Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Trasparent proxy + QoS / L7

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
Fabero



Registrato: 11/03/08 08:56
Messaggi: 53

MessaggioInviato: Gio Apr 08, 2010 8:32 am    Oggetto: Trasparent proxy + QoS / L7 Rispondi citando

Vi spiego la situazione che vorrei implementare da questo cliente.

ADSL di operatore tal dei tali con disponibili 4 IP statici.

Rete locale 172.16.0.0/24

Attualmente il router principale dell'adsl, natta tutta la rete verso il primo ip statico della ADSL, quindi tutti navigano allegramente in entrata e in uscita senza "filtro".

Questo ovviamente può causare dei problemi.

Avrei quindi pensato invece di fare una zeroshell in ambiente virtuale, per filtrare la navigazione tramite il trasparent proxy, e adottare delle politiche di QoS / Filtro L7 in modo da filtrare l'uso di CHAT, p2p.

La prima soluzione è semplice, la mini macchina virtuale ha una interfaccia di rete, alla quale è assegnato un IP statico, con default gateway "pubblico", al quale è assegnato anche come indirizzo ip, quello di default gateway privato.

Nessuno si è accorto di niente, ma intanto la navigazione su siti non consentiti, e il controllo antivirus in tempo reale, su ciò che si naviga avviene senza problemi.

A questo punto volevo applicare dell regole di QoS applicate a filtri L7.

Immagino che debba andari in QoS, ma come fare questa cosa?

Se vado in L7 Manager vedo i vari filtri disponibili.

Posso creare una classe ad esempio P2P, gli assegno una banda massima di 1kB e poi, come faccio a dirgli per quali protocolli?!?!

Grazie per la delucidazione!

Edit:
Lurkando un po' più a fondo sul forum, sembra che non sia una cosa possibile, confermate? Anche con la b12?

Il mio intento non è tanto bloccare in QoS la navigazione su internet (al massimo controllare che non vengano scaricati virus o presunti tali) ma bloccare quei programmi di p2p e di chat, che usano client specifici..

Davvero non si riesce a fare?
Top
Profilo Invia messaggio privato
Fabero



Registrato: 11/03/08 08:56
Messaggi: 53

MessaggioInviato: Lun Apr 12, 2010 2:29 pm    Oggetto: Re: Trasparent proxy + QoS / L7 Rispondi citando

uppete Smile

nessuno con una configurazione simile? Smile
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Lun Apr 12, 2010 7:36 pm    Oggetto: Rispondi citando

Posso farti un paio di domande ?
1) quando parli di "virtuale", a cosa ti riferisci ? a macchine virtuali ?
2) Vuoi bloccare del tutto i P2P, oppure vuoi ridurre la banda per questo tipo di traffico ??
Top
Profilo Invia messaggio privato Invia e-mail
Fabero



Registrato: 11/03/08 08:56
Messaggi: 53

MessaggioInviato: Mar Apr 13, 2010 2:15 pm    Oggetto: Rispondi citando

Francesco Steno ha scritto:
Posso farti un paio di domande ?


Certo ci mancherebbe!

Citazione:

1) quando parli di "virtuale", a cosa ti riferisci ? a macchine virtuali ?


Si esattamente, avendo una invrastruttura con VMWARE, vorre inserire una macchina virtuale solo per questo tipo di applicazione, invece del ferro, alias computer.

Citazione:

2) Vuoi bloccare del tutto i P2P, oppure vuoi ridurre la banda per questo tipo di traffico ??


In teoria eliminare, in pratica già limitare a pochi kb cioà non più di una decina, sarebbe già una cosa importante.

Non ho molti strumenti, lo strumento più evoluto in questa realtà è appunto ZS.
Top
Profilo Invia messaggio privato
Fabero



Registrato: 11/03/08 08:56
Messaggi: 53

MessaggioInviato: Gio Apr 15, 2010 2:47 pm    Oggetto: Rispondi citando

uppete! Smile
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Ven Apr 16, 2010 4:30 pm    Oggetto: Rispondi citando

Dal menu firewall, sulla Chain Forward (regole per il traffico passante), clicca su add.
metti la spunta su Connection Status: New e su Established.
su filtro L7 scegli: MSN messenger - Microsoft Network chat client.
Action: Drop
e spunta anche: log
Fammi sapere....


L'ultima modifica di Francesco Steno il Lun Apr 19, 2010 9:50 am, modificato 1 volta
Top
Profilo Invia messaggio privato Invia e-mail
Fabero



Registrato: 11/03/08 08:56
Messaggi: 53

MessaggioInviato: Lun Apr 19, 2010 7:39 am    Oggetto: Rispondi citando

In questi giorni proverò. Se ho ben capito il tuo approccio non sarebbe quello di usare del QoS, ma proprio il firewall a L7, in quel caso con una chain per MSN, ma poi per tutti i protocolli che intendessi "limitare/bloccare"..

Ho ben compreso la tua "tattica"?!?!
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Lun Apr 19, 2010 9:00 am    Oggetto: Rispondi citando

Fabero ha scritto:
In questi giorni proverò. Se ho ben capito il tuo approccio non sarebbe quello di usare del QoS, ma proprio il firewall a L7, in quel caso con una chain per MSN, ma poi per tutti i protocolli che intendessi "limitare/bloccare"..

Ho ben compreso la tua "tattica"?!?!


