Qadağan edilmiş resurslara səfərlərin qarşısının alınmasının aktuallığı qanunlara və ya müvafiq orqanların əmrlərinə əməl etməməkdə rəsmi olaraq ittiham oluna bilən hər hansı inzibatçıya təsir göstərir.
Tapşırıqlarımız üçün ixtisaslaşdırılmış proqramlar və paylamalar olduqda niyə təkəri yenidən kəşf edək, məsələn: Zeroshell, pfSense, ClearOS.
Rəhbərliyin daha bir sualı var idi: İstifadə olunan məhsulun dövlətimizdən təhlükəsizlik sertifikatı varmı?
Aşağıdakı paylamalarla işləmək təcrübəmiz var:
- Zeroshell - tərtibatçılar hətta 2 illik lisenziya da bağışladılar, lakin məlum oldu ki, bizi maraqlandıran paylama dəsti məntiqsiz olaraq bizim üçün kritik bir funksiya yerinə yetirdi;
- pfSense - hörmət və şərəf, eyni zamanda cansıxıcı, FreeBSD firewall-un komanda xəttinə öyrəşmək və bizim üçün kifayət qədər rahat deyil (düşünürəm ki, bu vərdiş məsələsidir, lakin bu, yanlış yol olduğu ortaya çıxdı);
- ClearOS - aparatımızda çox yavaş olduğu ortaya çıxdı, ciddi sınaqdan keçə bilmədik, bəs niyə belə ağır interfeyslər?
- Ideco SELECTA. Ideco məhsulu ayrı bir söhbətdir, maraqlı məhsuldur, lakin siyasi səbəblərə görə bizim üçün deyil və mən də onları eyni Linux, Roundcube və s. üçün lisenziya haqqında "dişləmək" istəyirəm. İnterfeysi kəsməklə bu fikri haradan əldə etdilər Python və super istifadəçi hüquqlarını əlindən alaraq, onlar GPL və s. altında paylanmış İnternet icmasından hazırlanmış və dəyişdirilmiş modullardan ibarət hazır məhsulu sata bilərlər.
Başa düşürəm ki, indi subyektiv hisslərimi ətraflı şəkildə əsaslandırmaq tələbləri ilə mənfi nidalar mənim istiqamətimə töküləcək, lakin demək istəyirəm ki, bu şəbəkə qovşağı həm də İnternetə 4 xarici kanal üçün trafik balanslaşdırıcısıdır və hər bir kanalın öz xüsusiyyətləri var. . Başqa bir təməl daşı müxtəlif ünvan məkanlarında işləmək üçün bir neçə şəbəkə interfeysindən birinin ehtiyacı idi və mən hazırdır qəbul edin ki, VLAN-lar lazım olan və lazım olmayan hər yerdə istifadə edilə bilər hazır deyil. TP-Link TL-R480T+ kimi istifadə olunan cihazlar var - onlar ümumiyyətlə, öz nüansları ilə mükəmməl davranmırlar. Ubuntu rəsmi saytı sayəsində bu hissəni Linux-da konfiqurasiya etmək mümkün oldu . Üstəlik, kanalların hər biri hər an "düşə", həm də yüksələ bilər. Hal-hazırda işləyən bir skriptlə maraqlanırsınızsa (və bu ayrıca nəşrə dəyər), şərhlərdə yazın.
Nəzərdən keçirilən həll unikal olduğunu iddia etmir, lakin mən sual vermək istərdim: “Alternativ variant nəzərdən keçirilə bildiyi halda müəssisə niyə ciddi aparat tələbləri olan üçüncü tərəfin şübhəli məhsullarına uyğunlaşmalıdır?”
Rusiya Federasiyasında Roskomnadzorun siyahısı varsa, Ukraynada Milli Təhlükəsizlik Şurasının Qərarına əlavə var (məsələn. ), onda yerli liderlər də yatmır. Məsələn, bizə rəhbərliyin fikrincə, iş yerində məhsuldarlığı aşağı salan qadağan olunmuş saytların siyahısı verilmişdi.
Defolt olaraq bütün saytların qadağan edildiyi və yalnız müdirin icazəsi ilə müəyyən bir sayta daxil ola biləcəyiniz, hörmətlə gülümsəyərək, düşünərək və "problem üzərində siqaret çəkə bilərsiniz" digər müəssisələrdəki həmkarları ilə ünsiyyət quraraq anladıq ki, həyat. hələ də yaxşıdır və biz onların axtarışına başladıq.
