Превращаем роутер в NGFW: DPI, IPS и умный шейпинг. Самохостинг (HomeLab) №3.2
Доброго времени суток! Эпопея с домашним дата-центром выходит на новый уровень. В прошлом видео (№3.1) мы собрали базу: железо работает, пакеты бегают. Но будем честны: без продвинутого софта эта мощная коробка на Ryzen — просто дорогая «перемычка». Сегодня мы превращаем обычный роутер в uCPE — универсальную платформу с функциями NGFW (Firewall нового поколения). Мы не просто «раздадим интернет», мы возьмем под контроль каждый аспект сети. В этом выпуске мы строим архитектуру Enterprise-уровня дома: Побеждаем лаги (Bufferbloat): Пишем свой скрипт авто-шейпинга на Python + CAKE, чтобы получить идеальный пинг даже при забитом канале провайдера. Активная защита (IPS): Внедряем DPI (Suricata) и репутационную защиту (CrowdSec). Шлюз будет сам банить хакеров, сканирующих ваши порты. Гибридный DNS: Собираем "сэндвич" из AdGuard Home (блокировка рекламы) и Unbound (свой резолвер) для максимальной приватности. Телеметрия (Observability): Настраиваем Zeek и Vector, чтобы видеть всё, что происходит в сети, не убивая SSD роутера логами. Это уже не просто настройки сети, это кибербезопасность и DevOps подход к домашней инфраструктуре. 🔗 Ссылки: 🔹 Мой Телеграм (скрипт шейпера, конфиги Suricata/Vector и команды): https://t.me/AlexRus1234Chanel 🔹 Группа в ВК: https://vk.com/club195345569 🔹 Предыдущая часть (№3.1. Базовая настройка): [Ссылка на прошлое видео] 00:00 — Вступление: что такое uCPE и зачем это нужно дома 01:05 — Три столпа идеального шлюза: Безопасность, Видимость, Скорость 01:25 — Проблема Bufferbloat: почему интернет лагает 02:16 — Решение: Алгоритм CAKE и динамические очереди 04:24 — Гибридный DNS-стек: AdGuard + Dnsmasq + Unbound 06:39 — Глубокий анализ трафика (DPI): Suricata 07:29 — Сетевая телеметрия: Zeek вместо полного дампа пакетов 07:54 — Активная защита: CrowdSec 08:22 — Проблема износа SSD логами 08:48 — Решение: Пайплайн данных через Vector и RAM-диск 09:42 — Страховка: Etckeeper (контроль версий) и Restic (бэкапы) 10:58 — Установка Etckeeper и инициализация Git 13:13 — Установка и настройка Unbound (Hyperlocal DNS) 16:19 — Настройка Dnsmasq (связка портов) 17:53 — Установка AdGuard Home 20:18 — Настройка веб-интерфейса AdGuard Home 26:24 — Настройка скрипта умного шейпера (Smart Shaper на Python) 30:08 — Тест скорости канала через iPerf3 33:34 — Установка Zeek через Docker 35:40 — Установка Suricata через Docker 36:39 — Установка CrowdSec и Firewall Bouncer 40:02 — Проверка работы CrowdSec (тестовый бан по IP) 41:51 — Установка Vector для сбора логов 43:41 — Заключение: что мы построили и что будет дальше
Доброго времени суток! Эпопея с домашним дата-центром выходит на новый уровень. В прошлом видео (№3.1) мы собрали базу: железо работает, пакеты бегают. Но будем честны: без продвинутого софта эта мощная коробка на Ryzen — просто дорогая «перемычка». Сегодня мы превращаем обычный роутер в uCPE — универсальную платформу с функциями NGFW (Firewall нового поколения). Мы не просто «раздадим интернет», мы возьмем под контроль каждый аспект сети. В этом выпуске мы строим архитектуру Enterprise-уровня дома: Побеждаем лаги (Bufferbloat): Пишем свой скрипт авто-шейпинга на Python + CAKE, чтобы получить идеальный пинг даже при забитом канале провайдера. Активная защита (IPS): Внедряем DPI (Suricata) и репутационную защиту (CrowdSec). Шлюз будет сам банить хакеров, сканирующих ваши порты. Гибридный DNS: Собираем "сэндвич" из AdGuard Home (блокировка рекламы) и Unbound (свой резолвер) для максимальной приватности. Телеметрия (Observability): Настраиваем Zeek и Vector, чтобы видеть всё, что происходит в сети, не убивая SSD роутера логами. Это уже не просто настройки сети, это кибербезопасность и DevOps подход к домашней инфраструктуре. 🔗 Ссылки: 🔹 Мой Телеграм (скрипт шейпера, конфиги Suricata/Vector и команды): https://t.me/AlexRus1234Chanel 🔹 Группа в ВК: https://vk.com/club195345569 🔹 Предыдущая часть (№3.1. Базовая настройка): [Ссылка на прошлое видео] 00:00 — Вступление: что такое uCPE и зачем это нужно дома 01:05 — Три столпа идеального шлюза: Безопасность, Видимость, Скорость 01:25 — Проблема Bufferbloat: почему интернет лагает 02:16 — Решение: Алгоритм CAKE и динамические очереди 04:24 — Гибридный DNS-стек: AdGuard + Dnsmasq + Unbound 06:39 — Глубокий анализ трафика (DPI): Suricata 07:29 — Сетевая телеметрия: Zeek вместо полного дампа пакетов 07:54 — Активная защита: CrowdSec 08:22 — Проблема износа SSD логами 08:48 — Решение: Пайплайн данных через Vector и RAM-диск 09:42 — Страховка: Etckeeper (контроль версий) и Restic (бэкапы) 10:58 — Установка Etckeeper и инициализация Git 13:13 — Установка и настройка Unbound (Hyperlocal DNS) 16:19 — Настройка Dnsmasq (связка портов) 17:53 — Установка AdGuard Home 20:18 — Настройка веб-интерфейса AdGuard Home 26:24 — Настройка скрипта умного шейпера (Smart Shaper на Python) 30:08 — Тест скорости канала через iPerf3 33:34 — Установка Zeek через Docker 35:40 — Установка Suricata через Docker 36:39 — Установка CrowdSec и Firewall Bouncer 40:02 — Проверка работы CrowdSec (тестовый бан по IP) 41:51 — Установка Vector для сбора логов 43:41 — Заключение: что мы построили и что будет дальше