Iptables និងត្រងចរាចរណ៍ពីអ្នកប្រឆាំងក្រីក្រ និងខ្ជិលច្រអូស

ភាពពាក់ព័ន្ធនៃការរារាំងការចូលមើលធនធានហាមឃាត់ប៉ះពាល់ដល់អ្នកគ្រប់គ្រងណាមួយដែលអាចនឹងត្រូវចោទប្រកាន់ជាផ្លូវការចំពោះការមិនគោរពតាមច្បាប់ ឬបទបញ្ជារបស់អាជ្ញាធរពាក់ព័ន្ធ។

ហេតុអ្វីបានជាបង្កើតកង់ឡើងវិញ នៅពេលដែលមានកម្មវិធីឯកទេស និងការចែកចាយសម្រាប់កិច្ចការរបស់យើង ឧទាហរណ៍៖ Zeroshell, pfSense, ClearOS ។

អ្នកគ្រប់គ្រងមានសំណួរមួយទៀត៖ តើផលិតផលដែលប្រើមានវិញ្ញាបនបត្រសុវត្ថិភាពពីរដ្ឋរបស់យើងទេ?

យើងមានបទពិសោធន៍ធ្វើការជាមួយការចែកចាយដូចខាងក្រោមៈ

• Zeroshell - អ្នកអភិវឌ្ឍន៍ថែមទាំងបានបរិច្ចាគអាជ្ញាប័ណ្ណរយៈពេល 2 ឆ្នាំ ប៉ុន្តែវាបានប្រែក្លាយថាឧបករណ៍ចែកចាយដែលយើងចាប់អារម្មណ៍ ដោយមិនសមហេតុផល អនុវត្តមុខងារសំខាន់សម្រាប់យើង។
• pfSense - ការគោរព និងកិត្តិយស ក្នុងពេលជាមួយគ្នាគួរឱ្យធុញ ស៊ាំនឹងបន្ទាត់ពាក្យបញ្ជានៃជញ្ជាំងភ្លើង FreeBSD និងមិនងាយស្រួលគ្រប់គ្រាន់សម្រាប់យើង (ខ្ញុំគិតថាវាជាទម្លាប់ ប៉ុន្តែវាបានប្រែក្លាយខុស);
• ClearOS - នៅលើ hardware របស់យើងវាប្រែជាយឺតខ្លាំង យើងមិនអាចធ្វើតេស្តធ្ងន់ធ្ងរបានទេ ដូច្នេះហេតុអ្វីបានជាចំណុចប្រទាក់ធ្ងន់បែបនេះ?
• Ideco SELECTA ផលិតផល Ideco គឺជាការសន្ទនាដាច់ដោយឡែក ដែលជាផលិតផលគួរឱ្យចាប់អារម្មណ៍ ប៉ុន្តែសម្រាប់ហេតុផលនយោបាយមិនមែនសម្រាប់យើងទេ ហើយខ្ញុំក៏ចង់ "ខាំ" ពួកគេអំពីអាជ្ញាប័ណ្ណសម្រាប់លីនុចដូចគ្នា Roundcube ជាដើម។ តើពួកគេទទួលបានគំនិតនោះមកពីណាដោយកាត់ចំណុចប្រទាក់ចូល ពស់ថ្លាន់ ហើយដោយការដកហូតសិទ្ធិអ្នកប្រើប្រាស់ជាន់ខ្ពស់ ពួកគេអាចលក់ផលិតផលសម្រេចដែលបង្កើតឡើងដោយម៉ូឌុលដែលបានអភិវឌ្ឍ និងកែប្រែពីសហគមន៍អ៊ីនធឺណិតដែលចែកចាយក្រោម GPL&ល។

