Relevansi pemblokiran kunjungan ke sumber daya terlarang berdampak pada administrator mana pun yang mungkin secara resmi didakwa karena tidak mematuhi hukum atau perintah otoritas terkait.
Mengapa menemukan kembali roda ketika ada program dan distribusi khusus untuk tugas kita, misalnya: Zeroshell, pfSense, ClearOS.
Manajemen punya pertanyaan lain: Apakah produk yang digunakan memiliki sertifikat keamanan dari negara kita?
Kami memiliki pengalaman bekerja dengan distribusi berikut:
- Zeroshell - pengembang bahkan menyumbangkan lisensi 2 tahun, tetapi ternyata kit distribusi yang kami minati, secara tidak logis, menjalankan fungsi penting bagi kami;
- pfSense - rasa hormat dan hormat, sekaligus membosankan, membiasakan diri dengan baris perintah firewall FreeBSD dan tidak cukup nyaman bagi kami (menurut saya ini masalah kebiasaan, tetapi ternyata cara yang salah);
- ClearOS - pada perangkat keras kami ternyata sangat lambat, kami tidak dapat melakukan pengujian serius, jadi mengapa antarmuka yang begitu berat?
- Ideco SELECTA. Produk Ideco adalah percakapan terpisah, produk yang menarik, tetapi karena alasan politik bukan untuk kami, dan saya juga ingin "menggigit" mereka tentang lisensi untuk Linux yang sama, Roundcube, dll. Dari mana mereka mendapatkan ide itu dengan memotong antarmukanya Ular sanca dan dengan mengambil hak pengguna super, mereka dapat menjual produk jadi yang terdiri dari modul yang dikembangkan dan dimodifikasi dari komunitas Internet yang didistribusikan di bawah GPL&dll.
Saya mengerti bahwa sekarang seruan negatif akan mengalir ke arah saya dengan tuntutan untuk membuktikan perasaan subjektif saya secara rinci, tetapi saya ingin mengatakan bahwa node jaringan ini juga merupakan penyeimbang lalu lintas untuk 4 saluran eksternal ke Internet, dan setiap saluran memiliki karakteristiknya sendiri. . Landasan lainnya adalah perlunya salah satu dari beberapa antarmuka jaringan untuk bekerja di ruang alamat yang berbeda, dan I siap akui bahwa VLAN dapat digunakan dimana saja jika diperlukan dan tidak diperlukan belum siap. Ada perangkat yang digunakan seperti TP-Link TL-R480T+ - perangkat tersebut tidak berperilaku sempurna, secara umum, dengan nuansa tersendiri. Bagian ini dapat dikonfigurasi di Linux berkat situs web resmi Ubuntu . Terlebih lagi, masing-masing saluran bisa βjatuhβ kapan saja, dan juga bisa naik. Jika Anda tertarik dengan skrip yang sedang berfungsi (dan ini layak untuk diterbitkan secara terpisah), tulis di komentar.
Solusi yang sedang dipertimbangkan tidak mengklaim unik, namun saya ingin mengajukan pertanyaan: βMengapa perusahaan harus beradaptasi dengan produk pihak ketiga yang meragukan dengan persyaratan perangkat keras yang serius ketika opsi alternatif dapat dipertimbangkan?β
Jika di Federasi Rusia terdapat daftar Roskomnadzor, di Ukraina terdapat lampiran Keputusan Dewan Keamanan Nasional (misalnya. ), maka para pemimpin lokal juga tidak bisa tidur. Misalnya, kami diberi daftar situs terlarang yang, menurut manajemen, mengganggu produktivitas di tempat kerja.
Berkomunikasi dengan kolega di perusahaan lain, di mana secara default semua situs dilarang dan hanya atas permintaan dengan izin bos Anda dapat mengakses situs tertentu, tersenyum penuh hormat, memikirkan dan "merokok masalah", kami sampai pada pemahaman bahwa kehidupan masih bagus dan kami memulai pencarian mereka.
Memiliki kesempatan tidak hanya untuk melihat secara analitis apa yang mereka tulis di "buku ibu rumah tangga" tentang pemfilteran lalu lintas, tetapi juga untuk melihat apa yang terjadi di saluran penyedia yang berbeda, kami memperhatikan resep berikut (tangkapan layar apa pun sedikit terpotong, harap dipahami ):
Penyedia 1
β tidak mengganggu dan menerapkan server DNS sendiri dan server proxy transparan. Ya?.. tapi kita punya akses ke tempat yang kita butuhkan (jika kita membutuhkannya :))
Penyedia 2
- percaya bahwa penyedia top-nya harus memikirkan hal ini, dukungan teknis penyedia top bahkan mengakui mengapa saya tidak bisa membuka situs yang saya butuhkan, padahal itu tidak dilarang. Saya pikir gambar itu akan menghibur Anda :)
Ternyata, mereka menerjemahkan nama situs terlarang menjadi alamat IP dan memblokir IP itu sendiri (mereka tidak terganggu oleh fakta bahwa alamat IP ini dapat menampung 20 situs).
