[совет-трэд] фильтрация траффика

В идеале, я это вижу (абстракция) клиент хочет на xxx.com, спрашивает у сервера «хочу туда-то» сервак сам проверяет в своих листах, и говорит да\нет, но при разрешении не транслирует траффик через себя, а попросту разрешает машине идти по этому адресу её каналами.

NuFW пробовал? ЕМНИП там можно реализовать что-то подобное...

Спасибо за ответ
Посмотрел, штука интересная, но судя с их документации траффик всётаки пойдёт через их сервак. Очень схожа работа с радиусом, как на меня.
А вы это шупали?

нет, к сожалению лично пощупать в продакшене не удалось - были даже попытки взгромоздить это на генту, но окончились былинным отказом с мой стороны. А так - на виртуалке щупал. И трафик не обязан ходить через машину с NuFW, ЕМНИП. Там гибкая архитектура...

s/с мой/с моей/

Update: проект сейчас в полуживом состоянии(из-за того что их спонсоров купили с потрохами), поэтому я бы не рекомендовал юзать его в продакшене

Вот последнее меня и смущает больше всего.
Сейчас еще дали совет покурить ipsec, может временно поможет разгрузить клиентов

В идеале, я это вижу (абстракция) клиент хочет на xxx.com, спрашивает у сервера «хочу туда-то» сервак сам проверяет в своих листах, и говорит да\нет, но при разрешении не транслирует траффик через себя, а попросту разрешает машине идти по этому адресу её каналами. Не встречалось ли вам нечто похожее?

Встречалось конечно. DNS. Для всех забаненых ресурсов сделайте записи A на своем днс сервере которые укажут на сервер с веб заглушкой аля «отнеси админу коньяка»
Вот только фильтрация довольно грубая, по сравнению с проксей.

Тоже думалось о DNS, но что ограничет пользовотеля ввести просто айпишнечек вконаткета? :)

не транслирует траффик через себя, а попросту разрешает машине идти по этому адресу её каналами

и

что ограничет пользовотеля ввести просто айпишнечек вконаткета

это взаимоисключающие хотелки

Что мешает пользователю отключить вашу фильтрацию у себя на машине/поднять туннель/использовать прокси?

это взаимоисключающие хотелки

ну почему же? можно представить некую клиент-серверную разрешалку

Что мешает пользователю отключить вашу фильтрацию у себя на машине/поднять туннель/использовать прокси?

Отсутствие адинских прав на своих *nix машинках + возможность выпиливания юзерских инструментов управления

Отсутствие адинских прав на своих *nix машинках

если у вас там не зашифрован корень и не опломбированы системники - у меня для вас плохие новости :-)

у юзеров нет хардов, и вся классика по получению рута - закрыта :)

Зачем разогревать интерес пользователей к запретным плодам? Для повышения эффективности работы надо мотивировать к работе, а не запрещать вконтактеки.

Давайте я объясню вам, и надеюсь этот пост прочитают и друге, что бы мы не отвлекались на это.
Работаем с деньгами, большими. Потому могу вас уверить, мне сейчас можно не рассказывать о подобных мелочах, для аминов локалхоста. Это один. Два: как нам работать с персоналом, советовать по крайней мере не разумно, ведь вы даже не знаете что, как, чем, зачем и куда, ведь так? Для специфик - свои подходы. Но это лирика. И даже с этим, спасибо за ваше мнение

Всё так же буду очень благодарен за советы и мысли по тематике данной темы. Спасибо.

Ну собственно я к тому, что не существует технических средств, которые нельзя было бы преодолеть другими техническими средствами. Ну раз выбран этот путь, то..

при большом вайт-листе клиентские тазики просто загибаются

А как выглядят эти правила, которые так нагружают клиентские тазики то? Я правильно понимаю, что это что-то типа:

iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P OUTPUT DROP
iptables -A OUTPUT -d xx.xx.xx.xx -j ACCEPT
iptables -A OUTPUT -d yy.yy.yy.yy -j ACCEPT
...

Неужли так много новых соединений делается, что это приводит к загибанию тазиков?

но что ограничет пользовотеля ввести просто айпишнечек вконаткета? :)

отсутствие мозга? :)

Неужли так много новых соединений делается, что это приводит к загибанию тазиков?

В принципе организованно да, так. Но только часть. Отдельно еще имеются листы хостов на доступы по определённым портам
И соединений да, много (плюс тут так организованно, что клиент еще должен сам разведать айпишнечки вайтлиста, что так же очень не радует при его не малом размере)
В общем думаем :) Скорее всего будет организованна прокся.

отсутствие мозга? :)

уж поверьте, сколь бы глупы они не были, такое они узнают любой ценой. отобрали же мекку, воздух и жизнь. как же на работе работать, а не поглощать смешняшки, сожать огороды, ставить «мне нравицца» и менять овотарки...

а браузер им по работе нужен? :) Может, удалить его нафиг? Или жабаскрипт с флешем выключить

нужен :) почти все сайты связанные с движением денег - с флешем и жабоскиптом ;)

при большом вайт-листе клиентские тазики просто загибаются

ipset жеж. легко 10000 в себе может держать.
и кнчно же блэклист делать смысла нет, только белый.
и да, комплексом - сделать в dns резолв всего только белого