Mkpa nke igbochi nleta na akụrụngwa amachibidoro na-emetụta onye nchịkwa ọ bụla nwere ike ị boro ya ebubo na ọ naghị erube isi n'iwu ma ọ bụ iwu nke ndị ọrụ dị mkpa.
Kedu ihe kpatara ịmalitegharị wiil ahụ mgbe enwere mmemme na nkesa pụrụ iche maka ọrụ anyị, dịka ọmụmaatụ: Zeroshell, pfSense, ClearOS.
Ndị njikwa ahụ nwere ajụjụ ọzọ: Ngwaahịa ejirila nwere asambodo nchekwa sitere na steeti anyị?
Anyị nwere ahụmahụ ịrụ ọrụ na nkesa ndị a:
- Zeroshell - ndị mmepe ọbụna nyere ikike nke afọ 2, ma ọ tụgharịrị na ihe nkesa nkesa anyị nwere mmasị na ya, n'ụzọ ezi uche na-adịghị, rụrụ ọrụ dị egwu maka anyị;
- pfSense - nkwanye ùgwù na nsọpụrụ, n'otu oge ahụ na-agwụ ike, ịmara usoro iwu nke firewall FreeBSD na adịghị adabara anyị (echere m na ọ bụ ihe omume, mana ọ tụgharịrị bụrụ ụzọ na-ezighi ezi);
- ClearOS - na ngwaike anyị ọ tụgharịrị dị ngwa ngwa, anyị enweghị ike ịga nyocha siri ike, yabụ kedu ihe kpatara oghere dị arọ dị otú ahụ?
- Ideco SELECTA. Ngwaahịa Ideco bụ mkparịta ụka dị iche, ngwaahịa na-adọrọ mmasị, mana maka ebumnuche ndọrọ ndọrọ ọchịchị ọ bụghị maka anyị, achọrọ m “ịta” ha gbasara ikike maka otu Linux, Roundcube, wdg. Ebee ka ha nwetara echiche ahụ site n'ịbelata interface n'ime Python na site n'iwepụ ikike superuser, ha nwere ike ree ngwaahịa emechara nke mebere na modul emebere site na mpaghara ịntanetị ekesara n'okpuru GPL&wd.
Aghọtara m na ugbu a mkpu na-adịghị mma ga-awụsa na ntụziaka m na-achọ ka m gosipụta mmetụta nke onwe m n'ụzọ zuru ezu, ma m chọrọ ikwu na netwọk netwọk a bụkwa ihe na-edozi okporo ụzọ maka ọwa 4 dị na Ịntanetị, na ọwa ọ bụla nwere àgwà nke ya. . Nkuku ọzọ bụ mkpa nke otu n'ime ọtụtụ netwọkụ netwọk ka ọ rụọ ọrụ na oghere adreesị dị iche iche, yana m dị njikere kwenye na enwere ike iji VLANs ebe ọ bụla ọ dị mkpa na ọ dịghị mkpa adịghị njikere. Enwere ngwaọrụ eji eme ihe dị ka TP-Link TL-R480T+ - ha anaghị akpa agwa nke ọma, n'ozuzu, na nuances nke ha. Ọ ga-ekwe omume ịhazi akụkụ a na Linux ekele maka weebụsaịtị Ubuntu . Ọzọkwa, ọwa ọ bụla nwere ike "ịda" n'oge ọ bụla, yana ịrị elu. Ọ bụrụ na ị nwere mmasị na edemede nke na-arụ ọrụ ugbu a (na nke a bara uru mbipụta dị iche), dee na nkwupụta.
Ihe ngwọta a na-atụle anaghị ekwu na ọ bụ ihe pụrụ iche, mana m ga-achọ ịjụ ajụjụ a: "Gịnị kpatara ụlọ ọrụ ga-eji kwekọọ na ngwaahịa ndị ọzọ na-enyo enyo nwere nnukwu ihe ngwaike chọrọ mgbe enwere ike ịtụle nhọrọ ọzọ?"
Ọ bụrụ na Russia Federation enwere ndepụta nke Roskomnadzor, na Ukraine enwere mgbakwunye na mkpebi nke National Security Council (dịka ọmụmaatụ. ), mgbe ahụ ndị isi obodo adịghịkwa ehi ụra. Dịka ọmụmaatụ, e nyere anyị ndepụta saịtị amachibidoro, n'echiche nke njikwa, na-emebi arụpụta ọrụ n'ebe ọrụ.
Gị na ndị ọrụ ibe gị na ụlọ ọrụ ndị ọzọ na-ekwurịta okwu, ebe na ndabara amachibidoro saịtị niile na naanị mgbe ị rịọrọ site na ikike nke onye isi, ị nwere ike ịnweta otu saịtị, na-amụmụ ọnụ ọchị, na-eche echiche na "na-aṅụ sịga maka nsogbu ahụ", anyị bịara ghọta na ndụ. ọ ka dị mma ma anyị malitere ọchụchọ ha.
