Хориглосон нөөцөд зочлохыг хориглох нь хууль тогтоомж, холбогдох эрх бүхий байгууллагын тушаалыг дагаж мөрдөөгүй гэж албан ёсоор шийтгэгдэж болзошгүй аливаа администраторт нөлөөлдөг.
Бидний даалгаварт зориулсан тусгай программууд болон түгээлтүүд байгаа үед яагаад дугуйг дахин зохион бүтээх хэрэгтэй вэ, жишээ нь: Zeroshell, pfSense, ClearOS.
Удирдлагад бас нэг асуулт байсан: Ашигласан бүтээгдэхүүн нь манай улсын аюулгүй байдлын гэрчилгээтэй юу?
Бид дараах түгээлтүүдтэй ажиллаж байсан туршлагатай:
- Zeroshell - хөгжүүлэгчид бүр 2 жилийн лицензийг хандивласан боловч бидний сонирхож байсан түгээлтийн хэрэгсэл нь бидний хувьд чухал үүрэг гүйцэтгэсэн нь тодорхой болсон;
- pfSense - хүндлэл, хүндэтгэл, нэгэн зэрэг уйтгартай, FreeBSD галт хананы командын мөрөнд дасах нь бидний хувьд тийм ч тохиромжтой биш (би үүнийг дадал зуршил гэж бодож байна, гэхдээ энэ нь буруу арга болж хувирсан);
- ClearOS - бидний техник хангамж дээр энэ нь маш удаан байсан тул бид ноцтой туршилтанд хамрагдаж чадаагүй тул яагаад ийм хүнд интерфейсүүд байдаг вэ?
- Ideco SELECTA. Ideco бүтээгдэхүүн бол тусдаа яриа, сонирхолтой бүтээгдэхүүн боловч улс төрийн шалтгаанаар бидний хувьд биш, мөн би тэднийг ижил Линукс, Roundcube гэх мэт лицензийн талаар "хазахыг" хүсч байна. Тэд интерфэйсийг огтолж авах санааг хаанаас олж авсан бэ? Python супер хэрэглэгчийн эрхийг хассанаар тэд GPL гэх мэтчилэн тараасан интернет нийгэмлэгээс боловсруулсан болон өөрчилсөн модулиудаас бүрдсэн бэлэн бүтээгдэхүүнийг зарж болно.
Одоо миний субьектив мэдрэмжийг нарийвчлан нотлохыг шаардсан сөрөг үгс миний зүг чиглэх болно гэдгийг би ойлгож байна, гэхдээ энэ сүлжээний зангилаа нь интернетийн 4 гадаад сувгийн урсгалыг тэнцвэржүүлэгч бөгөөд суваг бүр өөрийн гэсэн онцлогтой гэдгийг хэлмээр байна. . Өөр нэг тулгын чулуу нь өөр өөр хаягийн орон зайд ажиллах хэд хэдэн сүлжээний интерфэйсүүдийн аль нэгний хэрэгцээ байсан бөгөөд би бэлэн байна VLAN-г шаардлагатай биш хаа сайгүй ашиглаж болно гэдгийг хүлээн зөвшөөр бэлэн биш байна. TP-Link TL-R480T+ гэх мэт төхөөрөмжүүд ашиглагдаж байгаа бөгөөд тэдгээр нь ерөнхийдөө өөрийн гэсэн нюансаараа төгс ажилладаггүй. Ubuntu албан ёсны вэбсайтын ачаар Linux дээр энэ хэсгийг тохируулах боломжтой болсон . Түүгээр ч зогсохгүй суваг бүр ямар ч үед "унаж", өсөх боломжтой. Хэрэв та одоо ажиллаж байгаа скриптийг сонирхож байгаа бол (мөн энэ нь тусдаа хэвлэлд үнэ цэнэтэй) сэтгэгдэл дээр бичнэ үү.
Хэлэлцэж буй шийдэл нь өвөрмөц биш боловч "Аж ахуйн нэгж яагаад өөр хувилбарыг авч үзэх боломжтой бол техник хангамжийн ноцтой шаардлага бүхий гуравдагч этгээдийн эргэлзээтэй бүтээгдэхүүнд дасан зохицох ёстой юм бэ?" Гэсэн асуултыг асуумаар байна.
Хэрэв ОХУ-д Роскомнадзорын жагсаалт байдаг бол Украинд Үндэсний аюулгүй байдлын зөвлөлийн шийдвэрийн хавсралт байдаг (жишээлбэл. ), дараа нь орон нутгийн удирдагчид ч унтдаггүй. Тухайлбал, удирдлагуудын үзэж байгаагаар ажлын байрны бүтээмжийг бууруулдаг хориотой сайтуудын жагсаалтыг бидэнд өгсөн.
Анхдагч байдлаар бүх сайтыг хориглодог, зөвхөн даргын зөвшөөрлөөр тодорхой сайт руу нэвтэрч, хүндэтгэлтэй инээмсэглэн, бодож, "асуудлын талаар тамхи татах" боломжтой бусад аж ахуйн нэгжийн хамт олонтой харилцаж, бид амьдрал гэдэг ойлголттой болсон. сайн хэвээр байгаа бөгөөд бид тэдний хайлтыг эхлүүлсэн.
