Kiellettyihin resursseihin kohdistuvien vierailujen eston merkitys vaikuttaa kaikkiin ylläpitäjiin, joita voidaan virallisesti syyttää lakien tai asianomaisten viranomaisten määräysten noudattamatta jättämisestä.
Miksi keksiä pyörä uudelleen, kun tehtäviimme varten on olemassa erikoisohjelmia ja jakeluita, esimerkiksi: Zeroshell, pfSense, ClearOS.
Johdolla oli toinen kysymys: Onko käytetyllä tuotteella osavaltiomme turvallisuustodistus?
Meillä oli kokemusta työskentelystä seuraavien jakelujen kanssa:
- Zeroshell - kehittäjät jopa lahjoittivat 2 vuoden lisenssin, mutta kävi ilmi, että kiinnostuksemme kohteena oleva jakelupaketti suoritti epäloogisesti meille kriittisen toiminnon;
- pfSense - kunnioitus ja kunnia, samalla tylsä, FreeBSD-palomuurin komentoriville tottuminen eikä tarpeeksi kätevä meille (luulen, että se on tottumiskysymys, mutta se osoittautui vääräksi);
- ClearOS - laitteistollamme se osoittautui erittäin hitaksi, emme päässeet vakavaan testaukseen, joten miksi niin raskaat rajapinnat?
- Ideco SELECTA. Ideco-tuote on erillinen keskustelu, mielenkiintoinen tuote, mutta poliittisista syistä ei meille, ja haluan myös "purra" niitä saman Linuxin, Roundcuben jne. lisenssistä. Mistä he saivat sen käsityksen leikkaamalla käyttöliittymän Python ja ottamalla pois pääkäyttäjän oikeudet, he voivat myydä valmiin tuotteen, joka koostuu kehitetyistä ja muokatuista moduuleista Internet-yhteisöstä, joka on jaettu GPL:llä ja jne.
Ymmärrän, että nyt kielteisiä huudahduksia vuotaa suuntaani vaatimuksilla perustella subjektiivisia tunteitani yksityiskohtaisesti, mutta haluan sanoa, että tämä verkkosolmu on myös liikenteen tasapainottaja neljälle ulkoiselle kanavalle Internetiin, ja jokaisella kanavalla on omat ominaisuutensa. . Toinen kulmakivi oli tarve, että yksi useista verkkoliitännöistä toimisi eri osoiteavaruudessa, ja minä valmis myöntää, että VLAN-verkkoja voidaan käyttää kaikkialla, missä on tarpeen ja ei välttämätöntä ei ole valmis. Käytössä on laitteita, kuten TP-Link TL-R480T+ - ne eivät yleensä toimi täydellisesti omilla vivahteillaan. Tämä osa oli mahdollista määrittää Linuxissa Ubuntun virallisen verkkosivuston ansiosta . Lisäksi jokainen kanava voi "pudota" milloin tahansa, samoin kuin nousta. Jos olet kiinnostunut parhaillaan toimivasta käsikirjoituksesta (ja tämä on erillisen julkaisun arvoinen), kirjoita kommentteihin.
Harkittava ratkaisu ei väitä olevan ainutlaatuinen, mutta haluaisin esittää kysymyksen: "Miksi yrityksen pitäisi mukautua kolmannen osapuolen kyseenalaisiin tuotteisiin, joilla on vakavia laitteistovaatimuksia, kun vaihtoehtoinen vaihtoehto voidaan harkita?"
Jos Venäjän federaatiossa on luettelo Roskomnadzorista, Ukrainassa on liite kansallisen turvallisuusneuvoston päätökseen (esim. ), silloin paikalliset johtajat eivät myöskään nuku. Saimme esimerkiksi listan kielletyistä kohteista, jotka johdon mielestä heikentävät työpaikan tuottavuutta.
Kommunikoimalla työtovereiden kanssa muissa yrityksissä, joissa kaikki sivustot ovat oletuksena kiellettyjä ja vain pyynnöstä ja pomon luvalla pääset tietylle sivustolle, hymyillen kunnioittavasti, ajattelemalla ja "tupakoimalla ongelmaa", tulimme ymmärrykseen, että elämä on edelleen hyvä ja aloitimme heidän etsimisensä.
