Iptables & serveurs de type akamai

Raum · Février 21, 2016, 8:00pm

Bonjour,

J’ai un petit souci… peut être auriez vous une idée à ce propos. En fait j’utilise une passerelle linux/debian avec un filtrage iptables. Dernièrement, j’ai voulu mettre en oeuvre des règles pour permettre la mise à jour du client de la beta de Elder Scroll Online. Par défaut, rien ne sort directement sur l’Internet, pas même vers le port 80. J’ai installé un proxy à cet effet. J’ai aussi installé un proxy socks mais le client de mise à jour (updater) ne supporte pas bien WideCap.

Je me retrouve donc à autoriser IP par IP les tentatives de connexion du client vers l’Internet. Je finis par y arriver mais c’est très contrariant. Bien évidemment, une capture sur les résolutions DNS devrait me permettre de gagner mais hélas les adresses IP changent d’une fois sur l’autre.

Je pensais utiliser le module “string” d’iptables mais j’ai des doutes… d’autres idées ?

Amicalement

Raum

PascalHambourg · Février 21, 2016, 8:00pm

La correspondance [mono]string[/mono] n’aidera pas : les informations de type nom du site ou URL ne se trouvent pas dans le premier paquet d’une connexion TCP. Ou alors il faudrait autoriser la connexion jusqu’à voir passer le texte recherché et la bloquer ensuite si cela ne correspond pas, mais ce n’est pas très propre. La cible REJECT ne peut fermer la connexion que du côté qui a émis le paquet rejeté (client ici, donc côté serveur la connexion restera ouverte et inactive).

Si c’est du HTTP non sécurisé, as-tu envisagé un proxy transparent ?

Sinon, il faut savoir comment fonctionne l’équilibrage de charge pour voir si une solution basée sur iptables est envisageable. Par exemple si l’équilibrage repose sur le DNS et si la résolution DNS renvoie toutes les adresses IP des miroirs dans un ordre différent à chaque requête, alors il devrait suffire de créer des règles iptables pour chaque adresse de la réponse DNS avec un petit script, éventuellement dans une tâche périodique cron pour les mettre à jour si le pool d’adresses IP change de temps en temps.

Raum · Février 21, 2016, 8:01pm

Hello

Alors effectivement le module “string” ne pourra pas m’aider.

Le proxy transparent, j’ai pas envie de voir n’importe quel programme Windows partir sur Internet… et quant à la résolution DNS, ce qui m’embête c’est que les serveurs renvoient des adresses différentes entre deux requêtes (pas systématiquement mais ça arrive souvent)

Bon je vais regarder de plus près…

PascalHambourg · Février 21, 2016, 8:01pm

Je ne vois pas le rapport. Il suffit de filtrer ce que le proxy autorise. “Transparent” ne veut pas dire qu’il laisse tout passer mais qu’on n’a pas besoin de configurer les postes clients pour l’utiliser explicitement.

haleth · Février 21, 2016, 8:01pm

J’ai du mal à saisir le contexte de ton problème;

[quote]
Dernièrement, j’ai voulu mettre en oeuvre des règles pour permettre la mise à jour du client de la beta de Elder Scroll Online.[/quote]
Qui lance ce programme ? La gw, ou une machine derrière la gw ?

J’espère que tu ne fais ça qu’à titre personnel, n’est-ce pas ?
De plus, tu te rends peut-être compte de la frivolité de ce système : une énorme quantité de merde passe, de nos jours, par le port 80, en HTTP (en fait, l’identification du contenu par le port est grandement sujet à caution depuis que plein de gens bloquent tout sauf 80/443);
De fait, la merde que tu sembles vouloir contenir s’échapperait par ton proxy web;