ProHoster > Π‘Π»ΠΎΠ³ > Administrasi > Iptables lan nyaring lalu lintas saka dissidents miskin lan kesed

Iptables lan nyaring lalu lintas saka dissidents miskin lan kesed

Relevansi pamblokiran kunjungan menyang sumber daya sing dilarang mengaruhi administrator sing bisa didakwa kanthi resmi amarga gagal netepi hukum utawa pesenan saka panguwasa sing relevan.

Iptables lan nyaring lalu lintas saka dissidents miskin lan kesed

Apa reinvent setir nalika ana program khusus lan distribusi kanggo tugas kita, contone: Zeroshell, pfSense, ClearOS.

Manajemen duwe pitakonan liyane: Apa produk sing digunakake duwe sertifikat safety saka negara kita?

Kita duwe pengalaman nggarap distribusi ing ngisor iki:

  • Zeroshell - pangembang malah nyumbang lisensi 2 taun, nanging ternyata kit distribusi sing kita kasengsem, ora logis, nindakake fungsi kritis kanggo kita;
  • pfSense - ngormati lan ngurmati, ing wektu sing padha mboseni, wis biasa karo baris perintah firewall FreeBSD lan ora cukup trep kanggo kita (aku mikir iki minangka pakulinan, nanging ternyata cara sing salah);
  • ClearOS - ing hardware kita dadi alon banget, kita ora bisa nyoba serius, mula kenapa antarmuka sing abot?
  • Ideco SELECTA. Produk Ideco minangka obrolan sing kapisah, produk sing menarik, nanging kanggo alasan politik ora kanggo kita, lan aku uga pengin "nyocot" babagan lisensi kanggo Linux sing padha, Roundcube, etc. Where padha njaluk idea sing dening nglereni antarmuka menyang Python lan kanthi njupuk hak superuser, padha bisa ngedol produk rampung digawe saka modul dikembangakΓ© lan dipunΓ©wahi saka komunitas Internet mbagekke ing GPL & etc.

Aku ngerti sing saiki exclamations negatif bakal pour ing arah karo panjaluk kanggo substantiate raos subyektif ing rinci, nanging aku arep ngomong sing simpul jaringan iki uga balancer lalu lintas kanggo 4 saluran njaba menyang Internet, lan saben saluran wis ciri dhewe. . Landasan liyane yaiku perlu kanggo salah siji saka sawetara antarmuka jaringan supaya bisa digunakake ing papan alamat sing beda-beda, lan aku siyap ngakoni yen VLAN bisa digunakake ing ngendi wae yen perlu lan ora perlu durung siyap. Ana piranti sing digunakake kayata TP-Link TL-R480T + - padha ora nindakake kanthi sampurna, umume, kanthi nuansa dhewe. Sampeyan bisa ngatur bagean iki ing Linux amarga situs web resmi Ubuntu IP Balancing: nggabungake sawetara saluran Internet dadi siji. Kajaba iku, saben saluran bisa "mudhun" kapan wae, uga munggah. Yen sampeyan kasengsem ing script sing saiki digunakake (lan iki worth publikasi kapisah), nulis ing komentar.

Solusi sing dipikirake ora ngaku unik, nanging aku pengin takon: "Napa perusahaan kudu adaptasi karo produk meragukan pihak katelu kanthi syarat hardware sing serius nalika pilihan alternatif bisa dianggep?"

Yen ing Federasi Rusia ana dhaptar Roskomnadzor, ing Ukraina ana lampiran kanggo Keputusan Dewan Keamanan Nasional (contone. lah), banjur pimpinan lokal uga ora turu. Contone, kita diwenehi dhaptar situs sing dilarang sing, miturut pendapat manajemen, ngrusak produktivitas ing papan kerja.

Komunikasi karo kolega ing perusahaan liyane, sing minangka standar kabeh situs dilarang lan mung kanthi ijin saka bos sampeyan bisa ngakses situs tartamtu, mesem kanthi hormat, mikir lan "ngrokok liwat masalah", kita ngerti yen urip isih apik lan kita miwiti panelusuran.

Duwe kesempatan ora mung analitis ndeleng apa sing ditulis ing "buku ibu rumah tangga" babagan nyaring lalu lintas, nanging uga kanggo ndeleng apa sing kedadeyan ing saluran panyedhiya sing beda-beda, kita ngerteni resep-resep ing ngisor iki (gambar apa wae sing dipotong sithik, mangga ngerti nalika takon):

Panyedhiya 1
- ora ngganggu lan ngetrapake server DNS dhewe lan server proxy sing transparan. Inggih?.. nanging kita duwe akses menyang papan sing dibutuhake (yen butuh :))

Panyedhiya 2
- percaya yen panyedhiya ndhuwur kudu mikir babagan iki, dhukungan teknis panyedhiya ndhuwur malah ngakoni kenapa aku ora bisa mbukak situs sing dibutuhake, sing ora dilarang. Aku mikir gambar bakal nyenengake sampeyan :)

Iptables lan nyaring lalu lintas saka dissidents miskin lan kesed

Ternyata, dheweke nerjemahake jeneng situs sing dilarang menyang alamat IP lan mblokir IP kasebut dhewe (padha ora keganggu amarga alamat IP iki bisa dadi 20 situs).

