https://www.opennet.ru/openforum/vsluhforumID1/93148.html Дня доброго, господа. <br>Хотелось бы послушать мнения знающих людей.<br>Никто ли не реализовывал фильтрацию траффика для большого кол-ва пользователей, ака разрешаем ходить только куда я хочу, с тем что клиенты не в моей локальной сети (over 2000)? <br>По сути: интересно ваше мнение чем бы эффективней было это сделать. Этот способ должен был бы терпеть подобную высоконогруженность, при (о, как неожиданно :)) наименьших затратах на нагрузку железок. В идеях есть прокся (но от этой идеи слёзы на глазах). Нынче это реализовано методом централизованого хранения правил айпитейблса, клиент просыпается, качает правила и начинает работу (не плохо, но вот при большом вайт-листе клиентские тазики просто загибаются)<br>В идеале, я это вижу (абстракция) клиент хочет на xxx.com, спрашивает у сервера "хочу туда-то" сервак сам проверяет в своих листах, и говорит да\нет, но при разрешении не транслирует траффик через себя, а попросту разрешает машине идти по этому адресу её каналами. Не встречалось ли вам нечто похожее?<br>Буду очень https://www.opennet.ru/openforum/vsluhforumID1/93148.html#8 Sun, 18 Mar 2012 19:17:17 GMT &gt;&gt; Никто ли не реализовывал фильтрацию траффика для большого кол-ва пользователей, ака разрешаем <br>&gt;&gt; ходить только куда я хочу, с тем что клиенты не в моей локальной сети (over 2000)?<br>&gt; 2000 клиентов - это НЕ высоконагруженный узел.<br>&gt; Я аутсорсю проксю местного универа, там нужно фильтровать траффик на предмет всякой <br>&gt; порнухи. Машин в сети как раз около 2к. Канал - 200мбит. <br>&gt; Нагрузка на сервант (хеон5200 4Г ОЗУ) выше 20% поднимается только <br>&gt; изредка. Фильтрация ведется сквидовыми ацлями. Списки регекспов в 3-5к строк. Доступ <br>&gt; практически анлимитный, т.е. кроме порнухи ничего больше не режется, доступны файлопомоища, <br>&gt; одноглазники и законтаченые. Суточный траффик - ок. 500 гиг. Сквид с <br>&gt; такой нагрузкой справляется.<br><br>Не пробовали заменить сквид с туевой кучей регэкспов на блокировку порно и др. на уровне ДНС? Естественно ДНС-запросы только через свой ДНС либо редирект файерволом. Тем же ДНС-фильтром можно и анонимайзеры резать и всякое другое. Не сочтите за рекламу, но неплох SkyDNS.ru, д https://www.opennet.ru/openforum/vsluhforumID1/93148.html#7 Fri, 16 Mar 2012 07:00:53 GMT &gt;&gt; Никто ли не реализовывал фильтрацию траффика для большого кол-ва пользователей, ака разрешаем <br>&gt;&gt; ходить только куда я хочу, с тем что клиенты не в моей локальной сети (over 2000)?<br>&gt; 2000 клиентов - это НЕ высоконагруженный узел.<br>&gt; Я аутсорсю проксю местного универа, там нужно фильтровать траффик на предмет всякой <br>&gt; порнухи. Машин в сети как раз около 2к. Канал - 200мбит. <br>&gt; Нагрузка на сервант (хеон5200 4Г ОЗУ) выше 20% поднимается только <br>&gt; изредка. Фильтрация ведется сквидовыми ацлями. Списки регекспов в 3-5к строк. Доступ <br>&gt; практически анлимитный, т.е. кроме порнухи ничего больше не режется, доступны файлопомоища, <br>&gt; одноглазники и законтаченые. Суточный траффик - ок. 500 гиг. Сквид с <br>&gt; такой нагрузкой справляется.