Proxy filtrant , ou opendns

ercflmnt

Salut,

quand on à pas de quoi virtualiser , ou installer une 2 éme machine, au lieu d'installer squidgard,squid, lightsquid et consors,
j'utilise opendns avec un compte qui me permet de valider des acl , hypersimple, avec white list et blacklist, il y a aussi
notification de demande de déblocage par email.

le filtrage est fait par le serveur dns d'opendns

eric

ccnet

On ne peut pas parler de filtrage avec OPenDNS. C'est une conception totalement erronée. Cette solution empêche d'accéder à certains sites selon des besoins identifiés. En aucune cas elle ne vous protège contre un code malveillant uploadé depuis un site licite mais compromis. DE plus cela ne vous protègera pas contre un css permanente un peu habile qui se passera de résolution dns.
Autre problème quid du passage de votre trafic par un serveur qui récupère tout …
Franchement ce n'est pas sérieux.

ercflmnt

je parle de opendns avec les régles de filtrage chez open dns  et un routeur pfsense .

vous connaissez bien opendns ?
créez  un compte et faites vos régles de filtrage de type squidgard chez opendns.

sinon opendns en tant que simple serveur dns n'est pas un filtrant, mais avec un compte oui

eric

ccnet

Vous n'avez manifestement pas intégré tout ce que l'on attend d'un filtrage du trafic web pour protéger les machines.

ercflmnt

la réponse me plait bien, donc squid , squidgard et lightsquid protégent de code malveillant ?
en développant , comment faire dans squid ou squidguard , je serai heureux de l'appliquer

vous répondez rapidement, car mon sujet était au départ comment éviter d'installer squid / squidgard sur un pfsense
ce que certains recommandent d'ailleurs, mais pour un quidam n'ayant qu'un simple pc, il me parait
plus simple de parmétrer un compte opendns ( dns filtrant) que d'acheter un 2éme pc..

merci

jdh

On peut interdire l'accès à certains sites en trichant sur la résolution dns.
C'est une interdiction totale et brutale (et ça ne me gène pas sur des sites pornos en entreprise, p.e.).
Mais c'est un "filtrage" brutal qui s'applique juste à des adresses ip !
Et les ip non stoppées ne subissent AUCUN contrôle !

Squid + SquidGuard peut réaliser un filtrage plus complet : filtrage de certaines partie d'un site, filtrage selon un utilisateur ou selon des horaires, …

Bien évidemment, la nature et les besoins très différents de ce filtrage justifie de ne pas installer cela sur un firewall.
(Et ceux qui le préconisent sont totalement inconscients !)

Les plus astucieux peuvent même ajouter un filtrage antiviral sur le filtrage Squid ...

Bref, il y a comme une différence entre propos ...