我们最近在我们的networking中实施了(本地)IPv6。 到目前为止,一切运行良好,但是我们的IPv4networking通过Squid(Ubuntu服务器上的2.7.STABLE6)+ SquidGuard进行过滤。 这全部通过防火墙上的redirect规则(通过Shorewall)进行pipe理。
我现在想知道是否可以用IPv6来做同样的事情。 如果有任何帮助,我们使用Shorewall6来进行IPv6stream量。
这有点棘手。 据我所知,这里将会有两个主要的障碍:
redirect支持
有几种不同的方法可以让networkingstream量透明地访问网页过滤设备 – WCCP ,自定义协议(通常用于思科防火墙+ websense),或者是一个老式的SPAN /镜像端口。
根据所使用的系统,我会猜测你的实现使用WCCP,遗憾的是似乎没有IPv6支持。
鱿鱼本身
Squid 2.7不支持IPv6,所以你需要更新的Squid。 不是一个大问题,但也不是微不足道的。
在IPv6的URL过滤有点抛出了很多现有的解决scheme – 很好的select,在这一点上:
升级Squid for IPv6支持,并在客户端系统上使用代理configuration。 当然,更令人不愉快的pipe理,但作为额外的奖励,您的filter系统可以看到HTTPSstream。
你可能会取得一些成功的解决scheme,可以采取一个SPAN端口stream,并发送RST数据包来中断被拒绝的请求,但我会怀疑那些系统正常工作的IPv6(从技术angular度来看这是一个非常糟糕的解决scheme,无论如何)
大多数“统一威胁pipe理”设备,世界各地的Fortinets和Astaros ,都集成了URL过滤function – 如果您打算做一些重新安排,将其中一个插入透明的内联设备,甚至更换您的防火墙与一个,会做的伎俩。