English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Hỏi: Có cách nào match dựa trên URL trong iptables?  XML
  [Question]   Hỏi: Có cách nào match dựa trên URL trong iptables? 01/10/2006 12:22:41 (+0700) | #1 | 26991
Đầu Đất
Member
[Minus]    0    [Plus]
Joined: 29/09/2006 11:02:23
Messages: 5
Offline
[Profile] [PM]
Chào mấy huynh,

Vui lòng tư vấn dùm xem có cái match nào trong iptables dựa trên URL không?! Mình đã lục nát kể cả trong patch-o-matic-ng nhưng không thấy.

Sếp yêu cầu mình dựng firewall để ngăn nhân viên vào internet đọc báo, chat chit... trong giờ làm việc, chỉ cho phép truy cập một số web cần thiết, còn ngoài giờ thì thoải mái. Vì không thấy match URL nên mình đành accept dựa trên IP, nhưng có một số trang như www.hp.com, www.dhl.com cứ vài giây là IP lại đổi một lần... Pó tay luôn... smilie

Cảm ơn trước.
[Up] [Print Copy]
  [Question]   Hỏi: Có cách nào match dựa trên URL trong iptable? 01/10/2006 13:14:54 (+0700) | #2 | 27006
[Avatar]
 lonely_Xorhandsome
Elite Member
[Minus]    0    [Plus]
Joined: 26/06/2006 12:14:07
Messages: 558
Location: HCM beside you !
Offline
[Profile] [PM]

Đầu Đất wrote:
Chào mấy huynh,

Vui lòng tư vấn dùm xem có cái match nào trong iptables dựa trên URL không?! Mình đã lục nát kể cả trong patch-o-matic-ng nhưng không thấy.

Sếp yêu cầu mình dựng firewall để ngăn nhân viên vào internet đọc báo, chat chit... trong giờ làm việc, chỉ cho phép truy cập một số web cần thiết, còn ngoài giờ thì thoải mái. Vì không thấy match URL nên mình đành accept dựa trên IP, nhưng có một số trang như www.hp.com, www.dhl.com cứ vài giây là IP lại đổi một lần... Pó tay luôn... smilie

Cảm ơn trước. 

minh không có khai niệm gì về điều bạn hỏi cả ! nhưng với mục đích của bạn đưa ra thì dùng ISA cũng làm tốt lắm mà ! chỉ cần tạo bộ url SET là rồi tạo rule là xong thôi à .
[Up] [Print Copy]
  [Question]   Re: Hỏi: Có cách nào match dựa trên URL trong iptable? 01/10/2006 14:10:33 (+0700) | #3 | 27011
novsf
Member
[Minus]    0    [Plus]
Joined: 26/09/2006 14:00:17
Messages: 18
Offline
[Profile] [PM]
Bạn nên thử cái này.
http://www.squid-cache.org/

và cái này
http://www.ibiblio.org/pub/linux/docs/HOWTO/TransparentProxy
[Up] [Print Copy]
  [Question]   Hỏi: Có cách nào match dựa trên URL trong iptable? 01/10/2006 14:23:23 (+0700) | #4 | 27016
Đầu Đất
Member
[Minus]    0    [Plus]
Joined: 29/09/2006 11:02:23
Messages: 5
Offline
[Profile] [PM]

lonely_Xorhandsome wrote:
minh không có khai niệm gì về điều bạn hỏi cả ! nhưng với mục đích của bạn đưa ra thì dùng ISA cũng làm tốt lắm mà ! chỉ cần tạo bộ url SET là rồi tạo rule là xong thôi à . 


Chòi... hic... Dùng ISA thì có gì để nói nữa... Nhưng ISA chỉ được cái giao diện thân thiện, vì nhiều lý do mình bỏ Win2k3/ISA nửa năm nay rồi.

Huynh nào rành linux/iptables giúp mình 1 vé...
[Up] [Print Copy]
  [Question]   Re: Hỏi: Có cách nào match dựa trên URL trong iptable? 01/10/2006 14:37:13 (+0700) | #5 | 27019
Đầu Đất
Member
[Minus]    0    [Plus]
Joined: 29/09/2006 11:02:23
Messages: 5
Offline
[Profile] [PM]

novsf wrote:
Bạn nên thử cái này.
http://www.squid-cache.org/

và cái này
http://www.ibiblio.org/pub/linux/docs/HOWTO/TransparentProxy
 


Cảm ơn novsf, nhưng cài squid chỉ để giải quyết việc này thì hơi phí, vì thực ra mình không cần caching.

Hic... Không lẽ chẳng có cách nào match URL mà chỉ cần dùng netfilter/iptables :?smilie smilie
[Up] [Print Copy]
  [Question]   Re: Hỏi: Có cách nào match dựa trên URL trong iptable? 01/10/2006 20:30:42 (+0700) | #6 | 27049
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Đầu Đất wrote:

novsf wrote:
Bạn nên thử cái này.
http://www.squid-cache.org/

và cái này
http://www.ibiblio.org/pub/linux/docs/HOWTO/TransparentProxy
 


Cảm ơn novsf, nhưng cài squid chỉ để giải quyết việc này thì hơi phí, vì thực ra mình không cần caching.

Hic... Không lẽ chẳng có cách nào match URL mà chỉ cần dùng netfilter/iptables :?smilie smilie
 


Hello ĐĐ,

iptables / netfilter làm việc hoàn toàn trên IP layer. Bởi thế, những gì thuộc URL (application layer), iptables sẽ không đảm nhiệm. Một khi nói đến URL thì có nghĩa packet stream đó đã được máy chủ nhận đầy đủ và gắn lại hoàn chỉnh. Trong khi đó, iptables / netfilter làm việc dựa trên mỗi ip packet (state, size, flags..) của chúng.

Giải pháp cho đòi hỏi của bồ cần đụng đến Level 7 (OSI). Đối với iptables / netfilter, các packets được nhận sẽ chuyển đến QUEUE và một bộ phận khác đảm nhiệm việc phân tích, xử lý các gói tin ở tầng này. Lý do iptables / netfilter không có những ứng dụng ở tầng này vì những kèm theo những "trách nhiệm" như thế sẽ làm iptables / netfilter cực kỳ trì trệ.

Có hai giải pháp chính cho bồ (nếu bồ dùng Linux) là:
- dùng squid nhưng không cần cache trên squid (cái này điều chỉnh hoàn toàn được trên squid)
- dùng L7-filter:
http://l7-filter.sourceforge.net/HOWTO

Với nhu cầu của bồ, bồ nên dùng squid vì ACL của squid linh động hơn (bồ có thể dùng regex trên ACL của squid).

Trên iptables, bồ cũng có thể dùng STRING match nhưng tớ không nghĩ đây là giải pháp tốt vì:
- dễ bị false positive
- thiết lập rule cho string match phải đòi hỏi phân tích gói tin một cách kỹ lưỡng để tạo rule thích hợp nhất (không thì sẽ làm trì trệ iptables và có thể dẫn đến kernel bị crash).

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|