ខ្ញុំយល់ថាឥឡូវនេះ ឧទានអវិជ្ជមាននឹងហូរមកក្នុងទិសដៅរបស់ខ្ញុំជាមួយនឹងការទាមទារដើម្បីបញ្ជាក់ពីអារម្មណ៍ប្រធានបទរបស់ខ្ញុំឱ្យបានលម្អិត ប៉ុន្តែខ្ញុំចង់និយាយថាថ្នាំងបណ្តាញនេះក៏ជាតុល្យភាពចរាចរណ៍សម្រាប់ 4 បណ្តាញខាងក្រៅទៅកាន់អ៊ីនធឺណិត ហើយឆានែលនីមួយៗមានលក្ខណៈផ្ទាល់ខ្លួនរបស់វា . ចំណុចសំខាន់មួយទៀតគឺតម្រូវការសម្រាប់ចំណុចប្រទាក់បណ្តាញមួយក្នុងចំណោមចំណុចប្រទាក់បណ្តាញជាច្រើនដើម្បីដំណើរការក្នុងចន្លោះអាសយដ្ឋានផ្សេងៗគ្នា ហើយ I ត្រៀមខ្លួនជាស្រេច ទទួលស្គាល់ថា VLAN អាចត្រូវបានប្រើនៅគ្រប់ទីកន្លែងដែលចាំបាច់ និងមិនចាំបាច់ មិនទាន់​រួចរាល់. មានឧបករណ៍ដែលកំពុងប្រើដូចជា TP-Link TL-R480T+ - ជាទូទៅពួកគេមិនមានឥរិយាបទល្អឥតខ្ចោះជាមួយនឹងភាពខុសប្លែកគ្នាផ្ទាល់របស់ពួកគេ។ វាអាចធ្វើទៅបានដើម្បីកំណត់រចនាសម្ព័ន្ធផ្នែកនេះនៅលើលីនុច អរគុណចំពោះគេហទំព័រផ្លូវការរបស់អ៊ូប៊ុនទូ តុល្យភាព IP៖ រួមបញ្ចូលគ្នានូវបណ្តាញអ៊ីនធឺណែតជាច្រើនចូលទៅក្នុងមួយ។. លើសពីនេះទៅទៀត បណ្តាញនីមួយៗអាច "ធ្លាក់ចុះ" នៅពេលណាក៏បាន ក៏ដូចជាកើនឡើងផងដែរ។ ប្រសិនបើអ្នកចាប់អារម្មណ៍លើស្គ្រីបដែលកំពុងដំណើរការ (ហើយនេះមានតម្លៃបោះពុម្ពដាច់ដោយឡែក) សូមសរសេរក្នុងមតិយោបល់។

ដំណោះស្រាយដែលកំពុងពិចារណាមិនអះអាងថាមានលក្ខណៈប្លែកទេ ប៉ុន្តែខ្ញុំចង់សួរសំណួរថា "ហេតុអ្វីបានជាសហគ្រាសគួរសម្របខ្លួនទៅនឹងផលិតផលគួរឱ្យសង្ស័យរបស់ភាគីទីបីដែលមានតម្រូវការផ្នែករឹងធ្ងន់ធ្ងរ នៅពេលដែលជម្រើសជំនួសអាចត្រូវបានពិចារណា?"

ប្រសិនបើនៅក្នុងសហព័ន្ធរុស្ស៊ីមានបញ្ជី Roskomnadzor នៅអ៊ុយក្រែនមានឧបសម្ព័ន្ធនៃសេចក្តីសម្រេចរបស់ក្រុមប្រឹក្សាសន្តិសុខជាតិ (ឧទាហរណ៍។ មើលចុះ) បន្ទាប់មក មេដឹកនាំក្នុងតំបន់ក៏មិនដេកដែរ។ ជាឧទាហរណ៍ យើងត្រូវបានគេផ្តល់ឱ្យនូវបញ្ជីនៃគេហទំព័រហាមឃាត់ ដែលតាមគំនិតនៃការគ្រប់គ្រង ធ្វើឱ្យប៉ះពាល់ដល់ផលិតភាពនៅកន្លែងធ្វើការ។

ការប្រាស្រ័យទាក់ទងជាមួយសហសេវិកនៅសហគ្រាសផ្សេងទៀតដែលតាមលំនាំដើមគេហទំព័រទាំងអស់ត្រូវបានហាមឃាត់ហើយតែតាមការស្នើសុំដោយមានការអនុញ្ញាតពីចៅហ្វាយអ្នកអាចចូលទៅកាន់គេហទំព័រជាក់លាក់មួយញញឹមដោយគោរពគិតនិង "ជក់បារីលើបញ្ហា" យើងបានយល់ពីជីវិត។ វានៅតែល្អ ហើយយើងបានចាប់ផ្តើមការស្វែងរករបស់ពួកគេ។

