Witam.
Rzeczą normalną jest, że w sieci krąży mnóstwo śmieci typu adware instalujących się w przeglądarkach.
Czy ktoś tutaj przepracował temat konfiguracji firewalla i uzyskał dobry efekt filtrowania tego typu śmieci? A może dla linuksa rozwija się jakaś paczka wspomagająca iptables pod kątem adware?
Kojarzycie coś takiego?
Jeśli tak, z góry dzięki za info lub podzielenie się Waszymi doświadczeniami.
Dzięki piękne!
Zastanawiam się, czy nie zadziałałoby coś, o czym wspomniał hermes-80 w temacie:
https://www.elektroda.pl/rtvforum/topic2972901.html#14356880
Moznaby spróbować poblokować wszelkiego rodzaju http://syndication.exoclick.com/ itp.
broda79 napisał:W linuxie nie rozwija się podobnych paczek (W każdy bąć razie ja o takich nie słyszałem). powód jest prosty, na linuxa nie ma reklamiarzy.
A ja jestem pewien. Bo jeśli mówimy o wątpliwych dodatkach do przeglądarki to zazwyczaj instalują się przy okazji instalowania innego oprogramowania. Np ask bar przy instalacji 7-zip. I w większości przypadków za instalacją takiego oprogramowania stoi użytkownik; schemat( coś się pyta to mu enter). Na to nie pomoże żaden firewall.
Złośliwe oprogramowanie które ładuje się bezpośrednio ze strony internetowej bez wiedzy użytkownika instaluje się w specyficznych miejscach windowsa(katalogi i rejestr), takie miejsca nie występują w linuxie. Co więcej taki plik, ściągnięty mimochodem nie będzie miał uprawnień do manipulacji innymi procesami, więc nie dotknie przeglądarki ani innego miejsca w systemie operacyjnym. Innymi słowy architektura linuxa nie pozwala na działanie takich programów.
Cytat:Często na linuksie oparty jest router obsługujący sieć, w której znajdziemy klientów tak linuksowych jak i windowsowych.
No to lipa. A już myślałem, że wykorzystam router (Ubuntu Server) do przetrzebienia tego syfu (choćby przez dopisywanie blokowania wykrytej w sieci aktywności serwerów typu exoclick itd).
Ale dałbym głowę, że coś gdzieś kiedyś czytałem o puszczaniu ruchu sieciowego przez proxy, na którym działa coś co usuwa m. in. wszystkie reklamy, wyskakujące okna itp. Może to nie to samo, co adware, ale dobre i to. Kurcze tylko nie pamiętam, gdzie to widziałem.
Hmm a jakby tak spróbować postawić proxy z ClamAV-em. O tym chyba też coś gdzieś kiedyś czytałem. Taki antywirus z blokadą szkodliwych plików w locie.
Jest coś takiego, nazywa się privoxy.
http://www.privoxy.org/
A może coś w tym stylu?
https://openlinksys.info/forum/viewthread.php...ight=blokowanie+reklam&pid=140484#post_140484
Jest Untangle. Ale jest to kompletna dystrybucja (w formie .iso) już z Linuksem (Debian), nie da się więc tego raczej dołożyć do już istniejącego Linuksa.
Jest w wersji darmowej i płatnej. Warto choć spróbować, bo jest to ciekawe i proste w obsłudze rozwiązanie.
https://www.untangle.com/store/ngfw-free.html
https://www.untangle.com/software-packages
http://wiki.untangle.com/index.php/Main_Page
https://www.untangle.com/store/ad-blocker.html
Demo interfejsu administratora:
http://demo.untangle.com/auth/login?url=/setup/welcome.do&realm=Administrator
Przez rok używaliśmy tego w firmie, działał bardzo dobrze i stabilnie. To nie jest nowa zabawka, ale profesjonalne, rozwijane już od 8 lat, rozwiązanie, choć lekko ograniczone w wersji Free.
Na początek można podłączyć w trybie "transparent bridge", czyli bez firewalla, NAT i routingu (nie trzeba wtedy ruszać już istniejącego routera), a uruchomić tylko antywirus, antyspam, web filter, raportowanie.
http://wiki.untangle.com/index.php/Installation
Wadą jest amerykańskie pochodzenie - bazy wszelkiego świństwa są raczej z tamtych stron. Ale to i tak lepiej, niż nic. Trzeba samemu przetestować, co jest, a co nie jest filtrowane.
Wydaje mi się jednak, że na dodatki, które są zaszyte w instalacji jakichś programów, co robi choćby Java czy Adobe, to raczej nie pomoże. Jedynie czujność instalującego.
Rzeczywiście - wcześniej słyszałem o privoxy. Teraz mi się przypomniało.
jprzedworski napisał:Jest Untangle. Ale jest to kompletna dystrybucja (w formie .iso) już z Linuksem (Debian), nie da się więc tego raczej dołożyć do już istniejącego Linuksa.
