Muhimmancin toshe ziyarce-ziyarcen abubuwan da aka haramta ya shafi duk wani mai gudanarwa wanda za a iya tuhume shi a hukumance da rashin bin doka ko umarnin hukumomin da abin ya shafa.
Me yasa sake ƙirƙira dabaran yayin da akwai shirye-shirye na musamman da rarraba don ayyukanmu, misali: Zeroshell, pfSense, ClearOS.
Gudanarwar yana da wata tambaya: Shin samfurin da aka yi amfani da shi yana da takardar shaidar aminci daga jihar mu?
Mun sami gogewa wajen aiki tare da rabawa masu zuwa:
- Zeroshell - masu haɓakawa har ma sun ba da lasisi na shekaru 2, amma ya juya cewa kayan rarraba da muke sha'awar, rashin fahimta, ya yi mana aiki mai mahimmanci;
- pfSense - girmamawa da girmamawa, a lokaci guda m, yin amfani da layin umarni na FreeBSD Firewall kuma bai dace da mu ba (Ina tsammanin al'amari ne na al'ada, amma ya zama hanya mara kyau);
- ClearOS - akan kayan aikin mu ya juya ya zama sannu a hankali, ba za mu iya yin gwaji mai tsanani ba, don haka me yasa irin waɗannan manyan musaya?
- Ideco SELECTA. Samfurin Ideco tattaunawa ce ta daban, samfuri mai ban sha'awa, amma don dalilai na siyasa ba don mu ba, kuma ina so in “ciji” su game da lasisi don Linux iri ɗaya, Roundcube, da sauransu. A ina suka sami ra'ayin cewa ta hanyar yanke hanyar sadarwa a ciki Python kuma ta hanyar kawar da haƙƙin masu amfani, za su iya siyar da ƙayyadaddun samfur wanda ya ƙunshi gyare-gyare da gyare-gyare daga al'ummar Intanet da aka rarraba a ƙarƙashin GPL&da sauransu.
Na fahimci cewa yanzu munanan kiraye-kirayen za su zubo a cikin jagorata tare da buƙatu don tabbatar da ra'ayina dalla-dalla, amma ina so in faɗi cewa wannan kumburin hanyar sadarwar ita ma ma'aunin zirga-zirga ce don tashoshi 4 na waje zuwa Intanet, kuma kowane tashoshi yana da halayensa. . Wani ginshiƙin kuma shine buƙatar ɗayan hanyoyin sadarwa da yawa don yin aiki a wuraren adireshi daban-daban, da kuma I shirye yarda cewa za a iya amfani da VLANs a ko'ina inda ya cancanta kuma ba dole ba ba shiri. Akwai na'urorin da ake amfani da su kamar TP-Link TL-R480T+ - ba su da kyau sosai, gabaɗaya, tare da nasu nuances. Ya yiwu a saita wannan ɓangaren akan Linux godiya ga gidan yanar gizon Ubuntu . Bugu da ƙari, kowane tashoshi na iya "fadi" a kowane lokaci, da kuma tashi. Idan kuna sha'awar rubutun da ke aiki a halin yanzu (kuma wannan ya cancanci bugawa daban), rubuta a cikin sharhi.
Maganin da aka yi la'akari ba ya da'awar zama na musamman, amma ina so in yi tambaya: "Me yasa kamfani zai dace da samfurori na ɓangare na uku tare da buƙatun kayan aiki masu mahimmanci lokacin da za a iya yin la'akari da wani zaɓi?"
Idan a cikin Tarayyar Rasha akwai jerin Roskomnadzor, a cikin Ukraine akwai haɗin kai ga yanke shawara na Kwamitin Tsaro na Ƙasa (misali. ), to su ma shugabannin gari ba sa barci. Alal misali, an ba mu jerin wuraren da aka haramta, a cikin ra'ayi na gudanarwa, rashin aiki a wurin aiki.
Sadarwa tare da abokan aiki a wasu masana'antu, inda ta tsohuwa an haramta duk shafukan yanar gizo kuma kawai idan an buƙata tare da izinin shugaban za ku iya shiga takamaiman rukunin yanar gizon, yin murmushi cikin girmamawa, tunani da "shan taba kan matsalar", mun zo ga fahimtar cewa rayuwa har yanzu yana da kyau kuma mun fara binciken su.
