Ang kalabutan sa pagbabag sa mga pagbisita sa gidili nga mga kapanguhaan makaapekto sa bisan kinsa nga tigdumala nga mahimong opisyal nga mapasakaan og kaso sa kapakyasan sa pagsunod sa balaod o mga mando sa mga may kalabutan nga awtoridad.
Ngano nga gibag-o ang ligid kung adunay mga espesyal nga programa ug pag-apod-apod alang sa among mga buluhaton, pananglitan: Zeroshell, pfSense, ClearOS.
Ang tagdumala adunay laing pangutana: Ang produkto ba nga gigamit adunay sertipiko sa kaluwasan gikan sa atong estado?
Kami adunay kasinatian sa pagtrabaho sa mosunod nga mga distribusyon:
- Zeroshell - nagdonar pa gani ang mga developer og 2 ka tuig nga lisensya, apan nahimo nga ang distribution kit nga among interesado, dili makatarunganon, naghimo sa usa ka kritikal nga function alang kanamo;
- pfSense - pagtahud ug kadungganan, sa samang higayon makalaay, naanad sa command line sa FreeBSD firewall ug dili igo nga kombenyente alang kanato (sa akong hunahuna kini usa ka butang sa kinaiya, apan kini nahimong sayop nga paagi);
- ClearOS - sa among hardware nahimo nga hinay kaayo, dili kami makaabut sa seryoso nga pagsulay, busa ngano nga ang ingon ka bug-at nga mga interface?
- Ideco SELECTA. Ang produkto sa Ideco usa ka bulag nga panag-istoryahanay, usa ka makapaikag nga produkto, apan alang sa politikal nga mga hinungdan dili alang kanamo, ug gusto ko usab nga "mopaak" sila bahin sa lisensya alang sa parehas nga Linux, Roundcube, ug uban pa. Diin nila nakuha ang ideya nga pinaagi sa pagputol sa interface sa Python ug pinaagi sa pagkuha sa mga katungod sa superuser, makabaligya sila ug nahuman nga produkto nga gilangkoban sa naugmad ug giusab nga mga module gikan sa komunidad sa Internet nga gipang-apod-apod ubos sa GPL&etc.
Nakasabut ko nga karon ang mga negatibo nga pagtuaw mobu-bu sa akong direksyon nga adunay mga gipangayo aron mapamatud-an ang akong mga suhetibo nga mga pagbati sa detalye, apan gusto nako isulti nga kini nga network node usa usab ka balanse sa trapiko alang sa 4 nga mga eksternal nga channel sa Internet, ug ang matag channel adunay kaugalingon nga mga kinaiya. . Laing bato sa pamag-ang mao ang panginahanglan alang sa usa sa daghang mga interface sa network aron magtrabaho sa lainlaing mga lugar sa adres, ug ako andam na moangkon nga ang mga VLAN mahimong magamit bisan asa kung gikinahanglan ug dili kinahanglan dili andam. Adunay mga gamit nga gigamit sama sa TP-Link TL-R480T + - dili sila hingpit nga naggawi, sa kinatibuk-an, nga adunay ilang kaugalingon nga mga nuances. Posible nga i-configure kini nga bahin sa Linux salamat sa opisyal nga website sa Ubuntu . Dugang pa, ang matag usa sa mga kanal mahimong "mahulog" bisan unsang orasa, ingon man usab sa pagtaas. Kung interesado ka sa usa ka script nga karon nagtrabaho (ug kini usa ka lahi nga publikasyon), isulat sa mga komento.
Ang solusyon nga gikonsiderar wala mag-angkon nga talagsaon, apan gusto nakong ipangutana ang pangutana: "Ngano nga ang usa ka negosyo kinahanglan nga mopahiangay sa ikatulo nga partido nga mga dubious nga mga produkto nga adunay seryoso nga mga kinahanglanon sa hardware kung ang usa ka alternatibo nga kapilian mahimong makonsiderar?"
Kung sa Russian Federation adunay usa ka lista sa Roskomnadzor, sa Ukraine adunay usa ka annex sa Desisyon sa National Security Council (pananglitan. ), unya ang lokal nga mga lider dili usab matulog. Pananglitan, gihatagan kami usa ka lista sa mga gidili nga mga site nga, sa opinyon sa pagdumala, makadaot sa produktibo sa trabahoan.
Nakigkomunikar sa mga kauban sa ubang mga negosyo, diin sa kasagaran gidili ang tanan nga mga site ug kung gihangyo nga adunay pagtugot sa boss mahimo ka maka-access sa usa ka piho nga site, mapahiyumon nga matinahuron, naghunahuna ug "pagpanigarilyo sa problema", nahibal-an namon nga ang kinabuhi maayo pa ug gisugdan namo ang ilang pagpangita.
Ang pagbaton sa oportunidad dili lamang sa pagsusi sa pagtan-aw sa ilang gisulat sa "mga libro sa mga housewives" mahitungod sa pagsala sa trapiko, apan usab sa pagtan-aw kon unsa ang nahitabo sa mga channel sa lain-laing mga providers, nakamatikod kami sa mosunod nga mga resipe (bisan unsa nga mga screenshot gamay nga giputol, palihug sabta kung mangutana):
Taghatag 1
β wala magsamok ug nagpahamtang sa kaugalingon nga mga DNS server ug usa ka transparent nga proxy server. Aw?.. pero naa tay access kung asa nato kinahanglan (kung gikinahanglan nato :))
Taghatag 2
- nagtuo nga ang iyang top provider kinahanglan maghunahuna mahitungod niini, ang top provider's teknikal nga suporta bisan pa nga miangkon ngano nga dili nako maablihan ang site nga akong gikinahanglan, nga wala gidili. Sa akong hunahuna ang litrato makalingaw kanimo :)
Ingon sa nahimo, gihubad nila ang mga ngalan sa gidili nga mga site sa mga IP address ug gibabagan ang IP mismo (wala sila gisamok sa kamatuoran nga kini nga IP address mahimong mag-host sa 20 nga mga site).