Nie wszystkie funkcje w wersji darmowej działają. W tym zarządzanie pasmem. Dałem link do porównania wersji, ale jeszcze powtórzę:
https://www.untangle.com/software-packages
Wymagania sprzętowe i ogólne informacje są tu:
http://wiki.untangle.com/images/8/82/Untangle_Quickstart_Guide.pdf
Napiszę więcej wieczorem, bo teraz nie mam czasu. Syn ma urodziny. 
Postanowiłem postawić Untangle i jestem w trakcie.
Utknąłem jednak na tym kroku:
Zdaje się, że po włożeniu kabla z internetem do jednej z kart sieciowych, interfejs powinien zostać wykryty. Niestety nic takiego się nie dzieje. Może Untangle nie rozpoznał kart sieciowych? Coś nie wierzę...
Dodano po 2 [godziny] 13 [minuty]:
Dobra, nie wiem, albo ten krok nie jest najszczęśliwszym rozwiązaniem autorów, albo coś nie zadziałało z ich przewidywaniami. W każdym razie sprawdziłem przez ifconfig, i wszystko było ok. W dajszym kroku wyłączyłem nat-a, i ustawiłem drugi interface na zbridgeowany. Dokonałem wstępnej konfiguracji działa. Jest transparentne. Ustawił sobie IP na 192.168.1.30 (nie wiem czemu takie, na pewno nie przyznał mu takiego DHCP mojego serwera, ale nie wnikam, niech będzie. Dziwne trochę, bo mój DHCP przyznaje temu MACowi adresy 192.168.1.113. Komputer podłączony do eth2 uzyskał poprawne ip od mojego serwera, więc Untangle jest transparentne i nie robi problemów.
Pobrałem i załadowałem z ciekawości polski język. Działa.
Teraz wystarczy zapewne zainstalować wybrane moduły.
Jako opcja lite (pełna wersja płatna) są moduły:
- web filter
- virus blocker
- spam blocker
- application control
Pozostałe wersji lite nie mają, a są to:
- phish blocker
- web cache
- bandwidth control
- https inspector
- captive portal
- firewall
- intrusion prevention
- ad blocker
- reports
- policy manager
- directory connector
- wan failower
- wan balancer
- ipces VPN
- open VPN
- configuration backup
- branding manager
- live support
Czas się pobawić, i zobaczyć co to potrafi.
Na koniec dodam, że panel sterowania robi wrażenie mułowatego (nie grzeszy płynnością) na sprzęcie 1GHz CPU, 1 GB DDR2.
Testuję Web Filter firewalla Untangle:
Efekt podobny jak przy Dansguardianie. Strona na protokole http:// (wp.pl) zablokowana wyśmienicie.
Strona na protokole https:// (youtube.com) nie pozwala się zablokować.
Zakładka Blokuj Kategorie również działa świetnie. Po kliknięciu w games bardzo skutecznie blokuje strony z grami, czy to polskie, czy anglojęzyczne.
Pytanie tylko, czy ten Firewall umożliwia zablokowanie stron po frazie, np niech blokuje wyłączenie wszystko związane z grą GTA.
Niestety nie widzę możliwości edycji fraz do blokowania.
Przydałaby się również możliwość zdefiniowania godzin, w których będą zablokowane gry, np od godz. 8.00 do godz. 17.00.
Przy dansguardianie zawsze można sobie cronem podmieniać listy fraz / stron adresów i restartować dansguardiana. Problem w tym, że ja mam bardzo złe doświadczenia z dansguardianem. Działa dobrze momentami, zazwyczaj zamula cały ruch, i co najgorsza Niceshaper ubija ruch idący przez proxy dansguardiana.
MES Mariusz napisał:To normalne, komunikacja jest zaszyfrowana pomiędzy serwerem a przeglądarką i router 'po drodze' nie ma możliwości odszyfrowania tej transmisji aby zobaczyć jakie dane są przesyłane. 0Strona na protokole https:// (youtube.com) nie pozwala się zablokować.
Raport wygenerowany przez Untangle za wczorajszy dzień.
Wygląda na to, że działa.
Szkoda, że w całości darmowe nie jest.
Ale komfort na prawdę duży. Pierwszy raz miałem do czynienia z systemem, który zainstalował się absolutnie sam od początku do końca. Po restarcie prosta, jednorazowa konfiguracja. Robi wrażenie.
