Aizliegto resursu apmeklējumu bloķēšanas atbilstība skar ikvienu administratoru, kuram var tikt oficiāli izvirzīta apsūdzība par likumu vai attiecīgo iestāžu rīkojumu neievērošanu.
Kāpēc no jauna izgudrot riteni, ja mūsu uzdevumiem ir specializētas programmas un izplatījumi, piemēram: Zeroshell, pfSense, ClearOS.
Vadībai bija vēl viens jautājums: vai izmantotajam produktam ir mūsu valsts drošības sertifikāts?
Mums bija pieredze darbā ar šādiem izplatījumiem:
- Zeroshell - izstrādātāji pat uzdāvināja 2 gadu licenci, bet izrādījās, ka mūs interesējošais izplatīšanas komplekts, neloģiski, mums veica kritisku funkciju;
- pfSense - cieņa un gods, tajā pašā laikā garlaicīgi, pierod pie FreeBSD ugunsmūra komandrindas un mums nav pietiekami ērts (man šķiet, ka tas ir ieraduma jautājums, bet izrādījās nepareizs ceļš);
- ClearOS - mūsu aparatūrā tas izrādījās ļoti lēns, mēs nevarējām nokļūt līdz nopietnai pārbaudei, kāpēc tad tik smagas saskarnes?
- Ideco SELECTA. Ideco produkts ir atsevišķa saruna, interesants produkts, bet politisku apsvērumu dēļ ne mums, un es arī gribu viņiem “iekost” par licenci tiem pašiem Linux, Roundcube utt. Kur viņiem radās ideja, ka, sagriežot saskarni Pitons un, atņemot superlietotāju tiesības, viņi var pārdot gatavo produktu, kas sastāv no izstrādātiem un modificētiem moduļiem no interneta kopienas, kas izplatīta saskaņā ar GPL&utt.
Es saprotu, ka tagad manā virzienā gāzīsies negatīvi izsaucieni ar prasībām detalizēti pamatot savas subjektīvās izjūtas, taču gribu teikt, ka šis tīkla mezgls ir arī trafika balansētājs 4 ārējiem kanāliem uz internetu, un katram kanālam ir savas īpatnības. . Vēl viens stūrakmens bija nepieciešamība vienam no vairākām tīkla saskarnēm darboties dažādās adrešu telpās, un es gatavs atzīst, ka VLAN var izmantot visur, kur vajag un nevajag nav gatavs. Tiek izmantotas tādas ierīces kā TP-Link TL-R480T+ - tās nedarbojas perfekti, kopumā ar savām niansēm. Šo daļu bija iespējams konfigurēt operētājsistēmā Linux, pateicoties Ubuntu oficiālajai vietnei . Turklāt katrs no kanāliem var “nokrist” jebkurā brīdī, kā arī pacelties. Ja jūs interesē skripts, kas pašlaik darbojas (un tas ir atsevišķas publikācijas vērts), rakstiet komentāros.
Apskatāmais risinājums nepretendē uz unikālu, taču vēlos uzdot jautājumu: "Kāpēc uzņēmumam būtu jāpielāgojas trešo pušu apšaubāmiem produktiem ar nopietnām aparatūras prasībām, ja var apsvērt alternatīvu iespēju?"
Ja Krievijas Federācijā ir Roskomnadzor saraksts, Ukrainā ir Nacionālās drošības padomes lēmuma pielikums (piemēram. ), tad arī vietējie vadītāji nesnauž. Piemēram, mums tika dots aizliegto vietņu saraksts, kas, pēc vadības domām, pasliktina produktivitāti darbavietā.
Sazinoties ar kolēģiem citos uzņēmumos, kur pēc noklusējuma visas vietnes ir aizliegtas un tikai pēc pieprasījuma ar priekšnieka atļauju var piekļūt konkrētai vietnei, cieņpilni smaidot, domājot un "smēķējot pār problēmu", mēs sapratām, ka dzīve joprojām ir labs, un mēs sākām to meklēšanu.
