[Tech] Controllare l'accesso alla rete dei singoli programmi

Marco Ermini marco.ermini@gmail.com
Mar 31 Maggio 2005 13:53:39 CEST


On 5/31/05, Leonardo Giacomelli <leonardo@firenze.linux.it> wrote:
> Marco Ermini wrote:
> [...]
> > Non puoi comunque nemmeno metterti a discriminare lo user-agent a
> > livello di "pacchetti" (e non vuoi: se io uso Internet Explorer o
> > Safari? mi blocchi? :-)
> 
> Si :-)

Cattivone :-)

> Con Squid. In squid.conf aggiungi:
> 
> acl msie browser ^Mozilla/4\.0.*MSIE.6\.0
> http_access deny msie
> 
> questa regola blocca l'accesso a tutti gli explorer 6.
> Ovviamente deve fare in modo che gli utenti non bypassino
> (scusate l'orrendo termine..) il proxy, oltre a dover
> installare quest'ultimo.

Infatti quello che dicevo io era proprio questo. Devi installare un
reverse proxy in modo da filtrare automaticamente il traffico. Il
fatto è che, se non installi una patch a netfilter, puoi filtrare solo
per porta, e quindi blocchi tutto il traffico HTTP che non vada su
porta 80 - il che fa un po' "onco", come si dice a Firenze ;-)

Invece se installi questa mitica patch, filtri per protocollo.

Comunque, il filtrare "per programma" rimane lo stesso un'illusione,
perché l'utente può benissimo cambiare user agent. In Vodafone a
Dusseldorf ti installano sul PC (Windows) un mini-proxy locale che
serve proprio a cambiare lo user agent a piacimento (serve a testare i
terminali). Con un siffatto programma, il tuo controllo sullo Squid è
solo un waste of CPU cycles ;-)


> Ciao,
> Leonardo


Ciao.
-- 
Marco Ermini
http://www.markoer.org
Dubium sapientiae initium. (Descartes)
root@human # mount -t life -o ro /dev/dna /genetic/research
<< This message is for the designated recipient only and may contain
privileged or confidential information. If you have received it in
error, please notify the sender immediately and delete the original.
Any other use of the email by you is prohibited. >>



Maggiori informazioni sulla lista flug-tech