ʻO ka pili o ka pale ʻana i nā kipa i nā kumuwaiwai i pāpā ʻia e pili ana i kekahi luna hoʻomalu i hiki ke hoʻopiʻi ʻia no ka mālama ʻole ʻana i ke kānāwai a i ʻole nā kauoha a nā mana kūpono.
No ke aha e hana hou ai i ka huila inā loaʻa nā papahana kūikawā a me nā māhele no kā mākou mau hana, no ka laʻana: Zeroshell, pfSense, ClearOS.
He nīnau ʻē aʻe ka hoʻokele: He palapala palekana ka huahana i hoʻohana ʻia mai ko mākou mokuʻāina?
Ua loaʻa iā mākou ka ʻike i ka hana ʻana me kēia mau māhele:
- Zeroshell - ua hāʻawi aku nā mea hoʻomohala i kahi laikini 2-makahiki, akā ua ʻike ʻia ʻo ka pahu hāʻawi a mākou i makemake ai, illogically, hana i kahi hana koʻikoʻi no mākou;
- pfSense - ka mahalo a me ka hanohano, i ka manawa like ʻole, hoʻomaʻamaʻa i ka laina kauoha o ka pā ahi FreeBSD a ʻaʻole kūpono iā mākou (manaʻo wau he mea maʻamau, akā ua lilo ia i ke ala hewa);
- ClearOS - ma kā mākou hāmeʻa ua lohi loa ia, ʻaʻole hiki iā mākou ke hele i ka hoʻāʻo koʻikoʻi, no laila, no ke aha ke ʻano koʻikoʻi?
- Ideco SELECTA. ʻO ka huahana Ideco kahi kamaʻilio kaʻawale, kahi huahana hoihoi, akā no nā kumu politika ʻaʻole no mākou, a makemake wau e "nahu" iā lākou e pili ana i ka laikini no ka Linux like, Roundcube, etc. Ma hea lākou i loaʻa ai ka manaʻo ma ka ʻoki ʻana i ka interface i loko Python a ma ka lawe ʻana i nā kuleana superuser, hiki iā lākou ke kūʻai aku i kahi huahana i hana ʻia me nā modules i kūkulu ʻia a hoʻololi ʻia mai ke kaiāulu pūnaewele i hoʻolaha ʻia ma lalo o GPL&etc.
Hoʻomaopopo wau i kēia manawa e ninini ʻia nā huaʻōlelo maikaʻi ʻole i koʻu alakaʻi me nā koi e hōʻoia i koʻu mau manaʻo kikoʻī i ka kikoʻī, akā makemake wau e ʻōlelo aku ʻo kēia node pūnaewele he mea hoʻohālikelike kaʻa no 4 mau kahawai waho i ka Pūnaewele, a ʻo kēlā me kēia kahawai kona mau hiʻohiʻona ponoʻī. . ʻO kekahi pōhaku kihi ʻo ia ka pono o kekahi o nā kikowaena pūnaewele e hana ma nā wahi kikoʻī like ʻole, a ʻo wau mākaukau e ʻae hiki ke hoʻohana ʻia nā VLAN ma nā wahi āpau a pono ʻole ʻaʻole mākaukau. Aia nā mea hoʻohana e like me TP-Link TL-R480T + - ʻaʻole maikaʻi lākou, ma ka laulā, me kā lākou mau nuances. Ua hiki ke hoʻonohonoho i kēia ʻāpana ma Linux mahalo i ka pūnaewele official Ubuntu . Eia kekahi, hiki i kēlā me kēia kahawai ke "hāʻule" i kēlā me kēia manawa, a me ka piʻi ʻana. Inā makemake ʻoe i kahi palapala e hana nei i kēia manawa (a pono kēia i kahi paʻi ʻokoʻa), e kākau i nā manaʻo.
ʻAʻole ʻōlelo ka hoʻonā e noʻonoʻo ʻia he kū hoʻokahi, akā makemake wau e nīnau i ka nīnau: "No ke aha e hoʻololi ai kahi ʻoihana i nā huahana dubious ʻekolu me nā koi koʻikoʻi inā hiki ke noʻonoʻo ʻia kahi koho ʻē aʻe?"
Inā ma ka Russian Federation aia kahi papa inoa o Roskomnadzor, ma Ukraine aia kahi hoʻohui i ka Hoʻoholo o ka National Security Council (no ka laʻana. ), a laila ʻaʻole hiamoe nā alakaʻi kūloko. No ka laʻana, ua hāʻawi ʻia mākou i kahi papa inoa o nā pūnaewele pāpā ʻia, i ka manaʻo o ka hoʻokele, hoʻopilikia i ka huahana ma ka wahi hana.
Ke kamaʻilio ʻana me nā hoa hana ma nā ʻoihana ʻē aʻe, kahi i pāpā ʻia ai nā pūnaewele āpau a ma ke noi wale ʻana me ka ʻae ʻana o ka luna hiki iā ʻoe ke komo i kahi pūnaewele kikoʻī, ʻakaʻaka me ka mahalo, noʻonoʻo a "e puhi i ka pilikia", ua ʻike mākou i ke ola. maikaʻi nō a hoʻomaka mākou i kā lākou ʻimi.
