Iptables და ღარიბი და ზარმაცი დისიდენტების ტრაფიკის გაფილტვრა

აკრძალულ რესურსებზე ვიზიტების დაბლოკვის აქტუალობა გავლენას ახდენს ნებისმიერ ადმინისტრატორზე, რომელსაც შეიძლება ოფიციალურად დაეკისროს ბრალი კანონის ან შესაბამისი ორგანოების ბრძანებების შეუსრულებლობაში.

რატომ ხელახლა გამოვიგონოთ ბორბალი, როდესაც არსებობს სპეციალიზებული პროგრამები და დისტრიბუციები ჩვენი ამოცანებისთვის, მაგალითად: Zeroshell, pfSense, ClearOS.

მენეჯმენტს კიდევ ერთი შეკითხვა გაუჩნდა: აქვს თუ არა გამოყენებულ პროდუქტს ჩვენი სახელმწიფოს უსაფრთხოების სერტიფიკატი?

ჩვენ გვქონდა მუშაობის გამოცდილება შემდეგ დისტრიბუციებთან:

• Zeroshell - დეველოპერებმა 2 წლიანი ლიცენზიაც კი გადასცეს, მაგრამ აღმოჩნდა, რომ ჩვენთვის დაინტერესებული სადისტრიბუციო ნაკრები, ალოგიკურად, კრიტიკულ ფუნქციას ასრულებდა ჩვენთვის;
• pfSense - პატივისცემა და პატივი, ამავე დროს მოსაწყენი, FreeBSD firewall-ის ბრძანების ხაზთან შეგუება და ჩვენთვის არასაკმარისად მოსახერხებელი (ვფიქრობ, ეს ჩვევის საკითხია, მაგრამ აღმოჩნდა, რომ არასწორი გზა იყო);
• ClearOS - ჩვენს აპარატურაზე აღმოჩნდა ძალიან ნელი, ჩვენ ვერ მივაღწიეთ სერიოზულ ტესტირებას, ასე რომ, რატომ არის ასეთი მძიმე ინტერფეისები?
• Ideco SELECTA. Ideco-ს პროდუქტი ცალკე საუბარია, საინტერესო პროდუქტია, მაგრამ პოლიტიკური მიზეზების გამო არა ჩვენთვის და ასევე მინდა მათ „დაკბინო“ იგივე Linux-ის, Roundcube-ის ლიცენზიის შესახებ და ა.შ. საიდან გაუჩნდათ იდეა, რომ ინტერფეისის გაჭრით Python და სუპერმომხმარებლის უფლებების ჩამორთმევით, მათ შეუძლიათ გაყიდონ მზა პროდუქტი, რომელიც შედგება შემუშავებული და შეცვლილი მოდულებისგან ინტერნეტ საზოგადოებისგან, რომელიც განაწილებულია GPL& ა.შ.

მე მესმის, რომ ახლა ნეგატიური ძახილები დაიღვრება ჩემი მიმართულებით ჩემი სუბიექტური გრძნობების დეტალურად დასაბუთების მოთხოვნით, მაგრამ მინდა ვთქვა, რომ ეს ქსელის კვანძი ასევე არის ტრაფიკის ბალანსერი 4 გარე არხისთვის ინტერნეტში და თითოეულ არხს აქვს საკუთარი მახასიათებლები. . კიდევ ერთი ქვაკუთხედი იყო რამდენიმე ქსელური ინტერფეისის საჭიროება, რომელიც მუშაობდა მისამართების სხვადასხვა სივრცეში, და მე მზად არის აღიარეთ, რომ VLAN-ების გამოყენება შესაძლებელია ყველგან, სადაც საჭიროა და არა საჭირო არ არის მზად. გამოიყენება ისეთი მოწყობილობები, როგორიცაა TP-Link TL-R480T+ - ისინი არ იქცევიან იდეალურად, ზოგადად, საკუთარი ნიუანსებით. ამ ნაწილის კონფიგურაცია Linux-ზე შესაძლებელი გახდა Ubuntu-ს ოფიციალური ვებსაიტის წყალობით IP დაბალანსება: რამდენიმე ინტერნეტ არხის გაერთიანება ერთში. უფრო მეტიც, თითოეულ არხს შეუძლია ნებისმიერ მომენტში "ჩამოვარდნა", ასევე აწევა. თუ გაინტერესებთ სკრიპტი, რომელიც ამჟამად მუშაობს (და ღირს ცალკე გამოქვეყნება), დაწერეთ კომენტარებში.