No non crei una chain per MSN, crei solo una rule per Netfilter, e vai a bloccare solo il traffico generato dai client Messenger.....
La regola che costruirai, fara' in modo di analizzare tutto il contenuto del traffico passante, e non la sua rotta. Questo vuol dire che Netfilter prendera' tutto il traffico, scompattera' i pacchetti, ed analizzera' il payload, per controllare se il traffico e' stato generato da un client Messenger.
Se il traffico soddisfa tale requisito, verra' bloccato.
E' per questo motivo che ti ho chiesto se volevi bloccare il traffico.

sono stato chiaro ?
Top
Profilo Invia messaggio privato Invia e-mail
Fabero



Registrato: 11/03/08 08:56
Messaggi: 53

MessaggioInviato: Lun Apr 19, 2010 9:46 am    Oggetto: Rispondi citando

Francesco Steno ha scritto:

No non crei una chain per MSN, crei solo una rule per Netfilter, e vai a bloccare solo il traffico generato dai client Messenger.....
La regola che costruirai, fara' in modo di analizzare tutto il contenuto del traffico passante, e non la sua rotta. Questo vuol dire che Netfilter prendera' tutto il traffico, scompattera' i pacchetti, ed analizzera' il payload, per controllare se il traffico e' stato generato da un client Messenger.
Se il traffico soddisfa tale requisito, verra' bloccato.
E' per questo motivo che ti ho chiesto se volevi bloccare il traffico.
sono stato chiaro ?


Come l'acqua di sorgente.

Questa cosa riesco pero' a farla, nella mia situazione? Ovvero 1 NIC alla quale è assegnato un'IP PUBBLICO STATICO disponibile della mia adsl, oltra ad un IP PRIVATO INTERNO (che verrà usato come default gateway dai pc) e come default gateway di Zeroshell, l'indirizzo ip pubblico statico principale della mia ADSL.

Grazie ancora!
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Lun Apr 19, 2010 9:48 am    Oggetto: Rispondi citando

Si. Segui le istruzioni che ti ho dato, e facci sapere.

ciao
Top
Profilo Invia messaggio privato Invia e-mail
Fabero



Registrato: 11/03/08 08:56
Messaggi: 53

MessaggioInviato: Lun Apr 19, 2010 11:37 am    Oggetto: Rispondi citando

Francesco Steno ha scritto:
Si. Segui le istruzioni che ti ho dato, e facci sapere.
ciao


Ho fatto una prova ed ad un primo test sommario sembra andare.

Dunque, dovrei per ogni L7 che intendo fermare (e non per gruppi mi pare ad esempio chat, oppure p2p) fare una regola per netfilter, ho ben inteso?

Questa cosa apparentemente sembra convivere bene con il transparent proxy. Hai avvertimenti in tale contesto?
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Lun Apr 19, 2010 3:01 pm    Oggetto: Rispondi citando

Fabero ha scritto:
Francesco Steno ha scritto:
Si. Segui le istruzioni che ti ho dato, e facci sapere.
ciao


Ho fatto una prova ed ad un primo test sommario sembra andare.

Dunque, dovrei per ogni L7 che intendo fermare (e non per gruppi mi pare ad esempio chat, oppure p2p) fare una regola per netfilter, ho ben inteso?

Questa cosa apparentemente sembra convivere bene con il transparent proxy. Hai avvertimenti in tale contesto?

L7 sta per Layer 7 ovvero il layer applicativo, quindi i pacchetti, come ti dicevo sopra, vengono esaminati nel loro payload, e valutati. Se vuoi bloccare una connessione per la sua rotta, ad esempio (perche' conosci l'IP di destinazione), non ti serve utilizzare un filtro di layer 7 (perche' avresti un consumo di risorse maggiore).
Quindi se vuoi bloccare una connessione P2P come e-mule, devi creare una rule in layer 7 per Netfilter, se invece vuoi bloccare una connessione ad una chat che ha un server con IP statico, puoi utilizzare una normale rule.
Sono stato chiaro ?
Top
Profilo Invia messaggio privato Invia e-mail
Fabero



Registrato: 11/03/08 08:56
Messaggi: 53

MessaggioInviato: Lun Apr 19, 2010 3:30 pm    Oggetto: Rispondi citando

Comincio a pensare di non sapermi spiegare, e me ne scuso Francesco.

Citazione:

L7 sta per Layer 7 ovvero il layer applicativo, quindi i pacchetti, come ti dicevo sopra, vengono esaminati nel loro payload, e valutati. Se vuoi bloccare una connessione per la sua rotta, ad esempio (perche' conosci l'IP di destinazione), non ti serve utilizzare un filtro di layer 7 (perche' avresti un consumo di risorse maggiore).


No certo, è chiaro. Mi domandavo, se per un insieme di protocolli simili (chat, p2p, etc etc) si potesse fare una unica rule, oppure devo prendere protocollo per protocollo (quindi esempio msn, yahoo, etc etc per le chat)..

Mi è ovvio che se ho la destinazione posso direttamente usare una normale regola.

Altra cosa che mi domandavo, era se l'uso di questo tipo di rule tramite filtro L7, potesse in qualche maniera interagire negativamente con il proxy trasparente con clamav attivo.

In più mi parli di risorse: immaginavo che le rule in tal senso possano usarne parecchie. Hai un idea di quanta ram debba riservare tra proxy trasparente+clamav+queste rule, che alla fine saranno almeno una decina, volendo comprendere diversi tipi di chat e di p2p? 512 MB sono sufficienti oppure no?
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it