De relevânsje fan it blokkearjen fan besites oan ferbeane boarnen hat ynfloed op elke behearder dy't offisjeel kin wurde beskuldige fan it net neikommen fan 'e wet of oarders fan' e oanbelangjende autoriteiten.
Wêrom opnij útfine it tsjil as der spesjalisearre programma en distribúsjes foar ús taken, Bygelyks: Zeroshell, pfSense, ClearOS.
It management hie in oare fraach: Hat it brûkte produkt in feiligenssertifikaat fan ús steat?
Wy hiene ûnderfining mei it wurkjen mei de folgjende distribúsjes:
- Zeroshell - de ûntwikkelders skonken sels in lisinsje fan 2 jier, mar it die bliken dat de distribúsjekit wêryn wy ynteressearre wiene, ûnlogysk, in krityske funksje foar ús útfierde;
- pfSense - respekt en eare, tagelyk saai, wend oan 'e kommandorigel fan' e FreeBSD-firewall en net handich genôch foar ús (ik tink dat it in kwestje fan gewoante is, mar it die bliken de ferkearde manier te wêzen);
- ClearOS - op ús hardware die bliken hiel stadich te wêzen, wy koenen net ta serieuze testen komme, dus wêrom sokke swiere ynterfaces?
- Ideco SELECTA. It Ideco-produkt is in apart petear, in nijsgjirrich produkt, mar om politike redenen net foar ús, en ik wol se ek "bite" oer de lisinsje foar deselde Linux, Roundcube, ensfh. Wêr krigen se it idee dat troch de ynterface yn te snijen Python en troch superuser-rjochten fuort te nimmen, kinne se in klear produkt ferkeapje opboud út ûntwikkele en wizige modules fan 'e ynternetmienskip ferspraat ûnder GPL&etc.
Ik begryp dat no negative útroppen yn myn rjochting sille streame mei easken om myn subjektive gefoelens yn detail te ûnderbouwen, mar ik wol sizze dat dit netwurkknooppunt ek in ferkearsbalâns is foar 4 eksterne kanalen nei it ynternet, en elk kanaal hat syn eigen skaaimerken . In oare hoekstien wie de needsaak foar ien fan ferskate netwurkynterfaces om te wurkjen yn ferskate adresromten, en ik klear jou ta dat VLANs kinne brûkt wurde oeral wêr nedich en net nedich net klear. D'r binne apparaten yn gebrûk lykas TP-Link TL-R480T+ - se gedrage har net perfekt, yn 't algemien, mei har eigen nuânses. It wie mooglik om dit diel op Linux te konfigurearjen troch de offisjele Ubuntu-webside . Boppedat kin elk fan 'e kanalen op elk momint "falle", en ek opkomme. As jo ynteressearre binne yn in skript dat op it stuit wurket (en dit is in aparte publikaasje wurdich), skriuw dan yn 'e kommentaren.
De oplossing dy't beskôge wurdt, beweart net unyk te wêzen, mar ik wol de fraach stelle: "Wêrom soe in ûndernimming har oanpasse oan dubieuze produkten fan tredden mei serieuze hardware-easken as in alternative opsje kin wurde beskôge?"
As d'r yn 'e Russyske Federaasje in list fan Roskomnadzor is, is d'r yn Oekraïne in anneks by it beslút fan' e Nasjonale Feiligensried (bygelyks. ), dan sliepe pleatslike lieders ek net. Wy krigen bygelyks in list mei ferbeane siden dy't, yn 'e miening fan management, de produktiviteit op' e wurkflier beynfloedzje.
Kommunisearje mei kollega's by oare bedriuwen, wêr't standert alle siden ferbean binne en allinich op oanfraach mei de tastimming fan 'e baas kinne jo tagong krije ta in spesifike side, respektyf glimkjend, tinke en "smoke oer it probleem", kamen wy ta it begryp dat it libben is noch goed en wy begûnen harren syktocht.