N'inwe ohere ọ bụghị naanị iji nyochaa ihe ha na-ede na "akwụkwọ ndị nwunye ụlọ" banyere nzacha okporo ụzọ, kamakwa ịhụ ihe na-eme na ọwa nke ndị na-enye ọrụ dị iche iche, anyị chọpụtara usoro ntụziaka ndị a (ihe ọ bụla nseta ihuenyo bụ ntakịrị ihe, biko ghọta. ):
Onye na-enye 1
- ọ naghị enye nsogbu ma na-amanye sava DNS nke ya na sava proxy transperent. Ọ dị mma? .. mana anyị nwere ohere ịnweta ebe anyị chọrọ ya (ọ bụrụ na anyị chọrọ ya :))
Onye na-enye 2
- kwenyere na onye na-enye ya kachasị elu kwesịrị iche echiche banyere nke a, nkwado ọrụ aka nke onye na-enye ọrụ ọbụna kwetara ihe kpatara na enweghị m ike imeghe saịtị m chọrọ, nke a machibidoro iwu. Echere m na foto a ga-amasị gị :)
Dị ka ọ tụgharịrị, ha na-atụgharị aha saịtị ndị amachibidoro n'ime adreesị IP ma gbochie IP n'onwe ya (n'eziokwu na adreesị IP a nwere ike ịnweta saịtị 20 adịghị enye ha nsogbu).
Onye na-enye 3
- na-enye ohere ka okporo ụzọ gaa ebe ahụ, mana ọ naghị ekwe ka ọ laghachi azụ n'ụzọ ahụ.
Onye na-enye 4
- machibido ụdị aghụghọ niile na ngwugwu na ntụziaka akọwapụtara.
Kedu ihe ị ga-eme na VPN (nkwanyere ihe nchọgharị Opera) na plugins nchọgharị? Na-egwuri egwu na ọnụ Mikrotik na mbụ, anyị ọbụna nwetara a akụ-ụba uzo uzommeputa maka L7, nke anyị mesịrị hapụ (enwere ike ọzọ a machibidoro iwu aha, ọ na-aghọ mwute mgbe, na mgbakwunye na ya kpọmkwem ibu ọrụ maka ụzọ, na 3 iri na abuo). Ngosipụta na ibu ihe nrụpụta PPC460GT na-aga 100%).
.
Ihe bịara doo anya:
DNS na 127.0.0.1 abụghị panacea; ụdị ihe nchọgharị ọgbara ọhụrụ ka na-enye gị ohere ịgafe nsogbu ndị dị otú ahụ. Ọ gaghị ekwe omume igbochi ndị ọrụ niile na ikike belatara, anyị agaghị echefu oke ọnụọgụ DNS ọzọ. Ịntanetị abụghị ihe kwụ ọtọ, na mgbakwunye na adreesị DNS ọhụrụ, saịtị amachibidoro ịzụrụ adreesị ọhụrụ, gbanwee ngalaba ọkwa dị elu, ma nwee ike ịgbakwunye / wepụ àgwà na adreesị ha. Mana ka nwere ikike ibi ihe dịka:
ip route add blackhole 1.2.3.4Ọ ga-adị nnọọ irè ịnweta ndepụta adreesị IP site na ndepụta saịtị amachibidoro, mana maka ihe ndị ekwuru n'elu, anyị gara n'ihu na ntụle gbasara Iptables. Enweelarị ihe ngbanwe dị ndụ na ntọhapụ CentOS Linux 7.5.1804.
Ịntanetị nke onye ọrụ kwesịrị ịdị ngwa ngwa, ihe nchọgharị ekwesịghị ichere ọkara nkeji, na-ekwubi na ibe a adịghị. Mgbe ogologo ọchụchọ gasịrị, anyị bịarutere na ihe nlereanya a:
Faịlụ 1 -> /script/denied_host, ndepụta aha amachibidoro:
test.test
blablabla.bubu
torrent
pornoFaịlụ 2 -> /script/denied_range, ndepụta nke oghere na adreesị amachibidoro:
192.168.111.0/24
241.242.0.0/16Script faịlụ 3 -> ipt.shna-arụ ọrụ na ipables:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Ojiji nke sudo bụ n'ihi na anyị nwere obere mbanye anataghị ikike maka njikwa site na interface WEB, ma dị ka ahụmahụ na-eji ihe nlereanya dị otú ahụ maka ihe karịrị otu afọ egosila, WEB adịghị mkpa. Mgbe mmejuputa iwu gasịrị, enwere ọchịchọ ịgbakwunye ndepụta saịtị na nchekwa data, wdg. Ọnụọgụ ndị ọbịa egbochiri karịrị 250 + oghere adreesị iri na abụọ. Enwere nsogbu n'ezie mgbe ị na-aga saịtị site na njikọ https, dị ka onye na-ahụ maka sistemụ, enwere m mkpesa banyere ihe nchọgharị :), mana ndị a bụ ikpe pụrụ iche, ọtụtụ n'ime ihe na-akpata enweghị ohere ịnweta akụrụngwa ka dị n'akụkụ anyị. , anyị nwekwara ihe ịga nke ọma igbochi Opera VPN na plugins dị ka friGate na telemetry si Microsoft.
isi: www.habr.com