Vous êtes ici : DansGuardian solution de Filtrage et contrôle web
Frédéric Bourgeois Rennes

DansGuardian solution de Filtrage et contrôle web

Dansguardian
DansGuardian est un formidable outil de filtrage Web, redoutablement puissant il permet une gestion efficace des flux qui sortent de votre réseau. Je ne connais pas d'outil plus rapide* (et moins consommateur en ressource). En comparaison sur un proxy avec des milliers d'utilisateurs même SquidGuard ressemble à une brouette pleine de terre avec la roue avant rouillée, et je ne vous parle pas de certains boitiers appliances soi-disant miraculeux...

Je ne vais pas revenir ici sur les meilleurs techniques de filtrages, il y a déjà de nombreux articles sur le net, mais sachez que d'expérience la liste blanche à ma préférence.

Cependant dans cette configuration Dansguardian à une limitation de taille, il est impossible d'appliquer un filtrage sur le nom de domaine.

Par exemple si on place free.fr en liste blanche, il est ensuite possible d'accéder à free.fr mais aussi à dl.free.fr, mail.free.fr ou à cequevousvoulez.free.fr.

Voici un extrait de la doc pour la blacklist (Comportement idem pour la white list):
  • foobar.org # disallow all hosts (at least 3) named
  • *.foobar.org, # regardless of whether or not they're in a subdomain
  • www.foobar.org # DON'T DO THIS, disallow only host www.foobar.org if accessed by that name, yet allow access by the shortcut name foobar.org
  • bake.foobar.org # disallow all hosts named *.bake.foobar.org
  • yuck.foobar.org # disallow all hosts (at least 2) named *.yuck.foobar.org
  • ick.yuck.foobar.org # disallow this specific host
  • bletch.yuck.foobar.org # disallow this specific host

  • Heureusement que dans cette vallée de larmes je suis là pour vous aider, car avec de l'astuce et de l'espièglerie il est possible de modifier le code source afin d'améliorer ce comportement, voir même de faire des choses très puissantes en terme de sécurité.

    * Il y a bien OpenDns mais ce n'est pas vraiment comparable en terme de fonctionnalités.

    Pour voir la suite lire les commentaires.

    Ecrit par Fredb le 08/05/2010 @ 10:55

    Tous les articles sur ce sujet


    Fredb a écrit le 11/05/2010 @ 11:10


    J'ai regardé en profondeur le comportement de Dansguardian, il fonctionne précisément de la manière suivante :

    1 - Il interdit tout (*) et désactive la lecture des blacklists -> Dans la configuration il est d'ailleurs obligatoire de mettre le filtrage avec *
    2 - Ensuite il autorise seulement la liste des domaines en liste blanche

    En théorie il est donc impossible de filtrer de nouveau après, car le filtrage est positionné avec * donc ça reviendrait à filtrer tout de nouveau.
    Pour tester ce comportement j'ai modifié le code source de Dansguardian, en ajoutant une étape 3 de filtrage, et effectivement plus rien ne passe.

    Toutefois en procédant à différentes modifications je me suis aperçu qu'il est possible d'ajouter en étape 3 le filtrage d'url via des expressions régulières

    Par ex:

    L'expression (c.voila.fr) bloque toutes les urls contenant c.voila.fr, ce qui filtre totalement le site en laissant toutefois l'accès libre à voila.fr ou bien www.voila.fr

    Il y a plusieurs problèmes à ce contournement:

    - Pas de gestion via une liste d'urls classiques, il est obligatoire d'avoir une syntaxe (simple) d'expression régulière par exemple (dl.free.fr)
    - Le filtrage s'applique dans toutes les urls contenant l'expression, même dans une recherche google, par ex la recherche c.voila.fr :http://www.google.fr/search?hl=fr&source=hp&q=c.voila.fr&aq=f&aqi=&aql=&oq=&gs_rfai=&emsg=NCSR&ei=dMfjS6a1Ns-G4gblmMT5Ag est bloquée
    - La maintenance logicielle, il faudra modifier systématiquement Dansguardian en cas de Màj
    - Une éventuelle baisse de performance difficile à analyser

    Avantages:

    - Filtre les sous domains, et autorise un filtrage des sous domaines malgré la grey list
    - Autorise le filtrage complexe par expression régulière par exemple:

    Cette expression interdit le filtrage des recherches suivantes dans googles images:
    (images.google){1,}.*(.jpg|.wmv|.mpg|.mpeg|.gif|.mov)

    Il suffit de passer en mode greylist et il devient possible de filtrer n'importe quoi, un objet, une expression, une url, un domaine ou bien un sous domaine ...

    Mon patch est disponible ICI il fonctionne avec la dernière version de DansGuardian - 2.10.1.1 -

    Ajouter un commentaire

    Mes projets :


    Mon Github


    e2guardian

    Tous les articles

    Copinage:


    Me payer un café ?

    Offer me a coffee ?


    Si vous utilisez régulièrement mes logiciels:
    - Vrrpd
    - Ftp-proxy
    - Livemamecab
    - DansGuardian
    - etc
    Vous pouvez participer à l'achat de café et à l'hébergement du site Vous n'avez pas besoin d'un compte Paypal pour faire un don.
    Like my work ? Donate !
    Easy with or without a PayPal account.


    Proverbe aléatoire à méditer, ou pas :
    Commit du soir, espoir. Build du matin, chagrin
    - [ Powered by du bricolage en PHP et du café | Thème : Light Blue par Vanquish ] -
    © Frédéric Bourgeois Rennes, tous droits réservés - Reproduction interdite.

    Administrer
    Attention les informations ne sont données qu'à titre indicatif (surtout le proverbe).