Mei de kâns om net allinich analytysk te sjen wat se skriuwe yn 'e "boeken fan húsfroulju" oer ferkearsfiltering, mar ek om te sjen wat der bart op' e kanalen fan ferskate providers, hawwe wy de folgjende resepten opmurken (elke skermôfbyldings binne in bytsje besunige, asjebleaft begryp as jo freegje):
Oanbieder 1
- makket gjin muoite en stelt syn eigen DNS-tsjinners en in transparante proxy-tsjinner op. No? .. mar wy hawwe tagong ta wêr't wy it nedich binne (as wy it nedich binne :))
Oanbieder 2
- is fan betinken dat syn topprovider hjiroer moat tinke, de technyske stipe fan 'e topprovider joech sels ta wêrom't ik de side dy't ik nedich wie net iepenje koe, wat net ferbean wie. Ik tink dat de foto dy sil amusearje :)
As it die bliken, oersette se de nammen fan ferbeane siden yn IP-adressen en blokkearje de IP sels (se wurde net hindere troch it feit dat dit IP-adres 20 siden kin hostje).
Oanbieder 3
- lit ferkear der hinne gean, mar lit it net werom lâns de rûte.
Oanbieder 4
- ferbiedt alle manipulaasjes mei pakketten yn 'e opjûne rjochting.
Wat te dwaan mei VPN (respekt foar de Opera-blêder) en browser-plugins? Boartsje mei de knooppunt Mikrotik earst, we krigen sels in boarne-yntinsyf resept foar L7, dat wy letter moasten ferlitte (d'r kinne mear ferbeane nammen, it wurdt spitich as, neist syn direkte ferantwurdlikheden foar rûtes, op 3 dozen útdrukkingen de PPC460GT prosessor load giet nei 100%.
.
Wat waard dúdlik:
DNS op 127.0.0.1 is perfoarst gjin panacee; moderne ferzjes fan browsers kinne jo noch altyd omgean sokke problemen. It is ûnmooglik om alle brûkers te beheinen ta fermindere rjochten, en wy moatte it enoarme oantal alternative DNS net ferjitte. It ynternet is net statysk, en neist nije DNS-adressen, ferbeane siden keapje nije adressen, feroarje top-level domeinen, en kinne tafoegje / fuortsmite in karakter yn harren adres. Mar hat noch it rjocht om sa'n ding te libjen as:
ip route add blackhole 1.2.3.4It soe frij effektyf wêze om in list mei IP-adressen te krijen fan 'e list mei ferbeane siden, mar om de hjirboppe neamde redenen binne wy ferhuze nei oerwegingen oer Iptables. D'r wie al in live balancer op CentOS Linux release 7.5.1804.
It ynternet fan de brûker moat fluch wêze, en de browser moat gjin heale minút wachtsje, konkludearje dat dizze side net beskikber is. Nei in lange syktocht kamen wy by dit model:
File 1 -> /script/denied_host, list mei ferbeane nammen:
test.test
blablabla.bubu
torrent
pornoFile 2 -> /script/denied_range, list mei ferbeane adresromten en adressen:
192.168.111.0/24
241.242.0.0/16Skriptbestân 3 -> ipt.shit wurk dwaan mei iPables:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
It gebrûk fan sudo is te tankjen oan it feit dat wy in lytse hack hawwe foar it behearen fia de WEB-ynterface, mar as ûnderfining yn it brûken fan sa'n model foar mear as in jier hat sjen litten, is WEB net sa nedich. Nei ymplemintaasje wie d'r in winsk om in list mei siden ta te foegjen oan 'e databank, ensfh. It oantal blokkearre hosts is mear dan 250 + in tsiental adresromten. D'r is echt in probleem as jo nei in side gean fia in https-ferbining, lykas de systeembehearder, ik haw klachten oer browsers :), mar dit binne spesjale gefallen, de measte triggers foar gebrek oan tagong ta de boarne binne noch oan ús kant , wy ek mei súkses blokkearje Opera VPN en plugins lykas friGate en telemetry fan Microsoft.
Boarne: www.habr.com