गरीब आणि आळशी असंतुष्टांकडून Iptables आणि फिल्टरिंग रहदारी

प्रतिबंधित स्त्रोतांच्या भेटी अवरोधित करण्याच्या प्रासंगिकतेचा परिणाम कोणत्याही प्रशासकावर होतो ज्यांच्यावर कायद्याचे किंवा संबंधित अधिकाऱ्यांच्या आदेशांचे पालन करण्यात अयशस्वी झाल्याबद्दल अधिकृतपणे आरोप लावला जाऊ शकतो.

आमच्या कार्यांसाठी विशेष कार्यक्रम आणि वितरणे असताना चाक पुन्हा का शोधायचे, उदाहरणार्थ: Zeroshell, pfSense, ClearOS.

व्यवस्थापनाला आणखी एक प्रश्न होता: वापरलेल्या उत्पादनाला आमच्या राज्याचे सुरक्षा प्रमाणपत्र आहे का?

आम्हाला खालील वितरणांसह काम करण्याचा अनुभव होता:

• झिरोशेल - विकसकांनी 2 वर्षांचा परवाना देखील दान केला, परंतु असे दिसून आले की आम्हाला स्वारस्य असलेल्या वितरण किटने, अतार्किकपणे, आमच्यासाठी एक महत्त्वपूर्ण कार्य केले;
• pfSense - आदर आणि सन्मान, त्याच वेळी कंटाळवाणे, फ्रीबीएसडी फायरवॉलच्या कमांड लाइनची सवय होणे आणि आपल्यासाठी पुरेसे सोयीस्कर नाही (मला वाटते की ही सवयीची बाब आहे, परंतु ती चुकीची ठरली);
• ClearOS - आमच्या हार्डवेअरवर ते खूप धीमे असल्याचे दिसून आले, आम्ही गंभीर चाचणी करू शकलो नाही, मग इतके भारी इंटरफेस का?
• Ideco SELECTA. Ideco उत्पादन हे एक वेगळे संभाषण आहे, एक मनोरंजक उत्पादन आहे, परंतु राजकीय कारणांमुळे आमच्यासाठी नाही आणि मला त्याच लिनक्स, राउंडक्यूब इत्यादींच्या परवान्याबद्दल त्यांना "चावायचे" आहे. इंटरफेस कापून त्यांना ही कल्पना कुठून आली python ला आणि सुपरयुजरचे अधिकार काढून घेऊन, ते GPL&इत्यादि अंतर्गत वितरीत केलेल्या इंटरनेट समुदायाकडून विकसित आणि सुधारित मॉड्यूल्सचे बनलेले तयार उत्पादन विकू शकतात.

मला समजले आहे की आता माझ्या व्यक्तिनिष्ठ भावनांना तपशीलवार पुष्टी देण्याच्या मागणीसह नकारात्मक उद्गार माझ्या दिशेने येतील, परंतु मला असे म्हणायचे आहे की हे नेटवर्क नोड इंटरनेटवरील 4 बाह्य चॅनेलसाठी ट्रॅफिक बॅलेंसर देखील आहे आणि प्रत्येक चॅनेलची स्वतःची वैशिष्ट्ये आहेत. . आणखी एक कोनशिला म्हणजे वेगवेगळ्या अॅड्रेस स्पेसमध्ये काम करण्यासाठी अनेक नेटवर्क इंटरफेसपैकी एकाची गरज आणि I तयार मान्य करा की VLAN सर्वत्र आवश्यक आणि आवश्यक नसलेल्या ठिकाणी वापरले जाऊ शकतात तयार नाही. TP-Link TL-R480T+ सारखी उपकरणे वापरात आहेत - ते त्यांच्या स्वतःच्या बारकाव्यांनुसार, सर्वसाधारणपणे, उत्तम प्रकारे वागत नाहीत. उबंटूच्या अधिकृत वेबसाइटमुळे लिनक्सवर हा भाग कॉन्फिगर करणे शक्य झाले आयपी बॅलन्सिंग: अनेक इंटरनेट चॅनेल एकामध्ये एकत्र करणे. शिवाय, प्रत्येक चॅनेल कोणत्याही क्षणी "पडणे" तसेच वाढू शकते. आपल्याला सध्या कार्यरत असलेल्या स्क्रिप्टमध्ये स्वारस्य असल्यास (आणि हे स्वतंत्र प्रकाशनाचे मूल्य आहे), टिप्पण्यांमध्ये लिहा.

विचाराधीन उपाय अद्वितीय असल्याचा दावा करत नाही, परंतु मी प्रश्न विचारू इच्छितो: "जेव्हा पर्यायी पर्यायाचा विचार केला जाऊ शकतो तेव्हा एंटरप्राइझने गंभीर हार्डवेअर आवश्यकतांसह तृतीय-पक्षाच्या संशयास्पद उत्पादनांशी का जुळवून घ्यावे?"

जर रशियन फेडरेशनमध्ये रोस्कोमनाडझोरची यादी असेल तर, युक्रेनमध्ये राष्ट्रीय सुरक्षा परिषदेच्या निर्णयाची जोडणी आहे (उदाहरणार्थ. पाहा, पाहामग स्थानिक नेते झोपत नाहीत. उदाहरणार्थ, आम्हाला निषिद्ध साइट्सची सूची देण्यात आली होती जी, व्यवस्थापनाच्या मते, कामाच्या ठिकाणी उत्पादकता खराब करते.

