ProHoster > Blog > Rêveberî > Iptable û fîlterkirina trafîkê ji mûxalîfên belengaz û tembel

Iptable û fîlterkirina trafîkê ji mûxalîfên belengaz û tembel

Girîngiya astengkirina serdanên çavkaniyên qedexe bandorê li her rêveberek dike ku dibe ku bi fermî bi pabendbûna bi qanûn an fermanên rayedarên têkildar re were tawanbar kirin.

Iptable û fîlterkirina trafîkê ji mûxalîfên belengaz û tembel

Çima dema ku ji bo karên me bername û belavkirinên pispor hene, wekî mînak: Zeroshell, pfSense, ClearOS, çerxa ji nû ve îcad bikin.

Rêvebir pirsek din jî hebû: Ma hilbera ku hatî bikar anîn belgeyek ewlehiyê ji dewleta me heye?

Tecrûbeya me hebû ku bi belavkirinên jêrîn re dixebitin:

  • Zeroshell - pêşdebiran tewra lîsansek 2-salî bexş kirin, lê derket holê ku kîta belavkirinê ya ku em jê re eleqedar bûn, bi mentiqî, ji me re fonksiyonek krîtîk pêk anî;
  • pfSense - rêz û hurmet, di heman demê de bêzar, xwedan rêzika fermanê ya dîwarê fireh a FreeBSD û ji me re têra xwe ne rehet e (Ez difikirim ku ew mijarek adet e, lê derket ku ew rêyek xelet e);
  • ClearOS - li ser hardware me ew pir hêdî derket, me nekarî ceribandinek ciddî bigihînin, ji ber vê yekê çima navgînên wusa giran?
  • Ideco SELECTA. Berhema Ideco sohbetek cihê ye, hilberek balkêş e, lê ji ber sedemên siyasî ne ji bo me, û ez jî dixwazim wan li ser lîsansa heman Linux, Roundcube, hwd "biçim". Wan fikra ku bi qutkirina navberê tê de ji ku derê girt python û bi girtina mafên superbikarhêneran, ew dikarin hilberek qedandî ya ku ji modulên pêşkeftî û guhezbar ên ji civata Înternetê ku di bin GPL&hwd de têne belav kirin pêk tê bifroşin.

Ez fêm dikim ku naha qîrînên neyînî dê di rêça min de bi daxwazên ku hestên xwe yên subjektîf bi hûrgulî rast bikim, lê ez dixwazim bibêjim ku ev girêka torê di heman demê de balansek seyrûseferê ye ji bo 4 kanalên derveyî yên Înternetê, û her kanal xwedan taybetmendiyên xwe ye. . Kevirek din a bingehîn hewcedariya yek ji çend navberên torê bû ku di cîhên navnîşanên cihêreng de bixebite, û ez amade ye bipejirînin ku VLAN dikarin li her deverê ku hewce ne û ne hewce ne werin bikar anîn amade ne. Amûrên ku têne bikar anîn wekî TP-Link TL-R480T+ hene - ew bi gelemperî, bi hûrgelên xwe re bêkêmasî tevnagerin. Bi saya malpera fermî ya Ubuntuyê ev beş li ser Linuxê mîheng kirin Balansa IP: berhevkirina çend kanalên Înternetê li yek. Wekî din, her kanal dikare di her kêliyê de "bikeve", û her weha rabe. Heke hûn bi skrîptek ku niha dixebite eleqedar in (û ev hêjayî weşanek cihê ye), di şîroveyan de binivîsin.

Çareseriya li ber çavan nayê îddîakirin ku yekta ye, lê ez dixwazim vê pirsê bipirsim: "Gava ku vebijarkek alternatîf were hesibandin çima pêdivî ye ku pargîdaniyek xwe bi hilberên gumanbar ên sêyemîn ên bi hewcedariyên ciddî yên hardware re adapte bike?"

Ger li Federasyona Rûsyayê navnîşek Roskomnadzor hebe, li Ukraynayê pêvekek Biryara Encumena Ewlekariya Neteweyî heye (mînak. Va ye), wê hingê serokên herêmî jî xew nakin. Mînakî, navnîşek malperên qedexe ji me re hat dayîn ku, bi nerîna rêveberiyê, hilberîna li cîhê kar xera dike.

Têkiliya bi hevkarên li pargîdaniyên din re, ku ji hêla xwerû ve hemî malper qedexe ne û tenê li ser daxwazê ​​​​bi destûra patronê hûn dikarin xwe bigihînin malperek taybetî, bi hurmet bişirîn, bifikirin û "li ser pirsgirêkê cixare kişandin", em gihîştin vê têgihiştinê ku jiyan hîn baş e û me dest bi lêgerîna wan kir.

