izbor routera za filtriranje sadržaja

[medo]

https://www.balbix.com/app/uploads/s...st-768x607.png

[jp_rv]

da nastavim ovu temu iako možda zaq...
ako stavim eset nod32 antivirus na server (obzirom da imam samo jednu licencu) i prerutam promet kroz server a ne samo dns, mogu li tako filtrirati i promet?
sviđa mi se kako se eset ponaša, blokira pristup poznatim malware/phishing sajtovima, blokira konekcije kad skuži sranja na stranicama i slično - e pa to ali na razini mreže.

pitam za doma. prebacio bi samo par laptopa da idu kroz to

[medo]

Moraš složiti SSL inspection. U protivnom ćeš moći blokirati samo domene i poddomene budući da se danas forsira HTTPS.


Za to ćeš morati imati svoj cert za NOD32 koji će morati biti importan u sve browsere doma... ako NOD32 uopće podržava to o čemu pričam.

[Doom]

Za po doma imam Asus rt-ac86u sa Merlin fw-om
Gore su defaultni Ai protection + Diversion i Skynet na ssd-u u usb kućištu i to evo 2g radi bez greške / intervencija. Prije njega je bio isti setup na ac87u.

Nema reklama ni na jednom uređaju u mreži a blokira i ostalo smetje. Dodatno vrtim i nod32 na kompu i laptopu. Naravno da nije napredno kao FortiGate i sl profi oprema ali Asus je 140€ a sposoban je i kao vpn server ( 1.8 GHz proc sa aes podrškom ).

[medo]

Da li ti skida reklame iz Jubitoa?

[Doom]

Jok

[jp_rv]

da niš od toga, čitao sam malo i ne može na jednostavan način.

čak i oni koji to opisuju kažu da je jednostavnije dignut pihole ili slično, tako da ova priča sa adguardom je max šta mogu imat na network razini.


jes u firmi je fortigate sa av licencom :P

[Neo-ST]

Citiraj:

Autor Doom

Za po doma imam Asus rt-ac86u sa Merlin fw-om
Gore su defaultni Ai protection + Diversion i Skynet na ssd-u u usb kućištu i to evo 2g radi bez greške / intervencija. Prije njega je bio isti setup na ac87u.

Nema reklama ni na jednom uređaju u mreži a blokira i ostalo smetje. Dodatno vrtim i nod32 na kompu i laptopu. Naravno da nije napredno kao FortiGate i sl profi oprema ali Asus je 140€ a sposoban je i kao vpn server ( 1.8 GHz proc sa aes podrškom ).

Koji je od tih Asus routera najbolji? Cijena mi je nebitna, želim samo da je top? Po mogućnosti da se može stavit sim kartica od operatera u njega...

[xlr]

4G modemi/ruteri su im meh i nemas mogucnost merlin fw-a. Bolje uloziti u provjeren 4G modem (Huawei ili sl), bacis ga u bridge i iza njega stavis ruter. Ovo sto Doom opisuje je custom rjesenje. Znaci custom firmware + setup diversiona/skyneta.

Meni osobno je to sve sto Doom kaze radilo samo okeish na AC86U. Ipak mi se boljim pokazao pihole, a i rpi se da nabaviti za sicu. Setup mi je laksi, kasnije odrzavanje, whitelistanje, blacklistanje, sve kroz web UI.

[klokan057]

Draytek ima uslugu filtriranja sadržaja.

https://www.draytek.com/products/dra...rl-reputation/

Ruteri su nešto skuplji , npr 270 EUR za Vigor 2927.

Godišnja pretplata- A card za 2927 model je cc 60 EUR

Zgodna stvar je live demo - možete vidjeti kako izgledaju izbornici uređaja prije nego kupite:
http://eu.draytek.com:12927

A prije su imali i free 30 dana trial za url reputation uz svaki novi uređaj ( nisam siguran jel ovo još nude).

[Cuky]

@xlr - daj popis ad listi sto vrtis na pihelou da usporedim sa svojima.

[xlr]

Citiraj:

Autor Cuky

@xlr - daj popis ad listi sto vrtis na pihelou da usporedim sa svojima.

Nisam dugo nista kemijao s listama, tu i tamo nesto ode u blacklistu. Ovo je u pogonu vec nekoliko godina:

Code:

https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt
https://www.github.developerdan.com/hosts/lists/ads-and-tracking-extended.txt
https://raw.githubusercontent.com/deathbybandaid/piholeparser/master/Subscribable-Lists/ParsedBlacklists/Disconnect-Malware-Filter.txt

[Cuky]

Thanks. Usporedim sa svojima kad stignem.

