A pertinenza di u bloccu di e visite à e risorse pruibitu afecta à qualsiasi amministratore chì pò esse ufficialmente accusatu di fallimentu di rispettà a lege o ordini di l'autorità pertinenti.
Perchè reinventà a rota quandu ci sò prugrammi specializati è distribuzioni per i nostri compiti, per esempiu: Zeroshell, pfSense, ClearOS.
A gestione hà avutu una altra quistione: U pruduttu utilizatu hà un certificatu di sicurezza da u nostru statu?
Avemu avutu sperienza di travaglià cù e seguenti distribuzioni:
- Zeroshell - i sviluppatori anu donatu ancu una licenza di 2 anni, ma hè stata chì u kit di distribuzione chì eramu interessatu, illogicamente, hà fattu una funzione critica per noi;
- pfSense - u rispettu è l'onore, à u stessu tempu noioso, abituatu à a linea di cummandu di u firewall FreeBSD è micca abbastanza cunvene per noi (Pensu chì hè una questione d'abitudine, ma hè stata a manera sbagliata);
- ClearOS - nant'à u nostru hardware hè diventatu assai lento, ùn pudemu micca ghjunghje à una prova seria, allora perchè interfacce cusì pesanti?
- Ideco SELECTA. U pruduttu Ideco hè una conversazione separata, un pruduttu interessante, ma per ragioni pulitiche micca per noi, è vogliu ancu "muzzicà" nantu à a licenza per u listessu Linux, Roundcube, etc. Induve anu avutu l'idea chì tagliendu l'interfaccia in pitone è pigliendu i diritti di superuser, ponu vende un pruduttu finitu cumpostu di moduli sviluppati è mudificati da a cumunità Internet distribuita sottu GPL & etc.
Aghju capitu chì avà l'esclamazioni negativi si versanu in a mo direzzione cù e dumande per sustene i mo sentimenti subjectivi in dettagliu, ma vogliu dì chì stu nodu di rete hè ancu un equilibratore di trafficu per 4 canali esterni à Internet, è ogni canale hà e so caratteristiche. . Un'altra petra era a necessità di una di parechje interfacce di rete per travaglià in spazii di indirizzu differenti, è I pronta ammette chì i VLAN ponu esse aduprati in ogni locu induve necessariu è micca necessariu micca pronta. Ci sò dispusitivi in usu cum'è TP-Link TL-R480T+ - ùn si cumportanu micca perfettamente, in generale, cù e so sfumature. Hè statu pussibule cunfigurà sta parte in Linux grazia à u situ web ufficiale di Ubuntu . Inoltre, ognuna di i canali pò "cascà" in ogni mumentu, è ancu risurrezzione. Sè site interessatu in un script chì hè attualmente travagliatu (è questu vale a pena una publicazione separata), scrivite in i cumenti.
A suluzione in cunsiderà ùn pretende micca esse unica, ma vogliu dumandà a quistione: "Perchè una impresa deve adattarsi à i prudutti dubbii di terzu cù esigenze hardware seriu quandu una opzione alternativa pò esse cunsiderata?"
Se in a Federazione Russa ci hè una lista di Roskomnadzor, in Ucraina ci hè un annessu à a Decisione di u Cunsigliu di Sicurezza Naziunale (per esempiu. ), tandu i capi lucali ùn dormenu nè. Per esempiu, ci hè statu datu una lista di siti pruibiti chì, in l'opinione di a gestione, deterioranu a produtividade in u locu di travagliu.
A cumunicazione cù i culleghi in altre imprese, induve per automaticamente tutti i siti sò pruibiti è solu nantu à dumanda cù u permessu di u capu pudete accede à un situ specificu, surrisendu rispettuosamente, pensendu è "fumendu nantu à u prublema", avemu ghjuntu à capisce chì a vita. hè sempre bè è avemu principiatu a so ricerca.
