Перейти к содержимому
Калькуляторы

Linux под офисную НАТилку

Нужно под офисные нужды замутить шлюз в Интернет.

Поставил убунту 18.04, убрал fwd, воткнул iptables-persistent, настроил самый примитивный маскарад.

Будут какие нибудь рекомендации по тюнингу?

 

И самый главный вопрос - фильтрация траффика. Есть какие нибудь модули для iptables, чтобы вот просто тупо по SNI фильтровать https. Не надо никакой подмены сертификатов, и прочего гемора. Просто не пускать на определенные хосты по маске. Тоже самое для HTTP. Можно еще с логами.

 

ДА, я в курсе про Squid. ДА, я его пробовал ранее. Он слишком громоздкий и нестабильный для этих целей, ИМХО.

 

Нужна стабильно и шустро работающая штука вместо богопротивного MS ISA.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 минут назад, ShyLion сказал:

чтобы вот просто тупо по SNI фильтровать https

Из коробки по-моему ничего нет.

Есть extFilter, но это требует DPDK, соответствующих сетевых плат и достаточно мощное железо.

Есть nfqfilter, но автором более не поддерживается и не развивается.

 

А зачем в офисе фильтровать интернет?

В офисе регуляция должна быть административной, а не технической.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 minutes ago, alibek said:

А зачем в офисе фильтровать интернет?

В офисе регуляция должна быть административной, а не технической.

Коллега, я эти фразы сам всегда всем говорю.

Но вот я 100% знаю что не каждого начальника такие формулировки удовлетворяют.

Тем более что бывает другая задача - пускать только на определенные хосты, на couldflare и прочих амазонах, по IP не фильтрануть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

41 minutes ago, alibek said:

Есть extFilter, но это требует DPDK, соответствующих сетевых плат и достаточно мощное железо.

 

Если траффик скажем до 100 мегабит, на виртуалке не взлетит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

extFilter похоже на списки РКН заточено, мне бы более избирательно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, но никто не мешает файлы готовить под фильтр руками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, ShyLion сказал:

Есть какие нибудь модули для iptables, чтобы вот просто тупо по SNI фильтровать https.

Стрингом его матчи. Имя домена в ответе https чуть-ли не единственное, что нешифрованное идет.

 

Только не поможет нифига. На переадресацию клиент пойдет и ай сразу. Почему - спроси у УткаУтка: iptables sni. Есть хорошо разжеванные ответы прям на первой странице поиска. Ну и, деградация производительности будет очень-очень заметной, ибо в большей части трафика будут строки искаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

MS ISA сдохла уже давно.

Просадок производительности в офисе быть не должно, нынче даже жалкие армы и те могучие стали.

 

5 часов назад, snvoronkov сказал:

Ну и, деградация производительности будет очень-очень заметной, ибо в большей части трафика будут строки искаться.

Так матчить по всей TCP сессии смысла нет, хватит и первые 4кб, с запасом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 hours ago, Ivan_83 said:

MS ISA сдохла уже давно.

Просадок производительности в офисе быть не должно, нынче даже жалкие армы и те могучие стали.

 

Так матчить по всей TCP сессии смысла нет, хватит и первые 4кб, с запасом.

как матчить только первые 4К tcp потока?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Накорябать ядерный модуль - всегда срабатывает :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

простых решений для матчинга по SNI нет. как написали выше - нужно ковыряться во всяких nfqfilter и extfilter

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 18.09.2018 at 3:31 PM, ShyLion said:

Будут какие нибудь рекомендации по тюнингу?

А какая загрузка процессора?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так некротик же, кагбы ,умеет матчить по регексп? Сразу скажу, что я этот вопрос не изучал детально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Умеет.

Но это поиграться (как и многое другое в MT), в работе этим лучше не пользоваться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 18.09.2018 в 15:31, ShyLion сказал:

Нужна стабильно и шустро работающая штука вместо богопротивного MS ISA.

Kerio Control какой-нибудь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 hours ago, Totoshka said:

Kerio Control какой-нибудь.

Хочется open-source, открытую платформу, а не черный ящик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, ShyLion сказал:

Хочется open-source, открытую платформу, а не черный ящик.

 pfsense уже предлагали?

1 час назад, alibek сказал:

Vyatta

Разве ещё не разложилась?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, Totoshka сказал:

Разве ещё не разложилась?

В чистом виде я ей никогда не пользовался, а в Ubiquiti EdgeRouter отлично работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 часов назад, Totoshka сказал:

Kerio Control какой-нибудь.

Ты бы ещё WinRoute или трафик инспектор предложил.

 

7 часов назад, ShyLion сказал:

Хочется open-source, открытую платформу, а не черный ящик.

PFsence, OpenWRT, и ещё какие то на линухах есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 hours ago, alibek said:

Vyatta

 

6 hours ago, Totoshka said:

pfsense

 

1 hour ago, Ivan_83 said:

OpenWRT

В этом всем есть то, чего я хочу в первом посте про фильтрацию HTTP/HTTPS(SNI)?

 

Тупо натилку-то я запилил на обычной убунте, accel_ppptd и strongswan ikev2 поднял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 18.09.2018 в 15:31, ShyLion сказал:

И самый главный вопрос - фильтрация траффика. Есть какие нибудь модули для iptables, чтобы вот просто тупо по SNI фильтровать https. Не надо никакой подмены сертификатов, и прочего гемора. Просто не пускать на определенные хосты по маске. Тоже самое для HTTP. Можно еще с логами.

 

https://github.com/Lochnair/xt_tls/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, vurd сказал:

Блин, усраться какая мегакрутая штука!

Спасибо!

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 минут назад, sol сказал:

Блин, усраться какая мегакрутая штука!

Спасибо!

 

 

Пицот!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.