Тыйым салынған ресурстарға кіруді бұғаттау өзектілігі заңды немесе тиісті органдардың бұйрықтарын орындамағаны үшін ресми түрде айыпталуы мүмкін кез келген әкімшіге әсер етеді.
Біздің тапсырмаларымыз үшін арнайы бағдарламалар мен дистрибутивтер болған кезде дөңгелекті неге қайта ойлап табу керек, мысалы: Zeroshell, pfSense, ClearOS.
Басшылықтың тағы бір сұрағы бар еді: Қолданылатын өнімнің біздің мемлекетіміздің қауіпсіздік сертификаты бар ма?
Бізде келесі дистрибутивтермен жұмыс істеу тәжірибеміз болды:
- Zeroshell - әзірлеушілер тіпті 2 жылдық лицензияны сыйға тартты, бірақ бізді қызықтыратын тарату жинағы логикалық емес, біз үшін маңызды функцияны орындағаны анықталды;
- pfSense - құрмет пен құрмет, сонымен бірге жалықтыратын, FreeBSD брандмауэрінің пәрмен жолына үйрену және біз үшін қолайлы емес (менің ойымша, бұл әдетке айналған мәселе, бірақ бұл дұрыс емес жол болып шықты);
- ClearOS - біздің аппараттық құралда ол өте баяу болды, біз маңызды сынақтарға өте алмадық, сондықтан неге мұндай ауыр интерфейстер?
- Ideco SELECTA. Ideco өнімі - бұл бөлек әңгіме, қызықты өнім, бірақ саяси себептер бойынша біз үшін емес, мен де оларды бірдей Linux, Roundcube және т. Интерфейсті кесу арқылы олар бұл идеяны қайдан алды Python және суперпайдаланушы құқықтарын алып тастай отырып, олар GPL және т.б. бойынша таратылатын Интернет қауымдастығының әзірленген және өзгертілген модульдерден тұратын дайын өнімді сата алады.
Түсінемін, енді теріс лебіздер менің субъективті сезімдерімді егжей-тегжейлі негіздеу талаптарымен менің бағытыма құйылады, бірақ бұл желі түйіні сонымен қатар Интернетке 4 сыртқы арна үшін трафикті теңестіруші екенін айтқым келеді және әр арнаның өзіндік сипаттамалары бар. . Тағы бір ірге тасы әртүрлі адрестік кеңістіктерде жұмыс істеу үшін бірнеше желілік интерфейстердің біреуінің қажеттілігі болды және мен дайын VLAN желілерін қажет және қажет емес жерде барлық жерде қолдануға болатынын мойындаңыз дайын емес. Қолданылатын құрылғылар бар, мысалы, TP-Link TL-R480T+ - олар өз нюанстарымен, жалпы алғанда, мінсіз әрекет етпейді. Ubuntu ресми веб-сайтының арқасында бұл бөлікті Linux жүйесінде конфигурациялау мүмкін болды . Сонымен қатар, арналардың әрқайсысы кез келген уақытта «құлайды», сонымен қатар көтерілуі мүмкін. Егер сізді қазір жұмыс істеп тұрған сценарий қызықтырса (және бұл бөлек жарияланымға тұрарлық), түсініктемелерде жазыңыз.
Қарастырылып отырған шешім бірегей деп санамайды, бірақ мен сұрақ қойғым келеді: «Балама нұсқаны қарастыру мүмкін болған кезде кәсіпорын неге күрделі аппараттық талаптары бар үшінші тараптың күмәнді өнімдеріне бейімделуі керек?»
Егер Ресей Федерациясында Роскомнадзор тізімі болса, Украинада Ұлттық қауіпсіздік кеңесінің шешіміне қосымша бар (мысалы. ), онда жергілікті басшылар да ұйықтамайды. Мысалы, бізге басшылықтың пікірінше, жұмыс орнындағы өнімділікке нұқсан келтіретін тыйым салынған сайттардың тізімі берілді.
Әдепкі бойынша барлық сайттарға тыйым салынған және тек бастықтың рұқсатымен белгілі бір сайтқа кіруге, құрметпен күліп, ойланып, «мәселеге темекі шегуге» болатын басқа кәсіпорындардағы әріптестермен сөйлесе отырып, біз өмірдің бар екенін түсіндік. әлі де жақсы және біз оларды іздеуді бастадық.