Loaʻa ka manawa kūpono ʻaʻole wale e ʻike i ka mea a lākou e kākau ai i loko o nā "puke a nā wahine wahine" e pili ana i ka kānana kaʻa, akā e ʻike pū i nā mea e hana nei ma nā kahawai o nā mea hoʻolako like ʻole, ʻike mākou i nā ʻōlelo aʻoaʻo aʻe (ua ʻoki liʻiliʻi nā kiʻi kiʻi, e ʻoluʻolu. maopopo i ka ninau ana):
Mea hoʻolako 1
- ʻaʻole pilikia a hoʻokau i kāna mau kikowaena DNS ponoʻī a me kahi kikowaena proxy akaka. ʻAe?.. akā hiki iā mākou ke komo i kahi e pono ai mākou (inā pono mākou :))
Mea hoʻolako 2
- manaʻoʻiʻo e noʻonoʻo kāna mea hoʻolako kiʻekiʻe e pili ana i kēia, ua ʻae ke kākoʻo ʻenehana o ka mea hoʻolako kiʻekiʻe i ke kumu hiki ʻole iaʻu ke wehe i ka pūnaewele aʻu i makemake ai, ʻaʻole i pāpā ʻia. Manaʻo wau e leʻaleʻa ke kiʻi iā ʻoe :)
E like me ka mea i ʻike ʻia, unuhi lākou i nā inoa o nā pūnaewele i pāpā ʻia i nā helu IP a hoʻopaʻa i ka IP ponoʻī (ʻaʻole lākou pilikia i ka hiki ke hoʻokipa ʻia kēia IP IP i nā pūnaewele 20).
Mea hoʻolako 3
- hiki ke hele i laila, akā ʻaʻole ia e hoʻi ma ke ala.
Mea hoʻolako 4
- pāpā i nā manipulations āpau me nā ʻeke ma ke kuhikuhi i kuhikuhi ʻia.
He aha ka mea e hana ai me VPN (e pili ana i ka polokalamu kele pūnaewele Opera) a me nā plugins polokalamu kele pūnaewele? Ke pāʻani nei me ka node Mikrotik i ka wā mua, ua loaʻa iā mākou kahi meaʻai kumu waiwai no L7, a mākou e haʻalele ai ma hope (ʻoi aku ka nui o nā inoa i pāpā ʻia, lilo ia i mea kaumaha i ka wā, me kāna kuleana pololei no nā ala, ma 3 kakini. ʻO ka hoʻouka ʻana o ka ʻōnaehana PPC460GT i 100 %).
.
He aha ka mea i maopopo:
ʻO DNS ma 127.0.0.1 ʻaʻole ia he panacea; ʻae nā mana hou o nā polokalamu kele pūnaewele iā ʻoe e kāpae i kēlā mau pilikia. ʻAʻole hiki ke kaupalena i nā mea hoʻohana a pau i nā kuleana i hōʻemi ʻia, a ʻaʻole pono mākou e poina e pili ana i ka helu nui o nā DNS ʻē aʻe. ʻAʻole paʻa ka Pūnaewele, a ma waho aʻe o nā helu DNS hou, kūʻai nā wahi i pāpā ʻia i nā helu helu hou, hoʻololi i nā kāʻei kapu kiʻekiʻe, a hiki ke hoʻohui / wehe i kahi ʻano ma kā lākou helu wahi. Akā, aia nō ke kuleana e ola i kekahi mea e like me:
ip route add blackhole 1.2.3.4He mea maikaʻi loa ka loaʻa ʻana o kahi papa inoa o nā helu IP mai ka papa inoa o nā wahi i pāpā ʻia, akā no nā kumu i ʻōlelo ʻia ma luna, ua neʻe mākou i nā noʻonoʻo e pili ana i nā Iptables. Ua loaʻa i kahi balancer ola ma CentOS Linux hoʻokuʻu 7.5.1804.
Pono e wikiwiki ka Internet o ka mea hoʻohana, a ʻaʻole pono ka Browser e kali i ka hapalua minuke, me ka manaʻo ʻaʻole i loaʻa kēia ʻaoʻao. Ma hope o ka huli lōʻihi ua hiki mākou i kēia kŘkohu:
Waihona 1 -> /script/denied_host, papa inoa o nā inoa i pāpā ʻia:
test.test
blablabla.bubu
torrent
pornoWaihona 2 -> /script/denied_range, papa inoa o nā hakahaka a me nā helu wahi i pāpā ʻia:
192.168.111.0/24
241.242.0.0/16Waihona palapala 3 -> ipt.shhana i ka hana me ipables:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
ʻO ka hoʻohana ʻana o sudo ma muli o ka loaʻa ʻana o kahi hack liʻiliʻi no ka hoʻokele ʻana ma o ka interface WEB, akā e like me ka ʻike i ka hoʻohana ʻana i ia ʻano hoʻohālike no hoʻokahi makahiki i hōʻike ʻia, ʻaʻole pono ka WEB. Ma hope o ka hoʻokō ʻana, aia kahi makemake e hoʻohui i kahi papa inoa o nā pūnaewele i ka waihona, etc. ʻOi aku ka nui o nā mea hoʻokipa i hoʻopaʻa ʻia ma mua o 250 + ʻumi mau wahi kikoʻī. Aia maoli ka pilikia i ka hele ʻana i kahi pūnaewele ma o kahi pilina https, e like me ka luna hoʻomalu, loaʻa iaʻu nā hoʻopiʻi e pili ana i nā polokalamu kele :), akā he mau hihia kūikawā kēia, ʻo ka hapa nui o nā kumu no ka loaʻa ʻole o ka waiwai aia mau ma kā mākou ʻaoʻao. , ua hoʻopaʻa maikaʻi mākou iā Opera VPN a me nā plugins e like me friGate a me telemetry mai Microsoft.
Source: www.habr.com