Hello, j'ai lu avec passion l'ensemble des interventions de ce thread. Tout d'abord pour répondre a ta question, tu peux le developper le firewall HTTP mais en fait iptables avec la partie l7 et une base de signature protocolaire doit pouvoir faire ça. Y a plus qu'a creer un projet sur sourceforge et commencer a faire une IHM.
Sinon, il existe des produits commerciaux faisant cela tres bien, par exemple les Fortigate font de l'analyse protocolaire et te permettent de faire de la prioritisation de flux, du shapping global et/ou per-ip sur un sous-ensemble du HTTP. ca reconnait pas mal de produit merdeux qui s'encapsulent dans le HTTP et tu peux meme creer toi-meme des signatures supplementaires. Ensuite pour répondre a ton probleme de BP : Acheter des tuyaux au sens ISP du terme c'est souvent non realisable (4 mois de GC) et toujours hors de portée du budget surtout si tu n'as pas le budget d'un petit pays... Si tu fonctionne deja avec des liaisons grand pubic type machinbox a 30E, tu peux raccorder plusieurs de celle-ci a un Fortigate et faire ensuite de la repartition automatique ou pas de tes users sur les differents liens. Faire de la repartition par protocole aussi. Ok mon discours fait la part belle a cette marque mais je n'en connais pas beaucoup qui rivalise a ce niveau de prix, fonctionnalités, facilité d'emploi. Pour ceux qui liront, oui c'est absolument pas compliant avec la neutralité du net mais dans le monde actuel (les bisounours tournent sur une broche dans la cheminée des chefs d'états) le pragmatisme l'emporte souvent sur l'idealisme. My 2 cents sous la neige... Cordialement Le 24 novembre 2010 14:51, Rémy Sanchez <remy.sanc...@hyperthese.net> a écrit : > > Bonjour à tous, > > Les dernières tendances en terme de n'importe quoi consistent à faire passer > à peu près tout ce qu'on peut par du HTTP, à tel point qu'on a pratiquement > "remplacé" le TCP. Après tout, toutes les applications web passent par du > HTTP, or c'est plutôt vaste : distribution de contenu, messagerie > instantanée, flux vidéo, traitement de texte, ... Sans oublier toutes les > applications qui utilisent le HTTP (par exemple MSN) pour faire passer leur > protocole en environnement "restreint", ou carrément les tunnels. > > En bref, le port 80 est toujours ouvert, soit directement, soit à travers un > proxy. Et c'est la porte ouverte à toutes les fenêtres... En fin de compte, > serait-il cohérent d'imaginer une application analogue à un firewall, qui au > lieu de s'en prendre au TCP s'attaque directement au HTTP ? > > Ça y est je vois déjà tous les canons pointés en ma direction pour me > signaler qu'on a déjà des proxys, IDS et tout un tas de trucs dans le genre. > C'est d'ailleurs pour ça que je demande si l'idée est cohérente ou si c'est > du grand n'importe quoi. Cependant, je pense à des fonctionnalités qui m'ont > l'air difficile à configurer dans les outils pré-cités, comme par exemple > différencier les types de flux pour y assigner des priorités (long poll et > dérivées, page standard, gros fichier, accélérateur de téléchargements, > ...), reconnaître les sous protocoles (comme au dessus, MSN), reconnaître > les tunnels, s'en prendre aussi au HTTPS, ... En bref, pouvoir traiter tout > ce qui passe par du HTTP comme un flux TCP/IP avec un numéro de protocole et > un tag pour la QoS. > > Les outils que j'ai rencontré jusque là ne permettent pas de faire ça > simplement (Squid, pf, iptables pour ceux que j'ai vraiment utilisé), après > étant relativement novice en réseau j'ai assez peu touché aux autres outils > et aux appliances proprio, donc mon panorama est restreint. Donc qu'en > pensez vous, lecteurs avisés de FRnOG ? Un tel outil serait-il utile ? Pour > qui ? Qu'y verriez vous à l'intérieur ? Est-ce que j'ai complètement fumé la > moquette ? > > NDLR : l'idée ici est de débattre des fonctionnalités d'un tel produit, non > de la manière dont on pourrait les implémenter... > > Allez c'est parti pour une après midi à prendre des baffes :) > > -- > Rémy Sanchez > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