Panyedhiya 3
- ngidini lalu lintas menyang kono, nanging ora ngidini bali ing rute kasebut.

Panyedhiya 4
- nglarang kabeh manipulasi karo paket ing arah sing ditemtokake.

Apa sing kudu ditindakake VPN (ngurmati browser Opera) lan plugin browser? Muter karo simpul Mikrotik ing wiwitan, kita malah entuk resep intensif sumber daya kanggo L7, sing banjur kudu ditinggalake (bisa uga ana jeneng sing luwih dilarang, dadi sedih nalika, saliyane tanggung jawab langsung kanggo rute, ing 3 lusin. ekspresi beban prosesor PPC460GT dadi 100 %).

Iptables lan nyaring lalu lintas saka dissidents miskin lan kesed.

Sing dadi cetha:
DNS ing 127.0.0.1 pancen dudu panacea; versi browser modern isih ngidini sampeyan ngatasi masalah kasebut. Ora bisa mbatesi kabeh pangguna kanggo nyuda hak, lan kita ora kudu lali babagan jumlah DNS alternatif sing akeh. Internet ora statis, lan saliyane alamat DNS anyar, situs sing dilarang tuku alamat anyar, ngganti domain tingkat paling dhuwur, lan bisa nambah / mbusak karakter ing alamat kasebut. Nanging isih nduweni hak kanggo urip kaya:

ip route add blackhole 1.2.3.4

Bakal cukup efektif kanggo entuk dhaptar alamat IP saka dhaptar situs sing dilarang, nanging amarga alasan sing kasebut ing ndhuwur, kita pindhah menyang pertimbangan babagan Iptables. Wis ana balancer langsung ing CentOS Linux rilis 7.5.1804.

Internet pangguna kudu cepet, lan Browser ora kudu ngenteni setengah menit, nyimpulake yen kaca iki ora kasedhiya. Sawise nggoleki dawa, kita teka ing model iki:
File 1 -> /script/denied_host, dhaptar jeneng sing dilarang:

test.test
blablabla.bubu
torrent
porno

File 2 -> /script/denied_range, dhaptar spasi alamat lan alamat sing dilarang:

192.168.111.0/24
241.242.0.0/16

File skrip 3 -> ipt.shnindakake tugas karo ipables:

# считываСм ΠΏΠΎΠ»Π΅Π·Π½ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΈΠ· ΠΏΠ΅Ρ€Π΅Ρ‡Π½Π΅ΠΉ Ρ„Π°ΠΉΠ»ΠΎΠ²
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываСм всС настройки iptables, Ρ€Π°Π·Ρ€Π΅ΡˆΠ°Ρ Ρ‚ΠΎ Ρ‡Ρ‚ΠΎ Π½Π΅ Π·Π°ΠΏΡ€Π΅Ρ‰Π΅Π½ΠΎ
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#Ρ€Π΅ΡˆΠ°Π΅ΠΌ ΠΎΠ±Π½ΠΎΠ²ΠΈΡ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚Π°Ρ… (ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡ‚ΡŒ нашСй Π°Ρ€Ρ…ΠΈΡ‚Π΅ΠΊΡ‚ΡƒΡ€Ρ‹)
sudo sh rout.sh
# цикличСски обрабатывая ΠΊΠ°ΠΆΠ΄ΡƒΡŽ строку Ρ„Π°ΠΉΠ»Π° примСняСм ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠΈ строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# цикличСски обрабатывая ΠΊΠ°ΠΆΠ΄ΡƒΡŽ строку Ρ„Π°ΠΉΠ»Π° примСняСм ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠΈ адрСса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

Panggunaan sudo amarga kasunyatan sing kita duwe hack cilik kanggo ngatur liwat antarmuka WEB, nanging minangka pengalaman nggunakake model kuwi kanggo luwih saka setahun wis ditampilake, WEB ora perlu. Sawise implementasine, ana kepinginan kanggo nambah dhaptar situs menyang database, etc. Jumlah host sing diblokir luwih saka 250 + rolas spasi alamat. Pancen ana masalah nalika arep menyang situs liwat sambungan https, kaya administrator sistem, aku duwe keluhan babagan browser :), nanging iki kasus khusus, umume pemicu kekurangan akses menyang sumber kasebut isih ana ing sisih kita. , kita uga kasil mblokir Opera VPN lan plugin kaya friGate lan telemetri saka Microsoft.

Iptables lan nyaring lalu lintas saka dissidents miskin lan kesed

Source: www.habr.com

Add a comment