Avè l'uppurtunità micca solu di vede analiticamente ciò chì scrivenu in i "libri di casalinghi" nantu à u filtru di u trafficu, ma ancu di vede ciò chì succede nantu à i canali di diversi fornituri, avemu nutatu e seguenti ricette (qualsiasi screenshots sò un pocu cropped, per piacè). capisce quandu dumanda):
Fornitore 1
- ùn si preoccupa è impone i so servitori DNS è un servitore proxy trasparente. Ebbè? .. ma avemu accessu à induve avemu bisognu (se avemu bisognu :))
Fornitore 2
- crede chì u so fornitore superiore deve pensà à questu, u supportu tecnicu di u fornitore superiore hà ancu ammissu perchè ùn pudia micca apre u situ chì avia bisognu, chì ùn era micca pruibitu. Pensu chì u ritrattu vi divertirà :)
Cum'è hè diventatu, traducenu i nomi di siti pruibiti in indirizzi IP è bluccà l'IP stessu (ùn sò micca disturbati da u fattu chì questu indirizzu IP pò ospitu 20 siti).
Fornitore 3
- permette à u trafficu di andà, ma ùn permette micca di vultà in a strada.
Fornitore 4
- pruibisce tutte e manipulazioni cù pacchetti in a direzzione specifica.
Chì fà cù VPN (rispettu à u navigatore Opera) è i plugins di u navigatore? Ghjucà cù u node Mikrotik in prima, avemu ancu una ricetta intensiva di risorse per L7, chì dopu avemu avutu a abbandunà (ci pò esse più nomi pruibiti, diventa triste quandu, in più di e so rispunsabilità dirette per rotte, nantu à 3 duzina. espressioni a carica di u processore PPC460GT va à 100 %).
.
Ciò chì hè diventatu chjaru:
DNS nantu à 127.0.0.1 ùn hè assolutamente micca una panacea; e versioni muderni di i navigatori permettenu sempre di aggirari tali prublemi. Hè impussibile di limità tutti l'utilizatori à diritti ridotti, è ùn deve micca scurdatu di u gran numaru di DNS alternativu. L'Internet ùn hè micca staticu, è in più di novi indirizzi DNS, i siti pruibiti cumprà novi indirizzi, cambianu i domini di primu livellu, è ponu aghjunghje / sguassà un caratteru in u so indirizzu. Ma hà sempre u dirittu di campà qualcosa cum'è:
ip route add blackhole 1.2.3.4Saria abbastanza efficace per ottene una lista di l'indirizzi IP da a lista di i siti pruibiti, ma per i motivi dichjarati sopra, avemu passatu à cunsiderà nantu à Iptables. Ci era digià un equilibriu live in CentOS Linux release 7.5.1804.
L'Internet di l'utilizatori deve esse veloce, è u Browser ùn deve micca aspittà una meza minutu, cuncludendu chì sta pagina ùn hè micca dispunibule. Dopu una longa ricerca avemu ghjuntu à stu mudellu:
File 1 -> /script/denied_host, lista di nomi pruibiti:
test.test
blablabla.bubu
torrent
pornoFile 2 -> /script/denied_range, lista di spazii d'indirizzu pruibiti è indirizzi:
192.168.111.0/24
241.242.0.0/16Script file 3 -> ipt.shfà u travagliu cù ipables:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
L'usu di sudo hè duvuta à u fattu chì avemu un picculu pirate per a gestione via l'interfaccia WEB, ma cum'è l'esperienza in l'usu di un tali mudellu per più di un annu hà dimustratu, WEB ùn hè micca cusì necessariu. Dopu l'implementazione, ci era u desideriu di aghjunghje una lista di siti à a basa di dati, etc. U numaru di ospiti bluccati hè più di 250 + una decina di spazii di indirizzu. Ci hè veramente un prublema quandu andate à un situ via una cunnessione https, cum'è l'amministratore di u sistema, aghju lagnanza nantu à i navigatori :), ma questi sò casi speciali, a maiò parte di i triggers per a mancanza d'accessu à a risorsa sò sempre da a nostra parte. , avemu ancu bè bluccà Opera VPN è plugins cum'è friGate è telemetria da Microsoft.
Source: www.habr.com