Mae perthnasedd rhwystro ymweliadau ag adnoddau gwaharddedig yn effeithio ar unrhyw weinyddwr y gellir ei gyhuddo'n swyddogol o fethu Γ’ chydymffurfio Γ’ chyfraith neu orchmynion yr awdurdodau perthnasol.
Pam ailddyfeisio'r olwyn pan fo rhaglenni a dosbarthiadau arbenigol ar gyfer ein tasgau, er enghraifft: Zeroshell, pfSense, ClearOS.
Roedd gan y rheolwyr gwestiwn arall: A oes gan y cynnyrch a ddefnyddir dystysgrif diogelwch gan ein gwladwriaeth?
Cawsom brofiad o weithio gyda'r dosbarthiadau canlynol:
- Zeroshell - rhoddodd y datblygwyr drwydded 2 flynedd hyd yn oed, ond daeth yn amlwg bod y pecyn dosbarthu yr oedd gennym ddiddordeb ynddo, yn afresymegol, yn cyflawni swyddogaeth hanfodol i ni;
- pfSense - parch ac anrhydedd, ar yr un pryd yn ddiflas, dod i arfer Γ’ llinell orchymyn wal dΓ’n FreeBSD a ddim yn ddigon cyfleus i ni (dwi'n meddwl ei fod yn fater o arfer, ond fe drodd allan i fod y ffordd anghywir);
- ClearOS - ar ein caledwedd daeth yn araf iawn, ni allem gyrraedd profion difrifol, felly pam rhyngwynebau mor drwm?
- Ideco SELECTA. Mae cynnyrch Ideco yn sgwrs ar wahΓ’n, yn gynnyrch diddorol, ond am resymau gwleidyddol nid i ni, ac rwyf hefyd am eu βbrathuβ am y drwydded ar gyfer yr un Linux, Roundcube, ac ati. Ble cawsant y syniad bod trwy dorri'r rhyngwyneb i mewn Python a thrwy ddileu hawliau uwch-ddefnyddwyr, gallant werthu cynnyrch gorffenedig sy'n cynnwys modiwlau datblygedig ac addasedig o'r gymuned Rhyngrwyd a ddosberthir o dan GPL ac ati.
Rwy'n deall y bydd ebychiadau negyddol nawr yn tywallt i'm cyfeiriad gyda galwadau i gadarnhau fy nheimladau goddrychol yn fanwl, ond rwyf am ddweud bod y nod rhwydwaith hwn hefyd yn gydbwysedd traffig ar gyfer 4 sianel allanol i'r Rhyngrwyd, ac mae gan bob sianel ei nodweddion ei hun . Conglfaen arall oedd yr angen i un o nifer o ryngwynebau rhwydwaith weithio mewn gwahanol fannau cyfeiriad, a minnau yn barod cyfaddef y gellir defnyddio VLANs ym mhobman lle bo angen a lle nad oes angen ddim yn barod. Mae dyfeisiau'n cael eu defnyddio fel TP-Link TL-R480T + - nid ydynt yn ymddwyn yn berffaith, yn gyffredinol, gyda'u naws eu hunain. Roedd yn bosibl ffurfweddu'r rhan hon ar Linux diolch i wefan swyddogol Ubuntu
Nid yw'r datrysiad dan sylw yn honni ei fod yn unigryw, ond hoffwn ofyn y cwestiwn: βPam y dylai menter addasu i gynhyrchion amheus trydydd parti sydd Γ’ gofynion caledwedd difrifol pan ellir ystyried opsiwn arall?β
Os oes rhestr o Roskomnadzor yn Ffederasiwn Rwsia, yn yr Wcrain mae atodiad i Benderfyniad y Cyngor Diogelwch Cenedlaethol (er enghraifft.
Cyfathrebu Γ’ chydweithwyr mewn mentrau eraill, lle mae pob safle wedi'i wahardd yn ddiofyn a dim ond ar gais y rheolwr y gallwch chi gael mynediad i wefan benodol, gan wenu'n barchus, meddwl ac "ysmygu dros y broblem", daethom i'r ddealltwriaeth bod bywyd yn dal yn dda ac rydym yn dechrau eu chwiliad.
O gael y cyfle nid yn unig i weld yn ddadansoddol yr hyn y maent yn ei ysgrifennu yn y βllyfrau gwragedd tΕ·β am hidlo traffig, ond hefyd i weld beth sy'n digwydd ar sianeli gwahanol ddarparwyr, fe wnaethom sylwi ar y ryseitiau canlynol (mae unrhyw sgrinluniau wedi'u torri ychydig, os gwelwch yn dda deall wrth ofyn):
Darparwr 1
- ddim yn trafferthu ac yn gosod ei weinyddion DNS ei hun a gweinydd dirprwyol tryloyw. Wel?.. ond mae gennym ni fynediad i ble rydyn ni ei angen (os ydyn ni ei angen :))
Darparwr 2
- yn credu y dylai ei brif ddarparwr feddwl am hyn, roedd cefnogaeth dechnegol y darparwr gorau hyd yn oed yn cyfaddef pam na allwn agor y wefan yr oeddwn ei hangen, nad oedd wedi'i wahardd. Rwy'n meddwl y bydd y llun yn eich difyrru :)
Fel y digwyddodd, maen nhw'n trosi enwau gwefannau gwaharddedig yn gyfeiriadau IP ac yn rhwystro'r IP ei hun (nid ydyn nhw'n cael eu poeni gan y ffaith y gall y cyfeiriad IP hwn gynnal 20 safle).