[Blagus]

@jp_rv Možda OPNsense i Zenarmor kao L7 filter? Ima free verzija pa vidi jel ti odgovara: https://www.zenarmor.com/plans

[jp_rv]

neće to ić, ne kanim dedicirati jednu cijelu mašinu za to. eventualno virtualizirati ali to je sve PITA i kako inglišmenovi kažu, ain't nobody got time fo that shit.

sve ovo šta hoće plaćanja na mjesečnoj bazi da bi radilo ne dolazi u obzir kod mene, nismo u merici da plaćam softvere. divim se sam sebi da uopće plaćam antivirus. jednostavno ću sve bitno radit na kompu kao i do sad i manit se plaćanja i piraterije na laptopu. čuvalo me do sad, čuvat će me valjda i dalje.



mislio da bi se dalo izvest ali previše komplike'. adguard nek se vrti i dalje na mreži, adblokeri po laptopima, i nod32 na pc-u.

[medo]

Citiraj:

Autor Doom

Jok

O tome govorim. Ne skida sve. Niti ne može.

YT je samo jedan primjer. Da bi to skinuo mora dekriptirati SSL i TLS a to ubija CPU. Mnogi skupi korporativni firewalli i proxyji pokleknu na tome. Di neće ti jeftini routeri za po doma.

Zato je uBlock Origin majka za home usere na PCekima i laptopima.

[xlr]

Mah, ne ponovilo se. Godinama sam zivio bez reklama na kompu, bez pola reklama na mobu, sa reklamama na chromecastu kada castam yt. Uzasno iskustvo. Uzmem lap, blokira reklame ako koristim ekstenziju. I samo u browseru. Uzmem mob, potpuno drugo iskustvo. Pa drljaj s blokadom, s vpn-ovima, x appova za y uredjaja na mrezi da bi blokirao reklame i sve to ne radi jednako dobro. I opet yt ima reklame. Bilo je dobro jer nisam znao za bolje

[Nikky]

Pa jeli se u ovoj ili nekoj drugoj temi spominjao ovaj fadblock > https://github.com/0x48piraj/fadblock
za eliminiranje reklama na YT & PC / Lap ?

[medo]

Tema je router koji to može.

U DiY varijanti se to može postići sa Privoxyjem na Linuxu (RPi npr.)

http://www.privoxy.org/

Treba enejblati https-inspection i kreirati cert koji mora biti importan u lokalne browsere.

[Doom]

Citiraj:

Autor xlr

4G modemi/ruteri su im meh i nemas mogucnost merlin fw-a. Bolje uloziti u provjeren 4G modem (Huawei ili sl), bacis ga u bridge i iza njega stavis ruter. Ovo sto Doom opisuje je custom rjesenje. Znaci custom firmware + setup diversiona/skyneta.

Meni osobno je to sve sto Doom kaze radilo samo okeish na AC86U. Ipak mi se boljim pokazao pihole, a i rpi se da nabaviti za sicu. Setup mi je laksi, kasnije odrzavanje, whitelistanje, blacklistanje, sve kroz web UI.

Pi-hole nisam probao ali meni ovo na Asusus radi ok. Veza na net je 100-njak Mb 4G-a - nisam primjetio da usporava mrežu. Diversion uredno obavlja adblock funkciju ( YT gotovo pa ne koristim ) a za Skynet u logovima vidim da izfiltirira dosta toga.

Jedno vrijeme sam kemijao sa pfSesne-om i Sophosom pa na kraju odustao. Previše je to gnjavaže za kućnu mrežu.

[jp_rv]

@doom - šta je sophos trebao radit u mreži? to je firewall, ali koliko vidim ima i antivirus? ili se to dodatno plaća? daj riječ dve

[xlr]

Vrti netko opnsense na n100 boxu? Jel radi to oke (pretpostavljam da da)... Gledam nesto za zajebanciju, sad su na aliji popusti pa...

[Nikky]

U onoj 2.5 GB temi sam slično pitao, stavio link na slični N51xx box sa finim BF popustom.

[Doom]

Citiraj:

Autor jp_rv

@doom - šta je sophos trebao radit u mreži? to je firewall, ali koliko vidim ima i antivirus? ili se to dodatno plaća? daj riječ dve

Sophos UTM IPS, home use licenca.
Ufatila me paranoja a imao kantu viška sa aes procom. Ali svejedno dok bi koristio OpenVPN proc je stalno bio zakucan na 100%. I bez vpn-a je radio sporo, kanta je bila AMD E1-6050J bazirana sa 6 giga rama.

[xlr]

Citiraj:

Autor Nikky

U onoj 2.5 GB temi sam slično pitao, stavio link na slični N51xx box sa finim BF popustom.

Nisam upratio temu (pisi u akcije, tststs). Srecom sa istog linka sam vec kupio, doduse N100. Gola kutija za 137 eura sa nekim kuponom. Pogledao sam vise tih modela/sellera i Topton cini mi se ima najbolju cijenu za golaca. A i na dobrom glasu je.

