Die relevansie van die blokkering van besoeke aan verbode hulpbronne raak enige administrateur wat amptelik voorgehou kan word met 'n versuim om aan die wet of bevele van die relevante owerhede te voldoen.
Waarom die wiel herontdek as daar gespesialiseerde programme en verspreidings vir ons take is, byvoorbeeld: Zeroshell, pfSense, ClearOS.
Die owerhede het nog een vraag gehad: Het die produk wat gebruik word 'n veiligheidssertifikaat van ons staat?
Ons het ondervinding gehad om met die volgende verspreidings te werk:
- Zeroshell - die ontwikkelaars het selfs 'n lisensie vir 2 jaar gegee, maar dit het geblyk dat die verspreidingskit van belang vir ons onlogies was om 'n kritieke funksie vir ons te verrig;
- pfSense - respek en eer, terselfdertyd vervelig, gewoond raak aan die FreeBSD firewall-opdragreΓ«l en nie gerieflik genoeg vir ons nie (ek dink dit is 'n kwessie van gewoonte, maar dit het geblyk nie "so" te wees nie);
- ClearOS - op ons hardeware blyk dit baie stadig te wees, hulle kon nie ernstige toetsing bereik nie, so hoekom sulke swaar koppelvlakke?
- Ideco SELECTA. Oor die Ideco-produk is 'n aparte gesprek, 'n interessante produk, maar om politieke redes, nie vir ons nie, maar ek wil hulle ook βbytβ oor die lisensie vir dieselfde Linux, Roundcube, ens. Waar het hulle die idee gekry dat hulle die koppelvlak in "gedrink" het Python en nadat hulle die regte van die supergebruiker weggeneem het, kan hulle die voltooide produk verkoop wat bestaan ββuit die ontwikkelde en gewysigde modules van die internetgemeenskap wat onder die GPL&ens versprei word.
Ek verstaan ββdat daar nou negatiewe uitroepe in my rigting sal stroom met eise om my subjektiewe gevoelens in detail te staaf, maar ek wil sΓͺ dat hierdie netwerknodus ook 'n verkeersbalanseerder is vir 4 eksterne kanale na die internet, en elke kanaal het sy eie kenmerke . Nog 'n hoeksteen was die behoefte om een ββvan verskeie netwerkkoppelvlakke in verskillende adresruimtes te werk, en ek gereed erken wat van toepassing is waar nodig en nie VLAN's benodig nie i nie gereed nie. Daar is toestelle soos TP-Link TL-R480T + in gebruik - hulle tree in die algemeen nie perfek op met hul eie nuanses nie. Dit blyk verstandig te wees om hierdie deel op Linux op te stel danksy die Ubuntu amptelike webwerf . Boonop kan elkeen van die kanale enige oomblik "val", sowel as styg. As jy belangstel in 'n draaiboek wat op die oomblik werk (en dit is 'n aparte publikasie werd) - skryf in die kommentaar.
Die oplossing wat oorweeg word, beweer nie dat dit uniek is nie, maar ek wil graag die vraag vra: "Hoekom moet 'n onderneming aanpas by twyfelagtige produkte van derdepartye met ernstige hardewarevereistes wanneer 'n alternatiewe opsie oorweeg kan word?".
As daar in die Russiese Federasie 'n lys van Roskomnadzor is, is daar in die OekraΓ―ne 'n aanhangsel by die besluit van die Nasionale Veiligheidsraad (byvoorbeeld nr. ), dan slaap plaaslike leiers ook nie. Ons het byvoorbeeld 'n lys van verbode webwerwe gekry wat, volgens bestuur, produktiwiteit in die werkplek vererger.
Kommunikeer met kollegas by ander ondernemings, waar alle werwe by verstek verbied is en slegs op versoek met die toestemming van die baas, kan jy toegang tot 'n spesifieke webwerf kry, met respek glimlag, dink en "rook oor die probleem", het ons besef dat die lewe is nog steeds goed en ons het hul soektog begin.
Met die geleentheid om nie net analities te sien wat hulle in die "boeke van huisvroue" skryf oor verkeersfiltrering nie, maar ook om te sien wat op die kanale van verskillende verskaffers gebeur, het ons die volgende resepte opgemerk (enige skermkiekies is 'n bietjie afgesny, asseblief verstaan, vra asseblief):
Verskaffer 1
- pla nie en stel sy eie DNS-bedieners en 'n deursigtige instaanbediener op. Wel? .. maar ons het toegang tot waar ons dit nodig het (as ons dit nodig het :))
Verskaffer 2
- glo dat sy topverskaffer daaroor moet dink, die tegniese ondersteuning van die topverskaffer het selfs erken hoekom ek nie die webwerf kan oopmaak wat ek nodig het nie, is nie verbied nie. Ek dink die prentjie sal jou opbeur π
Soos dit geblyk het, vertaal hulle die name van verbode werwe in IP-adresse en blokkeer presies die IP (hulle is nie bekommerd dat 20 werwe op hierdie IP-adres gehuisves kan word nie).
