Iptables וסינון תנועה של מתנגדים עניים ועצלנים

הרלוונטיות של חסימת ביקורים במשאבים אסורים משפיעה על כל מנהל שעשוי להיות מואשם רשמית באי ציות לחוק או לפקודות של הרשויות הרלוונטיות.

למה להמציא את הגלגל מחדש כשיש תוכניות והפצות מיוחדות למשימות שלנו, למשל: Zeroshell, pfSense, ClearOS.

להנהלה הייתה שאלה נוספת: האם למוצר בו נעשה שימוש יש תעודת בטיחות מהמדינה שלנו?

היה לנו ניסיון בעבודה עם ההפצות הבאות:

• Zeroshell – המפתחים אפילו תרמו רישיון לשנתיים, אבל התברר שערכת ההפצה שבה התעניינו, באופן לא הגיוני, ביצעה עבורנו פונקציה קריטית;
• pfSense - כבוד וכבוד, בו בזמן משעמם, מתרגל לשורת הפקודה של חומת האש של FreeBSD ולא מספיק נוח לנו (אני חושב שזה עניין של הרגל, אבל התברר שזה לא נכון);
• ClearOS - בחומרה שלנו זה התברר כאיטי מאוד, לא הצלחנו להגיע לבדיקות רציניות, אז למה ממשקים כבדים כל כך?
• Ideco SELECTA. המוצר של Ideco הוא שיחה נפרדת, מוצר מעניין, אבל מסיבות פוליטיות לא בשבילנו, ואני רוצה גם "לנגוס" אותם לגבי הרישיון לאותה לינוקס, ראונדקיוב וכו'. מאיפה הם קיבלו את הרעיון על ידי חיתוך הממשק לתוך פיתון ועל ידי לקיחת זכויות משתמש-על, הם יכולים למכור מוצר מוגמר המורכב ממודולים מפותחים ומשונים מקהילת האינטרנט המופצים תחת GPL&etc.

אני מבין שכעת יזרמו לכיווני קריאות שליליות עם דרישות לבסס את הרגשות הסובייקטיביים שלי בפירוט, אבל אני רוצה לומר שצומת הרשת הזה הוא גם מאזן תעבורה ל-4 ערוצים חיצוניים לאינטרנט, ולכל ערוץ יש מאפיינים משלו. . אבן יסוד נוספת הייתה הצורך באחד מכמה ממשקי רשת שיפעלו במרחבי כתובות שונים, ואני готов תודו שניתן להשתמש ב-VLAN בכל מקום היכן שצריך ולא הכרחי לא מוכן. ישנם מכשירים בשימוש כגון TP-Link TL-R480T+ - הם אינם מתנהגים בצורה מושלמת, באופן כללי, עם ניואנסים משלהם. ניתן היה להגדיר את החלק הזה בלינוקס הודות לאתר הרשמי של אובונטו איזון IP: שילוב מספר ערוצי אינטרנט לאחד. יתרה מכך, כל אחד מהערוצים יכול "ליפול" בכל רגע, כמו גם לעלות. אם אתם מעוניינים בתסריט שעובד כרגע (וזה שווה פרסום נפרד), כתבו בתגובות.

הפתרון הנבחן אינו מתיימר להיות ייחודי, אך ברצוני לשאול את השאלה: "מדוע ארגון צריך להתאים למוצרים מפוקפקים של צד שלישי עם דרישות חומרה רציניות כאשר ניתן לשקול אפשרות חלופית?"

אם בפדרציה הרוסית יש רשימה של Roskomnadzor, באוקראינה יש נספח להחלטת המועצה לביטחון לאומי (למשל. כאן), אז גם מנהיגים מקומיים לא ישנים. למשל, קיבלנו רשימה של אתרים אסורים שלדעת ההנהלה פוגעים בתפוקה במקום העבודה.

בתקשורת עם עמיתים במפעלים אחרים, שבהם כברירת מחדל כל האתרים אסורים ורק לפי בקשה באישור הבוס אתה יכול לגשת לאתר ספציפי, מחייך בכבוד, חושבים ו"מעשנים על הבעיה", הגענו להבנה שהחיים עדיין טוב והתחלנו את החיפוש שלהם.