განსახილველი გამოსავალი არ არის უნიკალურობის პრეტენზია, მაგრამ მე მინდა დავსვა კითხვა: „რატომ უნდა მოერგოს საწარმო მესამე მხარის საეჭვო პროდუქტებს სერიოზული ტექნიკის მოთხოვნებით, როდესაც შეიძლება განიხილებოდეს ალტერნატიული ვარიანტი?

თუ რუსეთის ფედერაციაში არის როსკომნადზორის სია, უკრაინაში არის დანართი ეროვნული უშიშროების საბჭოს გადაწყვეტილების შესახებ (მაგალითად. აქ), მაშინ არც ადგილობრივ ლიდერებს სძინავთ. მაგალითად, მოგვცეს აკრძალული საიტების სია, რომლებიც, მენეჯმენტის აზრით, არღვევს პროდუქტიულობას სამუშაო ადგილზე.

სხვა საწარმოების კოლეგებთან კომუნიკაციისას, სადაც სტანდარტულად ყველა საიტი აკრძალულია და მხოლოდ უფროსის ნებართვით შეგიძლიათ შეხვიდეთ კონკრეტულ საიტზე, პატივისცემით იღიმით, ფიქრობთ და „მოწევთ პრობლემაზე“, მივედით იმის გაგებამდე, რომ ცხოვრება ჯერ კიდევ კარგია და დავიწყეთ მათი ძებნა.

შესაძლებლობა გვქონდეს არა მხოლოდ ანალიტიკურად ვნახოთ რას წერენ ისინი „დიასახლისების წიგნებში“ ტრაფიკის გაფილტვრის შესახებ, არამედ ვნახოთ რა ხდება სხვადასხვა პროვაიდერის არხებზე, ჩვენ შევამჩნიეთ შემდეგი რეცეპტები (ნებისმიერი სკრინშოტი ოდნავ შემცირებულია, გთხოვთ. კითხვისას გაიგე):

პროვაიდერი 1
— არ აწუხებს და აწესებს საკუთარ DNS სერვერებს და გამჭვირვალე პროქსი სერვერს. კარგი?.. მაგრამ ჩვენ გვაქვს წვდომა იქ, სადაც გვჭირდება (თუ გვჭირდება :))

პროვაიდერი 2
- თვლის, რომ მისმა მთავარმა პროვაიდერმა უნდა იფიქროს ამაზე, ტოპ პროვაიდერის ტექნიკურმა მხარდაჭერამ აღიარა კიდეც, რატომ ვერ გავხსენი საიტი, რომელიც მჭირდებოდა, რაც არ იყო აკრძალული. მგონი სურათი გაგამხიარულებს :)

როგორც გაირკვა, აკრძალული საიტების სახელებს თარგმნიან IP მისამართებად და თავად ბლოკავენ IP-ს (მათ არ აწუხებთ ის, რომ ამ IP მისამართს შეუძლია 20 საიტის მასპინძლობა).

პროვაიდერი 3
— საშუალებას აძლევს მოძრაობას იქ წავიდეს, მაგრამ არ უშვებს მარშრუტის გასწვრივ უკან.

პროვაიდერი 4
- კრძალავს ყველა მანიპულაციას პაკეტებით მითითებული მიმართულებით.

