가난하고 게으른 반체제 인사의 IPtables 및 트래픽 필터링

금지된 자원에 대한 방문 차단의 관련성은 법률이나 관련 당국의 명령을 준수하지 않은 혐의로 공식적으로 기소될 수 있는 관리자에게 영향을 미칩니다.

Zeroshell, pfSense, ClearOS와 같이 우리 작업에 특화된 프로그램과 배포판이 있는데 왜 바퀴를 재발명해야 할까요?

경영진은 또 다른 질문을 했습니다. 사용된 제품이 우리 주에서 발행한 안전 인증을 받았나요?

우리는 다음 배포판에 대한 작업 경험이 있습니다.

• Zeroshell - 개발자들은 2년 라이센스를 기부하기도 했지만, 우리가 관심을 갖고 있던 배포 키트가 비논리적으로 우리에게 중요한 기능을 수행했다는 것이 밝혀졌습니다.
• pfSense - 존중과 명예, 동시에 지루하고 FreeBSD 방화벽의 명령줄에 익숙해지며 우리에게는 충분히 편리하지 않습니다(습관의 문제라고 생각하지만 잘못된 방식임이 밝혀졌습니다).
• ClearOS - 우리 하드웨어에서는 매우 느린 것으로 나타났습니다. 진지한 테스트를 할 수 없었는데 왜 그렇게 무거운 인터페이스를 사용합니까?
• 이데코 셀렉타. Ideco 제품은 별도의 대화이고 흥미로운 제품이지만 정치적인 이유로 우리에게는 적합하지 않으며 동일한 Linux, Roundcube 등에 대한 라이센스에 대해 "물고 싶습니다". 그들은 인터페이스를 다음과 같이 자르는 아이디어를 어디서 얻었습니까? Python 그리고 슈퍼유저 권한을 빼앗아 GPL&etc에 따라 배포되는 인터넷 커뮤니티에서 개발 및 수정된 모듈로 구성된 완제품을 판매할 수 있습니다.

이제 내 주관적인 감정을 자세히 입증하라는 요구로 부정적인 느낌표가 내 방향으로 쏟아질 것이라는 것을 이해하지만 이 네트워크 노드는 인터넷에 대한 4개의 외부 채널에 대한 트래픽 밸런서이기도 하며 각 채널에는 고유한 특성이 있다고 말하고 싶습니다. . 또 다른 초석은 여러 네트워크 인터페이스 중 하나가 서로 다른 주소 공간에서 작동해야 한다는 점이었습니다. готов VLAN은 필요하거나 필요하지 않은 곳 어디에서나 사용할 수 있음을 인정합니다. 준비되지 않은. TP-Link TL-R480T+와 같은 장치가 사용 중입니다. 일반적으로 고유한 뉘앙스로 인해 완벽하게 작동하지 않습니다. 이 부분은 우분투 공식 홈페이지 덕분에 리눅스에서도 구성이 가능했습니다. IP 밸런싱: 여러 인터넷 채널을 하나로 결합. 또한 각 채널은 언제든지 상승할 수도 있고 하락할 수도 있습니다. 현재 작동 중인 스크립트(별도로 출판할 가치가 있음)에 관심이 있다면 댓글을 작성하세요.

고려 중인 솔루션이 독특하다고 주장하지는 않지만, "대체 옵션을 고려할 수 있는데 왜 기업이 심각한 하드웨어 요구 사항을 갖춘 의심스러운 타사 제품에 적응해야 합니까?"라는 질문을 하고 싶습니다.

러시아 연방에 Roskomnadzor 목록이 있는 경우 우크라이나에는 국가 안전 보장 이사회 결정에 대한 부록이 있습니다(예: 여기에) 그러면 지역 지도자들도 잠을 자지 않습니다. 예를 들어, 우리는 경영진의 의견으로 직장의 생산성을 저하시키는 금지된 사이트 목록을 받았습니다.

기본적으로 모든 사이트가 금지되어 있고 요청이 있는 경우에만 상사의 허가가 있어야만 특정 사이트에 액세스할 수 있는 다른 기업의 동료들과 대화하면서 정중하게 미소를 지으며 생각하고 "문제에 대해 담배를 피우는" 것을 통해 우리는 삶이 여전히 좋으며 우리는 검색을 시작했습니다.