Penyedia 3
β mengizinkan lalu lintas menuju ke sana, tetapi tidak mengizinkannya kembali sepanjang rute.
Penyedia 4
β melarang semua manipulasi dengan paket dalam arah yang ditentukan.
Apa yang harus dilakukan dengan VPN (sehubungan dengan browser Opera) dan plugin browser? Bermain dengan node Mikrotik pada awalnya, kami bahkan mendapat resep yang intensif sumber daya untuk L7, yang kemudian harus kami tinggalkan (mungkin ada lebih banyak nama yang dilarang, menyedihkan ketika, selain tanggung jawab langsungnya untuk rute, pada 3 lusin ekspresi beban prosesor PPC460GT mencapai 100%).
.
Yang menjadi jelas:
DNS pada 127.0.0.1 sama sekali bukan obat mujarab, versi browser modern masih memungkinkan Anda mengatasi masalah seperti itu. Tidak mungkin membatasi semua pengguna pada hak yang dikurangi, dan kita tidak boleh melupakan banyaknya DNS alternatif. Internet tidak statis, dan selain alamat DNS baru, situs terlarang membeli alamat baru, mengubah domain tingkat atas, dan dapat menambah/menghapus karakter di alamatnya. Namun tetap mempunyai hak untuk hidup seperti:
ip route add blackhole 1.2.3.4Mendapatkan daftar alamat IP dari daftar situs terlarang akan cukup efektif, tetapi karena alasan yang disebutkan di atas, kami beralih ke pertimbangan tentang Iptables. Sudah ada live balancer di CentOS Linux rilis 7.5.1804.
Internet pengguna harus cepat, dan Browser tidak perlu menunggu setengah menit, menyimpulkan bahwa halaman ini tidak tersedia. Setelah pencarian yang panjang, kami sampai pada model ini:
Berkas 1 -> /script/denied_host, daftar nama terlarang:
test.test
blablabla.bubu
torrent
pornoBerkas 2 -> /script/denied_range, daftar ruang alamat dan alamat yang dilarang:
192.168.111.0/24
241.242.0.0/16File skrip 3 -> ipt.shmelakukan pekerjaan dengan ipables:
# ΡΡΠΈΡΡΠ²Π°Π΅ΠΌ ΠΏΠΎΠ»Π΅Π·Π½ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΈΠ· ΠΏΠ΅ΡΠ΅ΡΠ½Π΅ΠΉ ΡΠ°ΠΉΠ»ΠΎΠ²
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# ΡΠ±ΡΠ°ΡΡΠ²Π°Π΅ΠΌ Π²ΡΠ΅ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ iptables, ΡΠ°Π·ΡΠ΅ΡΠ°Ρ ΡΠΎ ΡΡΠΎ Π½Π΅ Π·Π°ΠΏΡΠ΅ΡΠ΅Π½ΠΎ
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#ΡΠ΅ΡΠ°Π΅ΠΌ ΠΎΠ±Π½ΠΎΠ²ΠΈΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΎ ΠΌΠ°ΡΡΡΡΡΠ°Ρ
(ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡΡ Π½Π°ΡΠ΅ΠΉ Π°ΡΡ
ΠΈΡΠ΅ΠΊΡΡΡΡ)
sudo sh rout.sh
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ ΡΡΡΠΎΠΊΠΈ
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ Π°Π΄ΡΠ΅ΡΠ°
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Penggunaan sudo disebabkan oleh fakta bahwa kami memiliki sedikit peretasan untuk mengelola melalui antarmuka WEB, tetapi seperti yang ditunjukkan oleh pengalaman menggunakan model seperti itu selama lebih dari satu tahun, WEB tidak begitu diperlukan. Setelah implementasi, ada keinginan untuk menambahkan daftar situs ke database, dll. Jumlah host yang diblokir lebih dari 250+ selusin ruang alamat. Memang ada masalah saat membuka situs melalui koneksi https, seperti administrator sistem, saya punya keluhan tentang browser :), tetapi ini adalah kasus khusus, sebagian besar pemicu kurangnya akses ke sumber daya masih ada di pihak kita , kami juga berhasil memblokir Opera VPN dan plugin seperti friGate dan telemetri dari Microsoft.
Sumber: www.habr.com