D'Relevanz vu Besuche vu verbuedenen Ressourcen ze blockéieren beaflosst all Administrateur, deen offiziell reprochéiert ka ginn wéinst dem Versoen vum Gesetz oder Uerder vun den zoustännegen Autoritéiten ze respektéieren.
Firwat d'Rad nei erfannen wann et spezialiséiert Programmer an Distributiounen fir eis Aufgaben sinn, zum Beispill: Zeroshell, pfSense, ClearOS.
D'Direktioun hat eng aner Fro: Huet de benotzte Produkt e Sécherheetszertifika vun eisem Staat?
Mir haten Erfahrung mat de folgende Verdeelungen ze schaffen:
- Zeroshell - d'Entwéckler hunn souguer eng 2-Joer Lizenz gespent, awer et huet sech erausgestallt datt d'Verdeelungskit, an där mir interesséiert waren, onlogesch eng kritesch Funktioun fir eis gemaach huet;
- pfSense - Respekt an Éier, gläichzäiteg langweileg, gewinnt un der Kommandozeil vun der FreeBSD Firewall an net bequem genuch fir eis (ech mengen et ass eng Gewunnecht, awer et war de falsche Wee);
- ClearOS - op eiser Hardware huet et sech als ganz lues erausgestallt, mir konnten net op seriéis Tester kommen, also firwat sou schwéier Interfaces?
- Ideco SELECTA. Den Ideco Produkt ass en separat Gespréich, en interessant Produkt, awer aus politesche Grënn net fir eis, an ech wëll se och iwwer d'Lizenz fir dee selwechte Linux, Roundcube, asw "bissen". Wou hu se d'Iddi kritt, datt duerch d'Schnëtt vum Interface an Python an andeems se Superuser Rechter ewechhuelen, kënne se e fäerdegt Produkt verkafen, deen aus entwéckelten a modifizéierte Moduler aus der Internetgemeinschaft verdeelt gëtt ënner GPL&etc.
Ech verstinn, datt elo negativ Ausrufezeeche mat Fuerderungen a menger Richtung goe fir meng subjektiv Gefiller am Detail ze bestätegen, awer ech wëll soen datt dësen Netzknuet och e Traffic Balancer fir 4 extern Channels zum Internet ass, an all Kanal huet seng eege Charakteristiken. . En anere Grondsteen war de Besoin fir eng vun e puer Netzwierkschnëttplazen fir a verschiddenen Adressraim ze schaffen, an ech prett zouginn datt VLANs iwwerall benotzt kënne ginn, wou néideg an net néideg net prett. Et gi Geräter am Gebrauch wéi TP-Link TL-R480T+ - si behuelen net perfekt, am Allgemengen, mat hiren eegene Nuancen. Et war méiglech dësen Deel op Linux ze konfiguréieren dank der Ubuntu offiziell Websäit . Ausserdeem kann jidderee vun de Kanäl zu all Moment "falen", wéi och eropgoen. Wann Dir un engem Skript interesséiert sidd deen am Moment funktionnéiert (an dëst ass eng separat Verëffentlechung wäert), schreift an de Kommentarer.
D'Léisung, déi berécksiichtegt gëtt, behaapt net eenzegaarteg ze sinn, awer ech wéilt d'Fro stellen: "Firwat soll eng Entreprise sech un Drëtt Partei zweifelhafte Produkter mat eeschten Hardwarefuerderunge upassen wann eng alternativ Optioun berücksichtegt ka ginn?"
Wann an der russescher Federatioun eng Lëscht vun Roskomnadzor ass, an der Ukraine gëtt et eng Annexe zu der Entscheedung vum National Sécherheetsrot (zum Beispill. ), da schlofen lokal Cheffen och net. Zum Beispill krute mir eng Lëscht vun verbuedenen Siten, déi, an der Meenung vun der Gestioun, d'Produktivitéit op der Aarbechtsplaz beeinträchtigen.
Kommunizéiere mat Kollegen an aneren Entreprisen, wou Par défaut all Site verbueden sinn an nëmmen op Ufro mat der Erlaabnis vum Patron kënnt Dir Zougang zu engem spezifesche Site, respektvoll lächelt, denken an "fëmmen iwwer de Problem", mir sinn zum Verständnis komm, datt d'Liewen ass nach ëmmer gutt a mir hunn hir Sich ugefaang.