לאחר שהייתה לנו הזדמנות לא רק לראות בצורה אנליטית את מה שהם כותבים ב"ספרים של עקרות בית" על סינון תנועה, אלא גם לראות מה קורה בערוצים של ספקים שונים, שמנו לב למתכונים הבאים (כל צילומי מסך חתוכים מעט, בבקשה להבין כששואלים):

ספק 1
- לא מפריע וכופה שרתי DNS משלו ושרת פרוקסי שקוף. ובכן?.. אבל יש לנו גישה למקום שאנחנו צריכים את זה (אם אנחנו צריכים את זה :))

ספק 2
- מאמין שהספק המוביל שלו צריך לחשוב על זה, התמיכה הטכנית של הספק העליון אפילו הודתה מדוע לא יכולתי לפתוח את האתר שהייתי צריך, דבר שלא היה אסור. אני חושב שהתמונה תשעשע אותך :)

כפי שהתברר, הם מתרגמים שמות של אתרים אסורים לכתובות IP וחוסמים את ה-IP עצמו (הם לא מוטרדים מהעובדה שכתובת ה-IP הזו יכולה לארח 20 אתרים).

ספק 3
- מאפשר לתנועה לעבור לשם, אך אינו מאפשר לה לחזור לאורך המסלול.

ספק 4
- אוסר על כל מניפולציות עם מנות בכיוון שצוין.

מה לעשות עם VPN (כבוד לדפדפן Opera) ותוספי דפדפן? כששיחקנו עם הצומת Mikrotik בהתחלה, אפילו קיבלנו מתכון עתיר משאבים עבור L7, שאותו נאלצנו לנטוש מאוחר יותר (ייתכן שיש עוד שמות אסורים, זה הופך להיות עצוב כאשר, בנוסף לאחריות הישירה שלו למסלולים, על 3 תריסר ביטויים עומס המעבד PPC460GT מגיע ל-100%.

.

מה שהתברר:
DNS ב-127.0.0.1 הוא ממש לא תרופת פלא; גרסאות מודרניות של דפדפנים עדיין מאפשרות לך לעקוף בעיות כאלה. אי אפשר להגביל את כל המשתמשים לזכויות מופחתות, ואסור לנו לשכוח את המספר העצום של DNS אלטרנטיבי. האינטרנט אינו סטטי, ובנוסף לכתובות DNS חדשות, אתרים אסורים קונים כתובות חדשות, משנים דומיינים ברמה העליונה ויכולים להוסיף/להסיר תו בכתובת שלהם. אבל עדיין יש לו את הזכות לחיות משהו כמו:

ip route add blackhole 1.2.3.4

זה יהיה די יעיל להשיג רשימה של כתובות IP מרשימת האתרים האסורים, אבל מהסיבות שצוינו לעיל, עברנו לשיקולים לגבי Iptables. כבר היה מאזן חי בגרסה 7.5.1804 של CentOS Linux.

האינטרנט של המשתמש צריך להיות מהיר, והדפדפן לא צריך להמתין חצי דקה, תוך מסקנה שדף זה אינו זמין. לאחר חיפוש ארוך הגענו לדגם הזה:
קובץ 1 -> /script/denied_host, רשימה של שמות אסורים:

test.test
blablabla.bubu
torrent
porno

קובץ 2 -> /script/denied_range, רשימה של מרחבי כתובות וכתובות אסורים:

192.168.111.0/24
241.242.0.0/16

קובץ סקריפט 3 -> ipt.shעושה את העבודה עם ipables:

# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

השימוש ב-sudo נובע מכך שיש לנו פריצה קטנה לניהול דרך ממשק ה-WEB, אך כפי שהוכיח הניסיון בשימוש במודל כזה במשך יותר משנה, WEB אינו כל כך הכרחי. לאחר הטמעה נוצר רצון להוסיף רשימת אתרים למאגר וכו'. מספר המארחים החסומים הוא יותר מ-250 + תריסר מקומות כתובות. באמת יש בעיה כשנכנסים לאתר דרך חיבור https, כמו מנהל המערכת, יש לי תלונות על דפדפנים :), אבל אלו מקרים מיוחדים, רוב הטריגרים לחוסר גישה למשאב עדיין בצד שלנו , אנו גם חוסמים בהצלחה את Opera VPN ותוספים כמו friGate וטלמטריה מבית מיקרוסופט.

מקור: www.habr.com