Nəinki "evdar qadınların kitablarında" trafikin filtrasiyası ilə bağlı yazdıqlarını analitik şəkildə görmək, həm də müxtəlif provayderlərin kanallarında nə baş verdiyini görmək imkanı əldə edərək, aşağıdakı reseptlərə diqqət yetirdik (hər hansı bir ekran görüntüsü bir az kəsilmişdir, lütfən anlayın ):
Təchizatçı 1
— narahat etmir və öz DNS serverlərini və şəffaf proxy serverini tətbiq edir. Yaxşı?.. amma ehtiyacımız olan yerə çıxışımız var (lazım olsa :))
Təchizatçı 2
- onun ən yaxşı provayderinin bu barədə düşünməli olduğuna inanır, ən yaxşı provayderin texniki dəstəyi hətta qadağan edilməmiş lazım olan saytı niyə aça bilmədiyimi etiraf etdi. Məncə şəkil sizi əyləndirəcək :)
Məlum olduğu kimi, onlar qadağan olunmuş saytların adlarını İP ünvanlarına çevirərək İP-nin özünü bloklayırlar (bu İP ünvanın 20 saytı yerləşdirə bilməsi onları narahat etmir).
Təchizatçı 3
— nəqliyyatın ora getməsinə icazə verir, lakin marşrut boyu geriyə yol vermir.
Təchizatçı 4
— göstərilən istiqamətdə paketlərlə bütün manipulyasiyaları qadağan edir.
VPN (Opera brauzerinə münasibətdə) və brauzer plaginləri ilə nə etməli? Əvvəlcə Mikrotik node ilə oynayaraq, hətta sonradan imtina etməli olduğumuz L7 üçün resurs tutumlu bir resept əldə etdik (daha çox qadağan olunmuş adlar ola bilər, marşrutlar üçün birbaşa məsuliyyətlərinə əlavə olaraq, 3-də çox olanda kədərli olur. ifadələr PPC460GT prosessor yükü 100%-ə qədər gedir.
.
Nə aydın oldu:
127.0.0.1-də DNS tamamilə dərdin dərmanı deyil, brauzerlərin müasir versiyaları hələ də bu cür problemlərin qarşısını almağa imkan verir. Bütün istifadəçiləri azaldılmış hüquqlarla məhdudlaşdırmaq mümkün deyil və çox sayda alternativ DNS haqqında unutmamalıyıq. İnternet statik deyil və yeni DNS ünvanlarına əlavə olaraq, qadağan edilmiş saytlar yeni ünvanlar alır, yüksək səviyyəli domenləri dəyişdirir və ünvanlarına simvol əlavə edə/çıxara bilər. Ancaq yenə də belə bir şey yaşamaq hüququ var:
ip route add blackhole 1.2.3.4Qadağan edilmiş saytlar siyahısından IP ünvanlarının siyahısını əldə etmək kifayət qədər təsirli olardı, lakin yuxarıda qeyd olunan səbəblərə görə biz Iptables haqqında mülahizələrə keçdik. CentOS Linux buraxılış 7.5.1804-də artıq canlı balanslaşdırıcı var idi.
İstifadəçinin İnterneti sürətli olmalıdır və Brauzer bu səhifənin mövcud olmadığı qənaətinə gələrək yarım dəqiqə gözləməməlidir. Uzun axtarışdan sonra bu modelə gəldik:
Fayl 1 -> /script/denied_host, qadağan olunmuş adların siyahısı:
test.test
blablabla.bubu
torrent
pornoFayl 2 -> /script/denied_range, qadağan olunmuş ünvanların və ünvanların siyahısı:
192.168.111.0/24
241.242.0.0/16Skript faylı 3 -> ipt.shipables ilə işi yerinə yetirmək:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Sudo-nun istifadəsi WEB interfeysi vasitəsilə idarə etmək üçün kiçik bir hackimiz olması ilə əlaqədardır, lakin bir ildən artıqdır ki, belə bir modeldən istifadə təcrübəsi göstərdi ki, WEB o qədər də lazım deyil. Həyata keçirildikdən sonra verilənlər bazasına saytların siyahısını əlavə etmək istəyi yarandı və s. Bloklanmış hostların sayı 250 + onlarla ünvan boşluğundan çoxdur. Https bağlantısı ilə sayta girərkən həqiqətən problem var, sistem administratoru kimi, brauzerlərdən şikayətlərim var :), lakin bunlar xüsusi hallardır, resursa girişin olmaması üçün tetikleyicilerin çoxu hələ də bizim tərəfimizdədir. , biz həmçinin Opera VPN və Microsoft-dan friGate və telemetriya kimi plaginləri uğurla bloklayırıq.
Mənbə: www.habr.com