რა ვუყოთ VPN (ოპერის ბრაუზერის პატივისცემა) და ბრაუზერის დანამატებს? თავდაპირველად Mikrotik კვანძთან თამაშით, ჩვენ მივიღეთ რესურსზე ინტენსიური რეცეპტი L7-სთვის, რომლის მიტოვებაც მოგვიანებით მოგვიწია (შეიძლება იყოს უფრო აკრძალული სახელები, სამწუხარო ხდება, როდესაც მარშრუტებზე მისი პირდაპირი პასუხისმგებლობის გარდა, 3 ათეულზე PPC460GT პროცესორის დატვირთვა მიდის 100%-მდე.

.

რა გახდა ნათელი:
DNS 127.0.0.1-ზე აბსოლუტურად არ არის პანაცეა; ბრაუზერების თანამედროვე ვერსიები კვლავ საშუალებას გაძლევთ გვერდის ავლით ასეთი პრობლემები. შეუძლებელია ყველა მომხმარებლის შეზღუდვა შემცირებული უფლებებით და არ უნდა დავივიწყოთ ალტერნატიული DNS-ის დიდი რაოდენობა. ინტერნეტი არ არის სტატიკური და ახალი DNS მისამართების გარდა, აკრძალული საიტები ყიდულობენ ახალ მისამართებს, ცვლიან ზედა დონის დომენებს და შეუძლიათ თავიანთი მისამართის სიმბოლოების დამატება/აშლა. მაგრამ მაინც აქვს უფლება იცხოვროს მსგავსი რამ:

ip route add blackhole 1.2.3.4

საკმაოდ ეფექტური იქნებოდა IP მისამართების სიის მიღება აკრძალული საიტების სიიდან, მაგრამ ზემოთ ჩამოთვლილი მიზეზების გამო, ჩვენ გადავედით Iptables-ის შესახებ მოსაზრებებზე. CentOS Linux-ის 7.5.1804 გამოშვებაზე უკვე იყო ცოცხალი ბალანსერი.

მომხმარებლის ინტერნეტი უნდა იყოს სწრაფი, ბრაუზერმა კი არ უნდა დაელოდოს ნახევარი წუთი და დაასკვნა, რომ ეს გვერდი მიუწვდომელია. დიდი ხნის ძებნის შემდეგ მივედით ამ მოდელამდე:
ფაილი 1 -> /სკრიპტი/უარყოფილი_მასპინძელიაკრძალული სახელების სია:

test.test
blablabla.bubu
torrent
porno

ფაილი 2 -> /სკრიპტი/უარყოფილი_დიაპაზონი, მისამართების აკრძალული ადგილებისა და მისამართების სია:

192.168.111.0/24
241.242.0.0/16

სკრიპტის ფაილი 3 -> ipt.shსამუშაოს შესრულება ipables-ით:

# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

სუდოს გამოყენება განპირობებულია იმით, რომ ჩვენ გვაქვს მცირე ჰაკი WEB ინტერფეისის საშუალებით მართვისთვის, მაგრამ როგორც ასეთი მოდელის გამოყენების გამოცდილებამ აჩვენა წელიწადზე მეტი ხნის განმავლობაში, WEB არც ისე აუცილებელია. განხორციელების შემდეგ გაჩნდა სურვილი, დაემატებინა საიტების სია მონაცემთა ბაზაში და ა.შ. დაბლოკილი ჰოსტების რაოდენობა 250-ზე მეტია + ათეული მისამართის სივრცე. ნამდვილად არის პრობლემა https კავშირის საშუალებით საიტზე შესვლისას, ისევე როგორც სისტემის ადმინისტრატორი, მაქვს პრეტენზია ბრაუზერებზე :), მაგრამ ეს განსაკუთრებული შემთხვევებია, რესურსზე წვდომის არარსებობის გამომწვევი უმეტესობა კვლავ ჩვენს მხარესაა , ჩვენ ასევე წარმატებით დავბლოკეთ Opera VPN და დანამატები, როგორიცაა friGate და ტელემეტრია Microsoft-ისგან.

წყარო: www.habr.com