ወደ የተከለከሉ ሀብቶች ጉብኝቶችን የማገድ አግባብነት የሚመለከታቸው ባለስልጣናት ህግን ወይም ትዕዛዞችን ባለማክበር በይፋ ሊቀርቡ የሚችሉትን ማንኛውንም አስተዳዳሪ ይነካል ።
ለምንድነው ለተግባሮቻችን ልዩ ፕሮግራሞች እና ስርጭቶች ሲኖሩ መንኮራኩሩን እንደገና ማደስ ለምሳሌ ዜሮሼል ፣ pfSense ፣ ClearOS።
ባለሥልጣኖቹ አንድ ተጨማሪ ጥያቄ ነበራቸው፡ ጥቅም ላይ የዋለው ምርት የግዛታችን የደህንነት ምስክር ወረቀት አለው?
ከሚከተሉት ስርጭቶች ጋር የመሥራት ልምድ ነበረን፦
- ዜሮሼል - ገንቢዎቹ ለ 2 ዓመታት ፈቃድ እንኳን ሰጡ, ነገር ግን የፍላጎት ማከፋፈያ ኪት ለእኛ ወሳኝ ተግባር እንድንፈጽም ምክንያታዊ አልነበረም;
- pfSense - አክብሮት እና ክብር ፣ በተመሳሳይ ጊዜ አሰልቺ ፣ ከ FreeBSD ፋየርዎል ትዕዛዝ መስመር ጋር መተዋወቅ እና ለእኛ በቂ አለመሆን (የልምድ ጉዳይ ይመስለኛል ፣ ግን “እንደዚያ” አልሆነም) ።
- ClearOS - በእኛ ሃርድዌር ላይ በጣም ቀርፋፋ ሆነ ፣ ከባድ ፈተና ላይ መድረስ አልቻሉም ፣ ታዲያ ለምን እንደዚህ ያሉ ከባድ በይነገጽ?
- Ideco SELECTA ስለ አይዲኮ ምርት የተለየ ውይይት ፣ አስደሳች ምርት ነው ፣ ግን ለፖለቲካዊ ምክንያቶች ፣ ለእኛ አይደለም ፣ ግን ለተመሳሳይ ሊኑክስ ፣ Roundcube ፣ ወዘተ ስለ ፈቃድ “ሊነክሳቸው” እፈልጋለሁ ። በይነገጹን " ጠጡ" የሚለውን ሃሳብ ከየት አገኙት ዘንዶ እና የሱፐር ተጠቃሚውን መብቶች ከወሰዱ በኋላ በጂፒኤል እና ወዘተ ስር ከተሰራጩት እና ከተሻሻሉ የበይነመረብ ማህበረሰብ ሞጁሎች የተሰራውን የተጠናቀቀ ምርት መሸጥ ይችላሉ።
ስሜቴን በዝርዝር ለማረጋገጥ አሁን አሉታዊ ቃለ ምልልሶች በአቅጣጫዬ እንደሚፈሱ ተረድቻለሁ ነገር ግን ይህ የአውታረ መረብ መስቀለኛ መንገድ ለ 4 ውጫዊ ቻናሎች የበይነመረብ ትራፊክ ሚዛን ነው ፣ እና እያንዳንዱ ጣቢያ የራሱ ባህሪዎች አሉት። . ሌላው የማዕዘን ድንጋይ ከተለያዩ የአድራሻ ቦታዎች ውስጥ ከበርካታ የአውታረ መረብ መገናኛዎች አንዱን የመስራት አስፈላጊነት ነበር, እና I ዝግጁ አስፈላጊ በሆነበት ቦታ ሁሉ እንደሚተገበር ይወቁ እና VLANs አያስፈልጉም i ዝግጁ አይደለም. እንደ TP-Link TL-R480T + ያሉ መሳሪያዎች በአገልግሎት ላይ አሉ - እነሱ በአጠቃላይ ፣ ከራሳቸው ልዩነቶች ጋር ፍጹም ጠባይ የላቸውም። ለኡቡንቱ ኦፊሴላዊ ጣቢያ ምስጋና ይግባውና ይህንን ክፍል በሊኑክስ ላይ ማዘጋጀቱ ጤናማ ሆኖ ተገኝቷል . ከዚህም በላይ እያንዳንዱ ሰርጦች በማንኛውም ጊዜ "ሊወድቁ" እና ሊነሱ ይችላሉ. በአሁኑ ጊዜ የሚሰራ ስክሪፕት ላይ ፍላጎት ካሎት (እና ይህ የተለየ ህትመት ዋጋ አለው) - በአስተያየቶቹ ውስጥ ይፃፉ.