Untangle scanned 0.29 GB i 52025 sessions
Web Filter przeskanował 9071 wykrytych kliknięć na strony www 50 naruszeń, z których 50 były blokowane
Virus Blocker przeskanowano 9071 dokumenty wykryte i zablokowane 0 wirusów
Virus Blocker Lite przeskanowano 9071 dokumenty wykryte i zablokowane 0 wirusów
Spam Blocker scanned 0 messages and detected and processed 0 spam messages
Phish Blocker scanned 0 messages and detected and processed 0 phish messages
Web Cache handled 0.00 MB of traffic, of which 0.00 MB were obtained directly from the cache
Bandwidth Control analyzed 292.16 MB
Application Control identified 0 of 20850 sessions of which 0 were flagged and 0
were blocked
Application Control Lite scanned 20850 sessions and detected 0 protocols of which 0 were blocked
Captive Portal processed 0 user login events
Firewall zeskanowane 20850 sesje i blokady 0 zgodnie z zasadami
Intrusion Prevention scanned 20850 sessions and detected 0 attacks of which 0 were blocked
Ad Blocker skanowane 9071 odsłon stron internetowych i zablokowanych 255 ads and 479 cookies
Policy Manager mapped 20850 sessions across 1 racks
Directory Connector processed 0 AD events
WAN Failover detected 0 WAN failures and saved the network from 0.0 seconds of downtime
WAN Balancer spread 20850 sessions over 1 interfaces
OpenVPN securely passed 0 MB of traffic and processed 0 remote logins
Configuration Backup Ustawienia kopii zapasowej 1 czasy
PS. Z "szafy" zniknął mi Web Filter lite. Nie wiem, gdzie się podział. Mam nadzieję, że wróci na swoje miejsce, gdy wersja 14 dniowa się skończy.
PS. demo panelu, gdyby ktoś chciał zobaczyć jak to wygląda:
http://demo.untangle.com/auth/login?url=/setup/welcome.do&realm=Administrator
MES Mariusz napisał:Uruchomienie SSH:Kurcze, nie mogę wbić na ssh NG Firewall. Odrzuca mi połączenia.
MES Mariusz napisał:kontrola aplikacji (nie wiem na czym polega)
Generalnie fajna zabawka. Aż szkoda, że nie ma darmowego odpowiednika. Są dziesiątki przeróżnych dystrybucji linuxa, a w pełni funkcjonalnych, gotowych routerów, firewalli brak. Szkoda. Ktoś powie, że można zrobić samemu. Pewnie, że można tylko nie zawsze wszystko działa, i nie koniecznie mamy na tyle życia, by przebrnąć przez wszystko.
Tak na szybko z ciekawszych rzeczy (obchodzę wersję płatną):
- Odblokowanie SSH
http://forums.untangle.com/networking/35127-s...ntangle-blocked-default-how-unblock-them.html
- Możliwość uruchamiania firewalla na konkretny przedział godzinowy:
http://forums.untangle.com/networking/35128-h...nable-disable-aplication-via-console-ssh.html
- Zmiana dafaultowego adresu IP
http://forums.untangle.com/networking/35129-default-ip-address-untangle.html
- Różne reguły do różnych hostów - możliwe tylko w wersji płatnej:
http://forums.untangle.com/networking/35131-w...settings-different-hosts-possible-how-do.html
- Bożliwość zdefiniowania własnego filtru kontekstowego (zawartość stron) uwaga... nie jest możliwa (nawet w wersji płatnej)
http://forums.untangle.com/networking/35130-web-filter-customization-block-categories.html
Pod tym względem lepszy byłby dansguardian, gdyby... działał. W internecie pełno jest narzekań, że na otwarcie strony trzeba czekać od kilku do kilkudziesięciu sekund. Potwierdzam, u mnie jest tak samo. Czasem to działa, czasem nie. I nikt do końca nie wie dlaczego...
http://dansguardian.org/?page=dgflow
Powstał nawet dokument:
http://contentfilter.futuragts.com/wiki/doku.php?id=performance_tuning
Jak dla mnie jednak średnio użyteczny, niewiele dla mnie z niego wynika. Samo proxy na porcie 3128 śmiga jak ta lala. Ale kiedy odwołujesz się do Dansguardian proxy na porcie 8080 wszystko prędkość siada totalnie... Nawet jeśli wyłączam skanowanie zawartości ClamAV-em...
http://forum.freesco.pl/viewtopic.php?t=18237
Z ciekawości szukam w pełni darmowych alternatyw dla Untangle Firewall.
W oczy rzuciły mi się:
http://www.clearfoundation.com/Software/overview.html
http://www.artica.fr
Jeśli znacie jeszcze jakieś, najlepiej w pełni darmowe, dajcie proszę znać.
Jest jeszcze m0n0wall:
http://m0n0.ch/wall/
i Endian w wersji Community:
http://www.endian.com/en/community/download/
http://www.endian.com/fileadmin/vorlage/PDF/D...heet/Endian_Product-Feature_comparison-en.pdf
Ale nie ćwiczyłem tego, wiem tylko, że są. Zwłaszcza m0n0wall jest dość znany.
Ale Untangle ma jednak więcej funkcji.
Była jeszcze Vyatta, ale produkt przeszedł do firmy Brocade i chyba już się go nie da ściągnąć za darmo.
Z ciekawych pozycji wyłaniają się także:
http://en.wikipedia.org/wiki/Simplewall
http://en.wikipedia.org/wiki/Sophos
http://en.wikipedia.org/wiki/Bifrost_(operating_system)
Na podstawie:
http://en.wikipedia.org/wiki/List_of_router_and_firewall_distributions
Nie testowałem jednak jeszcze żadnej z owych trzech wspomnianych.