Verskaffer 3
- laat verkeer toe om daarheen te gaan, maar laat dit nie terug langs die roete nie.
Verskaffer 4
- deaktiveer alle pakkie manipulasie in die gespesifiseerde rigting.
En wat om te doen met VPN (Opera-blaaier-respek) en inproppe vir blaaiers? Deur eers met die nodale Mikrotik te speel, het ons selfs 'n hulpbron-intensiewe resep vir L7 gekry, wat later laat vaar moes word (daar is dalk meer verbode name, dit word hartseer wanneer, benewens hul direkte pligte op roetes, op 3 dosyn uitdrukkings, gaan die las van die PPC460GT-verwerker na 100 %).
.
Wat duidelik geword het:
DNS op 127.0.0.1 is absoluut nie 'n wondermiddel nie, moderne weergawes van blaaiers laat jou steeds toe om sulke probleme te omseil. Dit is onmoontlik om alle gebruikers met afgekapte regte te beperk, en ons moet nie vergeet van die groot aantal alternatiewe DNS nie. Die internet is nie staties nie, en benewens nuwe DNS-adresse, koop verbode werwe nuwe adresse, verander topvlakdomeine en kan 'n karakter in hul adres byvoeg/verwyder. Maar het steeds die reg om iets soos:
ip route add blackhole 1.2.3.4Om 'n lys van IP-adresse uit die lys van geblokkeerde werwe te kry, sou redelik effektief wees, maar om die redes hierbo aangedui, het ons oorgegaan na oorwegings oor Iptables. Daar was reeds 'n regstreekse balanseerder op CentOS Linux-vrystelling 7.5.1804.
Die gebruiker se internet moet vinnig wees, en die blaaier moet nie 'n halwe minuut wag nie, wat tot die gevolgtrekking kom dat hierdie bladsy nie beskikbaar is nie. Na 'n lang soektog het ons met hierdie model vorendag gekom:
LΓͺer 1 -> /script/denied_host, die lys van verbode titels:
test.test
blablabla.bubu
torrent
pornoLΓͺer 2 -> /script/denied_range, 'n lys van verbode adresspasies en adresse:
192.168.111.0/24
241.242.0.0/16SkriplΓͺer 3 -> ipt.sh, doen die werk met ipables:
# ΡΡΠΈΡΡΠ²Π°Π΅ΠΌ ΠΏΠΎΠ»Π΅Π·Π½ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΈΠ· ΠΏΠ΅ΡΠ΅ΡΠ½Π΅ΠΉ ΡΠ°ΠΉΠ»ΠΎΠ²
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# ΡΠ±ΡΠ°ΡΡΠ²Π°Π΅ΠΌ Π²ΡΠ΅ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ iptables, ΡΠ°Π·ΡΠ΅ΡΠ°Ρ ΡΠΎ ΡΡΠΎ Π½Π΅ Π·Π°ΠΏΡΠ΅ΡΠ΅Π½ΠΎ
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#ΡΠ΅ΡΠ°Π΅ΠΌ ΠΎΠ±Π½ΠΎΠ²ΠΈΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΎ ΠΌΠ°ΡΡΡΡΡΠ°Ρ
(ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡΡ Π½Π°ΡΠ΅ΠΉ Π°ΡΡ
ΠΈΡΠ΅ΠΊΡΡΡΡ)
sudo sh rout.sh
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ ΡΡΡΠΎΠΊΠΈ
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ Π°Π΄ΡΠ΅ΡΠ°
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Die gebruik van sudo is te wyte aan die feit dat ons 'n klein hack het om via die WEB-koppelvlak te bestuur, maar soos die ervaring van die gebruik van so 'n model vir meer as 'n jaar getoon het, is die WEB nie so nodig nie. Na die implementering was daar 'n begeerte om 'n lys webwerwe by die databasis te voeg, ens. Die aantal geblokkeerde gashere is meer as 250 + 'n dosyn adresspasies. Inderdaad, daar is 'n probleem wanneer ek na die webwerf gaan via https-verbinding, soos die stelseladministrateur, ek het klagtes oor blaaiers :), maar dit is spesiale gevalle, die meeste van die antwoorde op die gebrek aan toegang tot die hulpbron is steeds op ons kant, ons blokkeer ook Opera VPN, plugins soos friGate en telemetrie van Microsoft suksesvol.
Bron: will.com