Mikilvægi þess að hindra heimsóknir til bönnuð úrræði hefur áhrif á hvaða stjórnanda sem kann að vera opinberlega ákærður fyrir að hafa ekki farið að lögum eða fyrirmælum viðkomandi yfirvalda.
Af hverju að finna upp hjólið aftur þegar það eru sérhæfð forrit og dreifingar fyrir verkefni okkar, til dæmis: Zeroshell, pfSense, ClearOS.
Stjórnendur höfðu aðra spurningu: Er varan sem notuð er með öryggisvottorð frá ríkinu okkar?
Við höfðum reynslu af því að vinna með eftirfarandi dreifingar:
- Zeroshell - forritararnir gáfu meira að segja 2 ára leyfi, en það kom í ljós að dreifingarsettið sem við höfðum áhuga á, órökrétt, gegndi mikilvægu hlutverki fyrir okkur;
- pfSense - virðing og heiður, á sama tíma leiðinlegt, að venjast skipanalínunni í FreeBSD eldveggnum og ekki nógu þægilegt fyrir okkur (ég held að það sé spurning um vana, en það reyndist vera rangt);
- ClearOS - á vélbúnaðinum okkar reyndist það vera mjög hægt, við gátum ekki farið í alvarlegar prófanir, svo hvers vegna svona þung viðmót?
- Ideco SELECTA. Ideco varan er sérstakt samtal, áhugaverð vara, en af pólitískum ástæðum ekki fyrir okkur, og ég vil líka "bíta" þá um leyfið fyrir sama Linux, Roundcube, o.s.frv. Hvaðan fengu þeir þá hugmynd að með því að skera viðmótið í Python og með því að taka af ofurnotendaréttindum geta þeir selt fullunna vöru sem samanstendur af þróuðum og breyttum einingum frá netsamfélaginu sem dreift er undir GPL&o.s.frv.
Mér skilst að nú muni neikvæðar upphrópanir streyma í áttina til mín með kröfum um að rökstyðja huglægar tilfinningar mínar í smáatriðum, en ég vil meina að þessi nethnútur er líka umferðarjafnvægi fyrir 4 ytri rásir á internetið og hver rás hefur sín sérkenni . Annar hornsteinn var þörfin fyrir eitt af nokkrum netviðmótum til að virka í mismunandi heimilisfangasvæðum og ég tilbúinn viðurkenndu að hægt er að nota VLAN alls staðar þar sem nauðsyn krefur og ekki nauðsynlegt ekki tilbúinn. Það eru tæki í notkun eins og TP-Link TL-R480T+ - þau hegða sér almennt ekki fullkomlega með sínum eigin blæbrigðum. Það var hægt að stilla þennan hluta á Linux þökk sé opinberu vefsíðu Ubuntu . Þar að auki getur hver rás „fallið“ hvenær sem er, auk þess að hækka. Ef þú hefur áhuga á handriti sem er að virka núna (og þetta er þess virði að fá sérstaka útgáfu), skrifaðu í athugasemdirnar.
Lausnin sem er til skoðunar segist ekki vera einstök, en mig langar að spyrja spurningarinnar: "Hvers vegna ætti fyrirtæki að laga sig að vafasömum vörum þriðja aðila með alvarlegar kröfur um vélbúnað þegar annar valkostur kemur til greina?"
Ef í Rússlandi er listi yfir Roskomnadzor, í Úkraínu er viðauki við ákvörðun þjóðaröryggisráðsins (td. ), þá sofa leiðtogar staðarins ekki heldur. Til dæmis fengum við lista yfir bannaðar síður sem að mati stjórnenda skerða framleiðni á vinnustað.
Samskipti við samstarfsmenn hjá öðrum fyrirtækjum, þar sem sjálfgefið er að allar síður eru bannaðar og aðeins að beiðni með leyfi yfirmanns geturðu fengið aðgang að tiltekinni síðu, brosandi af virðingu, hugsað og „reykt yfir vandamálið“, komumst við að þeim skilningi að lífið er enn gott og við hófum leit þeirra.