Taghatag 3
β nagtugot sa trapiko sa pag-adto didto, apan dili motugot niini balik sa dalan.
Taghatag 4
- nagdili sa tanan nga mga manipulasyon nga adunay mga pakete sa piho nga direksyon.
Unsa ang buhaton sa VPN (pagrespeto sa Opera browser) ug mga plugin sa browser? Ang pagdula sa node nga Mikrotik sa una, nakakuha pa kami usa ka resipe nga kusog sa kapanguhaan alang sa L7, nga kinahanglan namon biyaan sa ulahi (mahimo nga adunay daghang gidili nga mga ngalan, kini mahimong masulub-on kung, dugang sa direkta nga mga responsibilidad niini alang sa mga ruta, sa 3 dosena. mga ekspresyon nga ang PPC460GT processor load moadto sa 100 %).
.
Unsa ang nahimong klaro:
Ang DNS sa 127.0.0.1 hingpit nga dili usa ka panacea; ang mga modernong bersyon sa mga browser nagtugot kanimo sa paglaktaw sa ingon nga mga problema. Imposible nga limitahan ang tanan nga tiggamit sa pagkunhod sa mga katungod, ug dili naton kalimtan ang bahin sa daghang mga alternatibong DNS. Ang Internet dili static, ug dugang sa bag-ong mga DNS address, ang gidili nga mga site mopalit ug bag-ong mga adres, mag-ilis sa top-level nga mga dominyo, ug makadugang/makatangtang sa karakter sa ilang adres. Apan aduna gihapon katungod nga mabuhi sama sa:
ip route add blackhole 1.2.3.4Epektibo kaayo ang pagkuha og lista sa mga IP adres gikan sa listahan sa mga gidili nga mga site, apan sa mga rason nga gipahayag sa ibabaw, mipadayon kami sa mga konsiderasyon mahitungod sa Iptables. Adunay na usa ka live balancer sa CentOS Linux release 7.5.1804.
Ang Internet sa tiggamit kinahanglan nga paspas, ug ang Browser kinahanglan dili maghulat tunga sa minuto, nga naghinapos nga kini nga panid dili magamit. Pagkahuman sa taas nga pagpangita nakaabut kami sa kini nga modelo:
File 1 -> /script/denied_host, listahan sa gidili nga mga ngalan:
test.test
blablabla.bubu
torrent
pornoFile 2 -> /script/denied_range, lista sa gidili nga mga luna sa adres ug mga adres:
192.168.111.0/24
241.242.0.0/16Script file 3 -> ipt.shpagbuhat sa trabaho sa mga ipables:
# ΡΡΠΈΡΡΠ²Π°Π΅ΠΌ ΠΏΠΎΠ»Π΅Π·Π½ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΈΠ· ΠΏΠ΅ΡΠ΅ΡΠ½Π΅ΠΉ ΡΠ°ΠΉΠ»ΠΎΠ²
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# ΡΠ±ΡΠ°ΡΡΠ²Π°Π΅ΠΌ Π²ΡΠ΅ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ iptables, ΡΠ°Π·ΡΠ΅ΡΠ°Ρ ΡΠΎ ΡΡΠΎ Π½Π΅ Π·Π°ΠΏΡΠ΅ΡΠ΅Π½ΠΎ
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#ΡΠ΅ΡΠ°Π΅ΠΌ ΠΎΠ±Π½ΠΎΠ²ΠΈΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΎ ΠΌΠ°ΡΡΡΡΡΠ°Ρ
(ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡΡ Π½Π°ΡΠ΅ΠΉ Π°ΡΡ
ΠΈΡΠ΅ΠΊΡΡΡΡ)
sudo sh rout.sh
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ ΡΡΡΠΎΠΊΠΈ
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ Π°Π΄ΡΠ΅ΡΠ°
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Ang paggamit sa sudo tungod sa kamatuoran nga kita adunay usa ka gamay nga hack alang sa pagdumala pinaagi sa WEB interface, apan ingon nga kasinatian sa paggamit sa ingon nga usa ka modelo alang sa labaw pa kay sa usa ka tuig nagpakita, WEB dili kaayo gikinahanglan. Pagkahuman sa pagpatuman, adunay tinguha nga idugang ang usa ka lista sa mga site sa database, ug uban pa. Ang gidaghanon sa gibabagan nga mga host labaw pa sa 250 + usa ka dosena nga mga espasyo sa address. Adunay usa ka problema kung moadto sa usa ka site pinaagi sa usa ka koneksyon sa https, sama sa tagdumala sa sistema, naa koy mga reklamo bahin sa mga browser :), apan kini mga espesyal nga kaso, kadaghanan sa mga hinungdan sa kakulang sa pag-access sa kapanguhaan naa pa sa among kiliran. , malampuson usab namo nga gibabagan ang Opera VPN ug mga plugins sama sa friGate ug telemetry gikan sa Microsoft.
Source: www.habr.com