Tha iomchaidheachd a bhith a’ cur bacadh air tadhal air goireasan toirmisgte a’ toirt buaidh air rianadair sam bith a dh’ fhaodadh a bhith fo chasaid oifigeil airson fàiligeadh ri lagh no òrdughan nan ùghdarrasan iomchaidh.
Carson ath-chruthaich a’ chuibhle nuair a tha prògraman sònraichte agus sgaoilidhean ann airson ar gnìomhan, mar eisimpleir: Zeroshell, pfSense, ClearOS.
Bha ceist eile aig an luchd-stiùiridh: A bheil teisteanas sàbhailteachd bhon stàit againn aig an toradh a chaidh a chleachdadh?
Bha eòlas againn ag obair leis na sgaoilidhean a leanas:
- Zeroshell - thug an luchd-leasachaidh eadhon cead 2-bliadhna seachad, ach thionndaidh e a-mach gun do rinn an uidheamachd sgaoilidh anns an robh ùidh againn, aineolach, gnìomh deatamach dhuinn;
- pfSense - spèis agus urram, aig an aon àm dòrainneach, a’ fàs cleachdte ri loidhne-àithne balla-teine FreeBSD agus nach eil e goireasach gu leòr dhuinn (tha mi a’ smaoineachadh gur e cùis cleachdaidh a th’ ann, ach b’ e an dòigh ceàrr a bh’ ann);
- ClearOS - air ar bathar-cruaidh thionndaidh e a-mach gu bhith gu math slaodach, cha b ’urrainn dhuinn faighinn gu fìor dheuchainnean, mar sin carson a bha eadar-aghaidh cho trom?
- Ideco SELECTA. Tha toradh Ideco na chòmhradh air leth, toradh inntinneach, ach airson adhbharan poilitigeach chan ann dhuinne, agus tha mi cuideachd airson “bìdeadh” a dhèanamh orra mun chead airson an aon Linux, Roundcube, msaa. Càite an d 'fhuair iad am beachd sin le bhith a' gearradh an eadar-aghaidh a-steach Python agus le bhith a’ toirt air falbh còraichean superuser, is urrainn dhaibh toradh crìochnaichte a reic air a dhèanamh suas de mhodalan leasaichte agus atharraichte bhon choimhearsnachd eadar-lìn air a sgaoileadh fo GPL & msaa.
Tha mi a’ tuigsinn gum bi clisgeadh àicheil a-nis a’ dòrtadh a-steach don stiùir agam le iarrtasan gus na faireachdainnean cuspaireil agam a dhearbhadh gu mionaideach, ach tha mi airson a ràdh gu bheil an nód lìonra seo cuideachd na chothromachadh trafaic airson 4 seanalan taobh a-muigh an eadar-lìn, agus tha na feartan fhèin aig gach seanal . B’ e clach-oisinn eile an fheum air aon de ghrunn eadar-aghaidh lìonra a bhith ag obair ann an diofar àiteachan seòlaidh, agus I deiseil aideachadh gum faodar VLANn a chleachdadh anns a h-uile àite far a bheil sin riatanach agus nach eil riatanach gun a bhith deiseil. Tha innealan gan cleachdadh leithid TP-Link TL-R480T + - chan eil iad gan giùlan fhèin gu foirfe, san fharsaingeachd, leis na nuances aca fhèin. Bha e comasach am pàirt seo a rèiteachadh air Linux le taing do làrach-lìn oifigeil Ubuntu . A bharrachd air an sin, faodaidh gach aon de na seanalan “tuiteam” aig àm sam bith, a bharrachd air àrdachadh. Ma tha ùidh agad ann an sgriobt a tha ag obair an-dràsta (agus is fhiach seo fhoillseachadh air leth), sgrìobh na beachdan.
Chan eil am fuasgladh air a bheilear a’ beachdachadh ag ràdh gu bheil e gun samhail, ach bu mhath leam a’ cheist fhaighneachd: “Carson a bu chòir do iomairt atharrachadh gu toraidhean amharasach treas-phàrtaidh le fìor riatanasan bathar-cruaidh nuair a ghabhas beachdachadh air roghainn eile?”
Ma tha liosta de Roskomnadzor ann an Caidreachas na Ruis, san Úcráin tha leas-phàipear ri Co-dhùnadh na Comhairle Tèarainteachd Nàiseanta (mar eisimpleir. ), an uairsin cha bhith stiùirichean ionadail a’ cadal nas motha. Mar eisimpleir, fhuair sinn liosta de làraich toirmisgte a tha, ann am beachd an luchd-stiùiridh, a’ cur bacadh air cinneasachd san àite-obrach.
A’ conaltradh le co-obraichean aig iomairtean eile, far a bheil a h-uile làrach toirmisgte gu bunaiteach agus dìreach le cead bhon cheannard gheibh thu cothrom air làrach sònraichte, a’ gàire le spèis, a’ smaoineachadh agus “a’ smocadh thairis air an duilgheadas”, thàinig sinn gu tuigse gu bheil beatha fhathast math agus thòisich sinn air an rannsachadh aca.