Koska meillä oli mahdollisuus paitsi analyyttisesti nähdä, mitä he kirjoittavat "kotiäitien kirjoissa" liikenteen suodattamisesta, vaan myös nähdä mitä tapahtuu eri palveluntarjoajien kanavilla, huomasimme seuraavat reseptit (kaikki kuvakaappaukset on hieman leikattu, kiitos ymmärrä kun kysyt):
Palveluntarjoaja 1
- ei vaivaudu ja asettaa omat DNS-palvelimensa ja läpinäkyvän välityspalvelimen. No?.. mutta meillä on pääsy sinne, missä sitä tarvitsemme (jos tarvitsemme :))
Palveluntarjoaja 2
- uskoo, että hänen huipputarjoajansa pitäisi miettiä tätä, huipputarjoajan tekninen tuki jopa myönsi, miksi en voinut avata tarvitsemaani sivustoa, mikä ei ollut kiellettyä. Luulen, että kuva viihdyttää sinua :)
Kuten kävi ilmi, he kääntävät kiellettyjen sivustojen nimet IP-osoitteiksi ja estävät itse IP-osoitteen (heitä ei häiritse se, että tämä IP-osoite voi isännöidä 20 sivustoa).
Palveluntarjoaja 3
— sallii liikenteen mennä sinne, mutta ei salli sitä takaisin reitin varrella.
Palveluntarjoaja 4
— estää kaiken manipuloinnin paketeilla määrättyyn suuntaan.
Mitä tehdä VPN:lle (Opera-selaimen suhteen) ja selainlaajennuksille? Aluksi solmulla Mikrotik leikkimällä saimme jopa resurssiintensiivisen reseptin L7:lle, josta jouduimme myöhemmin luopumaan (kiellettyjä nimiä voi olla enemmänkin, harmittaa kun sen suorien reittivastuiden lisäksi 3 tusinalla lausekkeet PPC460GT-prosessorin kuormitus menee 100 prosenttiin.
.
Mikä tuli selväksi:
DNS 127.0.0.1:ssä ei todellakaan ole ihmelääke, vaan nykyaikaisten selainversioiden avulla voit silti ohittaa tällaiset ongelmat. On mahdotonta rajoittaa kaikkia käyttäjiä alennettuihin oikeuksiin, emmekä saa unohtaa valtavaa määrää vaihtoehtoisia DNS-palveluita. Internet ei ole staattinen, ja uusien DNS-osoitteiden lisäksi kielletyt sivustot ostavat uusia osoitteita, vaihtavat ylätason verkkotunnuksia ja voivat lisätä/poistaa merkin osoitteeseen. Mutta silti hänellä on oikeus elää jotain tällaista:
ip route add blackhole 1.2.3.4Olisi varsin tehokasta hankkia luettelo IP-osoitteista kiellettyjen sivustojen luettelosta, mutta edellä mainituista syistä siirryimme Iptablesia koskeviin seikkoihin. CentOS Linux -julkaisussa 7.5.1804 oli jo live-balanssi.
Käyttäjän Internetin tulee olla nopea, eikä selaimen tulisi odottaa puoli minuuttia, jolloin tämä sivu ei ole käytettävissä. Pitkän etsinnän jälkeen päädyimme tähän malliin:
Tiedosto 1 -> /script/denied_host, luettelo kielletyistä nimistä:
test.test
blablabla.bubu
torrent
pornoTiedosto 2 -> /script/denied_range, luettelo kielletyistä osoiteavaruuksista ja osoitteista:
192.168.111.0/24
241.242.0.0/16Komentosarjatiedosto 3 -> ipt.shtyön tekeminen ipablesilla:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Sudon käyttö johtuu siitä, että meillä on pieni hakkerointi WEB-rajapinnan kautta hallintaan, mutta kuten yli vuoden kokemus tällaisen mallin käytöstä on osoittanut, WEB ei ole niin tarpeellinen. Toteutuksen jälkeen haluttiin lisätä sivustoluettelo tietokantaan jne. Estettyjen isäntien määrä on yli 250 + tusina osoiteavaruutta. https-yhteyden kautta sivustolle siirtymisessä todellakin on ongelma, kuten järjestelmänvalvojalla, minulla on valituksia selaimista :), mutta nämä ovat erikoistapauksia, suurin osa resurssin pääsyn puutteen aiheuttajista on edelleen meidän puolellamme , estämme myös onnistuneesti Microsoftin Opera VPN:n ja laajennukset, kuten friGate ja telemetria.
Lähde: will.com