АЗ
Для таких случаев как Web Telegram придется поднять VPN и завернуть трафик 149.154.164.0/22
Size: a a a
2020 January 04
АЗ
AS62041
D
На самом деле не ожидал увидеть такую степень вовлечённости в решение этой задачи, спасибо!
D
Думаю стоит для первого правила указать порт 80 чтобы снизить количество пакетов у которых анализируется payload, возможно это снизит нагрузку на процессор, ведь искать подстроку в шифрованном ssl нет никакого смысла.
D
На самом деле на Ростелекоме у меня тариф 800mbps, а для обслуживания гигабитного канала нужна совсем другая железка, и вряд ли процессор на ней потянет «просматривать» весь трафик.
D
Объясните причём тут dns, я не понял. На машине с Linux использую днс провайдера, и правило для iptables, проблем нет.
АЗ
Когда экспериментировал заметил, что DNS серверы Ростелекома на адреса nnmclub и rutracker выдавали IP своих заглушек
АЗ
Может не у всех так
АЗ
Не могу знать
D
Хотелось бы точечного решения, а не на пограничном устройстве. И все-таки хочется найти решение для PF.
D
Возможно, не проверял эти ресурсы
D
Хочется верить что они не пошли на это.
c
Микрот прекрасно работал на 1gb канале, но, есть мысль загнать туда опенок. К слову опенок на 1 процессорном core duo +4 gb держит правила PF на 3 листа - поэтому я за PF. Под Mac Os у тебя ядро mach вообще то оно не для производительной работы со стэком TCP. APPLE как то пыталась сделать эти ядра в составе Time Capsule но не получилось и откатилась на NetBSD, вот где реальная производительность в 5 раз быстрее микрота с его ущербным ядром.
D
Если какой-либо пакет соответствует правилу состояния pass ... keep, то для данного соединения фильтром создается новое состояние, и все последующие пакеты этого соединения передаются автоматически.
Перед применением правил фильтр проверяет пакет на соответствие какому-либо состоянию. Если соответствие найдено, то пакет передается без применения каких-либо правил.
Перед применением правил фильтр проверяет пакет на соответствие какому-либо состоянию. Если соответствие найдено, то пакет передается без применения каких-либо правил.
D
Рабочий вариант для PF:
pass all no state
block in proto tcp from any port https flags R/R
pass all no state
block in proto tcp from any port https flags R/R
D
Решение не для высокопроизводительной работы со стеком TCP, понятно что будут дропатся и валидные RST но для рабочей станции вариант весьма годный. Так как https есть у всех, реализовавать вариант для http считаю не целесообразным.
АЗ
То есть всё получилось?
D
Да, работает
