A tiltott forrásokhoz kapcsolódó látogatások blokkolásának jelentősége minden olyan rendszergazdát érint, akit hivatalosan megvádolhatnak a jogszabályok vagy az illetékes hatóságok rendelkezéseinek be nem tartása miatt.
Miért kell újra feltalálni a kereket, ha speciális programok és disztribúciók vannak a feladatainkra, például: Zeroshell, pfSense, ClearOS.
A vezetőségnek még egy kérdése volt: A használt termék rendelkezik-e az államunk biztonsági tanúsítvánnyal?
A következő disztribúciókkal volt tapasztalatunk:
- Zeroshell - a fejlesztők még egy 2 éves licencet is adományoztak, de kiderült, hogy a minket érdeklő terjesztési készlet logikátlan módon kritikus funkciót töltött be számunkra;
- pfSense - tisztelet és becsület, egyben unalmas, hozzászokik a FreeBSD tűzfal parancssorához, és nem elég kényelmes számunkra (szerintem ez megszokás kérdése, de kiderült, hogy rossz út volt);
- ClearOS - a mi hardverünkön nagyon lassúnak bizonyult, nem tudtunk komoly tesztelésre jutni, akkor miért ilyen nehéz interfészek?
- Ideco SELECTA. Az Ideco termék külön beszélgetés, érdekes termék, de politikai okokból nem nekünk, és szeretnék nekik is „harapni” ugyanazon Linux, Roundcube stb. Honnan jött az ötlet, hogy a felület bevágásával Piton szuperfelhasználói jogok elvételével pedig a GPL&stb alatt terjesztett internetes közösség fejlesztett és módosított moduljaiból összeállított kész terméket értékesíthetnek.
Megértem, hogy most negatív felkiáltások fognak özönleni felém azzal a követeléssel, hogy szubjektív érzéseimet részletesen alátámasszam, de azt akarom mondani, hogy ez a hálózati csomópont egyben 4 külső csatorna forgalmi kiegyenlítője is az internethez, és minden csatornának megvannak a maga sajátosságai. . Egy másik sarokköve az volt, hogy több hálózati interfész közül az egyiknek különböző címterekben kellett működnie, és I kész elismerik, hogy a VLAN-ok mindenhol használhatók, ahol szükséges és nem szükséges nem áll készen. Vannak használatban lévő eszközök, mint például a TP-Link TL-R480T+ - általában nem viselkednek tökéletesen, saját árnyalataikkal. Ezt a részt az Ubuntu hivatalos weboldalának köszönhetően lehetett Linuxon konfigurálni . Sőt, mindegyik csatorna bármelyik pillanatban „eshet”, valamint felemelkedhet. Ha érdekel egy jelenleg működő forgatókönyv (és ez megér egy külön publikálást), írd meg kommentben.
A vizsgált megoldás nem állítja magát egyedinek, de szeretném feltenni a kérdést: „Miért alkalmazkodjon egy vállalkozás harmadik féltől származó, komoly hardverigényű kétes termékeihez, ha alternatív lehetőség is szóba jöhet?”
Ha az Orosz Föderációban létezik a Roskomnadzor listája, Ukrajnában a Nemzetbiztonsági Tanács határozatának melléklete (például. ), akkor a helyi vezetők sem alszanak. Például kaptunk egy listát azokról a tiltott oldalakról, amelyek a vezetőség véleménye szerint rontják a munkahelyi termelékenységet.
Más vállalkozásoknál dolgozó kollégákkal kommunikálva, ahol alapértelmezés szerint minden oldal le van tiltva, és csak kérésre, a főnök engedélyével lehet belépni egy adott oldalra, tisztelettudóan mosolyogva, gondolkodva és „a probléma felett dohányozva”, arra jutottunk, hogy az élet még mindig jó, és elkezdtük a keresést.
