ShyLion Posted September 18, 2018 · Report post Нужно под офисные нужды замутить шлюз в Интернет. Поставил убунту 18.04, убрал fwd, воткнул iptables-persistent, настроил самый примитивный маскарад. Будут какие нибудь рекомендации по тюнингу? И самый главный вопрос - фильтрация траффика. Есть какие нибудь модули для iptables, чтобы вот просто тупо по SNI фильтровать https. Не надо никакой подмены сертификатов, и прочего гемора. Просто не пускать на определенные хосты по маске. Тоже самое для HTTP. Можно еще с логами. ДА, я в курсе про Squid. ДА, я его пробовал ранее. Он слишком громоздкий и нестабильный для этих целей, ИМХО. Нужна стабильно и шустро работающая штука вместо богопротивного MS ISA. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted September 18, 2018 · Report post 8 минут назад, ShyLion сказал: чтобы вот просто тупо по SNI фильтровать https Из коробки по-моему ничего нет. Есть extFilter, но это требует DPDK, соответствующих сетевых плат и достаточно мощное железо. Есть nfqfilter, но автором более не поддерживается и не развивается. А зачем в офисе фильтровать интернет? В офисе регуляция должна быть административной, а не технической. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted September 18, 2018 · Report post 7 minutes ago, alibek said: А зачем в офисе фильтровать интернет? В офисе регуляция должна быть административной, а не технической. Коллега, я эти фразы сам всегда всем говорю. Но вот я 100% знаю что не каждого начальника такие формулировки удовлетворяют. Тем более что бывает другая задача - пускать только на определенные хосты, на couldflare и прочих амазонах, по IP не фильтрануть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted September 18, 2018 · Report post 41 minutes ago, alibek said: Есть extFilter, но это требует DPDK, соответствующих сетевых плат и достаточно мощное железо. Если траффик скажем до 100 мегабит, на виртуалке не взлетит? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted September 18, 2018 · Report post extFilter похоже на списки РКН заточено, мне бы более избирательно Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted September 18, 2018 · Report post Да, но никто не мешает файлы готовить под фильтр руками. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted September 18, 2018 · Report post 3 часа назад, ShyLion сказал: Есть какие нибудь модули для iptables, чтобы вот просто тупо по SNI фильтровать https. Стрингом его матчи. Имя домена в ответе https чуть-ли не единственное, что нешифрованное идет. Только не поможет нифига. На переадресацию клиент пойдет и ай сразу. Почему - спроси у УткаУтка: iptables sni. Есть хорошо разжеванные ответы прям на первой странице поиска. Ну и, деградация производительности будет очень-очень заметной, ибо в большей части трафика будут строки искаться. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted September 18, 2018 · Report post MS ISA сдохла уже давно. Просадок производительности в офисе быть не должно, нынче даже жалкие армы и те могучие стали. 5 часов назад, snvoronkov сказал: Ну и, деградация производительности будет очень-очень заметной, ибо в большей части трафика будут строки искаться. Так матчить по всей TCP сессии смысла нет, хватит и первые 4кб, с запасом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted September 19, 2018 · Report post 6 hours ago, Ivan_83 said: MS ISA сдохла уже давно. Просадок производительности в офисе быть не должно, нынче даже жалкие армы и те могучие стали. Так матчить по всей TCP сессии смысла нет, хватит и первые 4кб, с запасом. как матчить только первые 4К tcp потока? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted September 19, 2018 · Report post Накорябать ядерный модуль - всегда срабатывает :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted September 19, 2018 · Report post простых решений для матчинга по SNI нет. как написали выше - нужно ковыряться во всяких nfqfilter и extfilter Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
petro_drozd Posted September 22, 2018 · Report post On 18.09.2018 at 3:31 PM, ShyLion said: Будут какие нибудь рекомендации по тюнингу? А какая загрузка процессора? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
andryas Posted September 22, 2018 · Report post Так некротик же, кагбы ,умеет матчить по регексп? Сразу скажу, что я этот вопрос не изучал детально. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted September 22, 2018 · Report post Умеет. Но это поиграться (как и многое другое в MT), в работе этим лучше не пользоваться. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Totoshka Posted September 24, 2018 · Report post В 18.09.2018 в 15:31, ShyLion сказал: Нужна стабильно и шустро работающая штука вместо богопротивного MS ISA. Kerio Control какой-нибудь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted September 25, 2018 · Report post 12 hours ago, Totoshka said: Kerio Control какой-нибудь. Хочется open-source, открытую платформу, а не черный ящик. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted September 25, 2018 · Report post Vyatta Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Totoshka Posted September 25, 2018 · Report post 2 часа назад, ShyLion сказал: Хочется open-source, открытую платформу, а не черный ящик. pfsense уже предлагали? 1 час назад, alibek сказал: Vyatta Разве ещё не разложилась? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted September 25, 2018 · Report post Только что, Totoshka сказал: Разве ещё не разложилась? В чистом виде я ей никогда не пользовался, а в Ubiquiti EdgeRouter отлично работает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted September 25, 2018 · Report post 20 часов назад, Totoshka сказал: Kerio Control какой-нибудь. Ты бы ещё WinRoute или трафик инспектор предложил. 7 часов назад, ShyLion сказал: Хочется open-source, открытую платформу, а не черный ящик. PFsence, OpenWRT, и ещё какие то на линухах есть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted September 25, 2018 · Report post 8 hours ago, alibek said: Vyatta 6 hours ago, Totoshka said: pfsense 1 hour ago, Ivan_83 said: OpenWRT В этом всем есть то, чего я хочу в первом посте про фильтрацию HTTP/HTTPS(SNI)? Тупо натилку-то я запилил на обычной убунте, accel_ppptd и strongswan ikev2 поднял. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted September 25, 2018 · Report post Разумеется нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted March 26, 2021 · Report post В 18.09.2018 в 15:31, ShyLion сказал: И самый главный вопрос - фильтрация траффика. Есть какие нибудь модули для iptables, чтобы вот просто тупо по SNI фильтровать https. Не надо никакой подмены сертификатов, и прочего гемора. Просто не пускать на определенные хосты по маске. Тоже самое для HTTP. Можно еще с логами. https://github.com/Lochnair/xt_tls/ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sol Posted March 26, 2021 · Report post 1 час назад, vurd сказал: https://github.com/Lochnair/xt_tls/ Блин, усраться какая мегакрутая штука! Спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted March 26, 2021 · Report post 7 минут назад, sol сказал: Блин, усраться какая мегакрутая штука! Спасибо! Пицот! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...