V
Зачем на роутере? Если ты хочешь с фаерволом разговаривать интерактивно в гуе, то лучше, чтобы это работало прямо на рабочем компе
Затем, чтобы контролировать все устройства в сети, а не только комп
Size: a a a
2020 August 20
i
V
Затем, чтобы контролировать все устройства в сети, а не только комп
+
C
io (0) увеличил репутацию V (2)
SB
Захлебнёшься идентифицировать весь трафик из всей сети вручную
LV
или может есть решение для голого линукса - я бы согласился
ИМХО, нерешаемо. Дело в том, что сама ОС знает, какие программы открывают какие порты. И в пределах одного компьютера нет проблемы разрешать хождение пакетов "per app". Но когда пакеты отправляются на внешний маршрутизатор - на них уже нет никаких идентификаторов, какая программа их отправила.
i
ИМХО, нерешаемо. Дело в том, что сама ОС знает, какие программы открывают какие порты. И в пределах одного компьютера нет проблемы разрешать хождение пакетов "per app". Но когда пакеты отправляются на внешний маршрутизатор - на них уже нет никаких идентификаторов, какая программа их отправила.
Это понятно, все так.
Но ведь решение может быть двух компонентным:
- Ядро фаервала на роуте, типа сервер.
- А клиент на машине админа.
Клиент может ходить в сервер за новыми запросами на пермисшон вида
А если клиент будет и на остальных машинах - будет больше охват по тому "от какого софта идёт запрос наружу".
То есть проблема совершенно точно решаема, хотя и не с наскоку.
Но ведь решение может быть двух компонентным:
- Ядро фаервала на роуте, типа сервер.
- А клиент на машине админа.
Клиент может ходить в сервер за новыми запросами на пермисшон вида
IP:port --> IP:port и уже на машине админа смотреть по крайней мере софт и порты машины админа.А если клиент будет и на остальных машинах - будет больше охват по тому "от какого софта идёт запрос наружу".
То есть проблема совершенно точно решаема, хотя и не с наскоку.
i
Но на самом деле меня бы устроило даже решение без идентификации софта-источника. Там по назначению будет часто все понятно. А ведь модно ещё MITM свой для себя вставить!
i
Просто сейчас у меня на роутере бесконтрольно вся сеть может ходить наружу и я нахожу это порочным. Слишком беспорядочные связи.
i
А какие возможности по выпилу кук, аналитики, счётчиков и рекламы открываются!
LV
Чтобы выпилить 60% аналитики, счетчиков и рекламы - достаточно поставить у себя собственный DNS-сервер с блокировкой нехороших доменов.
i
Чтобы выпилить 60% аналитики, счетчиков и рекламы - достаточно поставить у себя собственный DNS-сервер с блокировкой нехороших доменов.
Согласен. Просто в схеме с таким фаерволом это было бы одно из бесплатных следствий.
LV
Собственный MITM это хорошо - но на все устройства надо будет запихивать корневой сертификат.
i
Ну и блокировка по DNS хоть и рабочая тема, но все же не достаточно жестокая.
i
Собственный MITM это хорошо - но на все устройства надо будет запихивать корневой сертификат.
Ну да, дома можно себе такое позволить. Но это тоже опционально.
i
Главное это чтобы фанрвол на роутере никого никуда не пускал без гибкой системы пермисшенов.
i
Причём я понимаю что это не сложно принципиально. Берём iptables. Там как-то мониторим, но подвешиваем сессию, не дропая (может потребуется доработка iptables). Ну а на каждое такое событие делаем очередь запросов, клиент-сервер, движок правил, гуй. Если ОК - сессию пускаем. Не добро - льем на пол.
Хоть самому пиши.
Хоть самому пиши.
LV
Так это клиент придется к каждому компьютеру отдельно ставить.
LV
А зачем нагружать роутер, если можно все это добро детектить непосредственно на устройстве?
i
А зачем нагружать роутер, если можно все это добро детектить непосредственно на устройстве?
Устройств дома много и там разные ОС. Хочется почикать паразитный трафик решительно и в одном месте.
LV
Ну вот "как-то мониторим" - это требует клиентов на разные ОС. И никакой разницы.