ProHoster > Blog > Administrasyon an > Iptables ak trafik filtraj soti nan disidan pòv ak parese

Iptables ak trafik filtraj soti nan disidan pòv ak parese

Enpòtans bloke vizit nan resous entèdi yo afekte nenpòt administratè ki ka akize ofisyèlman pou li pa respekte lalwa oswa lòd otorite konsène yo.

Iptables ak trafik filtraj soti nan disidan pòv ak parese

Poukisa re-envante volan an lè gen pwogram espesyalize ak distribisyon pou travay nou yo, pou egzanp: Zeroshell, pfSense, ClearOS.

Jesyon an te gen yon lòt kesyon: Èske pwodwi yo itilize a gen yon sètifika sekirite nan eta nou an?

Nou te gen eksperyans travay ak distribisyon sa yo:

  • Zeroshell - devlopè yo menm bay yon lisans 2 ane, men li te tounen soti ke twous distribisyon an nou te enterese nan, illojikman, fè yon fonksyon kritik pou nou;
  • pfSense - respè ak onè, an menm tan an raz, abitye ak liy lòd firewall FreeBSD la epi li pa ase pratik pou nou (mwen panse ke li se yon kesyon de abitid, men li te tounen move fason);
  • ClearOS - sou pyès ki nan konpitè nou an li te tounen trè dousman, nou pa t 'kapab jwenn nan tès grav, kidonk poukisa koòdone lou sa yo?
  • Ideco SELECTA. Pwodwi Ideco a se yon konvèsasyon separe, yon pwodwi enteresan, men pou rezon politik pa pou nou, e mwen vle tou "mòde" yo sou lisans lan pou menm Linux, Roundcube, elatriye. Ki kote yo te jwenn lide ke pa koupe koòdone nan Piton epi lè yo retire dwa super-itilizatè yo, yo ka vann yon pwodwi fini ki fòme ak modil devlope ak modifye nan kominote Entènèt la distribye anba GPL&etc.

Mwen konprann ke kounye a eksklamasyon negatif pral vide nan direksyon mwen ak demand pou pwouve santiman subjectif mwen an detay, men mwen vle di ke ne rezo sa a se tou yon balanse trafik pou 4 chanèl ekstèn nan entènèt la, ak chak chanèl gen karakteristik pwòp li yo. . Yon lòt poto te bezwen pou youn nan plizyè entèfas rezo pou travay nan diferan espas adrès, e mwen pare admèt ke VLAN yo ka itilize tout kote kote sa nesesè epi yo pa nesesè pa pare. Gen aparèy yo itilize tankou TP-Link TL-R480T + - yo pa konpòte parfe, an jeneral, ak pwòp nuans yo. Li te posib pou konfigirasyon pati sa a sou Linux gras a sit entènèt ofisyèl Ubuntu Balanse IP: konbine plizyè chanèl entènèt nan yon sèl. Anplis, chak nan chanèl yo ka "tonbe" a nenpòt ki moman, osi byen ke leve. Si w enterese nan yon script k ap travay kounye a (epi sa a vo yon piblikasyon separe), ekri nan kòmantè yo.

Solisyon ki anba konsiderasyon an pa fè reklamasyon inik, men mwen ta renmen poze kesyon an: "Poukisa yon antrepriz ta dwe adapte yo ak pwodwi twazyèm pati ki gen dout ak kondisyon pyès ki nan konpitè grav lè yo ka konsidere yon opsyon altènatif?"

Si nan Federasyon Larisi la gen yon lis Roskomnadzor, nan Ikrèn gen yon anèks nan Desizyon Konsèy Sekirite Nasyonal la (pa egzanp. isit la), Lè sa a, lidè lokal yo pa dòmi tou. Pou egzanp, yo te ba nou yon lis sit entèdi ki, nan opinyon an nan jesyon, afekte pwodiktivite nan espas travay la.

Kominike ak kòlèg nan lòt antrepriz, kote pa default tout sit yo entèdi epi sèlman sou demann ak pèmisyon nan bòs nan travay la ou ka jwenn aksè nan yon sit espesifik, souri ak respè, panse ak "fimen sou pwoblèm nan", nou te vin konprann ke lavi. se toujou bon epi nou te kòmanse rechèch yo.

