Bonjour.
 
Je souhaite pouvoir bloquer toute communication vers des domaines et/ou sous-domaines entiers d'internet.
Cela en utilisant des caractère génériques.
 
J'ai bien tenté via le fichier host.
Mais il ne prend pas en compte les caractères génériques.
Bloquer *.facebook.com ne va pas bloquer www.facebook.com
 
J'ai ensuite tenté dans mon pare-feu COMODO.
Si le filtrage du web fonctionne comme je le veut cela ne bloque pas TOUT.
Un filtrage de *.facebook.* bloque tout les sites web dans mes navigateurs mais laisse la porte grande ouverte au reste notamment quand je teste avec un ping.
 
Or je voudrais bloquer toute communication IP avec certains domaines.
Savez-vous comment faire ?
 
 
EDIT :
Je prend facebook comme exemple mais cela peut être bing.com, live.com, google.com, DoubleClick et autre régie de pub

il faudrait sans doute un proxy ou un routeur avec du filtrage.
Sinon il faut faire site par site, ca ne va pas être pratique

+1
C'est un boulot de proxy car ce serait trop fastidieux avec des règles de firewall.

Fastidieux.
C'est exactement le mot que je cherchais.
Je pense que le mieux serait au niveau de la résolution dns.
Le fichier host pourrait le faire mais comme déjà dit il ne prend pas les expression régulières.
Et je n'ai pas encore trouvé de pare-feu (testé celui de windows, de Comodo, de Nod32 et Kaspersky) qui bloque tout le trafic IP vers un nom ou qui bloquent la résolution dns.
Ils bloquent des IP voir des bloc d'IP ou des réseau maos pas des domaines au niveau ip.
Le blocage d'un domaine ne se fait qu'au niveau web.
 
 
J'ai un serveur 2008R2 (vraiment légal) et j'ai tenté dans le serveur dns.
J'ai voulu tenter une redirection de facebook.com vers 127.0.0.1 mais ce sont toutes les adresses en .com que j'ai bloqué.
(je pense qu'en fait j'ai déclaré sur mon réseau être le serveur maitre pour toute la zone .com et que la résolution pour les autres ne se faisait plus.)
 
Je pense qu'il y a vraiment une piste par le serveur DNS.
Mais d'un je ne sais pas si je peut faire un filtre sur *.facebook.* (ou *.toto.* c'est un exemple) et de deux je ne sais pas comment faire.

C'est faisable par le DNS mais ce n'est pas terrible.

Il faut pour cela un proxy linux.
J'ai pas hélas.
J'espérais un petit soft sous windows.

Tant qu'ils ne changent pas d'IP...
 

C'est aussi un élément du problème : les changements d'ip.
Avoir les ip à l'aide de whois pour ensuite les bloquer n'est "en théorie" pas si compliqué que ça.
Mais je pense aussi à d'autres trucs.
Le risque de sur-bloquage que je trouve dans mon cas plus important sur une ip (je veux bloquer mickey.com mais pas donald.com alors qu'ils sont sur la même ip).
Ainsi qu'indiqué plus haut le changement d'adresse ip. Et j'imagine que les changements de certain domaines peuvent être fréquents (ceux qui diffusent de la pub pour contourner les bloquage justement, ceux qui font de l'équilibrage de charge etc etc...)

Un autre paramètre (peut-être moins gènant) est les délais de mises à jour (nouvelles entrées ou modifications DNS, nouvelles IP, infos Whois, ...)

C'est quoi exactement le but ?
Tu as une société pour avoir un serveur 2008 r2 ?

Licence msdnaa lors de mes études.
Il me sert de serveur d'impression, dhcp, dns (je contourne les blocages des fai) accessoirement pour jouer de serveur de déploiement WDS (pour ça je suis obligé de faire contrôleur de domaine mais je me sers pas des fonctions du domaine).

Le but c'est de pouvoir bloquer à volonté des domaines.
Soit parce-que je les aimes pas (comme facebook) ou pour avoir un peu moins de pub en bloquant directement les régie de pub au niveau dns (doubleclick par exemple) et dont aussi être un peu moins suivis (bien que le total anonymat soit devenu bien plus illusoire et difficile)

une solution pourrait être d'installer hyperv et de mettre un proxy en VM.

Du coup, il y a surement des pare-feu sortants qui existent
Sur OSX, LittleSnitch fait exactement ça.
Par application ou pour tout le système, on peut brider des domaines, des ports, ...

Je n'ai fait que donner des exemples.
Comme indiqué le fichier host ne peut bloquer que des url et pas des domaines.
De plus beaucoup de logiciels autres que les navigateurs communiquent avec des régies de pub.
Pour cela je te laisse lire l'article dédié dans le dernier numéro de CanardPC hardware.
Les extensions comme ABP ne sont donc pas efficaces pour ces cas là.
 
Et je n'aime pas un filtre par ip trop de risque de surbloquage en cas de services multiples sur une même ip sous différents noms.
Sans compter le maintient à jour de la liste lors des changements d'ip des services.
 
Je pense de plus en plus que la solution viendrait par un blocage au niveau dns, je ne cherche pas non-plus un super blocage de barbu incontournable avec filtre par mot clef et dpi.
Cela aurait aussi pour avantage de le faire pour tout mon réseau en même temps et pas seulement pour les postes configurés.
Faut que je trouve comment.

si tu a du budget, : https://www.bluecoat.com/

Tu as déjà la solution, c'est installer un proxy. Le blocage DNS c'est crade et pas très efficace.