[jp_rv]

Citiraj:

Autor Doom

Sophos UTM IPS, home use licenca.
Ufatila me paranoja a imao kantu viška sa aes procom. Ali svejedno dok bi koristio OpenVPN proc je stalno bio zakucan na 100%. I bez vpn-a je radio sporo, kanta je bila AMD E1-6050J bazirana sa 6 giga rama.

gledam taj sophos ali i dalje ne kužim svrhu, firewall imam na routeru, tako da jedino antivirus ako bi bio od neke koristi? inače adguard radi sasvim solidan posao ali i dalje te reklame jedugovna tako da instalirao firefox beta + adguard na mob, sad je mir, jedino nema jebeni text reflow , niti jedan browser to nema osim opere, koja pak nema adblocker. pascucka.

Citiraj:

Autor xlr

Nisam upratio temu (pisi u akcije, tststs). Srecom sa istog linka sam vec kupio, doduse N100. Gola kutija za 137 eura sa nekim kuponom. Pogledao sam vise tih modela/sellera i Topton cini mi se ima najbolju cijenu za golaca. A i na dobrom glasu je.

baš gledam, i chuwi EU ima neke popuste pa njihov najjači n100 box ispadne 145 eura. ima i firebat na aliju za 135eur model sa 16gb+512gb ssd, ali tu nas vjerojatno ufati carina pedeve... a ja već složio to na i3-7100 tako da sad mogu bilokoji low end media player puknut doma, a server će to transkodirat. neki dan pustio hevc 4k nije ni štucnuo, ali može bit zato jer to box može i nativno otvorit...

[xlr]

Sa alije nema carine do 150 eura, a pdv je vec u cijenu. Kada u checkoutu pise vat included onda si siguran. Za ostale shopove ne znam, nisam koristio.

Tebi mozda curi dns, probaj na spornom uredjaju pokrenuti extended test:
https://www.dnsleaktest.com/

[xlr]

Pitanjce za vas sto vrtite opnsense. Gledano sa aspekta backupa i cim lakseg restorea u slucaju problema, da li biste preporucili:

1) opnsense bare metal instalaciju
ili
2) virtualizaciju opnsensea u proxmoxu

Hardver na kojem ce se to vrtiti je N100 kineska skatula sa 4 porta, klasika.

Solucija 2) mi je poznatija, koristim proxmox na drugom serveru, imam slozen i proxmox backup server, vrlo lako backupiram, restoram i snapshotam...
Doduse ne znam (jos) sto moze poci po zlu kod virtualiziranja rutera/fw-a? Znam da cu gore vrtiti samo opnsense i jednu instancu dns-a, vjerojatno pihole u drugom vm-u/lxc-u. Sekundarni dns/pihole ce se vrtiti na drugom odvojenom hardveru.

Solucija 1) mi je (jos) vrlo nepoznata. Ne znam koliko se dobro opnsense moze backupirati, je li u backupu ukljuceno apsolutno sve za brz i lak restore, kakav je restore proces itd. Razlog zasto mi je nepoznato je sto mi hardver jos nije stigao. Zato i pitam ovo prije nego krenem upucavati sate i dane u setup

[Nikky]

Možda ti pomogne u izboru > https://www.reddit.com/r/opnsense/co...ed_on_proxmox/

a za eventualni backup & restore na bare metal > https://homenetworkguy.com/how-to/mi...-new-hardware/

[Blagus]

Produkcija mi je na bare metal. Nešto sam kemijao i testirao u VM-u (isto Proxmox) ali ništa ozbiljno nije išlo kroz tu instalaciju.
Uvijek bih odabrao bare metal. Virtualizacija samo produljuje vrijeme boota i povećava downtime u slučaju npr. nestanka struje - dok se prvo boota Proxmox, a tek onda krene VM. A da iz bilo kojeg razloga padne VM, Proxmox ti ništa ne pomaže u situaciji gdje nemaš mreže, a ona ti treba da bi došao do Proxmoxove konzole i firewalla.

OPNsense kod backupa napravi xml sa apsolutno svim postavkama, uključujući usere i čak i log tko je i kad zadnje promijenio neki rule na firewallu. To importaš u drugu instalaciju (ne mora čak niti biti nova/čista) i nakon reboota sve radi po starom. Dodatno možeš uključiti i RRD u backup pa čak i statistika preživi reinstall. Izgubiš jedino ono što radiš kroz command line - recimo ako tjunaš performanse kroz sysctl, ali to bi isto ionako trebao raditi kroz web sučelje.

Pi-hole ti je višak kad imaš blokiranje na OPNsenseu s Unbound DNS-om koji isto ima liste (Blocklist.site, AdAway, AdGuard), iznimke, whiteliste itd.