Ny maha-zava-dehibe ny fanakanana ny fitsidihana ireo loharanon-karena voarara dia misy fiantraikany amin'ny mpitantana izay mety ho voampanga amin'ny fomba ofisialy noho ny tsy fanarahana ny lalΓ na na ny baikon'ny manampahefana mifandraika amin'izany.
Maninona no mamorona indray ny kodia rehefa misy programa sy fizarana manokana ho an'ny asantsika, ohatra: Zeroshell, pfSense, ClearOS.
Nametraka fanontaniana hafa koa ny mpitantana: manana taratasy fanamarinana fiarovana avy amin'ny fanjakana misy antsika ve ny vokatra ampiasaina?
Nanana traikefa niasa tamin'ireto fizarana manaraka ireto izahay:
- Zeroshell - nanome fahazoan-dΓ lana 2 taona mihitsy aza ny mpamorona, saingy hita fa ny kitapo fanapariahana izay mahaliana antsika, tsy lojika, dia nanao asa goavana ho antsika;
- pfSense - ny fanajana sy ny voninahitra, amin'ny fotoana iray ihany mankaleo, zatra amin'ny baikon'ny FreeBSD firewall ary tsy mety ho antsika (heveriko fa resaka fahazarana izany, fa lasa diso lalana);
- ClearOS - amin'ny fitaovanay dia hita fa miadana be, tsy afaka manao fitiliana matotra izahay, koa nahoana no misy fifandraisana mavesatra toy izany?
- Ideco SELECTA. Resadresaka mitokana ny vokatra Ideco, vokatra mahaliana, fa noho ny antony ara-politika tsy ho antsika, ary tiako koa ny "manaikitra" azy ireo momba ny fahazoan-dΓ lana ho an'ny Linux, Roundcube, sns. Taiza no nahazoan'izy ireo hevitra hoe tamin'ny fanapahana ny interface Python ary amin'ny fanalana ny zon'ny mpampiasa ambony dia afaka mivarotra vokatra vita avy amin'ny maodely novolavolaina sy novaina avy amin'ny vondrom-piarahamonina Aterineto zaraina amin'ny GPL&etc izy ireo.
Takatro fa izao dia hiakatra eny amin'ny lalako ny fiantsoana ratsy ankehitriny miaraka amin'ny fitakiana hanamafisana ny fihetseham-poko amin'ny antsipiriany, saingy tiako ny milaza fa ity node tambajotra ity dia mpandrindra ny fifamoivoizana amin'ny fantsona ivelany 4 mankany amin'ny Internet, ary ny fantsona tsirairay dia manana ny toetrany manokana. . Vato fehizoro iray hafa dia ny filΓ na ny iray amin'ireo tambajotran-tambajotra maromaro hiasa amin'ny habaka adiresy samihafa, ary I vonona ekeo fa azo ampiasaina eny rehetra eny ny VLAN raha ilaina ary tsy ilaina tsy vonona. Misy fitaovana ampiasaina toy ny TP-Link TL-R480T + - tsy mitondra tena tsara izy ireo, amin'ny ankapobeny, miaraka amin'ny nuances manokana. Azo natao ny nanamboatra ity ampahany ity tamin'ny Linux noho ny tranokala ofisialin'ny Ubuntu . Ankoatra izany, ny fantsona tsirairay dia afaka "milatsaka" amin'ny fotoana rehetra, ary koa miakatra. Raha liana amin'ny script iray miasa amin'izao fotoana izao ianao (ary mendrika ny famoahana manokana izany), manorata ao amin'ny fanehoan-kevitra.
Ny vahaolana hodinihina dia tsy milaza ho tokana, fa te-hametraka fanontaniana aho hoe: "Nahoana ny orinasa iray no tokony hifanaraka amin'ny vokatra mampiahiahy avy amin'ny antoko fahatelo miaraka amin'ny fitakiana hardware lehibe rehefa misy safidy hafa azo raisina?"
Raha ao amin'ny Federasiona Rosiana misy lisitry ny Roskomnadzor, ao Okraina dia misy annex amin'ny fanapahan-kevitry ny National Security Council (ohatra. ), dia tsy matory koa ny mpitondra eo an-toerana. Ohatra, nomena lisitr'ireo tranonkala voarara izahay, izay, araka ny hevitry ny fitantanana, dia manimba ny vokatra any amin'ny toeram-piasana.
Mifandraisa amin'ny mpiara-miasa amin'ny orinasa hafa, izay voarara ny tranokala rehetra ary raha tsy nahazo alalana avy amin'ny lehibeny ianao dia afaka miditra amin'ny tranokala manokana, mitsiky amim-panajana, mieritreritra ary "mifoka ny olana", dia tonga tamin'ny fahatakarana izahay fa ny fiainana mbola tsara ary nanomboka ny fikarohana azy ireo izahay.
Ny fananana fahafahana tsy hijery fotsiny ny zavatra soratan'izy ireo ao amin'ny "bokin'ny vehivavy mpikarakara tokantrano" momba ny fanivanana ny fifamoivoizana, fa koa mba hahitana ny zava-mitranga amin'ny fantsonan'ny mpamatsy samihafa, dia nahatsikaritra ireto fomba fanamboarana manaraka ireto izahay (izay pikantsary dia tapaka kely, azafady azoko rehefa manontany):
Mpanome 1
- tsy manelingelina sy mametraka ny mpizara DNS azy sy mpizara proxy mangarahara. Eny ary?.. fa manana fahafahana miditra amin'izay ilaintsika isika (raha mila izany isika :))
Mpanome 2
- mino fa tokony hieritreritra an'izany ny mpamatsy ambony azy, ny fanohanana ara-teknika an'ny mpanome tolotra ambony aza dia niaiky ny antony tsy nahafahako nanokatra ilay tranokala nilaiko, izay tsy voarara. Heveriko fa hampiala voly anao ilay sary :)
Raha ny fantatra dia mandika ny anaran'ireo tranonkala voarara ho adiresy IP izy ireo ary manakana ny IP mihitsy (tsy manelingelina azy ireo ny hoe afaka mampiantrano tranokala 20 ity adiresy IP ity).