Замын хөдөлгөөний шүүлтүүрийн талаар "гэрийн эзэгтэй нарын ном" -д юу бичсэнийг аналитик байдлаар харахаас гадна өөр өөр үйлчилгээ үзүүлэгчдийн сувгууд дээр юу болж байгааг харах боломжийг олж авснаар бид дараах жоруудыг анзаарав (аль ч дэлгэцийн агшинг бага зэрэг тайрсан байна. асуухад ойлгох):
Үйлчилгээ үзүүлэгч 1
- энэ нь төвөг учруулахгүй бөгөөд өөрийн DNS сервер болон ил тод прокси серверийг ногдуулдаг. За?.. гэхдээ бидэнд хэрэгтэй газар хүрэх боломжтой (хэрэв хэрэгтэй бол :))
Үйлчилгээ үзүүлэгч 2
- Түүний шилдэг үйлчилгээ үзүүлэгч нь энэ талаар бодох ёстой гэж үзэж байгаа тул шилдэг үйлчилгээ үзүүлэгчийн техникийн дэмжлэг яагаад надад хэрэгтэй сайтыг нээж чадахгүй байгааг хүлээн зөвшөөрсөн, үүнийг хориглоогүй. Энэ зураг танд таалагдах байх гэж бодож байна :)
Тэд хориотой сайтуудын нэрийг IP хаяг руу хөрвүүлж, IP-г өөрөө блоклодог (энэ IP хаяг нь 20 сайтыг байршуулах боломжтой гэдэгт санаа зовдоггүй).
Үйлчилгээ үзүүлэгч 3
- замын хөдөлгөөнийг тийш нь явуулахыг зөвшөөрдөг боловч маршрутын дагуу буцаж ирэхийг зөвшөөрдөггүй.
Үйлчилгээ үзүүлэгч 4
- заасан чиглэлд пакетуудыг ашиглахыг хориглоно.
VPN (Opera хөтчийн хувьд) болон хөтчийн залгаасуудыг яах вэ? Эхэндээ Mikrotik зангилаагаар тоглож байхдаа бид L7-ийн нөөц их шаарддаг жорыг олж авсан бөгөөд үүнийг хожим нь орхих шаардлагатай болсон (илүү хориотой нэрс байж магадгүй, чиглүүлэлтийн шууд үүрэг хариуцлагаас гадна 3 арваар явахад гунигтай байдаг. PPC460GT процессорын ачаалал 100% хүртэл нэмэгддэг.
.
Юу тодорхой болсон:
127.0.0.1 дээрх DNS нь огтхон ч эм биш, хөтчүүдийн орчин үеийн хувилбарууд нь ийм асуудлуудыг даван туулах боломжийг олгодог. Бүх хэрэглэгчдийг хязгаарласан эрхээр хязгаарлах боломжгүй бөгөөд бид асар олон тооны өөр DNS-ийн талаар мартаж болохгүй. Интернет нь статик биш бөгөөд шинэ DNS хаягуудаас гадна хориотой сайтууд шинэ хаяг худалдаж авах, дээд түвшний домайныг өөрчлөх, хаяг дээрээ тэмдэгт нэмэх/хасах боломжтой. Гэхдээ дараахь байдлаар амьдрах эрхтэй хэвээр байна.
ip route add blackhole 1.2.3.4Хориглосон сайтуудын жагсаалтаас IP хаягийн жагсаалтыг авах нь нэлээд үр дүнтэй байх боловч дээр дурдсан шалтгааны улмаас бид Iptables-ийн талаар авч үзэх зүйл рүү шилжсэн. CentOS Linux хувилбар 7.5.1804 дээр аль хэдийн шууд тэнцвэржүүлэгч байсан.
Хэрэглэгчийн интернет хурдан байх ёстой бөгөөд Хөтөч нь энэ хуудсыг ашиглах боломжгүй гэж дүгнэж хагас минут хүлээх ёсгүй. Удаан хайсны эцэст бид энэ загварт ирлээ.
Файл 1 -> /script/denied_host, хориотой нэрсийн жагсаалт:
test.test
blablabla.bubu
torrent
pornoФайл 2 -> /скрипт/татгалзсан_муж, хориглосон хаягийн зай, хаягийн жагсаалт:
192.168.111.0/24
241.242.0.0/16Скрипт файл 3 -> ipt.shipables ашиглан ажлаа хийх:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Sudo-г ашиглах нь бидэнд WEB интерфэйсээр дамжуулан удирдах жижиг хакердсантай холбоотой боловч ийм загварыг жил гаруйн турш ашигласан туршлагаас харахад WEB тийм ч шаардлагагүй юм. Хэрэгжүүлсний дараа мэдээллийн санд сайтуудын жагсаалтыг нэмэх гэх мэт хүсэл байсан. Хаагдсан хостуудын тоо 250 + хэдэн арван хаягийн зайтай байна. Системийн администратор шиг https холболтоор сайт руу ороход үнэхээр асуудал гардаг, би хөтчүүдийн талаар гомдоллож байна :), гэхдээ эдгээр нь онцгой тохиолдлууд юм, эх сурвалжид хандах боломжгүй ихэнх өдөөгч нь бидний талд байсаар байна. , бид мөн Opera VPN болон Microsoft-ын friGate, телеметр зэрэг залгаасуудыг амжилттай блоклосон.
Эх сурвалж: www.habr.com