Blokere bestemt browser via iptables.

Hej Ja det burde være muligt, men har ikke selv prøvet.
du skriver ikke om du allerede anvender L7 filter.
Men jeg tror du kan bruge dette, og få det til at matche på en regular expresion, nok en du selv skal konstrure.
Du kan kan se mere om L7 på: http://l7-filter.sourceforge.net/

Kjente ikke dette L7 filter, før jeg så det her, men det ser ut til å være en slaks apelication level eller multilevel firewall for Linux. Det ser ut som om den også forutsetter en rekompilering av Linux kernel for å få inn dette som tillegsfunksjonalitet.

Det vil ellers være meget interessant å se hva som kommer ut av det prosjektet.

Når det gjelder det å blokkere for spesielle browsere ved hjelp av et pakkefilter som iptables/netfilter, så kan det vel tenkes at det på en eller annen måte er mulig ved hjelp av "string inspection".

I forhold til den faktiske og praktiske virkelighet, det man kan få til "her og nu" på en rimelig enkel/nem måte, så tror jeg at svaret er at dette i praksis ikke lar seg gjøre. Det lar seg i hvert fall ikke gjør ved hjelp av de grunnfunksjonene som ligger i iptables.

Har man mye tid/penger/kunskaper så kan det nok helt sikkert la seg gjøre. Dette forutsettet at man har en spesialkernel med alle de mer spesialiserte firewalling funksjonene på plass. Floppyfw har disse som default: http://www.zelow.no/floppyfw/

Spørsmålet har sånn sett ikke noe helt klart svar, det kommer litt an på hvem som spør.

Langbein > Så du mener ikke at man kan blokere for pakker der indeholder en bestemt streng? Som fx.: MediaQueue ?

Ja, og nei. Med standard Linux kernel, nei vil jeg mene.

Med modifisert kernel for eksempel Floppyfw og god tid: Jo.

Det kommer vel litt an på hvor mange arbeidstimer man har til prosjektet og ellers erfaring og slikt.

Ut fra standard kernel og standard bruker: Nei

Med modifisert kernel og modifisert bruker: Jo :-)

http://www.netfilter.org/documentation/HOWTO//netfilter-extensions-HOWTO.html
http://www.netfilter.org/documentation/HOWTO//netfilter-extensions-HOWTO-3.html#ss3.18

Denne har som nevnt string inspection innebygget, hvis man ønsker å esperiemtere:
http://www.zelow.no/floppyfw/

Fikk den også til å boote fra en USB stick og da er man litt mindre restricted mht plass og slikt enn for en installasjon på floppy. Det ligger info på hjemmesiden deres om USB boot.