Sergey21102
Advanced Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Начну издалека, в моей организации выход в интернет реализован таким образом, что то что нужно по работе идет через гетвей на FreeBSD, все остальное через ISA сервер. Оба смотрят в DMZ зону из которой выходят в инет через нат (тоже фряха).
Естественно через фряху, в отличие от ISA сервер, доступ без авторизации, без ограничения по объему, но жестко ограничено куда можно ходить. Трафик процентов на 70 HTTP, в оставшиеся 30 процентов может быть все что угодно и SSH для подрабатывающих на стороне вебдизайнеров, всякие там цитриксы, впн-ы и т.д.
Белый список реализован правилами IPFW с помощью конструкции ipfw table, что типа этого:
Код:
.....
ipfw add allow ip from 192.168.0.0/16 to table 1
.....
ipfw table 1 add 205.xxx.yyy.zzz
...
ipfw table 1 add 195.aaa.bbbb.ccc
|
Все это прекрасно работало до того времени, пока DNS-балансировка стала не такой уж и редкостью, а в последние годы просто достал akamai (и это еще мягко сказано). В итоге с частотой раз в день отлавливаем изменения в DNS того или иного сайта из нашего белого списка.
В итоге встал вопрос чем заменить существующее решение на IPFW? Требование понятно, ведение белого списка не в IP адресах а в доменных именах, причем что б была доступна запись вида
Код:
С HTTP трафиком есть прекрасное решение - SQUID настроенный как прозрачный прокси, а что делать с HTTPS и не HTTP трафиком? Полазил по портам FreeBSD, программ куча, описания скудные...
Посоветуйте что нибудь из софта для моей задачи.
PS: я склоняюсь к тому что HTTP трафиком будет заниматься SQUID (уж больно хорошо у него это получается) а паралельно ему неHTTP трафиком будет рулить что то другое |