Kad bija iespēja ne tikai analītiski redzēt, ko viņi raksta “mājsaimnieču grāmatās” par trafika filtrēšanu, bet arī redzēt, kas notiek dažādu pakalpojumu sniedzēju kanālos, mēs pamanījām šādas receptes (jebkuri ekrānuzņēmumi, lūdzu, ir nedaudz apgriezti saproti, kad jautā):
1. nodrošinātājs
— netraucē un uzliek savus DNS serverus un caurspīdīgu starpniekserveri. Nu?.. bet mums ir pieeja tur, kur vajag (ja vajag :))
2. nodrošinātājs
- uzskata, ka viņa lielākajam pakalpojumu sniedzējam par to vajadzētu padomāt, augstākā pakalpojumu sniedzēja tehniskais atbalsts pat atzina, kāpēc es nevarēju atvērt vajadzīgo vietni, kas nebija aizliegts. Domāju, ka bilde tevi uzjautrinās :)
Kā izrādījās, viņi pārtulko aizliegto vietņu nosaukumus IP adresēs un bloķē pašu IP (viņus netraucē fakts, ka šī IP adrese var mitināt 20 vietnes).
3. nodrošinātājs
— ļauj satiksmei virzīties uz turieni, bet neļauj tai atgriezties maršrutā.
4. nodrošinātājs
— aizliedz visas manipulācijas ar paketēm norādītajā virzienā.
Ko darīt ar VPN (attiecībā uz Opera pārlūkprogrammu) un pārlūkprogrammas spraudņiem? Sākumā spēlējoties ar mezglu Mikrotik, dabūjām pat resursietilpīgu recepti L7, no kuras vēlāk nācās atteikties (var būt aizliegti nosaukumi, kļūst skumji, kad papildus saviem tiešajiem pienākumiem par maršrutiem uz 3 desmitiem izteiksmē PPC460GT procesora slodze sasniedz 100 %).
.
Kas kļuva skaidrs:
DNS versijā 127.0.0.1 absolūti nav panaceja; mūsdienu pārlūkprogrammu versijas joprojām ļauj apiet šādas problēmas. Nav iespējams ierobežot visus lietotājus ar samazinātām tiesībām, un mēs nedrīkstam aizmirst par milzīgo alternatīvo DNS skaitu. Internets nav statisks, un papildus jaunām DNS adresēm aizliegtās vietnes iegādājas jaunas adreses, maina augstākā līmeņa domēnus un var pievienot/noņemt savā adresē rakstzīmi. Bet joprojām ir tiesības dzīvot kaut ko līdzīgu:
ip route add blackhole 1.2.3.4Būtu diezgan efektīvi iegūt IP adrešu sarakstu no aizliegto vietņu saraksta, taču iepriekš minēto iemeslu dēļ mēs pārgājām pie apsvērumiem par Iptables. CentOS Linux laidienā 7.5.1804 jau bija tiešraides balansētājs.
Lietotāja internetam jābūt ātram, un Pārlūkam nevajadzētu gaidīt pusminūti, secinot, ka šī lapa nav pieejama. Pēc ilgiem meklējumiem nonācām pie šī modeļa:
1. fails -> /script/nied_host, aizliegto vārdu saraksts:
test.test
blablabla.bubu
torrent
porno2. fails -> /script/nied_range, aizliegto adrešu vietu un adrešu saraksts:
192.168.111.0/24
241.242.0.0/16Skripta fails 3 -> ipt.shveicot darbu ar ipables:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Sudo lietošana ir saistīta ar to, ka mums ir neliels uzlauzts pārvaldīšanai caur WEB saskarni, taču, kā rāda pieredze, lietojot šādu modeli vairāk nekā gadu, WEB nav tik nepieciešams. Pēc ieviešanas radās vēlme datubāzei pievienot vietņu sarakstu utt. Bloķēto saimniekdatoru skaits ir vairāk nekā 250 + ducis adrešu vietu. Ejot uz vietni caur https savienojumu tiešām ir problēma, piemēram, sistēmas administratoram, man ir pretenzijas pret pārlūkprogrammām :), bet tie ir īpaši gadījumi, lielākā daļa resursa piekļuves trūkuma izraisītāju joprojām ir mūsu pusē. , mēs arī veiksmīgi bloķējam Opera VPN un Microsoft spraudņus, piemēram, friGate un telemetriju.
Avots: www.habr.com