Le bhith a’ faighinn cothrom chan ann a-mhàin a bhith a’ faicinn na tha iad a’ sgrìobhadh ann an “leabhraichean mnathan-taighe” mu shìoladh trafaic, ach cuideachd gus faicinn dè tha a’ tachairt air seanalan diofar sholaraichean, mhothaich sinn na reasabaidhean a leanas (tha seallaidhean-sgrìn sam bith air am bàrr, mas e do thoil e tuigsinn nuair a bhios tu a’ faighneachd):
Solaraiche 1
- chan eil e a’ cur dragh air agus a’ cur an sàs na frithealaichean DNS aige fhèin agus frithealaiche progsaidh follaiseach. Uill?.. ach tha cothrom againn far a bheil feum againn air (ma tha feum againn air :))
Solaraiche 2
- den bheachd gum bu chòir don phrìomh sholaraiche aige smaoineachadh air seo, dh’aidich taic theicnigeach an t-solaraiche as àirde eadhon carson nach b’ urrainn dhomh an làrach a bha a dhìth orm fhosgladh, rud nach deach a thoirmeasg. Tha mi a’ smaoineachadh gun dèan an dealbh spòrs dhut :)
Mar a thionndaidh e a-mach, bidh iad ag eadar-theangachadh ainmean làraich toirmisgte gu seòlaidhean IP agus a ’cur casg air an IP fhèin (chan eil dragh orra leis gum faod an seòladh IP seo aoigheachd a thoirt do 20 làrach).
Solaraiche 3
- a’ leigeil le trafaic a dhol ann, ach cha leig e air ais e air an t-slighe.
Solaraiche 4
- a’ toirmeasg làimhseachadh le pacaidean anns an stiùireadh ainmichte.
Dè a nì thu le VPN (le spèis do bhrobhsair Opera) agus plugins brabhsair? A’ cluich leis an nód Mikrotik an toiseach, fhuair sinn eadhon reasabaidh làn ghoireasan airson L7, a dh’ fheumadh sinn a thrèigsinn nas fhaide air adhart (is dòcha gu bheil barrachd ainmean toirmisgte ann, bidh e brònach nuair, a bharrachd air na dleastanasan dìreach a th’ againn airson slighean, air 3 dusan). abairtean bidh luchd pròiseasar PPC460GT a’ dol gu 100%).
.
Dè dh'fhàs soilleir:
Chan e panacea a th’ ann an DNS air 127.0.0.1; tha dreachan ùr-nodha de bhrobhsairean fhathast a’ toirt cothrom dhut faighinn seachad air na duilgheadasan sin. Tha e do-dhèanta a h-uile neach-cleachdaidh a chuingealachadh gu còraichean lùghdaichte, agus cha bu chòir dhuinn dìochuimhneachadh mun àireamh mhòr de DNS eile. Chan eil an eadar-lìn seasmhach, agus a bharrachd air seòlaidhean DNS ùra, bidh làraich toirmisgte a’ ceannach seòlaidhean ùra, ag atharrachadh raointean àrd-ìre, agus faodaidh iad caractar a chur ris / a thoirt air falbh san t-seòladh aca. Ach tha còir aige fhathast a bhith beò rudeigin mar:
ip route add blackhole 1.2.3.4Bhiodh e gu math èifeachdach liosta de sheòlaidhean IP fhaighinn bhon liosta de làraich toirmisgte, ach airson na h-adhbharan a chaidh ainmeachadh gu h-àrd, ghluais sinn air adhart gu beachdachaidhean mu Iptables. Bha cothromaiche beò mu thràth air sgaoileadh CentOS Linux 7.5.1804.
Bu chòir eadar-lìn an neach-cleachdaidh a bhith luath, agus cha bu chòir don bhrobhsair feitheamh leth-mhionaid, a’ co-dhùnadh nach eil an duilleag seo ri fhaighinn. Às deidh sgrùdadh fada thàinig sinn chun mhodail seo:
Faidhle 1 -> /script/diùltadh_host, liosta de dh’ ainmean toirmisgte:
test.test
blablabla.bubu
torrent
pornoFaidhle 2 -> /script/raon_àicheadh, liosta de àiteachan seòlaidh toirmisgte agus seòlaidhean:
192.168.111.0/24
241.242.0.0/16Faidhle sgriobt 3 -> ip.sha’ dèanamh na h-obrach le ipables:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Tha cleachdadh sudo mar thoradh air gu bheil cnap beag againn airson a bhith a’ riaghladh tro eadar-aghaidh WEB, ach mar a tha eòlas air a bhith a’ cleachdadh a leithid de mhodail airson còrr air bliadhna air nochdadh, chan eil WEB cho riatanach. Às deidh a bhuileachadh, bha miann ann liosta de làraich a chuir ris an stòr-dàta, msaa. Tha an àireamh de luchd-aoigheachd dùinte nas motha na 250 + dusan àite seòlaidh. Tha fìor dhuilgheadas ann nuair a thèid mi gu làrach tro cheangal https, mar rianadair an t-siostaim, tha gearanan agam mu bhrobhsairean :), ach tha iad sin nan cùisean sònraichte, tha a’ mhòr-chuid de na brosnachaidhean airson dìth ruigsinneachd air a’ ghoireas fhathast air ar taobh , bidh sinn cuideachd gu soirbheachail a’ bacadh Opera VPN agus plugins mar friGate agus telemetry bho Microsoft.
Source: www.habr.com