Mivel lehetőségünk volt nemcsak analitikusan megnézni, hogy mit írnak a „háziasszonyok könyveibe” a forgalomszűrésről, hanem megnézni, mi is történik a különböző szolgáltatók csatornáin, a következő receptekre lettünk figyelmesek (a képernyőképek egy kicsit le vannak vágva, értsétek meg ):
Szolgáltató 1
- nem zavarja magát, és saját DNS-szervereket és átlátszó proxyszervert kényszerít rá. Nos?.. de oda férünk hozzá, ahol szükségünk van rá (ha kell :))
Szolgáltató 2
- úgy véli, hogy a legjobb szolgáltatónak el kellene gondolkodnia ezen, a csúcsszolgáltató technikai támogatása még azt is elismerte, hogy miért nem tudtam megnyitni a szükséges oldalt, ami nem volt tiltva. Szerintem a kép szórakoztat majd :)
Mint kiderült, lefordítják a tiltott oldalak nevét IP-címekre, és magát az IP-t blokkolják (nem zavarja őket, hogy ez az IP-cím 20 oldalt tud fogadni).
Szolgáltató 3
— engedélyezi a forgalmat oda, de nem engedi vissza az útvonalon.
Szolgáltató 4
— tilt minden manipulációt a csomagokkal a megadott irányban.
Mi a teendő a VPN-nel (tisztelet az Opera böngészővel) és a böngészőbővítményekkel? A Mikrotik csomóponttal eleinte még egy erőforrásigényes receptet is kaptunk az L7-hez, amit később el kellett hagynunk (lehet, hogy vannak tiltott nevek is, szomorúvá válik, amikor az útvonalakkal kapcsolatos közvetlen felelőssége mellett 3 tucatban kifejezések esetén a PPC460GT processzor terhelése 100 %-ra megy.
.
Ami világossá vált:
A 127.0.0.1-es DNS egyáltalán nem csodaszer, a böngészők modern verziói továbbra is lehetővé teszik az ilyen problémák megkerülését. Lehetetlen az összes felhasználót csökkentett jogokra korlátozni, és nem szabad megfeledkeznünk a rengeteg alternatív DNS-ről. Az internet nem statikus, és az új DNS-címek mellett a tiltott oldalak új címeket vásárolnak, legfelső szintű tartományt változtatnak, és karaktert is hozzáadhatnak/eltávolíthatnak a címükből. De még mindig joga van valami ilyesmit élni:
ip route add blackhole 1.2.3.4Elég hatékony lenne a tiltott webhelyek listájából megszerezni az IP-címek listáját, de a fent említett okok miatt áttértünk az Iptables-szal kapcsolatos megfontolásokra. A CentOS Linux 7.5.1804-es kiadásán már volt egy élő egyensúlyozó.
A felhasználó internetének gyorsnak kell lennie, és a Böngészőnek nem szabad fél percet várnia, arra a következtetésre jutva, hogy ez az oldal nem érhető el. Hosszas keresgélés után ehhez a modellhez jutottunk:
1. fájl -> /script/denied_host, tiltott nevek listája:
test.test
blablabla.bubu
torrent
porno2. fájl -> /script/denied_range, tiltott címterek és címek listája:
192.168.111.0/24
241.242.0.0/16Script fájl 3 -> ipt.sha munka elvégzése ipables-el:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
A sudo használata annak köszönhető, hogy van egy kis hack a WEB felületen keresztüli vezérléshez, de amint egy ilyen modell több mint egy éves használatának tapasztalata azt mutatja, a WEB nem annyira szükséges. A megvalósítás után felmerült a vágy, hogy a webhelyek listáját hozzáadják az adatbázishoz, stb. A blokkolt gazdagépek száma több mint 250 + egy tucat címterület. Valóban van probléma, ha https kapcsolaton keresztül megyünk egy oldalra, mint például a rendszergazda, panaszaim vannak a böngészőkkel kapcsolatban :), de ezek speciális esetek, az erőforráshoz való hozzáférés hiányának kiváltó okainak többsége továbbra is a mi oldalunkon van. , sikeresen blokkoljuk az Opera VPN-t és a Microsoft olyan bővítményeit, mint a friGate és a telemetria.
Forrás: will.com