ដោយមានឱកាសមិនត្រឹមតែវិភាគនូវអ្វីដែលពួកគេសរសេរនៅក្នុង "សៀវភៅស្ត្រីមេផ្ទះ" អំពីការត្រងចរាចរណ៍ប៉ុណ្ណោះទេ ប៉ុន្តែក៏ដើម្បីមើលអ្វីដែលកំពុងកើតឡើងនៅលើបណ្តាញរបស់អ្នកផ្តល់សេវាផ្សេងៗ យើងបានកត់សម្គាល់នូវរូបមន្តខាងក្រោម (រូបថតអេក្រង់ណាមួយត្រូវបានច្រឹបបន្តិច សូមយល់ ):

អ្នកផ្គត់ផ្គង់ 1
- មិនរំខាន និងដាក់ម៉ាស៊ីនមេ DNS ផ្ទាល់ខ្លួន និងម៉ាស៊ីនមេប្រូកស៊ីថ្លា។ មែនហើយ?.. ប៉ុន្តែយើងអាចចូលទៅកន្លែងដែលយើងត្រូវការវា (ប្រសិនបើយើងត្រូវការវា :))

អ្នកផ្គត់ផ្គង់ 2
- ជឿជាក់ថាអ្នកផ្តល់សេវាកំពូលរបស់គាត់គួរតែគិតអំពីរឿងនេះ ជំនួយបច្ចេកទេសរបស់អ្នកផ្តល់សេវាកំពូលថែមទាំងបានសារភាពថាហេតុអ្វីបានជាខ្ញុំមិនអាចបើកគេហទំព័រដែលខ្ញុំត្រូវការ ដែលមិនត្រូវបានហាមឃាត់។ ខ្ញុំគិតថារូបភាពនឹងធ្វើអោយអ្នកសប្បាយ :)

ដូចដែលវាបានប្រែក្លាយពួកគេបកប្រែឈ្មោះនៃគេហទំព័រហាមឃាត់ទៅជាអាសយដ្ឋាន IP និងរារាំង IP ដោយខ្លួនឯង (ពួកគេមិនមានការរំខានដោយការពិតដែលថាអាសយដ្ឋាន IP នេះអាចបង្ហោះគេហទំព័រចំនួន 20) ។

អ្នកផ្គត់ផ្គង់ 3
- អនុញ្ញាតឱ្យចរាចរណ៍ទៅទីនោះ ប៉ុន្តែមិនអនុញ្ញាតឱ្យវាត្រឡប់មកវិញតាមផ្លូវ។

អ្នកផ្គត់ផ្គង់ 4
- ហាមឃាត់រាល់ឧបាយកលទាំងអស់ជាមួយកញ្ចប់ព័ត៌មានក្នុងទិសដៅដែលបានបញ្ជាក់។

អ្វីដែលត្រូវធ្វើជាមួយ VPN (ទាក់ទងនឹងកម្មវិធីរុករក Opera) និងកម្មវិធីជំនួយកម្មវិធីរុករក? ការលេងជាមួយថ្នាំង Mikrotik ដំបូងឡើយ យើងថែមទាំងទទួលបានរូបមន្តដែលពឹងផ្អែកខ្លាំងលើធនធានសម្រាប់ L7 ដែលក្រោយមកយើងត្រូវបោះបង់ចោល (អាចមានឈ្មោះហាមឃាត់បន្ថែមទៀត វាកាន់តែសោកសៅនៅពេលដែល បន្ថែមពីលើទំនួលខុសត្រូវផ្ទាល់របស់វាសម្រាប់ផ្លូវនៅលើ 3 dozen បង្ហាញពីការផ្ទុកដំណើរការ PPC460GT ទៅ 100%) ។

.

