Тыюу салынган ресурстарга барууга бөгөт коюунун актуалдуулугу мыйзамды же тиешелүү органдардын буйруктарын аткарбагандыгы үчүн расмий түрдө айыпталышы мүмкүн болгон ар бир администраторго таасирин тийгизет.
Эмне үчүн биздин тапшырмаларыбыз үчүн атайын программалар жана дистрибуциялар болгондо дөңгөлөктү кайра ойлоп табуу керек, мисалы: Zeroshell, pfSense, ClearOS.
Жетекчиликте дагы бир суроо бар болчу: Колдонулган продукциянын биздин мамлекеттен коопсуздук сертификаты барбы?
Төмөнкү бөлүштүрүүлөр менен иштөө тажрыйбабыз бар:
- Zeroshell - иштеп чыгуучулар атүгүл 2 жылдык лицензияны белекке беришкен, бирок биз кызыктырган бөлүштүрүү комплекти логикага сыйбай, биз үчүн маанилүү функцияны аткарган экен;
- pfSense - урматтоо жана урматтоо, ошол эле учурда тажатма, FreeBSD брандмауэринин команда сабына көнүү жана биз үчүн анчалык ыңгайлуу эмес (менимче, бул адат маселеси, бирок бул туура эмес болуп чыкты);
- ClearOS - биздин аппараттык камсыздоодо ал өтө жай болуп чыкты, биз олуттуу тестирлөөдөн өтө албадык, анда эмне үчүн мындай оор интерфейстер?
- Ideco SELECTA. Ideco продукт - бул өзүнчө сүйлөшүү, кызыктуу продукт, бирок саясий себептерден улам биз үчүн эмес, жана мен аларды ошол эле Linux, Roundcube ж. Алар интерфейсти кесүү менен деген ойду кайдан алышты Python жана суперколдонуучунун укуктарын алып салуу менен, алар GPL жана башкалар боюнча таратылган Интернет коомчулугунун иштелип чыккан жана өзгөртүлгөн модулдарынан турган даяр продуктуну сата алышат.
Мен түшүнөм, азыр терс үндөр менин субъективдүү сезимдеримди майда-чүйдөсүнө чейин негиздөө талаптары менен менин багытыма төгүлөт, бирок мен айткым келет, бул тармак түйүнү Интернетке 4 тышкы канал үчүн трафиктин тең салмактуучусу жана ар бир каналдын өзүнүн өзгөчөлүктөрү бар. . Дагы бир негизги таш ар кандай дарек мейкиндиктеринде иштөө үчүн бир нече тармак интерфейстеринин биринин зарылдыгы болду жана мен даяр VLANлар зарыл болгон жерде жана зарыл эмес жерде колдонулушу мүмкүн экенин моюнга алуу даяр эмес. TP-Link TL-R480T+ сыяктуу колдонулуп жаткан түзмөктөр бар - алар өз нюанстары менен, жалпысынан, өзүн кемчиликсиз алып жүрбөйт. Ubuntu расмий веб-сайтынын аркасында бул бөлүктү Linux'та конфигурациялоого мүмкүн болду . Мындан тышкары, ар бир канал каалаган учурда "түшүп", ошондой эле көтөрүлө алат. Эгерде сизди азыр иштеп жаткан сценарий кызыктырса (жана бул өзүнчө жарыялоого арзыйт), комментарийге жазыңыз.
Каралып жаткан чечим уникалдуу деп эсептелбейт, бирок мен суроо бергим келет: "Эмне үчүн ишкана үчүнчү тараптын шектүү өнүмдөрүнө олуттуу жабдык талаптары менен көнүшү керек, ал эми альтернативдик вариант каралышы мүмкүн?"
Эгерде Россия Федерациясында Роскомнадзордун тизмеси бар болсо, Украинада Улуттук коопсуздук кеңешинин чечиминин тиркемеси бар (мисалы. ), анда жергиликтуу жетекчилер да уктабайт. Маселен, бизге жетекчиликтин пикири боюнча иш ордунда өндүрүмдүүлүктү начарлаткан тыюу салынган сайттардын тизмеси берилди.
Демейки шартта бардык сайттарга тыюу салынган жана жетекчинин уруксаты менен гана белгилүү бир сайтка кире аласыз, урмат-сый менен жылмайып, ойлонуп, "көйгөйдүн үстүнөн тамеки чегип", башка ишканалардагы кесиптештер менен баарлашып, биз түшүндүк. дагы эле жакшы жана биз аларды издөөнү баштадык.