트래픽 필터링에 관해 "주부들의 책"에 쓴 내용을 분석적으로 볼 수 있을 뿐만 아니라 다양한 제공업체의 채널에서 무슨 일이 일어나고 있는지 확인할 수 있는 기회를 통해 우리는 다음 레시피를 발견했습니다(모든 스크린샷은 약간 잘렸습니다. 질문할 때 이해하세요):

공급자 1
— 귀찮게 하지 않고 자체 DNS 서버와 투명한 프록시 서버를 적용합니다. 음?.. 하지만 필요한 곳에 접근할 수 있습니다(필요한 경우 :))

공급자 2
- 그의 최고 공급자가 이에 대해 생각해야 한다고 믿으며, 최고 공급자의 기술 지원팀은 내가 필요한 사이트를 열 수 없는 이유를 인정하기도 했는데 이는 금지되지 않았습니다. 사진이 재미있을 것 같아요 :)

결과적으로 그들은 금지된 사이트의 이름을 IP 주소로 변환하고 IP 자체를 차단합니다(이 IP 주소가 20개의 사이트를 호스팅할 수 있다는 사실에는 신경 쓰지 않습니다).

공급자 3
— 교통이 그곳으로 가는 것을 허용하지만 경로를 따라 돌아가는 것을 허용하지 않습니다.

공급자 4
— 지정된 방향의 패킷에 대한 모든 조작을 금지합니다.

VPN(Opera 브라우저 관련) 및 브라우저 플러그인으로 무엇을 해야 합니까? 처음에 Mikrotik 노드를 가지고 놀면서 우리는 나중에 포기해야 했던 L7에 대한 리소스 집약적인 레시피를 얻었습니다(금지된 이름이 더 있을 수 있으며 경로에 대한 직접적인 책임 외에도 3개에 달하는 경우 슬프게 됩니다). PPC460GT 프로세서 로드가 100%가 된다는 식).

.

명확해진 점:
127.0.0.1의 DNS는 절대 만병통치약이 아니며 최신 버전의 브라우저를 사용하면 이러한 문제를 우회할 수 있습니다. 모든 사용자를 제한된 권한으로 제한하는 것은 불가능하며 엄청난 수의 대체 DNS를 잊어서는 안됩니다. 인터넷은 고정적이지 않으며, 새로운 DNS 주소 외에도 금지된 사이트에서는 새 주소를 구입하고, 최상위 도메인을 변경하고, 주소에 문자를 추가/제거할 수 있습니다. 그러나 여전히 다음과 같이 살 권리가 있습니다.

ip route add blackhole 1.2.3.4

금지 사이트 목록에서 IP 주소 목록을 얻는 것이 매우 효과적이지만 위에서 설명한 이유로 인해 IPtables에 대한 고려 사항으로 넘어갔습니다. CentOS Linux 릴리스 7.5.1804에는 이미 라이브 밸런서가 있었습니다.

사용자의 인터넷 속도는 빨라야 하며 브라우저는 이 페이지를 사용할 수 없다고 결론을 내리며 XNUMX분도 기다리지 않아야 합니다. 오랜 검색 끝에 우리는 다음 모델을 찾았습니다.
파일 1 -> /스크립트/거부_호스트, 금지된 이름 목록:

test.test
blablabla.bubu
torrent
porno

파일 2 -> /스크립트/거부_범위, 금지된 주소 공간 및 주소 목록:

192.168.111.0/24
241.242.0.0/16

스크립트 파일 3 -> ipt.shipables로 작업하기:

# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

sudo를 사용하는 이유는 WEB 인터페이스를 통해 관리하기 위한 작은 해킹이 있기 때문입니다. 그러나 250년 이상 이러한 모델을 사용한 경험에서 알 수 있듯이 WEB은 그다지 필요하지 않습니다. 구현 후 데이터베이스 등에 사이트 목록을 추가하려는 욕구가있었습니다. 차단된 호스트 수는 XNUMX개 + 주소 공간 XNUMX개 이상입니다. 시스템 관리자처럼 https 연결을 통해 사이트에 갈 때 실제로 문제가 있습니다. 브라우저에 대한 불만이 있습니다. :) 그러나 이는 특수한 경우이며 리소스에 대한 액세스 부족을 유발하는 대부분의 원인은 여전히 ​​​​우리 측에 있습니다. , 또한 Opera VPN과 friGate 및 Microsoft의 원격 측정과 같은 플러그인을 성공적으로 차단합니다.

출처 : habr.com