እየተገመገመ ያለው መፍትሔ ልዩ ነው ብሎ አይናገርም, ነገር ግን ጥያቄውን መጠየቅ እፈልጋለሁ: "አማራጭ አማራጭ ሊታሰብበት በሚችልበት ጊዜ ኢንተርፕራይዝ ከሶስተኛ ወገን አጠራጣሪ ምርቶች ጋር በከባድ የሃርድዌር መስፈርቶች ለምን መላመድ አለበት?"
በሩሲያ ፌዴሬሽን ውስጥ የ Roskomnadzor ዝርዝር ካለ ፣ በዩክሬን ውስጥ የብሔራዊ ደህንነት ምክር ቤት ውሳኔ አባሪ አለ (ለምሳሌ ፣ ቁ. ) ከዚያም የአካባቢው መሪዎችም አይተኙም። ለምሳሌ፣ እንደ አስተዳደሩ ገለጻ፣ በሥራ ቦታ ምርታማነትን የሚያባብሱ የታገዱ ጣቢያዎች ዝርዝር ተሰጥቶናል።
በሌሎች ኢንተርፕራይዞች ውስጥ ከሥራ ባልደረቦች ጋር መገናኘት ፣ ሁሉም ጣቢያዎች በነባሪነት የተከለከሉ እና በአለቃው ፈቃድ ሲጠየቁ ብቻ ፣ አንድ የተወሰነ ጣቢያ መድረስ ይችላሉ ፣ በአክብሮት ፈገግ ይበሉ ፣ እያሰቡ እና “ችግሩን እያጨሱ” ፣ ህይወት እንዳለ ተረዳን ። አሁንም ጥሩ ነው ፍለጋቸውን ጀመርን።
ስለ ትራፊክ ማጣሪያ በ "የቤት እመቤቶች መጽሐፍት" ውስጥ የሚጽፉትን በትንታኔ ለማየት ብቻ ሳይሆን በተለያዩ አቅራቢዎች ቻናሎች ላይ ምን እንደሚከሰት ለማየት እድሉን በማግኘታችን የሚከተሉትን የምግብ አዘገጃጀት መመሪያዎች አስተውለናል (ማንኛውም ቅጽበታዊ ገጽ እይታዎች ትንሽ ተቆርጠዋል ፣ እባክዎን ተረዱ፣ እባክዎን ይጠይቁ):
አቅራቢ 1
- አይጨነቅም እና የራሱን የዲ ኤን ኤስ አገልጋዮች እና ግልጽ የሆነ ተኪ አገልጋይ ይጭናል. ደህና? .. ግን የምንፈልገውን ቦታ ማግኘት አለን (ከፈለግን :))
አቅራቢ 2
- የእሱ ከፍተኛ አቅራቢው ስለሱ ማሰብ እንዳለበት ያምናል ፣ የከፍተኛ አቅራቢው ቴክኒካዊ ድጋፍ ለምን የሚያስፈልገኝን ጣቢያ መክፈት እንደማልችል አምኗል። ስዕሉ ደስ የሚያሰኝ ይመስለኛል 🙂
እንደ ተለወጠ, የተከለከሉ ጣቢያዎችን ስም ወደ አይፒ አድራሻዎች ይተረጉማሉ እና አይፒውን በትክክል ያግዱታል (በዚህ አይፒ አድራሻ ላይ 20 ጣቢያዎች ሊስተናገዱ እንደሚችሉ አይጨነቁም).
አቅራቢ 3
- ትራፊክ ወደዚያ እንዲሄድ ይፈቅዳል, ነገር ግን በመንገዱ ላይ እንዲመለስ አይፈቅድም.
አቅራቢ 4
- በተጠቀሰው አቅጣጫ ሁሉንም የፓኬት ማጭበርበር ያሰናክላል።
እና በ VPN (የኦፔራ አሳሽ አክብሮት) እና ለአሳሾች ተሰኪዎች ምን ይደረግ? መጀመሪያ ላይ ከሚክሮቲክ መስቀለኛ መንገድ ጋር በመጫወት ፣ ለ L7 የሚሆን ሀብትን የሚጨምር የምግብ አዘገጃጀት መመሪያ አግኝተናል ፣ በኋላ ላይ መተው ነበረበት (የተከለከሉ ስሞች ሊኖሩ ይችላሉ ፣ በመንገዶች ላይ ካሉ ቀጥተኛ ተግባሮቻቸው በተጨማሪ ፣ በ 3 ደርዘን ላይ) ያሳዝናል ። መግለጫዎች ፣ የ PPC460GT ፕሮሰሰር ጭነት ወደ 100% ይሄዳል።
.