<br><br>огромное спасибо за ваш пост. это действительно ценная информация<br>нужно будет покатать решение<br> https://www.opennet.ru/openforum/vsluhforumID1/93148.html#6 Fri, 16 Mar 2012 01:02:30 GMT &gt; Никто ли не реализовывал фильтрацию траффика для большого кол-ва пользователей, ака разрешаем <br>&gt; ходить только куда я хочу, с тем что клиенты не в моей локальной сети (over 2000)?<br><br>2000 клиентов - это НЕ высоконагруженный узел.<br>Я аутсорсю проксю местного универа, там нужно фильтровать траффик на предмет всякой порнухи. Машин в сети как раз около 2к. Канал - 200мбит. Нагрузка на сервант (хеон5200 4Г ОЗУ) выше 20% поднимается только изредка. Фильтрация ведется сквидовыми ацлями. Списки регекспов в 3-5к строк. Доступ практически анлимитный, т.е. кроме порнухи ничего больше не режется, доступны файлопомоища, одноглазники и законтаченые. Суточный траффик - ок. 500 гиг. Сквид с такой нагрузкой справляется. <br> https://www.opennet.ru/openforum/vsluhforumID1/93148.html#5 Thu, 15 Mar 2012 19:20:41 GMT &gt;[оверквотинг удален]<br>&gt;&gt; свой прокси, который тягает да/нет по средством SOAP сервиса с друго <br>&gt;&gt; сервака с базой листов - на squid это реализуеться в 2 <br>&gt;&gt; счета. Собственно вы получите то что просили - только такая связка <br>&gt;&gt; будет настолько медленной - что накладные ресурсы для "общего прокси" вам <br>&gt;&gt; покажуться цветочками.<br>&gt; Да кстати есть и трейтий вариант - ДЛЯ ОСОБОГО ИЗВРАЩЕНИЯ :):):) подымаете <br>&gt; свой DNS сервер, и прописываете зоны для блокируемых доменов, а в <br>&gt; зонах отдаете какой нить внутренйи ip для всех закрытых сайтов. Тоже <br>&gt; самое можно и зделать просто раскидывая файл hosts по всем тазикам <br>&gt; - только мой совет - proxy в вашем случаи оптимальное решение. <br><br>ну я и не собирался получать тут пошаговую инструкцию, и не прекращал аудит материалов инета :) <br>в первую очередь спасибо за ответ<br>ну а касательно всего что вы сказали, сам пока самым логичным вижу проксю (может даже несколько, что бы распределять нагрузку)<br>предлагали еще вариант NuFW, но пришли к тому, что проект, к сожа https://www.opennet.ru/openforum/vsluhforumID1/93148.html#4 Thu, 15 Mar 2012 17:50:23 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; разрешает машине идти по этому адресу её каналами.<br>&gt; Счас внимательно прочитал "пожелания клиента". Мне это интересно как это "а попросту <br>&gt; разрешает машине идти по этому адресу её каналами" - у человека <br>&gt; на каждом тазике ПРЯМОЙ канал в инет :):):).<br>&gt; А из практиче - возможна и такая схема - на каждом тазике <br>&gt; свой прокси, который тягает да/нет по средством SOAP сервиса с друго <br>&gt; сервака с базой листов - на squid это реализуеться в 2 <br>&gt; счета. Собственно вы получите то что просили - только такая связка <br>&gt; будет настолько медленной - что накладные ресурсы для "общего прокси" вам <br>&gt; покажуться цветочками.<br><br>Да кстати есть и трейтий вариант - ДЛЯ ОСОБОГО ИЗВРАЩЕНИЯ :):):) подымаете свой DNS сервер, и прописываете зоны для блокируемых доменов, а в зонах отдаете какой нить внутренйи ip для всех закрытых сайтов. Тоже самое можно и зделать просто раскидывая файл hosts по всем тазикам - только мой совет - proxy в вашем случаи оптимальное решение.