«Үй шаруасындағы әйелдердің кітаптарында» трафикті сүзу туралы не жазғанын аналитикалық түрде қарап қана қоймай, сонымен қатар әртүрлі провайдерлердің арналарында не болып жатқанын көру мүмкіндігіне ие бола отырып, біз келесі рецепттерді байқадық (кез келген скриншоттар аздап кесілген, өтінемін. сұрағанда түсіну):
Провайдер 1
— алаңдатпайды және өзінің DNS серверлерін және мөлдір прокси серверін жүктейді. Жарайды?.. бірақ бізде қажет жерде қолымыз бар (егер қажет болса :))
Провайдер 2
- оның жетекші провайдері бұл туралы ойлануы керек деп санайды, жоғарғы провайдердің техникалық қолдауы тіпті тыйым салынбаған маған қажет сайтты неге аша алмағанымды мойындады. Сурет сізді қызықтырады деп ойлаймын :)
Белгілі болғандай, олар тыйым салынған сайттардың атауларын IP мекенжайларына аударып, IP-нің өзін блоктайды (бұл IP мекенжайында 20 сайтты орналастыра алатыны оларды алаңдатпайды).
Провайдер 3
— трафикке ол жаққа баруға мүмкіндік береді, бірақ маршрут бойымен кері жол бермейді.
Провайдер 4
— көрсетілген бағытта пакеттермен барлық манипуляцияларға тыйым салады.
VPN (Opera браузеріне қатысты) және браузер плагиндерімен не істеу керек? Бастапқыда Mikrotik түйінімен ойнай отырып, біз L7 үшін ресурсты қажет ететін рецепт алдық, оны кейінірек бас тартуға тура келді (тыйым салынған атаулар болуы мүмкін, маршруттар бойынша тікелей міндеттерінен басқа, 3 ондаған кезде бұл қайғылы болады. PPC460GT процессорының жүктемесі 100 %-ға дейін жетеді.
.
Не түсінікті болды:
127.0.0.1 жүйесіндегі DNS мүлдем панацея емес, браузерлердің заманауи нұсқалары әлі де осындай мәселелерді айналып өтуге мүмкіндік береді. Барлық пайдаланушыларды қысқартылған құқықтармен шектеу мүмкін емес, және біз баламалы DNS-тің үлкен саны туралы ұмытпауымыз керек. Интернет тұрақты емес және жаңа DNS мекенжайларына қоса, тыйым салынған сайттар жаңа мекенжайларды сатып алады, жоғары деңгейлі домендерді өзгертеді және олардың мекенжайына таңбаны қоса/жоюы мүмкін. Бірақ бәрібір өмір сүруге құқығы бар:
ip route add blackhole 1.2.3.4Тыйым салынған сайттар тізімінен IP мекенжайларының тізімін алу өте тиімді болар еді, бірақ жоғарыда айтылған себептерге байланысты біз Iptables туралы ойларға көштік. CentOS Linux 7.5.1804 шығарылымында тірі теңгергіш бұрыннан бар еді.
Пайдаланушының интернеті жылдам болуы керек, ал Браузер бұл бет қолжетімді емес деген қорытындыға келіп, жарты минут күтпеуі керек. Ұзақ іздеуден кейін біз осы үлгіге келдік:
1-файл -> /script/denied_host, тыйым салынған атаулар тізімі:
test.test
blablabla.bubu
torrent
porno2-файл -> /скрипт/қабылданбаған_ауқым, тыйым салынған мекенжайлар мен мекенжайлардың тізімі:
192.168.111.0/24
241.242.0.0/16Сценарий файлы 3 -> ipt.shжұмысты ipables көмегімен орындау:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Sudo-ны қолдану бізде WEB интерфейсі арқылы басқаруға арналған кішігірім бұзылулар болғанымен байланысты, бірақ мұндай модельді бір жылдан астам пайдалану тәжірибесі көрсеткендей, WEB соншалықты қажет емес. Жүзеге асырылғаннан кейін мәліметтер базасына сайттар тізімін қосу ниеті болды және т.б. Блокталған хосттардың саны 250-ден астам + ондаған мекенжай кеңістігі. Жүйе әкімшісі сияқты https қосылымы арқылы сайтқа кіргенде шынымен проблема бар, браузерлерге қатысты шағымдарым бар :), бірақ бұл ерекше жағдайлар, ресурсқа қол жеткізе алмау триггерлерінің көпшілігі әлі де біз тарапта , біз сондай-ақ Opera VPN және Microsoft корпорациясының friGate және телеметрия сияқты плагиндерін сәтті блоктаймыз.
Ақпарат көзі: www.habr.com