ግልጽ የሆነው ነገር፡-
ዲ ኤን ኤስ በ 127.0.0.1 ላይ ሙሉ ለሙሉ መድሃኒት አይደለም, ዘመናዊ የአሳሽ ስሪቶች አሁንም እንደዚህ አይነት ችግሮችን እንዲያልፉ ያስችሉዎታል. ሁሉንም ተጠቃሚዎች የተቆራረጡ መብቶችን መገደብ የማይቻል ነው, እና ስለ ተለዋጭ ዲ ኤን ኤስ ብዛት መዘንጋት የለብንም. በይነመረቡ የማይንቀሳቀስ አይደለም፣ እና ከአዲስ ዲ ኤን ኤስ አድራሻዎች በተጨማሪ፣ የተከለከሉ ጣቢያዎች አዲስ አድራሻዎችን ይገዛሉ፣ ከፍተኛ ደረጃ ያላቸውን ጎራዎች ይቀይሩ እና በአድራሻቸው ውስጥ ቁምፊ ማከል/ማስወገድ ይችላሉ። ግን አሁንም እንደዚህ ያለ ነገር የመኖር መብት አለው፡-
ip route add blackhole 1.2.3.4ከተከለከሉት ጣቢያዎች ዝርዝር ውስጥ የአይፒ አድራሻዎችን ማግኘት በጣም ውጤታማ ይሆናል ፣ ግን ከላይ በተገለጹት ምክንያቶች ፣ ስለ Iptables ግምት ውስጥ ገብተናል። በCentOS ሊኑክስ ልቀት 7.5.1804 ላይ የቀጥታ ቀሪ ሂሳብ አስቀድሞ ነበር።
የተጠቃሚው ኢንተርኔት ፈጣን መሆን አለበት፣ እና አሳሹ ግማሽ ደቂቃ መጠበቅ የለበትም፣ ይህ ገጽ አይገኝም ብሎ መደምደም አለበት። ከረዥም ፍለጋ በኋላ ይህንን ሞዴል አመጣን-
ፋይል 1 -> /ስክሪፕት/የተከለከለ_አስተናጋጅየተከለከሉ ርዕሶች ዝርዝር፡-
test.test
blablabla.bubu
torrent
pornoፋይል 2 -> /ስክሪፕት/የከለከለው_ክልልየተከለከሉ የአድራሻ ቦታዎች እና አድራሻዎች ዝርዝር፡-
192.168.111.0/24
241.242.0.0/16የስክሪፕት ፋይል 3 -> ipt.shበ ipables ስራውን በመስራት ላይ፡-
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
የሱዶ አጠቃቀም በ WEB በይነገጽ በኩል ለማስተዳደር ትንሽ ጠለፋ ስላለን ነው, ነገር ግን እንደዚህ አይነት ሞዴል ከአንድ አመት በላይ የመጠቀም ልምድ እንደሚያሳየው, WEB በጣም አስፈላጊ አይደለም. ከትግበራው በኋላ የጣቢያዎችን ዝርዝር ወደ የውሂብ ጎታ ወዘተ ለመጨመር ፍላጎት ነበረ. የታገዱ አስተናጋጆች ቁጥር ከ250+ ደርዘን የአድራሻ ቦታዎች በላይ ነው። በእርግጥ, በ https ግንኙነት ወደ ጣቢያው ሲሄዱ ችግር አለ, ልክ እንደ የስርዓት አስተዳዳሪ, ስለ አሳሾች ቅሬታ አለኝ :), ነገር ግን እነዚህ ልዩ ጉዳዮች ናቸው, አብዛኛው ምላሾች ወደ ሀብቱ መድረስ አለመቻል አሁንም በእኛ ላይ ናቸው. በተጨማሪም ኦፔራ ቪፒኤንን፣ እንደ ፍሪጌት እና ቴሌሜትሪ ያሉ ተሰኪዎችን ከማይክሮሶፍት በተሳካ ሁኔታ አግደናል።
ምንጭ: hab.com