"Үй кожойкелеринин китептеринде" трафиктин чыпкалоосу жөнүндө жазгандарын аналитикалык түрдө көрүүгө гана эмес, ошондой эле ар кандай провайдерлердин каналдарында эмне болуп жатканын көрүү мүмкүнчүлүгүнө ээ болуп, биз төмөнкү рецепттерди байкадык (ар кандай скриншоттор бир аз кесилген, түшүнгүлө. ):
Провайдер 1
— убара кылбайт жана өзүнүн DNS серверлерин жана ачык прокси серверин таңуулайт. Мейли?.. бирок бизде керек болгон жерге мүмкүнчүлүк бар (эгер керек болсо :))
Провайдер 2
- анын башкы провайдери бул жөнүндө ойлонушу керек деп эсептейт, жогорку провайдердин техникалык колдоосу эмне үчүн мен тыюу салынган эмес, мага керектүү сайтты ача албаганымды мойнуна алды. Сүрөт сизге кызыктуу болот деп ойлойм :)
Маалым болгондой, алар тыюу салынган сайттардын атын IP даректерине которуп, IPдин өзүн блоктоп коюшат (бул IP дарек 20 сайтты жайгаштыра ала турганы аларды капа кылбайт).
Провайдер 3
— транспорттун ал жакка баруусуна уруксат берет, бирок маршрут боюнча кайра жол бербейт.
Провайдер 4
— белгиленген багытта пакеттер менен бардык манипуляцияларга тыюу салат.
VPN (Opera браузерине карата) жана браузердин плагиндери менен эмне кылуу керек? Башында Mikrotik түйүнү менен ойноп, биз L7 үчүн ресурсту көп талап кылган рецептке ээ болдук, аны кийинчерээк таштап салууга туура келди (тыюу салынган аттар дагы болушу мүмкүн, маршруттар боюнча түздөн-түз милдеттеринен тышкары, 3 ондогондо өкүнүчтүү. PPC460GT процессорунун жүгү 100% га чейин жетет.
.
Эмне айкын болду:
127.0.0.1 боюнча DNS такыр панацея эмес, браузерлердин заманбап версиялары дагы эле мындай көйгөйлөрдү айланып өтүүгө мүмкүндүк берет. Бардык колдонуучуларды кыскартылган укуктар менен чектөө мүмкүн эмес, жана биз альтернативалуу DNSтин көп санын унутпашыбыз керек. Интернет статикалык эмес жана жаңы DNS даректеринен тышкары, тыюу салынган сайттар жаңы даректерди сатып алышат, жогорку деңгээлдеги домендерди өзгөртүшөт жана дарегине белги кошуп/алып салышат. Бирок дагы эле мындай жашоого укугу бар:
ip route add blackhole 1.2.3.4Тыюу салынган сайттардын тизмесинен IP даректердин тизмесин алуу абдан натыйжалуу болмок, бирок жогоруда айтылган себептерден улам биз Iptables жөнүндө ойлорго өттүк. CentOS Linux 7.5.1804 релизинде буга чейин эле түз баланстоочу бар болчу.
Колдонуучунун интернети тез болушу керек, ал эми Браузер бул баракча жеткиликтүү эмес деген жыйынтыкка келип, жарым мүнөт күтпөшү керек. Узак издөөдөн кийин биз бул модельге келдик:
Файл 1 -> /script/denied_host, тыюу салынган ысымдардын тизмеси:
test.test
blablabla.bubu
torrent
pornoФайл 2 -> /script/denied_range, тыюу салынган дарек мейкиндиктеринин жана даректеринин тизмеси:
192.168.111.0/24
241.242.0.0/16Скрипт файлы 3 -> ipt.shipables менен ишти аткаруу:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Sudo колдонуу бизде WEB интерфейси аркылуу башкаруу үчүн кичинекей хакка ээ болгондугуна байланыштуу, бирок мындай моделди бир жылдан ашык колдонуу тажрыйбасы көрсөткөндөй, WEB анчалык деле зарыл эмес. Ишке ашырылгандан кийин, маалымат базасына сайттардын тизмесин кошуу каалоосу ж.б. Бөгөттөлгөн хосттордун саны 250дөн ашык + ондогон дарек мейкиндигин түзөт. Чынында эле https туташуусу аркылуу сайтка барганда көйгөй бар, системалык администратор сыяктуу, менде браузерлер боюнча даттануулар бар :), бирок бул өзгөчө учурлар, ресурстун жетишсиздигинин триггерлеринин көбү дагы деле биз тарапта , биз ошондой эле Opera VPN жана Microsoft'тун friGate жана телеметрия сыяктуу плагиндерин ийгиликтүү бөгөттөйбүз.
Source: www.habr.com