Мы недавно внедрили (собственный) IPv6 в нашу сеть. Пока все работает очень хорошо, но наша сеть IPv4 передает весь HTTP-трафик через Squid (2.7.STABLE6 на сервере Ubuntu) + SquidGuard для целей фильтрации. Все это управляется правилом перенаправления на брандмауэре (через Shorewall).
Теперь мне интересно, можно ли вообще сделать то же самое с IPv6. Если это поможет, мы используем Shorewall6 для трафика IPv6.
Это вроде как ... сложно. Насколько я могу судить, здесь будет два основных препятствия:
Поддержка перенаправления
Существует несколько различных методов прозрачного получения веб-трафика для устройства веб-фильтрации: WCCP, собственный протокол (общий, скажем, с брандмауэром cisco + WebSense) или старый добрый SPAN / зеркальный порт.
Основываясь на используемых системах, я собираюсь предположить, что ваша реализация использует WCCP, который, к сожалению, не поддерживает IPv6.
Сам кальмар
Squid 2.7 не поддерживает IPv6, поэтому вам понадобится более новый Squid. Не большая проблема, но и не тривиальная.
Фильтрация URL-адресов в IPv6 как бы отбрасывает многие существующие решения - на данный момент хорошие варианты для вас:
Обновите Squid для поддержки IPv6 и используйте конфигурации прокси в клиентских системах. Управлять, конечно, неприятнее, но в качестве дополнительного бонуса ваша система фильтрации получает видимость HTTPS-потоков.
У вас может быть некоторый успех с решением, которое может принимать поток порта SPAN и отправлять пакеты RST для прерывания запросов, которые отклоняются, но я бы с подозрением относился к этим системам, работающим правильно с IPv6 (и это довольно плохое решение с технической точки зрения. , тем не мение)
Большинство имеющихся устройств «Unified Threat Management» Фортинец и Астарос мира, имеют встроенную фильтрацию URL-адресов - если вы готовы внести некоторые изменения, вставьте одно из них в качестве прозрачного встроенного устройства или даже замените свой брандмауэр одним из них.