អ្វីដែលកាន់តែច្បាស់៖
DNS នៅលើ 127.0.0.1 មិនមែនជា panacea ទេ កំណែទំនើបនៃកម្មវិធីរុករកនៅតែអនុញ្ញាតឱ្យអ្នកឆ្លងកាត់បញ្ហាបែបនេះ។ វាមិនអាចទៅរួចទេក្នុងការកំណត់អ្នកប្រើប្រាស់ទាំងអស់ចំពោះសិទ្ធិកាត់បន្ថយ ហើយយើងមិនត្រូវភ្លេចអំពីចំនួនដ៏ច្រើននៃ DNS ជំនួសនោះទេ។ អ៊ីនធឺណិតមិនឋិតិវន្តទេ ហើយបន្ថែមពីលើអាសយដ្ឋាន DNS ថ្មី គេហទំព័រហាមឃាត់ទិញអាសយដ្ឋានថ្មី ផ្លាស់ប្តូរដែនកម្រិតកំពូល និងអាចបន្ថែម/លុបតួអក្សរនៅក្នុងអាសយដ្ឋានរបស់ពួកគេ។ ប៉ុន្តែនៅតែមានសិទ្ធិរស់នៅដូចជា៖

ip route add blackhole 1.2.3.4

វាពិតជាមានប្រសិទ្ធភាពក្នុងការទទួលបានបញ្ជីអាសយដ្ឋាន IP ពីបញ្ជីគេហទំព័រហាមឃាត់ ប៉ុន្តែសម្រាប់ហេតុផលដែលបានរៀបរាប់ខាងលើ យើងបានបន្តទៅការពិចារណាអំពី Iptables ។ មានតុល្យភាពផ្ទាល់នៅលើ CentOS Linux ចេញផ្សាយ 7.5.1804 រួចហើយ។

អ៊ីនធឺណិតរបស់អ្នកប្រើគួរតែលឿន ហើយកម្មវិធីរុករកមិនគួររង់ចាំកន្លះនាទីទេ ដោយសន្និដ្ឋានថាទំព័រនេះមិនមានទេ។ បន្ទាប់ពីការស្វែងរកជាយូរមកហើយយើងបានមកដល់ម៉ូដែលនេះ:
ឯកសារ 1 -> /script/denied_host, បញ្ជីឈ្មោះហាមឃាត់៖

test.test
blablabla.bubu
torrent
porno

ឯកសារ 2 -> /script/denied_range, បញ្ជីអាសយដ្ឋាន និងអាសយដ្ឋានហាមឃាត់៖

192.168.111.0/24
241.242.0.0/16

ឯកសារស្គ្រីប 3 -> ipt.shធ្វើការងារជាមួយ ipables៖

# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

ការប្រើប្រាស់ sudo គឺដោយសារតែយើងមានការ hack តូចមួយសម្រាប់ការគ្រប់គ្រងតាមរយៈ WEB interface ប៉ុន្តែដូចដែលបទពិសោធន៍ក្នុងការប្រើប្រាស់គំរូបែបនេះអស់រយៈពេលជាងមួយឆ្នាំបានបង្ហាញ WEB មិនចាំបាច់ខ្លាំងនោះទេ។ បន្ទាប់​ពី​ការ​អនុវត្ត មាន​បំណង​ចង់​បន្ថែម​បញ្ជី​គេហទំព័រ​ទៅ​ក្នុង​មូលដ្ឋាន​ទិន្នន័យ។ល។ ចំនួន​ម៉ាស៊ីន​ដែល​បាន​ទប់ស្កាត់​គឺ​មាន​ច្រើន​ជាង 250 + កន្លែង​អាសយដ្ឋាន​រាប់សិប។ ពិតជាមានបញ្ហានៅពេលចូលទៅកាន់គេហទំព័រតាមរយៈការតភ្ជាប់ https ដូចជាអ្នកគ្រប់គ្រងប្រព័ន្ធ ខ្ញុំមានពាក្យបណ្តឹងអំពីកម្មវិធីរុករក :) ប៉ុន្តែទាំងនេះគឺជាករណីពិសេស ដែលភាគច្រើននៃកត្តាបង្កហេតុសម្រាប់ការខ្វះការចូលប្រើធនធានគឺនៅតែមាននៅខាងយើង។ យើងក៏ទប់ស្កាត់ Opera VPN ដោយជោគជ័យ និងកម្មវិធីជំនួយដូចជា friGate និង telemetry ពី Microsoft ផងដែរ។

ប្រភព: www.habr.com