Samun damar ba kawai don nazarin abin da suke rubutawa a cikin "littattafan matan gida" game da tace zirga-zirga ba, amma kuma don ganin abin da ke faruwa a kan tashoshi na masu samar da kayayyaki daban-daban, mun lura da wadannan girke-girke (kowane hotunan hotunan kadan ne, don Allah fahimta lokacin tambaya):
Mai bayarwa 1
- baya damuwa kuma yana sanya sabobin DNS na kansa da uwar garken wakili na gaskiya. To?.. amma muna da damar zuwa inda muke bukata (idan muna bukata :))
Mai bayarwa 2
- ya yi imanin cewa babban mai samar da shi ya kamata yayi tunani game da wannan, babban goyon bayan fasaha na mai badawa har ma ya yarda da dalilin da yasa ba zan iya buɗe shafin da nake buƙata ba, wanda ba a haramta ba. Ina tsammanin hoton zai ba ku sha'awa :)
Kamar yadda ya bayyana, suna fassara sunayen wuraren da aka haramta zuwa adireshin IP kuma suna toshe IP ɗin kanta (ba su damu da gaskiyar cewa wannan adireshin yana iya ɗaukar shafuka 20 ba).
Mai bayarwa 3
- yana ba da damar zirga-zirga zuwa wurin, amma baya barin shi baya tare da hanyar.
Mai bayarwa 4
- haramta duk magudi tare da fakiti a kayyade shugabanci.
Me za ku yi tare da VPN (girmamawa da mai binciken Opera) da plugins ɗin mai binciken? Yin wasa tare da kumburi Mikrotik da farko, har ma mun sami girke-girke mai ƙarfi don L7, wanda daga baya dole ne mu watsar (za a iya samun ƙarin sunaye da aka haramta, ya zama bakin ciki lokacin da, ban da alhakin kai tsaye don hanyoyin, akan dozin 3). Maganar PPC460GT mai sarrafawa tana zuwa 100%).
.
Abin da ya fito fili:
DNS a kan 127.0.0.1 ba panacea ba ne; nau'ikan masu bincike na zamani har yanzu suna ba ku damar tsallake irin waɗannan matsalolin. Ba shi yiwuwa a iyakance duk masu amfani zuwa rage haƙƙoƙin, kuma kada mu manta game da ɗimbin adadin madadin DNS. Intanit ba a tsaye ba, kuma baya ga sababbin adiresoshin DNS, shafukan da aka haramta suna siyan sababbin adireshi, canza manyan yanki, kuma suna iya ƙarawa/cire wani hali a adireshinsu. Amma har yanzu yana da 'yancin rayuwa wani abu kamar:
ip route add blackhole 1.2.3.4Zai yi tasiri sosai don samun jerin adiresoshin IP daga jerin wuraren da aka haramta, amma saboda dalilan da aka ambata a sama, mun matsa zuwa la'akari game da Iptables. An riga an sami ma'auni mai rai akan sakin CentOS Linux 7.5.1804.
Internet mai amfani ya kamata ya kasance cikin sauri, kuma mai binciken bai kamata ya jira rabin minti daya ba, yana yanke cewa babu wannan shafin. Bayan dogon bincike mun zo ga wannan samfurin:
Fayil 1 -> /script/denied_host, jerin sunayen da aka haramta:
test.test
blablabla.bubu
torrent
pornoFayil 2 -> /script/denied_range, jerin wuraren haramtattun adireshi da adireshi:
192.168.111.0/24
241.242.0.0/16Fayil na rubutu 3 -> ipt.shYin aiki tare da ipables:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Yin amfani da sudo shine saboda gaskiyar cewa muna da ƙananan hack don sarrafawa ta hanyar sadarwar WEB, amma kamar yadda kwarewa ta amfani da irin wannan samfurin fiye da shekara guda ya nuna, WEB ba lallai ba ne. Bayan aiwatarwa, akwai sha'awar ƙara jerin rukunin yanar gizon zuwa ma'ajin bayanai, da sauransu. Adadin katange runduna ya fi 250 + dozin adireshi sarari. Lallai akwai matsala lokacin zuwa shafin ta hanyar haɗin yanar gizo, kamar mai sarrafa tsarin, Ina da gunaguni game da masu bincike :), amma waɗannan lokuta ne na musamman, yawancin abubuwan da ke haifar da rashin samun damar amfani da albarkatun har yanzu suna kan gefenmu. , mun samu nasarar toshe Opera VPN da plugins kamar friGate da telemetry daga Microsoft.
source: www.habr.com