Задать вопрос

Прозрачная фильтрация трафика при подключении "в разрыв"

Есть некий компьютер. Он работает с инетом. Необходимо прозрачно цензурировать трафик.
Под «прозрачностью» имеется в виду: целевой компьютер не должен знать об источнике цензуры. Т.е. мы не должны быть вписаны как прокси-сервер к нему в браузер. А лучше — вообще не иметь IP-адресов на интерфейсах, если это возможно.

Одна из задач цензурирования: удалять некоторые ссылки и другие объекты в http трафике (по заданному правилу), чтоб целевой компьютер этого не видел.

Планируется, что у такого устройства 2 сетевых интерфейса:
1 — для подключения к целевому компьютеру
2 — для вывода трафика в инет после цензурирования.

Пока планируем настроить таким образом:
1. iptables редиректит весь трафик http (src port 80) на SQUID
1. SQUID уже начинает цензурировать

Но в этой схеме у устройства пока есть IP-адреса.

Жду советов у более опытных в таких делах хабровчан.
  • Вопрос задан
  • 3210 просмотров
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 5
thunderquack
@thunderquack
Это поможет отцу русской демократии.
Ответ написан
Комментировать
@Lampus
Думаю, что стоит гуглить по фразе «Linux bridge firewall»
Посмотрите, например, вот это: www.cryptolife.org/index.php/Linux_Bridge_Firewall
Я нечто похожее делал, но гораздо проще — тупо пропускал только те MAC-адреса, которые были в белом списке.
Ответ написан
Комментировать
@bondbig
Любая приличная IPS-ка сделает это. И без айпишников. И https проинспектирует. Рекомендую Stonegate, например.
Ответ написан
Комментировать
mace-ftl
@mace-ftl
file.php?id=165&sid=1088c7be4e5127532d93
Ответ написан
Комментировать
В этой схеме вы не сможете «цензурировать» https трафик
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы