Прозрачная фильтрация трафика при подключении "в разрыв"

Question

[Игорь]

Есть некий компьютер. Он работает с инетом. Необходимо прозрачно цензурировать трафик.
Под «прозрачностью» имеется в виду: целевой компьютер не должен знать об источнике цензуры. Т.е. мы не должны быть вписаны как прокси-сервер к нему в браузер. А лучше — вообще не иметь IP-адресов на интерфейсах, если это возможно.

Одна из задач цензурирования: удалять некоторые ссылки и другие объекты в http трафике (по заданному правилу), чтоб целевой компьютер этого не видел.

Планируется, что у такого устройства 2 сетевых интерфейса:
1 — для подключения к целевому компьютеру
2 — для вывода трафика в инет после цензурирования.

Пока планируем настроить таким образом:
1. iptables редиректит весь трафик http (src port 80) на SQUID
1. SQUID уже начинает цензурировать

Но в этой схеме у устройства пока есть IP-адреса.

Жду советов у более опытных в таких делах хабровчан.

Answer 1

[thunderquack]

Это поможет отцу русской демократии.

Answer 2

[Lampus]

Думаю, что стоит гуглить по фразе «Linux bridge firewall»
Посмотрите, например, вот это: www.cryptolife.org/index.php/Linux_Bridge_Firewall
Я нечто похожее делал, но гораздо проще — тупо пропускал только те MAC-адреса, которые были в белом списке.

Answer 3

[Sergey]

Любая приличная IPS-ка сделает это. И без айпишников. И https проинспектирует. Рекомендую Stonegate, например.

Answer 4

[mace-ftl]

Answer 5

[Виталий Перетятько]

В этой схеме вы не сможете «цензурировать» https трафик

Comments

[Игорь]

И что делать? У Вас есть предложения? Подмена сертификатов? Атака «человек посередине»?

[rPman]

https создавался как раз для того, чтобы ваши хотелки стали 'невозможны'

по факту, можно попытаться принудительно переводить https трафик на http, невнимательный пользователь не заметит