы >пакеты от Internet Explorer реджектились, но что бы 80-ый порт был >открыт для других приложений? http://kem.p.lodz.pl/~peter/qnet/
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "Фильтрация на уровне приложения."
	Сообщение от mdanshin (ok) on 27-Июн-06, 14:25
	>>Господа, а можно ли на Linux с использованием таких средств как iptables >>или ipset реализовать фильтрацию пакетов на уровне приложений. Например что бы >>пакеты от Internet Explorer реджектились, но что бы 80-ый порт был >>открыт для других приложений? > >http://kem.p.lodz.pl/~peter/qnet/ Прошу прощения, но это очень общая ссылка. единственное, что я нашел по своей проблеме это http://l7-filter.sourceforge.net/ Это оно или я что то пропустил?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

3. "Фильтрация на уровне приложения."
Сообщение от perece on 29-Июн-06, 15:05
>Господа, а можно ли на Linux с использованием таких средств как iptables >или ipset реализовать фильтрацию пакетов на уровне приложений. Например что бы >пакеты от Internet Explorer реджектились, но что бы 80-ый порт был >открыт для других приложений? В общем случае это невозможно в принципе, т.к. информация о том, что за клиент пройдет только после успешного установления tcp-соединения. однако rst-ить соединение по факту обнаружения "запрещенной подстроки" - это можно. однако, если речь идет о http конкретно, то проще поставить squid в режиме transparent proxy и резать иЁ уже на сквиде (там юзерагента в кляузе acl указывать можно). так и надежнее будет. (а то я выкрутив MTU передающей сеевой карточки так, что фраза User agent: ... в HTTP-каголовке на два пакета разобьются легко такое ограничение обойду)
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]