Linux под офисную НАТилку

[ShyLion]

Нужно под офисные нужды замутить шлюз в Интернет.

Поставил убунту 18.04, убрал fwd, воткнул iptables-persistent, настроил самый примитивный маскарад.

Будут какие нибудь рекомендации по тюнингу?

 

И самый главный вопрос - фильтрация траффика. Есть какие нибудь модули для iptables, чтобы вот просто тупо по SNI фильтровать https. Не надо никакой подмены сертификатов, и прочего гемора. Просто не пускать на определенные хосты по маске. Тоже самое для HTTP. Можно еще с логами.

 

ДА, я в курсе про Squid. ДА, я его пробовал ранее. Он слишком громоздкий и нестабильный для этих целей, ИМХО.

 

Нужна стабильно и шустро работающая штука вместо богопротивного MS ISA.

[alibek]

8 минут назад, ShyLion сказал:

чтобы вот просто тупо по SNI фильтровать https

Из коробки по-моему ничего нет.

Есть extFilter, но это требует DPDK, соответствующих сетевых плат и достаточно мощное железо.

Есть nfqfilter, но автором более не поддерживается и не развивается.

 

А зачем в офисе фильтровать интернет?

В офисе регуляция должна быть административной, а не технической.

[ShyLion]

7 minutes ago, alibek said:

А зачем в офисе фильтровать интернет?

В офисе регуляция должна быть административной, а не технической.

Коллега, я эти фразы сам всегда всем говорю.

Но вот я 100% знаю что не каждого начальника такие формулировки удовлетворяют.

Тем более что бывает другая задача - пускать только на определенные хосты, на couldflare и прочих амазонах, по IP не фильтрануть.

[ShyLion]

41 minutes ago, alibek said:

Есть extFilter, но это требует DPDK, соответствующих сетевых плат и достаточно мощное железо.

 

Если траффик скажем до 100 мегабит, на виртуалке не взлетит?

[ShyLion]

extFilter похоже на списки РКН заточено, мне бы более избирательно

[zhenya`]

Да, но никто не мешает файлы готовить под фильтр руками.

[snvoronkov]

3 часа назад, ShyLion сказал:

Есть какие нибудь модули для iptables, чтобы вот просто тупо по SNI фильтровать https.

Стрингом его матчи. Имя домена в ответе https чуть-ли не единственное, что нешифрованное идет.

 

Только не поможет нифига. На переадресацию клиент пойдет и ай сразу. Почему - спроси у УткаУтка: iptables sni. Есть хорошо разжеванные ответы прям на первой странице поиска. Ну и, деградация производительности будет очень-очень заметной, ибо в большей части трафика будут строки искаться.

[Ivan_83]

MS ISA сдохла уже давно.

Просадок производительности в офисе быть не должно, нынче даже жалкие армы и те могучие стали.

 

5 часов назад, snvoronkov сказал:

Ну и, деградация производительности будет очень-очень заметной, ибо в большей части трафика будут строки искаться.

Так матчить по всей TCP сессии смысла нет, хватит и первые 4кб, с запасом.

[ShyLion]

6 hours ago, Ivan_83 said:

MS ISA сдохла уже давно.

Просадок производительности в офисе быть не должно, нынче даже жалкие армы и те могучие стали.

 

Так матчить по всей TCP сессии смысла нет, хватит и первые 4кб, с запасом.

как матчить только первые 4К tcp потока?

[Ivan_83]

Накорябать ядерный модуль - всегда срабатывает :)

[s.lobanov]

простых решений для матчинга по SNI нет. как написали выше - нужно ковыряться во всяких nfqfilter и extfilter

[petro_drozd]

On 18.09.2018 at 3:31 PM, ShyLion said:

Будут какие нибудь рекомендации по тюнингу?

А какая загрузка процессора?

[andryas]

Так некротик же, кагбы ,умеет матчить по регексп? Сразу скажу, что я этот вопрос не изучал детально.

[alibek]

Умеет.

Но это поиграться (как и многое другое в MT), в работе этим лучше не пользоваться.

[Totoshka]

В 18.09.2018 в 15:31, ShyLion сказал:

Нужна стабильно и шустро работающая штука вместо богопротивного MS ISA.

Kerio Control какой-нибудь.

[ShyLion]

12 hours ago, Totoshka said:

Kerio Control какой-нибудь.

Хочется open-source, открытую платформу, а не черный ящик.

[alibek]

Vyatta

[Totoshka]

2 часа назад, ShyLion сказал:

Хочется open-source, открытую платформу, а не черный ящик.

 pfsense уже предлагали?

1 час назад, alibek сказал:

Vyatta

Разве ещё не разложилась?

[alibek]

Только что, Totoshka сказал:

Разве ещё не разложилась?

В чистом виде я ей никогда не пользовался, а в Ubiquiti EdgeRouter отлично работает.

[Ivan_83]

20 часов назад, Totoshka сказал:

Kerio Control какой-нибудь.

Ты бы ещё WinRoute или трафик инспектор предложил.

 

7 часов назад, ShyLion сказал:

Хочется open-source, открытую платформу, а не черный ящик.

PFsence, OpenWRT, и ещё какие то на линухах есть.

[ShyLion]

8 hours ago, alibek said:

Vyatta

 

6 hours ago, Totoshka said:

pfsense

 

1 hour ago, Ivan_83 said:

OpenWRT

В этом всем есть то, чего я хочу в первом посте про фильтрацию HTTP/HTTPS(SNI)?

 

Тупо натилку-то я запилил на обычной убунте, accel_ppptd и strongswan ikev2 поднял.

[alibek]

Разумеется нет.

[vurd]

В 18.09.2018 в 15:31, ShyLion сказал:

И самый главный вопрос - фильтрация траффика. Есть какие нибудь модули для iptables, чтобы вот просто тупо по SNI фильтровать https. Не надо никакой подмены сертификатов, и прочего гемора. Просто не пускать на определенные хосты по маске. Тоже самое для HTTP. Можно еще с логами.

 

https://github.com/Lochnair/xt_tls/

[sol]

1 час назад, vurd сказал:

https://github.com/Lochnair/xt_tls/

Блин, усраться какая мегакрутая штука!

Спасибо!

 

 

[vurd]

7 минут назад, sol сказал:

Блин, усраться какая мегакрутая штука!

Спасибо!

 

 

Пицот!