web-dev-qa-db-ja.com

IPv6用のSquidguard(または同等のもの)

最近、ネットワークに(ネイティブ)IPv6を実装しました。これまでのところすべてが非常にうまく機能していますが、IPv4ネットワークはすべてのHTTPトラフィックをフィルタリングの目的でSquid(Ubuntuサーバーでは2.7.STABLE6)+ SquidGuardを通過させます。これはすべて、ファイアウォールのリダイレクトルールを介して(Shorewallを介して)管理されます。

IPv6でも同じことができるのではないかと思っています。それが助けになるなら、IPv6トラフィックにShorewall6を使用しています。

3
Matthew Iselin

これはちょっと..トリッキーです。私の知る限り、ここには2つの大きな障壁があります。

リダイレクトのサポート

WebトラフィックをWebフィルタデバイスに透過的に取得するためのいくつかの異なる方法があります-- [〜#〜] wccp [〜#〜] 、カスタムプロトコル(たとえば、Ciscoファイアウォールで一般的) + websense)、または古き良きSPAN /ミラーポート。

使用中のシステムに基づいて、実装でWCCPが使用されていると推測しますが、残念ながらIPv6はサポートされていないようです。

イカ自体

Squid 2.7はIPv6をサポートしていないため、新しいSquidが必要になります。大きな問題ではありませんが、些細なことでもありません。


IPv6でのURLフィルタリングは、既存のソリューションの多くを捨ててしまいます。現時点では、適切なオプションです。

  • SquidをIPv6サポート用にアップグレードし、クライアントシステムでプロキシ構成を使用します。確かに、管理するのはもっと不快ですが、追加のボーナスとして、フィルターシステムはHTTPSストリームを可視化します。

  • SPANポートストリームを取得し、拒否された要求を中断するためにRSTパケットを送信できるソリューションである程度成功する可能性がありますが、IPv6で正しく動作するシステムについては不安です(技術的な観点からはかなり悪いソリューションです)。 、とにかく)

  • 世の中にあるほとんどの「統合脅威管理」アプライアンス、 フォーティネット および アスタロス には、URLフィルタリングが統合されています。透過的なインラインデバイスとしてのそれらの1つ、またはファイアウォールを1つに置き換えることでさえ、トリックを実行します。

1
Shane Madden