Þar sem við höfðum tækifæri til að sjá ekki aðeins greinandi hvað þær skrifa í „bækur húsmæðra“ um umferðarsíun, heldur einnig til að sjá hvað er að gerast á rásum mismunandi veitenda, tókum við eftir eftirfarandi uppskriftum (allar skjámyndir eru aðeins klipptar, vinsamlegast skilja þegar spurt er):
Veitandi 1
- truflar ekki og setur á eigin DNS netþjóna og gagnsæjan proxy-þjón. Jæja? .. en við höfum aðgang að þar sem við þurfum það (ef við þurfum það :))
Veitandi 2
- telur að toppveitan hans ætti að hugsa um þetta, tækniaðstoð efsta veitandans viðurkenndi jafnvel hvers vegna ég gat ekki opnað síðuna sem ég þurfti, sem var ekki bönnuð. Ég held að myndin muni skemmta þér :)
Eins og það kom í ljós, þýða þeir nöfn bönnuðra vefsvæða yfir á IP-tölur og loka fyrir IP-töluna sjálfa (þeir eru ekki að trufla þá staðreynd að þetta IP-tala getur hýst 20 síður).
Veitandi 3
— leyfir umferð að fara þangað, en leyfir henni ekki aftur eftir leiðinni.
Veitandi 4
— bannar alla meðferð með pökkum í tilgreinda átt.
Hvað á að gera við VPN (virða Opera vafra) og vafraviðbætur? Þegar við lékum okkur með hnútinn Mikrotik í fyrstu, fengum við meira að segja auðlindafreka uppskrift að L7, sem við urðum síðar að yfirgefa (það gætu verið fleiri bönnuð nöfn, það verður sorglegt þegar, auk beina ábyrgðar á leiðum, á 3 tugum tjáning PPC460GT örgjörvaálag fer í 100 %).
.
Það sem varð ljóst:
DNS á 127.0.0.1 er alls ekki töfralausn; nútímaútgáfur af vöfrum leyfa þér samt að komast framhjá slík vandamál. Það er ómögulegt að takmarka alla notendur við skert réttindi og við megum ekki gleyma hinum mikla fjölda annarra DNS. Netið er ekki kyrrstætt og auk nýrra DNS vistfönga kaupa bannaðar síður ný heimilisföng, breyta efstu lénum og geta bætt við/fjarlægt staf í heimilisfangi sínu. En hefur samt rétt á að lifa eitthvað eins og:
ip route add blackhole 1.2.3.4Það væri mjög áhrifaríkt að fá lista yfir IP-tölur af listanum yfir bannaðar síður, en af ástæðum sem tilgreindar eru hér að ofan fórum við yfir í hugleiðingar um Iptables. Það var þegar lifandi jafnvægisbúnaður á CentOS Linux útgáfu 7.5.1804.
Netið notandans ætti að vera hratt og vafrinn ætti ekki að bíða í hálfa mínútu og álykta að þessi síða sé ekki tiltæk. Eftir langa leit komumst við að þessu líkani:
Skrá 1 -> /script/denied_host, listi yfir bönnuð nöfn:
test.test
blablabla.bubu
torrent
pornoSkrá 2 -> /script/denied_range, listi yfir bönnuð heimilisfangarými og heimilisföng:
192.168.111.0/24
241.242.0.0/16Handritaskrá 3 -> ipt.shvinna verkið með ipables:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Notkun sudo er vegna þess að við erum með lítið hakk til að stjórna í gegnum WEB viðmótið, en eins og reynsla af notkun slíks líkans í meira en ár hefur sýnt er WEB ekki svo nauðsynlegt. Eftir innleiðingu var vilji til að bæta lista yfir síður við gagnagrunninn o.fl. Fjöldi lokaðra gestgjafa er meira en 250 + tugur heimilisfangarýma. Það er í raun vandamál þegar farið er inn á síðu í gegnum https tengingu, eins og kerfisstjórinn, ég hef kvartanir vegna vafra :), en þetta eru sérstök tilvik, flestar kveikjur fyrir skorti á aðgangi að auðlindinni eru enn okkar megin , lokuðum við líka Opera VPN og viðbætur eins og friGate og fjarmælingar frá Microsoft.
Heimild: www.habr.com