La graveco de blokado de vizitoj al malpermesitaj rimedoj influas ajnan administranton, kiu povas esti oficiale akuzita pro malobservo de la leĝo aŭ ordonoj de la koncernaj aŭtoritatoj.
Kial reinventi la radon kiam ekzistas specialaj programoj kaj distribuoj por niaj taskoj, ekzemple: Zeroshell, pfSense, ClearOS.
La administrado havis alian demandon: Ĉu la uzata produkto havas sekurecan atestilon de nia ŝtato?
Ni havis sperton laborante kun la sekvaj distribuoj:
- Zeroshell - la programistoj eĉ donacis 2-jaran permesilon, sed montriĝis, ke la distribua kompleto, pri kiu ni interesiĝis, mallogike plenumis kritikan funkcion por ni;
- pfSense - respekto kaj honoro, samtempe enuiga, alkutimiĝi al la komandlinio de la fajroŝirmilo FreeBSD kaj ne sufiĉe oportuna por ni (mi pensas, ke ĝi estas afero de kutimo, sed ĝi rezultis malĝusta);
- ClearOS - ĉe nia aparataro ĝi montriĝis tre malrapida, ni ne povis atingi seriozan testadon, do kial tiom pezaj interfacoj?
- Ideco SELECTA. La Ideco-produkto estas aparta konversacio, interesa produkto, sed pro politikaj kialoj ne por ni, kaj ankaŭ mi volas "mordi" ilin pri la permesilo por la sama Linukso, Roundcube, ktp. De kie ili ricevis la ideon, ke tranĉante la interfacon en python kaj forprenante superuzantrajtojn, ili povas vendi pretan produkton konsistantan el evoluintaj kaj modifitaj moduloj de la Interreta komunumo distribuitaj sub GPL&ktp.
Mi komprenas, ke nun negativaj ekkrioj verŝos en mian direkton kun postuloj por detale pruvi miajn subjektivajn sentojn, sed mi volas diri, ke ĉi tiu retnodo ankaŭ estas trafikbalancilo por 4 eksteraj kanaloj al Interreto, kaj ĉiu kanalo havas siajn proprajn trajtojn. . Alia bazŝtono estis la bezono de unu el pluraj retinterfacoj por labori en malsamaj adresspacoj, kaj mi preta konfesu, ke VLAN-oj povas esti uzataj ĉie kie necese kaj ne necesas ne preta. Estas uzataj aparatoj kiel TP-Link TL-R480T+ - ili ne kondutas perfekte, ĝenerale, kun siaj propraj nuancoj. Eblis agordi ĉi tiun parton en Linukso danke al la oficiala retejo de Ubuntu . Krome, ĉiu el la kanaloj povas "fali" en ajna momento, kaj ankaŭ leviĝi. Se vi interesiĝas pri skripto, kiu nuntempe funkcias (kaj tio valoras apartan publikigon), skribu en la komentoj.
La konsiderata solvo ne pretendas esti unika, sed mi ŝatus demandi la demandon: "Kial entrepreno devus adaptiĝi al triaj dubindaj produktoj kun seriozaj aparataj postuloj kiam alternativa opcio povas esti konsiderata?"
Se en Rusa Federacio estas listo de Roskomnadzor, en Ukrainio estas aneksaĵo al la Decido de la Nacia Sekureca Konsilio (ekzemple. ), tiam ankaŭ lokaj gvidantoj ne dormas. Ekzemple, ni ricevis liston de malpermesitaj retejoj kiuj, laŭ la opinio de administrado, difektas produktivecon en la laborejo.
Komunikante kun kolegoj ĉe aliaj entreprenoj, kie defaŭlte ĉiuj retejoj estas malpermesitaj kaj nur post peto kun la permeso de la estro vi povas aliri specifan retejon, ridetante respekteme, pensante kaj "fumante super la problemo", ni ekkomprenis, ke la vivo estas ankoraŭ bona kaj ni komencis ilian serĉon.
