Jump to content
Калькуляторы

Linux под офисную НАТилку

Нужно под офисные нужды замутить шлюз в Интернет.

Поставил убунту 18.04, убрал fwd, воткнул iptables-persistent, настроил самый примитивный маскарад.

Будут какие нибудь рекомендации по тюнингу?

 

И самый главный вопрос - фильтрация траффика. Есть какие нибудь модули для iptables, чтобы вот просто тупо по SNI фильтровать https. Не надо никакой подмены сертификатов, и прочего гемора. Просто не пускать на определенные хосты по маске. Тоже самое для HTTP. Можно еще с логами.

 

ДА, я в курсе про Squid. ДА, я его пробовал ранее. Он слишком громоздкий и нестабильный для этих целей, ИМХО.

 

Нужна стабильно и шустро работающая штука вместо богопротивного MS ISA.

Share this post


Link to post
Share on other sites

8 минут назад, ShyLion сказал:

чтобы вот просто тупо по SNI фильтровать https

Из коробки по-моему ничего нет.

Есть extFilter, но это требует DPDK, соответствующих сетевых плат и достаточно мощное железо.

Есть nfqfilter, но автором более не поддерживается и не развивается.

 

А зачем в офисе фильтровать интернет?

В офисе регуляция должна быть административной, а не технической.

Share this post


Link to post
Share on other sites

7 minutes ago, alibek said:

А зачем в офисе фильтровать интернет?

В офисе регуляция должна быть административной, а не технической.

Коллега, я эти фразы сам всегда всем говорю.

Но вот я 100% знаю что не каждого начальника такие формулировки удовлетворяют.

Тем более что бывает другая задача - пускать только на определенные хосты, на couldflare и прочих амазонах, по IP не фильтрануть.

Share this post


Link to post
Share on other sites

41 minutes ago, alibek said:

Есть extFilter, но это требует DPDK, соответствующих сетевых плат и достаточно мощное железо.

 

Если траффик скажем до 100 мегабит, на виртуалке не взлетит?

Share this post


Link to post
Share on other sites

3 часа назад, ShyLion сказал:

Есть какие нибудь модули для iptables, чтобы вот просто тупо по SNI фильтровать https.

Стрингом его матчи. Имя домена в ответе https чуть-ли не единственное, что нешифрованное идет.

 

Только не поможет нифига. На переадресацию клиент пойдет и ай сразу. Почему - спроси у УткаУтка: iptables sni. Есть хорошо разжеванные ответы прям на первой странице поиска. Ну и, деградация производительности будет очень-очень заметной, ибо в большей части трафика будут строки искаться.

Share this post


Link to post
Share on other sites

MS ISA сдохла уже давно.

Просадок производительности в офисе быть не должно, нынче даже жалкие армы и те могучие стали.

 

5 часов назад, snvoronkov сказал:

Ну и, деградация производительности будет очень-очень заметной, ибо в большей части трафика будут строки искаться.

Так матчить по всей TCP сессии смысла нет, хватит и первые 4кб, с запасом.

Share this post


Link to post
Share on other sites

6 hours ago, Ivan_83 said:

MS ISA сдохла уже давно.

Просадок производительности в офисе быть не должно, нынче даже жалкие армы и те могучие стали.

 

Так матчить по всей TCP сессии смысла нет, хватит и первые 4кб, с запасом.

как матчить только первые 4К tcp потока?

Share this post


Link to post
Share on other sites

Так некротик же, кагбы ,умеет матчить по регексп? Сразу скажу, что я этот вопрос не изучал детально.

Share this post


Link to post
Share on other sites

В 18.09.2018 в 15:31, ShyLion сказал:

Нужна стабильно и шустро работающая штука вместо богопротивного MS ISA.

Kerio Control какой-нибудь.

Share this post


Link to post
Share on other sites

2 часа назад, ShyLion сказал:

Хочется open-source, открытую платформу, а не черный ящик.

 pfsense уже предлагали?

1 час назад, alibek сказал:

Vyatta

Разве ещё не разложилась?

Share this post


Link to post
Share on other sites

Только что, Totoshka сказал:

Разве ещё не разложилась?

В чистом виде я ей никогда не пользовался, а в Ubiquiti EdgeRouter отлично работает.

Share this post


Link to post
Share on other sites

20 часов назад, Totoshka сказал:

Kerio Control какой-нибудь.

Ты бы ещё WinRoute или трафик инспектор предложил.

 

7 часов назад, ShyLion сказал:

Хочется open-source, открытую платформу, а не черный ящик.

PFsence, OpenWRT, и ещё какие то на линухах есть.

Share this post


Link to post
Share on other sites

8 hours ago, alibek said:

Vyatta

 

6 hours ago, Totoshka said:

pfsense

 

1 hour ago, Ivan_83 said:

OpenWRT

В этом всем есть то, чего я хочу в первом посте про фильтрацию HTTP/HTTPS(SNI)?

 

Тупо натилку-то я запилил на обычной убунте, accel_ppptd и strongswan ikev2 поднял.

Share this post


Link to post
Share on other sites

В 18.09.2018 в 15:31, ShyLion сказал:

И самый главный вопрос - фильтрация траффика. Есть какие нибудь модули для iptables, чтобы вот просто тупо по SNI фильтровать https. Не надо никакой подмены сертификатов, и прочего гемора. Просто не пускать на определенные хосты по маске. Тоже самое для HTTP. Можно еще с логами.

 

https://github.com/Lochnair/xt_tls/

Share this post


Link to post
Share on other sites

1 час назад, vurd сказал:

Блин, усраться какая мегакрутая штука!

Спасибо!

 

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.