Ji ber ku me fersenda ne tenê analîtîk dît ku ew di "pirtûkên jinên malê" de di derheqê fîlterkirina trafîkê de çi dinivîsin, lê di heman demê de em bibînin ka çi li ser kanalên peydakiroxên cihêreng diqewime, me bala xwe da reçeteyên jêrîn (her dîmenek piçûk piçûktir e, ji kerema xwe dema dipirsin fêm bikin):

Pêşkêşkar 1
- aciz nake û serverên xwe yên DNS û serverek proxy zelal ferz dike. Baş e?.. lê em gihîştina cîhê ku hewcedariya me pê heye heye (eger hewce bike :))

Pêşkêşkar 2
- bawer dike ku pêdivî ye ku pêşkêşvanê wî yê jorîn li ser vê yekê bifikire, piştgiriya teknîkî ya pêşkêşkarê jorîn jî qebûl kir ku çima min nikarî malpera ku min hewce dikir vekim, ku ne qedexe bû. Ez difikirim ku wêne dê we xweş bike :)

Iptable û fîlterkirina trafîkê ji mûxalîfên belengaz û tembel

Wekî ku derket holê, ew navên malperên qedexe werdigerînin navnîşanên IP-yê û IP-yê bixwe asteng dikin (ew ji vê yekê aciz nabin ku ev navnîşana IP-yê dikare 20 malperan mêvandar bike).

Pêşkêşkar 3
- destûrê dide trafîkê ku here wir, lê rê nade ku ew vegere li ser rê.

Pêşkêşkar 4
- hemî manîpulasyonên bi pakêtan re di rêça diyarkirî de qedexe dike.

Bi VPN (hurmeta geroka Opera) û pêvekên gerokê re çi bikin? Di destpêkê de bi node Mikrotik re lîstin, me tewra ji bo L7 reçeteyek çavkaniyek zexm stend, ku paşê me neçar ma ku dev jê berde (dibe ku navên qedexetir hebin, ew xemgîn dibe dema ku, ji bilî berpirsiyariyên wê yên rasterast ji bo rêwiyan, li ser 3 dehan îfadeyan barkirina pêvajoya PPC460GT digihîje %100.

Iptable û fîlterkirina trafîkê ji mûxalîfên belengaz û tembel.

Çi eşkere bû:
DNS li ser 127.0.0.1 bê guman ne dermanek e; guhertoyên nûjen ên gerokan hîn jî dihêle hûn pirsgirêkên weha derbas bikin. Ne gengaz e ku meriv hemî bikarhêneran bi mafên kêmkirî sînordar bike, û divê em hejmareke mezin a DNS-yên alternatîf ji bîr nekin. Înternet ne statîk e, û ji bilî navnîşanên DNS-ê yên nû, malperên qedexe navnîşanên nû dikirin, domên asta jor diguhezin û dikarin karakterek li navnîşana xwe zêde bikin/rakin. Lê dîsa jî maf heye ku tiştek bijî:

ip route add blackhole 1.2.3.4

Dê pir bandorker be ku meriv navnîşek navnîşanên IP-yê ji navnîşa malperên qedexe bidest bixe, lê ji ber sedemên ku li jor hatine destnîşan kirin, me berê xwe da ramanên li ser Iptables. Jixwe li ser berdana CentOS Linux 7.5.1804 balansek zindî hebû.

Divê Înterneta bikarhêner bi lez be, û Gerok divê nîv deqîqe li bendê nemîne, ku ev rûpel ne berdest e. Piştî lêgerînek dirêj em gihîştin vê modelê:
Pela 1 -> /script/denied_host, lîsteya navên qedexe:

test.test
blablabla.bubu
torrent
porno

Pela 2 -> /skrîpt/rangeya redkirin, navnîşa cîh û navnîşanên qedexekirî:

192.168.111.0/24
241.242.0.0/16

Pelê skrîptê 3 -> ipt.shkirina kar bi ipables:

# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

Bikaranîna sudo ji ber vê yekê ye ku me ji bo birêvebirina bi navgîniya WEB-ê hackek piçûk heye, lê wekî ku ezmûna karanîna modelek wusa ji salek zêdetir nîşan daye, WEB ne ew qas hewce ye. Piştî pêkanînê, xwestek hebû ku navnîşek malperan li databasê zêde bike, hwd. Hejmara mêvandarên astengkirî ji 250 + deh cîhên navnîşanan zêdetir e. Bi rastî pirsgirêkek heye dema ku diçim malperek bi pêwendiyek https, mîna rêveberê pergalê, giliyên min li ser gerokan hene :), lê ev rewşên taybetî ne, piraniya teşwîqên nebûna gihîştina çavkaniyê hîn jî li ser milê me ne. , em her weha bi serfirazî Opera VPN û pêvekên mîna friGate û telemetry ji Microsoft-ê asteng dikin.

Iptable û fîlterkirina trafîkê ji mûxalîfên belengaz û tembel

Source: www.habr.com

Add a comment