Jump to content
Калькуляторы

Linux под офисную НАТилку

Нужно под офисные нужды замутить шлюз в Интернет.

Поставил убунту 18.04, убрал fwd, воткнул iptables-persistent, настроил самый примитивный маскарад.

Будут какие нибудь рекомендации по тюнингу?

 

И самый главный вопрос - фильтрация траффика. Есть какие нибудь модули для iptables, чтобы вот просто тупо по SNI фильтровать https. Не надо никакой подмены сертификатов, и прочего гемора. Просто не пускать на определенные хосты по маске. Тоже самое для HTTP. Можно еще с логами.

 

ДА, я в курсе про Squid. ДА, я его пробовал ранее. Он слишком громоздкий и нестабильный для этих целей, ИМХО.

 

Нужна стабильно и шустро работающая штука вместо богопротивного MS ISA.

Share this post


Link to post
Share on other sites
8 минут назад, ShyLion сказал:

чтобы вот просто тупо по SNI фильтровать https

Из коробки по-моему ничего нет.

Есть extFilter, но это требует DPDK, соответствующих сетевых плат и достаточно мощное железо.

Есть nfqfilter, но автором более не поддерживается и не развивается.

 

А зачем в офисе фильтровать интернет?

В офисе регуляция должна быть административной, а не технической.

Share this post


Link to post
Share on other sites
7 minutes ago, alibek said:

А зачем в офисе фильтровать интернет?

В офисе регуляция должна быть административной, а не технической.

Коллега, я эти фразы сам всегда всем говорю.

Но вот я 100% знаю что не каждого начальника такие формулировки удовлетворяют.

Тем более что бывает другая задача - пускать только на определенные хосты, на couldflare и прочих амазонах, по IP не фильтрануть.

Share this post


Link to post
Share on other sites
41 minutes ago, alibek said:

Есть extFilter, но это требует DPDK, соответствующих сетевых плат и достаточно мощное железо.

 

Если траффик скажем до 100 мегабит, на виртуалке не взлетит?

Share this post


Link to post
Share on other sites

extFilter похоже на списки РКН заточено, мне бы более избирательно

Share this post


Link to post
Share on other sites
3 часа назад, ShyLion сказал:

Есть какие нибудь модули для iptables, чтобы вот просто тупо по SNI фильтровать https.

Стрингом его матчи. Имя домена в ответе https чуть-ли не единственное, что нешифрованное идет.

 

Только не поможет нифига. На переадресацию клиент пойдет и ай сразу. Почему - спроси у УткаУтка: iptables sni. Есть хорошо разжеванные ответы прям на первой странице поиска. Ну и, деградация производительности будет очень-очень заметной, ибо в большей части трафика будут строки искаться.

Share this post


Link to post
Share on other sites

MS ISA сдохла уже давно.

Просадок производительности в офисе быть не должно, нынче даже жалкие армы и те могучие стали.

 

5 часов назад, snvoronkov сказал:

Ну и, деградация производительности будет очень-очень заметной, ибо в большей части трафика будут строки искаться.

Так матчить по всей TCP сессии смысла нет, хватит и первые 4кб, с запасом.

Share this post


Link to post
Share on other sites
6 hours ago, Ivan_83 said:

MS ISA сдохла уже давно.

Просадок производительности в офисе быть не должно, нынче даже жалкие армы и те могучие стали.

 

Так матчить по всей TCP сессии смысла нет, хватит и первые 4кб, с запасом.

как матчить только первые 4К tcp потока?

Share this post


Link to post
Share on other sites

Накорябать ядерный модуль - всегда срабатывает :)

Share this post


Link to post
Share on other sites

простых решений для матчинга по SNI нет. как написали выше - нужно ковыряться во всяких nfqfilter и extfilter

Share this post


Link to post
Share on other sites
On 18.09.2018 at 3:31 PM, ShyLion said:

Будут какие нибудь рекомендации по тюнингу?

А какая загрузка процессора?

Share this post


Link to post
Share on other sites

Так некротик же, кагбы ,умеет матчить по регексп? Сразу скажу, что я этот вопрос не изучал детально.

Share this post


Link to post
Share on other sites

Умеет.

Но это поиграться (как и многое другое в MT), в работе этим лучше не пользоваться.

Share this post


Link to post
Share on other sites
В 18.09.2018 в 15:31, ShyLion сказал:

Нужна стабильно и шустро работающая штука вместо богопротивного MS ISA.

Kerio Control какой-нибудь.

Share this post


Link to post
Share on other sites
12 hours ago, Totoshka said:

Kerio Control какой-нибудь.

Хочется open-source, открытую платформу, а не черный ящик.

Share this post


Link to post
Share on other sites
2 часа назад, ShyLion сказал:

Хочется open-source, открытую платформу, а не черный ящик.

 pfsense уже предлагали?

1 час назад, alibek сказал:

Vyatta

Разве ещё не разложилась?

Share this post


Link to post
Share on other sites
Только что, Totoshka сказал:

Разве ещё не разложилась?

В чистом виде я ей никогда не пользовался, а в Ubiquiti EdgeRouter отлично работает.

Share this post


Link to post
Share on other sites
20 часов назад, Totoshka сказал:

Kerio Control какой-нибудь.

Ты бы ещё WinRoute или трафик инспектор предложил.

 

7 часов назад, ShyLion сказал:

Хочется open-source, открытую платформу, а не черный ящик.

PFsence, OpenWRT, и ещё какие то на линухах есть.

Share this post


Link to post
Share on other sites
8 hours ago, alibek said:

Vyatta

 

6 hours ago, Totoshka said:

pfsense

 

1 hour ago, Ivan_83 said:

OpenWRT

В этом всем есть то, чего я хочу в первом посте про фильтрацию HTTP/HTTPS(SNI)?

 

Тупо натилку-то я запилил на обычной убунте, accel_ppptd и strongswan ikev2 поднял.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now