Havante la ŝancon ne nur analize vidi kion ili skribas en la "libroj de dommastrinoj" pri trafika filtrado, sed ankaŭ vidi kio okazas sur la kanaloj de malsamaj provizantoj, ni rimarkis la jenajn receptojn (ajna ekrankopioj estas iomete tranĉitaj, bonvolu. komprenu kiam oni demandas):
Provizanto 1
— ne ĝenas kaj trudas siajn proprajn DNS-servilojn kaj travideblan prokurilon. Nu?.. sed ni havas aliron al kie ni bezonas ĝin (se ni bezonas ĝin :))
Provizanto 2
- opinias, ke lia ĉefa provizanto devus pensi pri tio, la teknika subteno de la pinta provizanto eĉ konfesis kial mi ne povis malfermi la retejon, kiun mi bezonis, kio ne estis malpermesita. Mi pensas, ke la bildo amuzos vin :)
Kiel evidentiĝis, ili tradukas la nomojn de malpermesitaj retejoj en IP-adresojn kaj blokas la IP mem (ili ne ĝenas la fakton, ke ĉi tiu IP-adreso povas gastigi 20-ejojn).
Provizanto 3
— permesas trafikon iri tien, sed ne permesas ĝin reen laŭ la itinero.
Provizanto 4
— malpermesas ĉiujn manipuladojn kun pakoj en la specifita direkto.
Kion fari kun VPN (respekto al la Opera retumilo) kaj retumiloj aldonaĵoj? Ludante kun la nodo Mikrotik komence, ni eĉ ricevis rimedo-intensan recepton por L7, kiun ni poste devis forlasi (povas esti pli malpermesitaj nomoj, ĝi fariĝas malĝoja kiam, krom ĝiaj rektaj respondecoj por itineroj, sur 3 dekduoj). esprimoj la ŝarĝo de la procesoro PPC460GT iras al 100 %).
.
Kio iĝis klara:
DNS sur 127.0.0.1 tute ne estas panaceo; modernaj versioj de retumiloj ankoraŭ permesas vin preteriri tiajn problemojn. Estas neeble limigi ĉiujn uzantojn al reduktitaj rajtoj, kaj ni ne devas forgesi pri la grandega nombro da alternativaj DNS. Interreto ne estas senmova, kaj krom novaj DNS-adresoj, malpermesitaj retejoj aĉetas novajn adresojn, ŝanĝas supernivelajn domajnojn kaj povas aldoni/forigi karakteron en sia adreso. Sed ankoraŭ havas la rajton vivi ion kiel:
ip route add blackhole 1.2.3.4Estus sufiĉe efika akiri liston de IP-adresoj el la listo de malpermesitaj retejoj, sed pro la supre menciitaj kialoj, ni transiris al konsideroj pri Iptables. Jam estis viva balancilo en CentOS Linukso eldono 7.5.1804.
La Interreto de la uzanto estu rapida, kaj la Retumilo ne atendu duonan minuton, konkludante, ke ĉi tiu paĝo ne estas disponebla. Post longa serĉado ni venis al ĉi tiu modelo:
Dosiero 1 -> /script/denied_host, listo de malpermesitaj nomoj:
test.test
blablabla.bubu
torrent
pornoDosiero 2 -> /skripto/neita_gamo, listo de malpermesitaj adresspacoj kaj adresoj:
192.168.111.0/24
241.242.0.0/16Skripto dosiero 3 -> ipt.shfarante la laboron kun ipables:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
La uzo de sudo ŝuldiĝas al la fakto, ke ni havas malgrandan hakon por kontrolo per la TTT-interfaco, sed kiel pruvis sperto pri uzado de tia modelo dum pli ol jaro, WEB ne estas tiom necesa. Post efektivigo, estis deziro aldoni liston de retejoj al la datumbazo, ktp. La nombro da blokitaj gastigantoj estas pli ol 250 + dekduo da adresspacoj. Estas vere problemo kiam vi iras al retejo per https-konekto, kiel la administranto de la sistemo, mi havas plendojn pri retumiloj :), sed ĉi tiuj estas specialaj kazoj, la plej multaj el la ellasiloj por manko de aliro al la rimedo estas ankoraŭ ĉe nia flanko. , ni ankaŭ sukcese blokas Opera VPN kaj kromaĵojn kiel friGate kaj telemetrion de Microsoft.
fonto: www.habr.com