🥇Iptables и филтриране на трафик от бедни и мързеливи дисиденти

Уместността на блокирането на посещения на забранени ресурси засяга всеки администратор, който може да бъде официално обвинен в неспазване на закона или разпорежданията на съответните органи.

Защо да преоткриваме колелото, когато има специализирани програми и дистрибуции за нашите задачи, например: Zeroshell, pfSense, ClearOS.

Ръководството имаше и друг въпрос: Използваният продукт има ли сертификат за безопасност от нашата държава?

Имахме опит в работата със следните дистрибуции:

Zeroshell - разработчиците дори дариха 2-годишен лиценз, но се оказа, че дистрибуторският комплект, който ни интересува, нелогично изпълнява критична функция за нас;
pfSense - уважение и чест, в същото време скучно, свикване с командния ред на защитната стена на FreeBSD и не достатъчно удобно за нас (мисля, че е въпрос на навик, но се оказа грешен начин);
ClearOS - на нашия хардуер се оказа много бавен, не можахме да стигнем до сериозно тестване, така че защо толкова тежки интерфейси?
Ideco SELECTA. Продуктът Ideco е отделен разговор, интересен продукт, но по политически причини не за нас, а също така искам да ги „ухапя“ за лиценза за същия Linux, Roundcube и т.н. Откъде им хрумна идеята, че чрез рязане на интерфейса Питон и като отнемат правата на суперпотребител, те могат да продават завършен продукт, съставен от разработени и модифицирани модули от интернет общността, разпространявани под GPL и т.н.

Разбирам, че сега ще се излеят негативни възклицания в моята посока с искания да обоснова подробно субективните си усещания, но искам да кажа, че този мрежов възел е и балансьор на трафика за 4 външни канала към Интернет и всеки канал има свои собствени характеристики . Друг крайъгълен камък беше необходимостта един от няколко мрежови интерфейса да работи в различни адресни пространства и аз готов признават, че VLAN могат да се използват навсякъде, където е необходимо и не е необходимо не е готов. Има използвани устройства като TP-Link TL-R480T+ - те не се държат перфектно, като цяло, със своите нюанси. Беше възможно да конфигурирате тази част на Linux благодарение на официалния уебсайт на Ubuntu IP балансиране: комбиниране на няколко интернет канала в един. Освен това всеки от каналите може да „падне“ във всеки един момент, както и да се повиши. Ако се интересувате от скрипт, който в момента работи (и това си струва отделна публикация), пишете в коментарите.

Разглежданото решение не претендира да бъде уникално, но бих искал да задам въпроса: „Защо едно предприятие трябва да се адаптира към съмнителни продукти на трети страни със сериозни хардуерни изисквания, когато може да се обмисли алтернативен вариант?“

Ако в Руската федерация има списък на Роскомнадзор, в Украйна има приложение към решението на Съвета за национална сигурност (напр. тук), тогава и местните лидери не спят. Например, получихме списък със забранени сайтове, които според ръководството влошават производителността на работното място.

Общувайки с колеги в други предприятия, където по подразбиране всички сайтове са забранени и само при поискване с разрешение на шефа можете да влезете в конкретен сайт, усмихвайки се уважително, мислейки и „пушейки над проблема“, стигнахме до разбирането, че животът все още е добър и започнахме тяхното търсене.

Имайки възможност не само да видим аналитично какво пишат в „книгите на домакините“ за филтриране на трафика, но и да видим какво се случва в каналите на различни доставчици, забелязахме следните рецепти (всички екранни снимки са малко изрязани, моля разбирам, когато питам):

Доставчик 1
— не се притеснява и налага собствени DNS сървъри и прозрачен прокси сървър. Добре?.. но имаме достъп до където ни трябва (ако ни трябва :))

Доставчик 2
- смята, че неговият топ доставчик трябва да помисли за това, техническата поддръжка на топ доставчика дори призна защо не мога да отворя сайта, който ми трябва, което не е забранено. Мисля, че снимката ще ви забавлява :)

Както се оказа, те превеждат имената на забранените сайтове в IP адреси и блокират самия IP (не ги притеснява фактът, че този IP адрес може да хоства 20 сайта).

Доставчик 3
— позволява на трафика да минава натам, но не го пуска обратно по маршрута.

Доставчик 4
— забранява всякакви манипулации с пакети в указаната посока.

Какво да правя с VPN (по отношение на браузъра Opera) и добавките за браузър? Първоначално играейки с възела Mikrotik, дори получихме ресурсоемка рецепта за L7, която по-късно трябваше да изоставим (може да има повече забранени имена, става тъжно, когато в допълнение към преките си отговорности за маршрути, на 3 дузини изрази натоварването на процесора PPC460GT достига 100%).

Какво стана ясно:
DNS на 127.0.0.1 абсолютно не е панацея; модерните версии на браузърите все още ви позволяват да заобиколите подобни проблеми. Невъзможно е да ограничим всички потребители до ограничени права и не трябва да забравяме за огромния брой алтернативни DNS. Интернет не е статичен и в допълнение към новите DNS адреси, забранените сайтове купуват нови адреси, променят домейни от първо ниво и могат да добавят/премахват знак в адреса си. Но все пак има право да живее нещо като:

ip route add blackhole 1.2.3.4

Би било доста ефективно да получите списък с IP адреси от списъка със забранени сайтове, но поради посочените по-горе причини преминахме към съображения относно Iptables. Вече имаше жив балансьор на CentOS Linux версия 7.5.1804.

Интернетът на потребителя трябва да е бърз и Браузърът не трябва да чака половин минута, заключавайки, че тази страница не е достъпна. След дълго търсене стигнахме до този модел:
Файл 1 -> /script/denied_host, списък със забранени имена:

test.test
blablabla.bubu
torrent
porno

Файл 2 -> /script/denied_range, списък на забранените адресни пространства и адреси:

192.168.111.0/24
241.242.0.0/16

Скрипт файл 3 -> ipt.shвърши работата с ipables:

# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

Използването на sudo се дължи на факта, че имаме малък хак за управление през WEB интерфейса, но както показва опитът в използването на такъв модел за повече от година, WEB не е толкова необходим. След внедряването имаше желание да се добави списък със сайтове към базата данни и т.н. Броят на блокираните хостове е повече от 250 + дузина адресни пространства. Наистина има проблем при влизане в сайт през https връзка, като системния администратор, имам оплаквания от браузъри :), но това са частни случаи, повечето тригери за липса на достъп до ресурса все още са от наша страна , ние също успешно блокираме Opera VPN и добавки като friGate и телеметрия от Microsoft.

Източник: www.habr.com

Iptables и филтриране на трафик от бедни и мързеливи дисиденти

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар