Bíonn tionchar ag ábharthacht na gcuairteanna blocála ar acmhainní toirmiscthe ar aon riarthóir a bhféadfaí cúis oifigiúil a thabhairt dó as mainneachtain dlí nó orduithe na n-údarás ábhartha a chomhlíonadh.
Cén fáth an roth a athchruthú nuair a bhíonn cláir agus dáiltí speisialaithe ann dár dtascanna, mar shampla: Zeroshell, pfSense, ClearOS.
Bhí ceist eile ag an mbainistíocht: An bhfuil deimhniú sábháilteachta ónár stát ag an táirge a úsáidtear?
Bhí taithí againn ag obair leis na dáiltí seo a leanas:
- Zeroshell - bhronn na forbróirí ceadúnas 2 bhliain fiú, ach d'éirigh sé amach go ndearna an trealamh dáileacháin a raibh suim againn ann, go mí-loighciúil, feidhm ríthábhachtach dúinn;
- pfSense - meas agus onóir, ag an am céanna leadránach, dul i dtaithí ar an líne ceannais an balla dóiteáin FreeBSD agus nach bhfuil áisiúil go leor dúinn (Sílim go bhfuil sé ina ábhar nós, ach d'éirigh sé amach a bheith ar an mbealach mícheart);
- ClearOS - ar ár gcuid crua-earraí d'éirigh sé amach a bheith an-mhall, níorbh fhéidir linn tástáil thromchúiseach a dhéanamh, mar sin cén fáth a bhfuil comhéadain chomh trom sin?
- Ideco SELECTA. Is comhrá ar leith é an táirge Ideco, táirge suimiúil, ach ar chúiseanna polaitiúla ní dúinne é, agus ba mhaith liom freisin iad a “bite” faoin gceadúnas don Linux céanna, Roundcube, etc. Cá bhfuair siad an smaoineamh sin tríd an gcomhéadan a ghearradh isteach Python agus trí chearta sár-úsáideoirí a bhaint, féadfaidh siad táirge críochnaithe a dhíol atá comhdhéanta de mhodúil forbartha agus mionathraithe ón bpobal Idirlín a dháiltear faoi GPL&etc.
Tuigim go dtiocfaidh exclamations diúltacha i mo threo anois le héilimh chun bunús a thabhairt go mion ar mo mhothúcháin suibiachtúla, ach ba mhaith liom a rá go bhfuil an nód líonra seo ina chothromóir tráchta freisin ar feadh 4 chainéal seachtrach ar an Idirlíon, agus tá a saintréithe féin ag gach cainéal. . Bunchloch eile ba ea an gá atá le comhéadain líonra amháin de go leor chun oibriú i spásanna seolta éagsúla, agus I réidh a admháil gur féidir VLANanna a úsáid i ngach áit nuair is gá agus nuair nach gá nach bhfuil réidh. Tá gléasanna in úsáid mar TP-Link TL-R480T+ - ní iompraíonn siad go foirfe, go ginearálta, lena nuances féin. Bhí sé indéanta an chuid seo a chumrú ar Linux a bhuíochas le láithreán gréasáin oifigiúil Ubuntu . Ina theannta sin, is féidir le gach ceann de na bealaí "titim" tráth ar bith, chomh maith le méadú. Má tá suim agat i script atá ag obair faoi láthair (agus is fiú é seo a fhoilsiú ar leithligh), scríobh isteach na tuairimí.
Ní mhaíonn an réiteach atá á bhreithniú a bheith uathúil, ach ba mhaith liom an cheist a chur: “Cén fáth ar chóir d’fhiontar oiriúnú do tháirgí amhrasacha tríú páirtí a bhfuil riachtanais chrua-earraí tromchúiseacha acu nuair is féidir rogha eile a mheas?”
Más rud é i gCónaidhm na Rúise tá liosta de Roskomnadzor, san Úcráin tá iarscríbhinn a ghabhann le Cinneadh na Comhairle Slándála Náisiúnta (mar shampla. ), ansin ní chodail ceannairí áitiúla ach oiread. Mar shampla, tugadh liosta de shuímh toirmiscthe dúinn a chuireann isteach ar tháirgiúlacht san ionad oibre i dtuairim na bainistíochta.
Cumarsáid a dhéanamh le comhghleacaithe i bhfiontair eile, áit a bhfuil cosc ar gach suíomh de réir réamhshocraithe agus gan é a iarraidh ach amháin le cead ón boss is féidir leat rochtain a fháil ar shuíomh ar leith, ag gáire le meas, ag smaoineamh agus ag "caitheamh tobac thar an bhfadhb", tháinig muid ar an tuiscint go bhfuil an saol. fós go maith agus chuireamar tús lena gcuardach.
Agus an deis againn ní hamháin féachaint go hanailíseach ar an méid a scríobhann siad i “leabhair mná tí” faoi scagadh tráchta, ach freisin féachaint cad atá ag tarlú ar bhealaí soláthraithe éagsúla, thugamar faoi deara na hoidis seo a leanas (tá aon screenshots beagán cropped, le do thoil a thuiscint ):
Soláthraí 1
- ní bhacann agus cuireann sé a fhreastalaithe DNS féin agus seachfhreastalaí trédhearcach i bhfeidhm. Bhuel?.. ach tá rochtain againn ar an áit a dteastaíonn sé uainn (má tá sé de dhíth orainn :))
Soláthraí 2
- creideann sé gur chóir go ndéanfadh a sholáthraí barr smaoineamh air seo, d'admhaigh tacaíocht theicniúil an tsoláthraí barr fiú cén fáth nach raibh mé in ann an suíomh a bhí ag teastáil uaim a oscailt, rud nach raibh toirmiscthe. Ceapaim go mbeidh an pictiúr amú leat :)
Mar a tharla sé, aistríonn siad ainmneacha suíomhanna toirmiscthe go seoltaí IP agus cuireann siad bac ar an IP féin (níl aon bhac orthu toisc gur féidir leis an seoladh IP seo 20 láithreán a óstáil).
Soláthraí 3
— ligeann sé do thrácht dul ann, ach ní cheadaíonn sé é ar ais feadh an bhealaigh.
Soláthraí 4
— toirmeasc ar gach cúbláil le paicéid sa treo sonraithe.
Cad atá le déanamh le VPN (maidir leis an mbrabhsálaí Opera) agus le forlíontáin an bhrabhsálaí? Ag imirt leis an nód Mikrotik ar dtús, fuair muid fiú oideas atá dian ar acmhainní do L7, a bhí orainn a thréigean níos déanaí (d'fhéadfadh go mbeadh níos mó ainmneacha toirmiscthe ann, éiríonn sé brónach nuair a bhíonn, chomh maith lena fhreagrachtaí díreacha maidir le bealaí, ar 3 dhosaen. go dtéann ualach próiseálaí PPC460GT go 100 %).
.
Cad a tháinig chun solais:
Ní uile-íoc ar fad é DNS ar 127.0.0.1; ceadaíonn leaganacha nua-aimseartha na mbrabhsálaithe fós duit fadhbanna den sórt sin a sheachaint. Tá sé dodhéanta cearta laghdaithe a theorannú do gach úsáideoir, agus níor cheart dúinn dearmad a dhéanamh ar an líon mór DNS malartacha. Níl an tIdirlíon statach, agus chomh maith le seoltaí DNS nua, ceannaíonn suíomhanna toirmiscthe seoltaí nua, athraíonn siad fearainn ardleibhéil, agus is féidir leo carachtar a chur leis/a bhaint ina seoladh. Ach fós tá an ceart chun cónaí rud éigin mar:
ip route add blackhole 1.2.3.4Bheadh sé éifeachtach go leor liosta seoltaí IP a fháil ón liosta de na suíomhanna toirmiscthe, ach ar na cúiseanna atá luaite thuas, bhogamar ar aghaidh chuig breithnithe faoi Iptables. Bhí cothromóir beo ann cheana féin ar scaoileadh CentOS Linux 7.5.1804.
Ba chóir go mbeadh Idirlíon an úsáideora go tapa, agus níor cheart go mbeadh an Brabhsálaí ag fanacht leath nóiméad, ag teacht ar an gconclúid nach bhfuil an leathanach seo ar fáil. Tar éis cuardach fada tháinig muid ar an múnla seo:
Comhad 1 -> / script / denied_host, liosta na n-ainmneacha toirmiscthe:
test.test
blablabla.bubu
torrent
pornoComhad 2 -> /script/denied_range, liosta de spásanna seoltaí agus seoltaí toirmiscthe:
192.168.111.0/24
241.242.0.0/16Comhad script 3 -> ipt.shag déanamh an jab le ipables:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Tá úsáid sudo mar gheall ar an bhfíric go bhfuil hack beag againn chun bainistiú a dhéanamh tríd an gcomhéadan WEB, ach mar a léirigh taithí ar úsáid a bhaint as samhail den sórt sin le breis agus bliain, níl WEB chomh riachtanach. Tar éis é a chur i bhfeidhm, bhí fonn ann liosta suíomhanna a chur leis an mbunachar sonraí, etc. Tá líon na n-óstach bactha níos mó ná 250 + dosaen spás seoltaí. Tá fadhb ann i ndáiríre agus tú ag dul go dtí suíomh trí nasc https, cosúil le riarthóir an chórais, tá gearáin agam faoi bhrabhsálaithe :), ach is cásanna speisialta iad seo, tá an chuid is mó de na truicearáin easpa rochtana ar an acmhainn fós ar ár taobh , blocálaimid go rathúil Opera VPN agus forlíontáin cosúil le friGate agus teiliméadracht ó Microsoft.
Foinse: will.com