Darparwr 3
β yn caniatΓ‘u i draffig fynd yno, ond nid yw'n caniatΓ‘u hynny yn Γ΄l ar hyd y llwybr.
Darparwr 4
β yn gwahardd pob trin Γ’ phecynnau i'r cyfeiriad penodedig.
Beth i'w wneud gyda VPN (parch i'r porwr Opera) ac ategion porwr? Gan chwarae gyda'r nod Mikrotik ar y dechrau, cawsom hyd yn oed rysΓ‘it adnoddau-ddwys ar gyfer L7, y bu'n rhaid i ni roi'r gorau iddi yn ddiweddarach (efallai y bydd mwy o enwau gwaharddedig, mae'n dod yn drist pan, yn ychwanegol at ei gyfrifoldebau uniongyrchol am lwybrau, ar 3 dwsin). ymadroddion mae llwyth prosesydd PPC460GT yn mynd i 100%).
.
Beth ddaeth yn glir:
Nid yw DNS ar 127.0.0.1 yn ateb i bob problem o gwbl; mae fersiynau modern o borwyr yn dal i ganiatΓ‘u ichi osgoi problemau o'r fath. Mae'n amhosibl cyfyngu pob defnyddiwr i hawliau gostyngol, a rhaid inni beidio ag anghofio am y nifer enfawr o DNS amgen. Nid yw'r Rhyngrwyd yn statig, ac yn ogystal Γ’ chyfeiriadau DNS newydd, mae gwefannau gwaharddedig yn prynu cyfeiriadau newydd, yn newid parthau lefel uchaf, ac yn gallu ychwanegu / dileu nod yn eu cyfeiriad. Ond mae ganddo'r hawl i fyw rhywbeth fel:
ip route add blackhole 1.2.3.4
Byddai'n eithaf effeithiol cael rhestr o gyfeiriadau IP o'r rhestr o safleoedd gwaharddedig, ond am y rhesymau a nodir uchod, symudom ymlaen at ystyriaethau ynghylch Iptables. Roedd cydbwysedd byw eisoes ar ryddhad CentOS Linux 7.5.1804.
Dylai Rhyngrwyd y defnyddiwr fod yn gyflym, ac ni ddylai'r Porwr aros hanner munud, gan ddod i'r casgliad nad yw'r dudalen hon ar gael. Ar Γ΄l chwiliad hir daethom at y model hwn:
Ffeil 1 -> /script/gwadu_host, rhestr o enwau gwaharddedig:
test.test
blablabla.bubu
torrent
porno
Ffeil 2 -> /script/ystod_gwadu, rhestr o fylchau cyfeiriadau a chyfeiriadau gwaharddedig:
192.168.111.0/24
241.242.0.0/16
Ffeil sgript 3 -> ipt.shgwneud y gwaith gyda ipables:
# ΡΡΠΈΡΡΠ²Π°Π΅ΠΌ ΠΏΠΎΠ»Π΅Π·Π½ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΈΠ· ΠΏΠ΅ΡΠ΅ΡΠ½Π΅ΠΉ ΡΠ°ΠΉΠ»ΠΎΠ²
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# ΡΠ±ΡΠ°ΡΡΠ²Π°Π΅ΠΌ Π²ΡΠ΅ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ iptables, ΡΠ°Π·ΡΠ΅ΡΠ°Ρ ΡΠΎ ΡΡΠΎ Π½Π΅ Π·Π°ΠΏΡΠ΅ΡΠ΅Π½ΠΎ
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#ΡΠ΅ΡΠ°Π΅ΠΌ ΠΎΠ±Π½ΠΎΠ²ΠΈΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΎ ΠΌΠ°ΡΡΡΡΡΠ°Ρ
(ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡΡ Π½Π°ΡΠ΅ΠΉ Π°ΡΡ
ΠΈΡΠ΅ΠΊΡΡΡΡ)
sudo sh rout.sh
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ ΡΡΡΠΎΠΊΠΈ
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ Π°Π΄ΡΠ΅ΡΠ°
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Mae'r defnydd o sudo i'w briodoli i'r ffaith bod gennym ni hac bach ar gyfer rheoli trwy'r rhyngwyneb WEB, ond fel y mae profiad o ddefnyddio model o'r fath ers dros flwyddyn wedi dangos, nid yw WEB mor angenrheidiol. Ar Γ΄l gweithredu, roedd awydd i ychwanegu rhestr o safleoedd i'r gronfa ddata, ac ati. Mae nifer y gwesteiwyr sydd wedi'u blocio yn fwy na 250 + dwsin o leoedd cyfeiriad. Mae yna broblem mewn gwirionedd wrth fynd i wefan trwy gysylltiad https, fel gweinyddwr y system, mae gen i gwynion am borwyr :), ond mae'r rhain yn achosion arbennig, mae'r rhan fwyaf o'r sbardunau ar gyfer diffyg mynediad i'r adnodd yn dal i fod ar ein hochr ni , rydym hefyd yn llwyddo i rwystro Opera VPN ac ategion fel friGate a thelemetreg gan Microsoft.
Ffynhonnell: hab.com