A relevancia do bloqueo de visitas a recursos prohibidos afecta a calquera administrador que poida ser acusado oficialmente de incumprir a lei ou as ordes das autoridades competentes.
Por que reinventar a roda cando hai programas e distribucións especializadas para as nosas tarefas, por exemplo: Zeroshell, pfSense, ClearOS.
A dirección tiña outra pregunta: o produto utilizado ten certificado de seguridade do noso estado?
Tivemos experiencia traballando coas seguintes distribucións:
- Zeroshell: os desenvolvedores ata doaron unha licenza de 2 anos, pero resultou que o kit de distribución que nos interesaba, iloxicamente, realizou unha función crítica para nós;
- pfSense: respecto e honra, ao mesmo tempo aburrido, acostumándose á liña de comandos do firewall FreeBSD e non o suficientemente cómodo para nós (creo que é unha cuestión de costume, pero resultou ser o camiño equivocado);
- ClearOS: no noso hardware resultou ser moi lento, non puidemos facer probas serias, entón por que interfaces tan pesadas?
- Ideco SELECTA. O produto Ideco é unha conversa separada, un produto interesante, pero por razóns políticas non para nós, e tamén quero "morderlos" sobre a licenza para o mesmo Linux, Roundcube, etc. De onde sacaron a idea de que cortando a interface Pitão e quitándolles os dereitos de superusuario, poden vender un produto acabado composto por módulos desenvolvidos e modificados da comunidade de Internet distribuídos baixo GPL&etc.
Entendo que agora verterán exclamacións negativas na miña dirección con demandas para fundamentar os meus sentimentos subxectivos en detalle, pero quero dicir que este nodo de rede tamén é un equilibrador de tráfico para 4 canles externas a Internet, e cada canle ten as súas propias características. . Outra pedra angular foi a necesidade de que unha das varias interfaces de rede funcionara en diferentes espazos de enderezos, e eu listo admitir que as VLAN pódense usar en todas partes onde sexa necesario e non necesario non está preparado. Hai dispositivos en uso como TP-Link TL-R480T+: non se comportan perfectamente, en xeral, cos seus propios matices. Foi posible configurar esta parte en Linux grazas ao sitio web oficial de Ubuntu . Ademais, cada unha das canles pode "caer" en calquera momento, así como subir. Se estás interesado nun guión que está funcionando actualmente (e paga a pena publicar por separado), escribe nos comentarios.
A solución en consideración non pretende ser única, pero gustaríame facer a pregunta: "Por que unha empresa debería adaptarse a produtos dubidosos de terceiros con requisitos serios de hardware cando se pode considerar unha opción alternativa?"
Se na Federación Rusa hai unha lista de Roskomnadzor, en Ucraína hai un anexo á Decisión do Consello de Seguridade Nacional (por exemplo. ), entón os dirixentes locais tampouco dormen. Por exemplo, déronnos unha lista de sitios prohibidos que, en opinión da dirección, prexudican a produtividade no lugar de traballo.
Comunicarse con colegas doutras empresas, onde por defecto todos os sitios están prohibidos e só previa solicitude co permiso do xefe pode acceder a un sitio específico, sorrindo con respecto, pensando e "fumando sobre o problema", chegamos a entender que a vida aínda está ben e comezamos a súa busca.
Tendo a oportunidade non só de ver analíticamente o que escriben nos "libros das amas de casa" sobre o filtrado de tráfico, senón tamén de ver o que está a suceder nas canles de diferentes provedores, observamos as seguintes receitas (calquera captura de pantalla está un pouco recortada, por favor entender ao preguntar):
Provedor 1
— non se molesta e impón os seus propios servidores DNS e un servidor proxy transparente. Ben?.. pero temos acceso onde o necesitamos (se o necesitamos :))
Provedor 2
- cre que o seu principal provedor debería pensar nisto, o soporte técnico do principal provedor incluso admitiu por que non puiden abrir o sitio que necesitaba, o que non estaba prohibido. Creo que a foto vai divertirte :)
Como se viu, traducen os nomes dos sitios prohibidos en enderezos IP e bloquean a propia IP (non lles molesta o feito de que este enderezo IP poida albergar sitios 20).
Provedor 3
— permite que o tráfico vaia ata alí, pero non o permite volver pola ruta.
Provedor 4
— prohibe todas as manipulacións con paquetes na dirección especificada.
Que facer coa VPN (respecto ao navegador Opera) e os complementos do navegador? Xogando co nodo Mikrotik nun primeiro momento, ata obtivemos unha receita de uso intensivo de recursos para L7, que despois tivemos que abandonar (pode haber máis nomes prohibidos, tórnase triste cando, ademais das súas responsabilidades directas nas rutas, en 3 ducias). expresións que a carga do procesador PPC460GT vai ao 100 %).
.
O que quedou claro:
O DNS en 127.0.0.1 non é absolutamente unha panacea; as versións modernas dos navegadores aínda che permiten evitar estes problemas. É imposible limitar a todos os usuarios a dereitos reducidos e non debemos esquecernos da gran cantidade de DNS alternativos. Internet non é estática e, ademais dos novos enderezos DNS, os sitios prohibidos compran novos enderezos, cambian dominios de nivel superior e poden engadir/eliminar un carácter do seu enderezo. Pero aínda ten dereito a vivir algo así como:
ip route add blackhole 1.2.3.4Sería bastante efectivo obter unha lista de enderezos IP da lista de sitios prohibidos, pero polas razóns indicadas anteriormente, pasamos a consideracións sobre Iptables. Xa había un equilibrador en directo na versión 7.5.1804 de CentOS Linux.
A Internet do usuario debe ser rápida e o navegador non debe esperar medio minuto, chegando á conclusión de que esta páxina non está dispoñible. Despois dunha longa busca chegamos a este modelo:
Ficheiro 1 -> /script/host_denegado, lista de nomes prohibidos:
test.test
blablabla.bubu
torrent
pornoFicheiro 2 -> /script/intervalo_denegado, lista de espazos e enderezos prohibidos:
192.168.111.0/24
241.242.0.0/16Ficheiro de script 3 -> ipt.shfacendo o traballo con ipables:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
O uso de sudo débese a que temos un pequeno truco para o control a través da interface WEB, pero como demostrou a experiencia no uso deste modelo durante máis dun ano, a WEB non é tan necesaria. Despois da implementación, había o desexo de engadir unha lista de sitios á base de datos, etc. O número de hosts bloqueados é de máis de 250 + unha ducia de espazos de enderezos. Realmente hai un problema ao ir a un sitio a través dunha conexión https, como o administrador do sistema, teño queixas sobre os navegadores :), pero estes son casos especiais, a maioría dos desencadenantes da falta de acceso ao recurso seguen da nosa parte. , tamén bloqueamos con éxito Opera VPN e complementos como friGate e telemetry de Microsoft.
Fonte: www.habr.com