Nodeems mir d'Méiglechkeet hunn net nëmmen analytesch ze gesinn wat se an de "Bicher vun Hausfrauen" iwwer Trafficfiltering schreiwen, awer och ze gesinn wat op de Kanäl vu verschiddene Fournisseuren geschitt, hu mir déi folgend Rezepter gemierkt (all Screenshots sinn e bësse gekierzt, w.e.g. verstinn wann Dir frot):
Provider 1
- stéiert net an setzt seng eege DNS Serveren an en transparenten Proxy Server op. Gutt? .. mee mir hunn Zougang zu wou mir et brauchen (wa mir et brauchen :))
Provider 2
- mengt datt säin Top-Provider iwwer dëst sollt denken, den techneschen Support vum Top-Provider huet souguer zouginn firwat ech de Site net opmaachen konnt deen ech brauch, wat net verbueden war. Ech mengen d'Foto wäert Iech amuséieren :)
Wéi et sech erausstellt, iwwersetzen se d'Nimm vun verbuedenen Siten an IP Adressen a blockéieren d'IP selwer (si sinn net gestéiert vun der Tatsaach, datt dës IP Adress 20 Site kann hosten).
Provider 3
- erlaabt de Verkéier dohinner ze goen, awer erlaabt et net zréck op der Streck.
Provider 4
- verbitt all Manipulatioun mat Päckchen an der spezifizéierter Richtung.
Wat maache mat VPN (Respekt zum Opera Browser) a Browser Plugins? Am Ufank mam Node Mikrotik ze spillen, hu mir souguer e Ressourceintensiv Rezept fir L7, dat mir spéider hu missen opginn (et kënne méi verbueden Nimm ginn, et gëtt traureg wann, nieft senger direkter Verantwortung fir Strecken, op 3 Dosen Ausdréck de PPC460GT Prozessor Laascht geet op 100%).
.
Wat gouf kloer:
DNS op 127.0.0.1 ass absolut keng Panacea; modern Versioune vu Browser erlaaben Iech nach ëmmer esou Probleemer ze ëmgoen. Et ass onméiglech all Benotzer op reduzéiert Rechter ze limitéieren, a mir däerfen net iwwer déi enorm Zuel vun alternativen DNS vergiessen. Den Internet ass net statesch, an zousätzlech zu neien DNS Adressen, verbueden Siten kafen nei Adressen, änneren Top-Level Domains, a kënnen e Charakter an hirer Adress addéieren / ewechhuelen. Awer nach ëmmer d'Recht eppes ze liewen wéi:
ip route add blackhole 1.2.3.4Et wier zimmlech effektiv eng Lëscht vun IP Adressen aus der Lëscht vun verbuedenen Siten ze kréien, awer aus den uewe genannte Grënn si mir iwwer Iptables iwwerluecht. Et war schonn e Live Balancer op CentOS Linux Verëffentlechung 7.5.1804.
Den Internet vum Benotzer soll séier sinn, an de Browser däerf net eng hallef Minutt waarden, a schlussendlech datt dës Säit net verfügbar ass. No laanger Sich si mir bei dësem Modell komm:
Datei 1 -> /script/denied_host, Lëscht vun verbuedenen Nimm:
test.test
blablabla.bubu
torrent
pornoDatei 2 -> /script/denied_range, Lëscht vun verbuedenen Adressraim an Adressen:
192.168.111.0/24
241.242.0.0/16Skriptdatei 3 -> ipt.shmaachen d'Aarbecht mat iPables:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
D'Benotzung vu Sudo ass wéinst der Tatsaach datt mir e klengen Hack fir Kontroll iwwer d'WEB Interface hunn, awer wéi d'Erfahrung beim Gebrauch vun esou engem Modell fir méi wéi engem Joer gewisen huet, ass WEB net sou néideg. No der Ëmsetzung gouf et e Wonsch eng Lëscht vu Siten an d'Datebank ze addéieren, asw. D'Zuel vun de blockéierte Hosten ass méi wéi 250 + eng Dosen Adressplazen. Et gëtt wierklech e Problem wann Dir op e Site iwwer eng https Verbindung gitt, wéi de Systemadministrator, ech hu Reklamatiounen iwwer Browser :), awer dëst si speziell Fäll, déi meescht Ausléiser fir de Mangel un Zougang zu der Ressource sinn nach ëmmer op eiser Säit , Mir blockéieren och Opera VPN a Plugins wéi friGate an Telemetrie vu Microsoft.
Source: will.com