Èske w gen opòtinite pa sèlman pou analize wè sa yo ekri nan "liv Menager" sou filtraj trafik, men tou pou wè sa k ap pase sou chanèl diferan founisè yo, nou remake resèt sa yo (nenpòt Ekran yo yon ti kras koupe, tanpri. konprann lè w ap mande):

Founisè 1
- pa anmède epi li enpoze pwòp sèvè DNS li yo ak yon sèvè prokurasyon transparan. Oke?.. men nou gen aksè a kote nou bezwen li (si nou bezwen li :))

Founisè 2
- kwè ke founisè tèt li ta dwe reflechi sou sa a, sipò teknik founisè tèt la menm admèt poukisa mwen pa t 'kapab louvri sit mwen te bezwen an, ki pa te entèdi. Mwen panse foto a pral amize ou :)

Iptables ak trafik filtraj soti nan disidan pòv ak parese

Kòm li te tounen soti, yo tradui non yo nan sit entèdi nan adrès IP epi bloke IP nan tèt li (yo pa anmède pa lefèt ke adrès IP sa a ka òganize sit 20).

Founisè 3
— pèmèt trafik ale la, men li pa pèmèt li tounen sou wout la.

Founisè 4
— entèdi tout manipilasyon ak pake nan direksyon espesifye a.

Kisa pou w fè ak VPN (respekte navigatè Opera) ak grefon navigatè a? Jwe ak ne Mikrotik nan premye, nou menm te resevwa yon resèt resous-entansif pou L7, ki pita nou te oblije abandone (ka gen plis non entèdi, li vin tris lè, nan adisyon a responsablite dirèk li yo pou wout, sou 3 douzèn). ekspresyon chaj processeur PPC460GT la ale nan 100 %).

Iptables ak trafik filtraj soti nan disidan pòv ak parese.

Ki sa ki te vin klè:
DNS sou 127.0.0.1 se absoliman pa yon mirak; vèsyon modèn nan navigatè toujou pèmèt ou kontoune pwoblèm sa yo. Li enposib limite tout itilizatè yo nan dwa redwi, epi nou pa dwe bliye sou gwo kantite DNS altènatif. Entènèt la pa estatik, epi anplis nouvo adrès DNS, sit entèdi achte nouvo adrès, chanje domèn nivo siperyè, epi yo ka ajoute/retire yon karaktè nan adrès yo. Men, toujou gen dwa viv yon bagay tankou:

ip route add blackhole 1.2.3.4

Li ta byen efikas pou jwenn yon lis adrès IP nan lis sit entèdi yo, men pou rezon ki endike anwo a, nou te deplase sou konsiderasyon sou Iptables. Te gen deja yon balanse ap viv sou CentOS Linux lage 7.5.1804.

Entènèt itilizatè a ta dwe rapid, ak Navigatè a pa ta dwe tann mwatye yon minit, konkli ke paj sa a pa disponib. Apre yon rechèch long nou rive nan modèl sa a:
Dosye 1 -> /script/denied_host, lis non entèdi:

test.test
blablabla.bubu
torrent
porno

Dosye 2 -> /script/defied_range, lis espas adrès ak adrès entèdi:

192.168.111.0/24
241.242.0.0/16

Fichye script 3 -> ipt.shfè travay la ak ipables:

# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

Itilizasyon sudo se akòz lefèt ke nou gen yon ti Hack pou jere atravè koòdone WEB la, men kòm eksperyans nan sèvi ak yon modèl konsa pou plis pase yon ane montre, WEB pa tèlman nesesè. Apre aplikasyon an, te gen yon dezi yo ajoute yon lis sit nan baz done a, elatriye. Nimewo a nan lame bloke se plis pase 250 + yon douzèn espas adrès. Gen reyèlman yon pwoblèm lè w ale nan yon sit atravè yon koneksyon https, tankou administratè sistèm lan, mwen gen plent sou navigatè :), men sa yo se ka espesyal, pi fò nan deklannche yo pou mank de aksè nan resous la yo toujou sou bò nou an. , nou tou bloke Opera VPN ak grefon tankou friGate ak telemetry soti nan Microsoft.

Iptables ak trafik filtraj soti nan disidan pòv ak parese

Sous: www.habr.com

Add nouvo kòmantè