ShyLion Опубликовано 18 сентября, 2018 · Жалоба Нужно под офисные нужды замутить шлюз в Интернет. Поставил убунту 18.04, убрал fwd, воткнул iptables-persistent, настроил самый примитивный маскарад. Будут какие нибудь рекомендации по тюнингу? И самый главный вопрос - фильтрация траффика. Есть какие нибудь модули для iptables, чтобы вот просто тупо по SNI фильтровать https. Не надо никакой подмены сертификатов, и прочего гемора. Просто не пускать на определенные хосты по маске. Тоже самое для HTTP. Можно еще с логами. ДА, я в курсе про Squid. ДА, я его пробовал ранее. Он слишком громоздкий и нестабильный для этих целей, ИМХО. Нужна стабильно и шустро работающая штука вместо богопротивного MS ISA. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 18 сентября, 2018 · Жалоба 8 минут назад, ShyLion сказал: чтобы вот просто тупо по SNI фильтровать https Из коробки по-моему ничего нет. Есть extFilter, но это требует DPDK, соответствующих сетевых плат и достаточно мощное железо. Есть nfqfilter, но автором более не поддерживается и не развивается. А зачем в офисе фильтровать интернет? В офисе регуляция должна быть административной, а не технической. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 18 сентября, 2018 · Жалоба 7 minutes ago, alibek said: А зачем в офисе фильтровать интернет? В офисе регуляция должна быть административной, а не технической. Коллега, я эти фразы сам всегда всем говорю. Но вот я 100% знаю что не каждого начальника такие формулировки удовлетворяют. Тем более что бывает другая задача - пускать только на определенные хосты, на couldflare и прочих амазонах, по IP не фильтрануть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 18 сентября, 2018 · Жалоба 41 minutes ago, alibek said: Есть extFilter, но это требует DPDK, соответствующих сетевых плат и достаточно мощное железо. Если траффик скажем до 100 мегабит, на виртуалке не взлетит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 18 сентября, 2018 · Жалоба extFilter похоже на списки РКН заточено, мне бы более избирательно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 18 сентября, 2018 · Жалоба Да, но никто не мешает файлы готовить под фильтр руками. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 18 сентября, 2018 · Жалоба 3 часа назад, ShyLion сказал: Есть какие нибудь модули для iptables, чтобы вот просто тупо по SNI фильтровать https. Стрингом его матчи. Имя домена в ответе https чуть-ли не единственное, что нешифрованное идет. Только не поможет нифига. На переадресацию клиент пойдет и ай сразу. Почему - спроси у УткаУтка: iptables sni. Есть хорошо разжеванные ответы прям на первой странице поиска. Ну и, деградация производительности будет очень-очень заметной, ибо в большей части трафика будут строки искаться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 18 сентября, 2018 · Жалоба MS ISA сдохла уже давно. Просадок производительности в офисе быть не должно, нынче даже жалкие армы и те могучие стали. 5 часов назад, snvoronkov сказал: Ну и, деградация производительности будет очень-очень заметной, ибо в большей части трафика будут строки искаться. Так матчить по всей TCP сессии смысла нет, хватит и первые 4кб, с запасом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 19 сентября, 2018 · Жалоба 6 hours ago, Ivan_83 said: MS ISA сдохла уже давно. Просадок производительности в офисе быть не должно, нынче даже жалкие армы и те могучие стали. Так матчить по всей TCP сессии смысла нет, хватит и первые 4кб, с запасом. как матчить только первые 4К tcp потока? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 19 сентября, 2018 · Жалоба Накорябать ядерный модуль - всегда срабатывает :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 19 сентября, 2018 · Жалоба простых решений для матчинга по SNI нет. как написали выше - нужно ковыряться во всяких nfqfilter и extfilter Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
petro_drozd Опубликовано 22 сентября, 2018 · Жалоба On 18.09.2018 at 3:31 PM, ShyLion said: Будут какие нибудь рекомендации по тюнингу? А какая загрузка процессора? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 22 сентября, 2018 · Жалоба Так некротик же, кагбы ,умеет матчить по регексп? Сразу скажу, что я этот вопрос не изучал детально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 22 сентября, 2018 · Жалоба Умеет. Но это поиграться (как и многое другое в MT), в работе этим лучше не пользоваться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Totoshka Опубликовано 24 сентября, 2018 · Жалоба В 18.09.2018 в 15:31, ShyLion сказал: Нужна стабильно и шустро работающая штука вместо богопротивного MS ISA. Kerio Control какой-нибудь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 25 сентября, 2018 · Жалоба 12 hours ago, Totoshka said: Kerio Control какой-нибудь. Хочется open-source, открытую платформу, а не черный ящик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 25 сентября, 2018 · Жалоба Vyatta Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Totoshka Опубликовано 25 сентября, 2018 · Жалоба 2 часа назад, ShyLion сказал: Хочется open-source, открытую платформу, а не черный ящик. pfsense уже предлагали? 1 час назад, alibek сказал: Vyatta Разве ещё не разложилась? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 25 сентября, 2018 · Жалоба Только что, Totoshka сказал: Разве ещё не разложилась? В чистом виде я ей никогда не пользовался, а в Ubiquiti EdgeRouter отлично работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 25 сентября, 2018 · Жалоба 20 часов назад, Totoshka сказал: Kerio Control какой-нибудь. Ты бы ещё WinRoute или трафик инспектор предложил. 7 часов назад, ShyLion сказал: Хочется open-source, открытую платформу, а не черный ящик. PFsence, OpenWRT, и ещё какие то на линухах есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 25 сентября, 2018 · Жалоба 8 hours ago, alibek said: Vyatta 6 hours ago, Totoshka said: pfsense 1 hour ago, Ivan_83 said: OpenWRT В этом всем есть то, чего я хочу в первом посте про фильтрацию HTTP/HTTPS(SNI)? Тупо натилку-то я запилил на обычной убунте, accel_ppptd и strongswan ikev2 поднял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 25 сентября, 2018 · Жалоба Разумеется нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 26 марта, 2021 · Жалоба В 18.09.2018 в 15:31, ShyLion сказал: И самый главный вопрос - фильтрация траффика. Есть какие нибудь модули для iptables, чтобы вот просто тупо по SNI фильтровать https. Не надо никакой подмены сертификатов, и прочего гемора. Просто не пускать на определенные хосты по маске. Тоже самое для HTTP. Можно еще с логами. https://github.com/Lochnair/xt_tls/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 26 марта, 2021 · Жалоба 1 час назад, vurd сказал: https://github.com/Lochnair/xt_tls/ Блин, усраться какая мегакрутая штука! Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 26 марта, 2021 · Жалоба 7 минут назад, sol сказал: Блин, усраться какая мегакрутая штука! Спасибо! Пицот! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...