Как построить строгий контроль траффика?

Question

[Сергей Колесников]

как организовать строгий контроль траффика, в сети через сервер, где два интерфейса Eth. Eth2 это локальная сеть и что там плавает не важно. Eth1 это интернет, где один порт входящий второй исходящий.(это если схема с виртуалкой) (Схема на скорую руку), в серваке стоит на виртуалке ПО. какое П.О. и как поставить в эту схему. Даже можно без виртуалки, но! ЗАДАЧА если какое устройство подключалось в сети к инету, именно на серваке принималось решения выпускать или пускать траффик на это устройство.
Неделю голову ломаю не могу понять как правильно установить. Пробовалось kerio firewall и ipfire результат не получил.

Comments

[Akina]

По-моему, достаточно входной фильтрации на eth2 по адресам источника и назначения (белый список адресов назначения). Или, если в Инет маршрутизирует виртуалка - то можно и на её интерфейсе в локальную сеть (но это плюс лишняя работа по маршрутизации из физического интерфейса в виртуальный).

[Ziptar]

если какое устройство подключалось в сети к инету, именно на серваке принималось решения выпускать или пускать траффик на это устройство.

Судя по характерной формулировке ты ищешь прокси...

Answer 1

[Пума Тайланд]

попробуй OPNsense или pfSense — они именно под такую схему и сделаны. Ставишь в виртуалку, пробрасываешь Eth1 как WAN, Eth2 как LAN, и через вебку настраиваешь правила файрвола по source IP на LAN-интерфейсе. Хочешь — пускаешь устройство в инет, хочешь — нет. Намного нагляднее чем Kerio с IPFire.

Comments

[Сергей Колесников]

спасибо я про это П.О. слышал но нетрогал, пошел изучать.

[Лев Варшавцев]

Сергей Колесников, opnsense, к нему подключить 2 v switch (минимум два). Один vswitch как аплинк будет использовать интернет сетевуху, другой будет использовать лан сетевуху (чтобы не смешивать l2 трафик, если нет управляемого свитча до сервера). Ну а дальше правила и мониторинг по вкусу.

Answer 2

[Drno]

так обычный роутер жеж...

Mikrotik CHR
OpenWRT
ubuntu server + настройка
итд

Answer 3

[say_TT_plz]

для начала нужно решить на каком уровне хочешь разруливать L4 || L7.
Если L4, тогда iptables.
L7.. наружу через squid, разрешаешь нужные домены, остальное запретить. На внутрь(то бишь трафик снаружи который можно), проще через nginx/haproxy. То есть делаешь reverse proxy aka proxy pass. Можно отдельно поизвращаться с post/get и прочими запросами, если хочешь разные действия для них.
Хотя haproxy может и в L4, но обычно это скорее для балансировки используют, нежели для фильтрации.
Если совсем жестко, тогда тебе еще нужно будет поднять свой DNS типа coredns. И разрешить только определенные зоны, остальное запретить. DNS трафиком тоже можно выдать информацию если постараться.

Надеюсь понятно, что уровень Nginx/haproxy, это взаимодействие внешних клиентов с вашим ПО. То есть на iptables нужно будет дополнительное правило established related (разрешать трафик наружу для устоявшихся соединений).