<br> https://www.opennet.ru/openforum/vsluhforumID1/93148.html#3 Thu, 15 Mar 2012 17:45:24 GMT &gt;[оверквотинг удален]<br>&gt;&gt; плохо, но вот при большом вайт-листе клиентские тазики просто загибаются) <br>&gt;&gt; В идеале, я это вижу (абстракция) клиент хочет на xxx.com, спрашивает у <br>&gt;&gt; сервера "хочу туда-то" сервак сам проверяет в своих листах, и говорит <br>&gt;&gt; да\нет, но при разрешении не транслирует траффик через себя, а попросту <br>&gt;&gt; разрешает машине идти по этому адресу её каналами. Не встречалось ли <br>&gt;&gt; вам нечто похожее?<br>&gt;&gt; Буду очень рад вашим мыслям.<br>&gt;&gt; ЗЫ: еще слышал о ipsec для айпитейблса, существенно ли он разгружает <br>&gt;&gt; фильтрацию? никто ли плотно с ним, случайно, не работал?<br>&gt; Может посмотреть в сторону IPSet?<br><br>Может и подойдеть. - но как я писал выше - Web Filtering при помощи fireWall - это ИЗВРАЩЕНИЕ - не для это при думывали данную штуку, хотя некоторые используют его и для этого. Фаервол слущит для защиты системы и контроля трафика, а для Web Filtering - существует proxy (куширующий/некеширующий).<br><br>&gt;&gt; В идеале, я это вижу (абстракция) клиент хочет на xxx.com, спрашивает у <br>&gt;&gt; сервера https://www.opennet.ru/openforum/vsluhforumID1/93148.html#2 Thu, 15 Mar 2012 14:35:12 GMT &gt;[оверквотинг удален]<br>&gt; хранения правил айпитейблса, клиент просыпается, качает правила и начинает работу (не <br>&gt; плохо, но вот при большом вайт-листе клиентские тазики просто загибаются) <br>&gt; В идеале, я это вижу (абстракция) клиент хочет на xxx.com, спрашивает у <br>&gt; сервера "хочу туда-то" сервак сам проверяет в своих листах, и говорит <br>&gt; да\нет, но при разрешении не транслирует траффик через себя, а попросту <br>&gt; разрешает машине идти по этому адресу её каналами. Не встречалось ли <br>&gt; вам нечто похожее?<br>&gt; Буду очень рад вашим мыслям.<br>&gt; ЗЫ: еще слышал о ipsec для айпитейблса, существенно ли он разгружает <br>&gt; фильтрацию? никто ли плотно с ним, случайно, не работал?<br><br>Может посмотреть в сторону IPSet? <br> https://www.opennet.ru/openforum/vsluhforumID1/93148.html#1 Thu, 15 Mar 2012 12:24:18 GMT &gt;[оверквотинг удален]<br>&gt; хранения правил айпитейблса, клиент просыпается, качает правила и начинает работу (не <br>&gt; плохо, но вот при большом вайт-листе клиентские тазики просто загибаются) <br>&gt; В идеале, я это вижу (абстракция) клиент хочет на xxx.com, спрашивает у <br>&gt; сервера "хочу туда-то" сервак сам проверяет в своих листах, и говорит <br>&gt; да\нет, но при разрешении не транслирует траффик через себя, а попросту <br>&gt; разрешает машине идти по этому адресу её каналами. Не встречалось ли <br>&gt; вам нечто похожее?<br>&gt; Буду очень рад вашим мыслям.<br>&gt; ЗЫ: еще слышал о ipsec для айпитейблса, существенно ли он разгружает <br>&gt; фильтрацию? никто ли плотно с ним, случайно, не работал?<br><br>Начнем с того что сужествует только 2 - принципиальных способа что то перекрыть 1) на "промежуточном" хосте 2) на локальном. И сужествует два варианта политик 1) разрешено все что не запрещено 2) запрещено все что не разрешено.<br>Далее<br>Если у вас блэк лист больше чем вайт лист(его надо смотреть по списком посещаемых сайтов) то вам нужно дейт