Filtrer un protocole maison avec pf

classic Classic list List threaded Threaded
2 messages Options
Reply | Threaded
Open this post in threaded view
|

Filtrer un protocole maison avec pf

Julien Reveret-4
Bonjour,

Un ami me pose une question assez simple mais à laquelle je n'ai pas
encore trouvé de réponse : "Est-ce que packet filter peut inspecter un
octet précis dans un paquet ?"

Il connait son protocole applicatif, l'octet qu'il veut vérifier se situe
toujours au même endroit. Il veut se servir de la valeur dudit octet pour
réaliser son filtrage.

Pour l'instant je n'ai pas trouvé d'autre solution que l'utilisation du
divert socket et d'un programme en userland pour réaliser l'opération.
Rassurez moi, il existe plus simple ? :)


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Filtrer un protocole maison avec pf

Laurent Cheylus
Bonjour,

On Mon, May 31, 2010 at 10:17:23AM +0200, Julien Reveret wrote:
> Un ami me pose une question assez simple mais à laquelle je n'ai pas
> encore trouvé de réponse : "Est-ce que packet filter peut inspecter un
> octet précis dans un paquet ?"
(...)
> Pour l'instant je n'ai pas trouvé d'autre solution que l'utilisation du
> divert socket et d'un programme en userland pour réaliser l'opération.
> Rassurez moi, il existe plus simple ? :)

Non, désolé pas de meilleure solution que celle que tu utilises (et
encore, heureusement que divert a été implementé récemment dans PF).

PF ne permet pas de faire d'analyse applicative et aux dernières
nouvelles, les devs ont toujours été opposés à ce type de
fonctionnalité.

Il faut soit utiliser un IDS type Snort avec une signature spécifique,
soit une implémentation adhoc à base de divert.

A++ Laurent

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php