Mpanome 3
- mamela ny fifamoivoizana mankany, fa tsy mamela azy hiverina amin'ny lalana.
Mpanome 4
- mandrara ny fanodinkodinana rehetra miaraka amin'ny fonosana amin'ny lalana voafaritra.
Inona no atao amin'ny VPN (fanajana ny navigateur Opera) sy ny plugins navigateur? Nilalao tamin'ny node Mikrotik tamin'ny voalohany, dia nahazo loharanom-pahalalana be dia be ho an'ny L7 izahay, izay tsy maintsy nafoinay taty aoriana (mety hisy anarana voarara kokoa, manjary mampalahelo izany rehefa, ankoatra ny andraikiny mivantana amin'ny lalana, amin'ny 3 am-polony. Ny enta-mavesatry ny processeur PPC460GT dia lasa 100 %).
.
Inona no nazava:
Ny DNS amin'ny 127.0.0.1 dia tsy fanafody; Ny dikan-teny maoderina amin'ny navigateur dia mbola mamela anao handalo olana toy izany. Tsy azo atao ny mametra ny mpampiasa rehetra amin'ny zo mihena, ary tsy tokony hohadinointsika ny momba ny habetsahan'ny DNS hafa. Tsy mitongilana ny Aterineto, ary ankoatra ny adiresy DNS vaovao, ny tranokala voarara dia mividy adiresy vaovao, manova ny sehatra ambony, ary afaka manampy/manala toetra iray ao amin'ny adiresiny. Saingy mbola manan-jo hiaina zavatra toy izao:
ip route add blackhole 1.2.3.4Tena hahomby ny fahazoana lisitr'ireo adiresy IP avy amin'ny lisitry ny tranokala voarara, fa noho ireo antony voalaza etsy ambony dia niroso tamin'ny fandinihana momba ny Iptables izahay. Efa nisy mpifandanja mivantana tamin'ny famoahana CentOS Linux 7.5.1804.
Ny Internet an'ny mpampiasa dia tokony ho haingana, ary ny Browser dia tsy tokony hiandry antsasak'adiny, ary manatsoaka hevitra fa tsy misy ity pejy ity. Taorian'ny fikarohana naharitra dia tonga tamin'ity modely ity izahay:
File 1 -> /script/denied_host, lisitry ny anarana voarara:
test.test
blablabla.bubu
torrent
pornoFile 2 -> /script/denied_range, lisitry ny habaka adiresy voarara sy adiresy:
192.168.111.0/24
241.242.0.0/16File script 3 -> ipt.shmanao ny asa amin'ny ipables:
# ΡΡΠΈΡΡΠ²Π°Π΅ΠΌ ΠΏΠΎΠ»Π΅Π·Π½ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΈΠ· ΠΏΠ΅ΡΠ΅ΡΠ½Π΅ΠΉ ΡΠ°ΠΉΠ»ΠΎΠ²
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# ΡΠ±ΡΠ°ΡΡΠ²Π°Π΅ΠΌ Π²ΡΠ΅ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ iptables, ΡΠ°Π·ΡΠ΅ΡΠ°Ρ ΡΠΎ ΡΡΠΎ Π½Π΅ Π·Π°ΠΏΡΠ΅ΡΠ΅Π½ΠΎ
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#ΡΠ΅ΡΠ°Π΅ΠΌ ΠΎΠ±Π½ΠΎΠ²ΠΈΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΎ ΠΌΠ°ΡΡΡΡΡΠ°Ρ
(ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡΡ Π½Π°ΡΠ΅ΠΉ Π°ΡΡ
ΠΈΡΠ΅ΠΊΡΡΡΡ)
sudo sh rout.sh
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ ΡΡΡΠΎΠΊΠΈ
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ Π°Π΄ΡΠ΅ΡΠ°
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Ny fampiasana sudo dia noho ny fisian'ny hack kely ho an'ny fitantanana amin'ny alΓ lan'ny interface WEB, saingy araka ny nasehon'ny traikefa tamin'ny fampiasana modely toy izany nandritra ny herintaona mahery, dia tsy ilaina loatra ny WEB. Taorian'ny fampiharana dia nisy ny faniriana hampiditra lisitry ny tranokala amin'ny tahiry, sns. Ny isan'ny mpampiantrano voasakana dia mihoatra ny 250 + toerana misy adiresy ampolony. Tena misy olana rehefa mandeha amin'ny tranokala amin'ny alΓ lan'ny fifandraisana https, toy ny mpitantana ny rafitra, manana fitarainana momba ny navigateur aho :), saingy tranga manokana ireo, ny ankamaroan'ny trigger noho ny tsy fahampian'ny fidirana amin'ny loharano dia mbola eo anilantsika. , nosakananay soa aman-tsara ihany koa ny Opera VPN sy ny plugins toy ny friGate sy telemetry avy amin'ny Microsoft.
Source: www.habr.com