Según mis conocimientos del tema, no hay módulos para netfilter/iptables que permitan analizar el tráfico a nivel 7 (aplicación), es decir, que miren dentro de la parte de datos de los paquetes UDP o TCP y averigüen los comandos, respuestas y otras particularidades del protocolo para detectarlos o actuar en consecuencia. Es decir, no puedes poner (por ejemplo) una regla que diga "deja pasar todo el tráfico HTTP saliente desde la red interna", porque con Linux no tienes manera de saber si dentro del paquete va HTTP o FTP, por ejemplo.
No es que sea imposible, de hecho algunos "helper" ya existentes de netfilter/iptables hacen algo parecido a esto para superar las limitaciones de ciertos protocolos (FTP, IRC) en presencia de NAT. Otra cosa es que nadie se haya puesto a ello :-). Y puede que no fuera _tan_ difícil hacerlo, aunque sea de manera parcial. Por ejemplo para el HTTP podría ser tan "fácil" como analizar todos los paquetes que pasen para ver si en la parte de datos hay "GET URL HTTP/1.x" y respuestas correspondientes al anterior paquete, usando las facilidades del "connection tracking".
Pero claro, del dicho al hecho hay un trecho, y yo no soy capaz de hacer el "hola mundo" en C, como para que mi opinión al respecto sea relevante.
[ Padre ]
|