Արգելված ռեսուրսների այցելությունների արգելափակման արդիականությունը ազդում է ցանկացած ադմինիստրատորի վրա, ով կարող է պաշտոնապես մեղադրվել օրենքը կամ համապատասխան մարմինների հրամանները չկատարելու համար:
Ինչու՞ նորից հորինել անիվը, երբ կան մասնագիտացված ծրագրեր և բաշխումներ մեր առաջադրանքների համար, օրինակ՝ Zeroshell, pfSense, ClearOS:
Ղեկավարությունը ևս մեկ հարց ուներ՝ օգտագործված ապրանքն ունի՞ անվտանգության սերտիֆիկատ մեր պետության կողմից։
Մենք ունեինք աշխատելու փորձ հետևյալ բաշխումների հետ.
- Zeroshell - ծրագրավորողները նույնիսկ 2 տարվա լիցենզիա են նվիրաբերել, բայց պարզվեց, որ մեզ հետաքրքրող բաշխման փաթեթը, անտրամաբանականորեն, մեզ համար կրիտիկական գործառույթ է կատարել.
- pfSense - հարգանք և պատիվ, միևնույն ժամանակ ձանձրալի, ընտելանալով FreeBSD firewall-ի հրամանի տողին և բավականաչափ հարմար չէ մեզ համար (կարծում եմ, դա սովորության հարց է, բայց պարզվեց, որ դա սխալ ճանապարհ է);
- ClearOS - մեր սարքավորման վրա այն շատ դանդաղ է ստացվել, մենք չկարողացանք լուրջ փորձարկման հասնել, ուստի ինչու՞ այդքան ծանր ինտերֆեյսներ:
- Ideco SELECTA. Ideco-ի պրոդուկտը առանձին խոսակցություն է, հետաքրքիր պրոդուկտ, բայց քաղաքական նկատառումներից ելնելով ոչ մեզ համար, և ես ուզում եմ նրանց «կծել» նույն Linux-ի, Roundcube-ի և այլնի լիցենզիայի մասին։ Որտեղի՞ց նրանց մոտ այդ գաղափարը կտրելով ինտերֆեյսը Python և, խլելով գերօգտագործողի իրավունքները, նրանք կարող են վաճառել պատրաստի արտադրանքը, որը կազմված է մշակված և փոփոխված մոդուլներից ինտերնետ համայնքից, որը բաշխված է GPL& և այլն:
Ես հասկանում եմ, որ այժմ բացասական բացականչություններ են թափվելու իմ ուղղությամբ՝ իմ սուբյեկտիվ զգացմունքները մանրամասն հիմնավորելու պահանջներով, բայց ուզում եմ ասել, որ այս ցանցային հանգույցը նաև երթևեկության հավասարակշռող է դեպի ինտերնետ 4 արտաքին ալիքների համար, և յուրաքանչյուր ալիք ունի իր առանձնահատկությունները: . Մեկ այլ հիմնաքար էր ցանցային մի քանի ինտերֆեյսներից մեկի՝ տարբեր հասցեների տարածություններում աշխատելու անհրաժեշտությունը, և ես պատրաստ է Ընդունեք, որ VLAN-ները կարող են օգտագործվել ամենուր, որտեղ անհրաժեշտ է և ոչ անհրաժեշտ պատրաստ չէ. Օգտագործվում են այնպիսի սարքեր, ինչպիսիք են TP-Link TL-R480T+-ը, նրանք իրենց կատարյալ չեն պահում, ընդհանուր առմամբ, իրենց նրբերանգներով: Այս մասը հնարավոր եղավ կարգավորել Linux-ում Ubuntu-ի պաշտոնական կայքի շնորհիվ . Ընդ որում, ալիքներից յուրաքանչյուրը կարող է ցանկացած պահի «ընկնել», ինչպես նաև բարձրանալ։ Եթե դուք հետաքրքրված եք մի սցենարով, որն այժմ աշխատում է (և արժե առանձին հրապարակել), գրեք մեկնաբանություններում:
Քննարկվող լուծումը չի հավակնում եզակի լինել, բայց ես կցանկանայի հարց տալ. «Ինչու՞ պետք է ձեռնարկությունը հարմարվի երրորդ կողմի կասկածելի արտադրանքներին, որոնք ունեն լուրջ ապարատային պահանջներ, երբ կարելի է այլընտրանքային տարբերակ դիտարկել»:
Եթե Ռուսաստանի Դաշնությունում կա Ռոսկոմնադզորի ցուցակ, ապա Ուկրաինայում կա Ազգային անվտանգության խորհրդի որոշման հավելված (օրինակ. ), ապա տեղական ղեկավարները նույնպես չեն քնում: Օրինակ, մեզ տրվեց արգելված կայքերի ցանկ, որոնք, ղեկավարության կարծիքով, խաթարում են աշխատավայրում արտադրողականությունը:
Շփվելով այլ ձեռնարկությունների գործընկերների հետ, որտեղ լռելյայն արգելված են բոլոր կայքերը և միայն պետի թույլտվությամբ միայն խնդրանքով կարող եք մուտք գործել կոնկրետ կայք՝ հարգանքով ժպտալով, մտածելով և «խնդիրի շուրջ ծխելով», մենք հասկացանք, որ կյանքը. դեռ լավ է, և մենք սկսեցինք նրանց որոնումները:
Հնարավորություն ունենալով ոչ միայն վերլուծական կերպով տեսնել, թե ինչ են գրում «տնային տնտեսուհիների գրքերում» երթևեկության զտման մասին, այլև տեսնել, թե ինչ է կատարվում տարբեր պրովայդերների ալիքներում, մենք նկատեցինք հետևյալ բաղադրատոմսերը (ցանկացած սքրինշոթ մի փոքր կտրված է, խնդրում եմ. հասկանալ, երբ հարցնում ես):
Մատակարար 1
— չի անհանգստացնում և պարտադրում է իր սեփական DNS սերվերները և թափանցիկ պրոքսի սերվերը: Դե?.. բայց մենք մուտք ունենք այնտեղ, որտեղ մեզ դա անհրաժեշտ է (եթե մեզ դա պետք է :))
Մատակարար 2
- կարծում է, որ իր լավագույն մատակարարը պետք է մտածի այս մասին, լավագույն մատակարարի տեխնիկական աջակցությունը նույնիսկ խոստովանեց, թե ինչու ես չկարողացա բացել ինձ անհրաժեշտ կայքը, ինչը արգելված չէր: Կարծում եմ նկարը ձեզ կզվարճացնի :)
Ինչպես պարզվեց, նրանք արգելված կայքերի անունները թարգմանում են IP հասցեների և արգելափակում հենց IP-ն (նրանց չի անհանգստացնում այն փաստը, որ այս IP հասցեն կարող է հյուրընկալել 20 կայք)։
Մատակարար 3
— թույլ է տալիս երթևեկությանը գնալ այնտեղ, բայց թույլ չի տալիս վերադառնալ երթուղու երկայնքով:
Մատակարար 4
— արգելում է բոլոր մանիպուլյացիաները փաթեթների հետ նշված ուղղությամբ:
Ի՞նչ անել VPN-ի հետ (հարգանք Օպերայի բրաուզերի) և բրաուզերի հավելումների հետ: Սկզբում խաղալով Mikrotik հանգույցի հետ, մենք նույնիսկ ստացանք L7-ի ռեսուրսներով հարուստ բաղադրատոմս, որից հետո ստիպված եղանք հրաժարվել (կարող են լինել ավելի արգելված անուններ, տխուր է դառնում, երբ, բացի երթուղիների անմիջական պարտականություններից, 3 տասնյակի վրա. արտահայտություններ, որ PPC460GT պրոցեսորի ծանրաբեռնվածությունը հասնում է 100%-ի:
.
Ինչ պարզ դարձավ.
127.0.0.1-ի DNS-ը բացարձակապես համադարման չէ, բրաուզերների ժամանակակից տարբերակները դեռ թույլ են տալիս շրջանցել նման խնդիրները: Անհնար է սահմանափակել բոլոր օգտվողներին կրճատված իրավունքներով, և մենք չպետք է մոռանանք այլընտրանքային DNS-ների հսկայական քանակի մասին: Ինտերնետը ստատիկ չէ, և բացի նոր DNS հասցեներից, արգելված կայքերը գնում են նոր հասցեներ, փոխում են վերին մակարդակի տիրույթները և կարող են իրենց հասցեում որևէ նիշ ավելացնել/հեռացնել։ Բայց դեռ իրավունք ունի ապրելու նման բան.
ip route add blackhole 1.2.3.4Արգելված կայքերի ցանկից IP հասցեների ցուցակ ստանալը բավականին արդյունավետ կլիներ, սակայն վերը նշված պատճառներով մենք անցանք Iptables-ի վերաբերյալ նկատառումներին: CentOS Linux-ի 7.5.1804 թողարկման վրա արդեն իսկ կար ուղիղ հավասարակշռող:
Օգտատիրոջ ինտերնետը պետք է լինի արագ, իսկ Բրաուզերը չպետք է սպասի կես րոպե՝ եզրակացնելով, որ այս էջը հասանելի չէ։ Երկար փնտրտուքներից հետո եկանք այս մոդելին.
Ֆայլ 1 -> /script/denied_host, արգելված անունների ցանկ.
test.test
blablabla.bubu
torrent
pornoՖայլ 2 -> /script/nenied_range, արգելված հասցեների տարածքների և հասցեների ցանկ.
192.168.111.0/24
241.242.0.0/16Սցենարի ֆայլ 3 -> ipt.shկատարել աշխատանքը ipables-ով.
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Sudo-ի օգտագործումը պայմանավորված է նրանով, որ մենք ունենք WEB ինտերֆեյսի միջոցով կառավարելու փոքր հաքեր, բայց ինչպես ցույց է տվել մեկ տարուց ավելի նման մոդելի օգտագործման փորձը, WEB-ն այնքան էլ անհրաժեշտ չէ։ Իրագործումից հետո ցանկություն առաջացավ ավելացնել կայքերի ցանկը տվյալների բազայում և այլն։ Արգելափակված հոսթների թիվը 250-ից ավելի է + մեկ տասնյակ հասցեների տարածք: Իրոք, խնդիր կա https կապի միջոցով կայք գնալիս, ինչպես համակարգի ադմինիստրատորը, ես բողոքներ ունեմ բրաուզերներից :), բայց դրանք հատուկ դեպքեր են, ռեսուրսի մուտքի բացակայության պատճառների մեծ մասը դեռ մեր կողմն է: , մենք նաև հաջողությամբ արգելափակում ենք Opera VPN-ն և Microsoft-ի պլագինները, ինչպիսիք են friGate-ը և հեռաչափությունը:
Source: www.habr.com