इतर एंटरप्राइझमधील सहकाऱ्यांशी संप्रेषण करणे, जिथे डीफॉल्टनुसार सर्व साइट्स प्रतिबंधित आहेत आणि केवळ बॉसच्या परवानगीने विनंती केल्यावर तुम्ही विशिष्ट साइटवर प्रवेश करू शकता, आदरपूर्वक हसत, विचार करून आणि "समस्येवर धूम्रपान करणे", आम्हाला समजले की जीवन अजूनही चांगले आहे आणि आम्ही त्यांचा शोध सुरू केला.

ट्रॅफिक फिल्टरिंगबद्दल "गृहिणींच्या पुस्तकांमध्ये" ते काय लिहितात हे केवळ विश्लेषणात्मकपणे पाहण्याचीच नाही तर वेगवेगळ्या पुरवठादारांच्या चॅनेलवर काय चालले आहे हे देखील पाहण्याची संधी मिळाल्यामुळे, आम्हाला खालील पाककृती लक्षात आल्या (कोणतेही स्क्रीनशॉट थोडे क्रॉप केलेले आहेत, कृपया विचारताना समजून घ्या):

प्रदाता १
- त्रास देत नाही आणि स्वतःचे DNS सर्व्हर आणि पारदर्शक प्रॉक्सी सर्व्हर लादत नाही. पण?

प्रदाता १
- असा विश्वास आहे की त्याच्या शीर्ष प्रदात्याने याबद्दल विचार केला पाहिजे, शीर्ष प्रदात्याच्या तांत्रिक समर्थनाने अगदी कबूल केले की मला आवश्यक असलेली साइट मी का उघडू शकलो नाही, जी प्रतिबंधित नव्हती. मला वाटते की चित्र तुम्हाला आनंद देईल :)

जसे असे झाले की, ते प्रतिबंधित साइटची नावे आयपी पत्त्यांमध्ये भाषांतरित करतात आणि आयपी स्वतः अवरोधित करतात (हा IP पत्ता 20 साइट होस्ट करू शकतो या वस्तुस्थितीमुळे त्यांना त्रास होत नाही).

प्रदाता १
— रहदारीला तेथे जाण्यास अनुमती देते, परंतु मार्गाने परत जाण्याची परवानगी देत ​​​​नाही.

प्रदाता १
— निर्दिष्ट दिशेने पॅकेटसह सर्व हाताळणी प्रतिबंधित करते.

व्हीपीएन (ऑपेरा ब्राउझरचा आदर) आणि ब्राउझर प्लगइनचे काय करावे? नोड Mikrotik सह खेळताना, आम्हाला L7 साठी एक संसाधन-केंद्रित रेसिपी देखील मिळाली, जी आम्हाला नंतर सोडून द्यावी लागली (तीथे अधिक निषिद्ध नावे असू शकतात, जेव्हा 3 डझनवर मार्गांसाठी थेट जबाबदार्या व्यतिरिक्त, तेव्हा ते दुःखी होते. अभिव्यक्ती PPC460GT प्रोसेसर लोड 100 % वर जातो).

.

काय स्पष्ट झाले:
127.0.0.1 वरील डीएनएस हा पूर्णपणे रामबाण उपाय नाही; ब्राउझरच्या आधुनिक आवृत्त्या अजूनही आपल्याला अशा समस्यांना बायपास करण्याची परवानगी देतात. सर्व वापरकर्त्यांना कमी केलेल्या अधिकारांवर मर्यादा घालणे अशक्य आहे आणि आम्ही पर्यायी DNS च्या मोठ्या संख्येबद्दल विसरू नये. इंटरनेट स्थिर नाही, आणि नवीन DNS पत्त्यांव्यतिरिक्त, प्रतिबंधित साइट नवीन पत्ते खरेदी करतात, उच्च-स्तरीय डोमेन बदलतात आणि त्यांच्या पत्त्यामध्ये एक वर्ण जोडू/काढू शकतात. परंतु तरीही असे काहीतरी जगण्याचा अधिकार आहे:

ip route add blackhole 1.2.3.4

निषिद्ध साइट्सच्या सूचीमधून IP पत्त्यांची यादी मिळवणे खूप प्रभावी ठरेल, परंतु वर नमूद केलेल्या कारणांमुळे, आम्ही Iptables बद्दलच्या विचारांकडे वळलो. CentOS Linux रिलीझ 7.5.1804 वर आधीपासूनच थेट बॅलन्सर होता.

वापरकर्त्याचे इंटरनेट जलद असले पाहिजे आणि ब्राउझरने अर्धा मिनिट थांबू नये, असा निष्कर्ष काढला की हे पृष्ठ उपलब्ध नाही. दीर्घ शोधानंतर आम्ही या मॉडेलवर आलो:
फाइल 1 -> /script/denied_host, प्रतिबंधित नावांची यादी:

test.test
blablabla.bubu
torrent
porno

फाइल 2 -> /script/denied_range, प्रतिबंधित पत्त्याच्या जागा आणि पत्त्यांची यादी:

192.168.111.0/24
241.242.0.0/16

स्क्रिप्ट फाइल 3 -> ipt.shipables सह काम करत आहे:

# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

WEB इंटरफेसद्वारे व्यवस्थापित करण्यासाठी आमच्याकडे एक लहान हॅक आहे या वस्तुस्थितीमुळे sudo चा वापर आहे, परंतु एक वर्षापेक्षा जास्त काळ असे मॉडेल वापरण्याच्या अनुभवानुसार, WEB इतके आवश्यक नाही. अंमलबजावणीनंतर, डेटाबेसमध्ये साइट्सची सूची जोडण्याची इच्छा होती, इ. ब्लॉक केलेल्या होस्टची संख्या 250 + डझनभर अॅड्रेस स्पेसपेक्षा जास्त आहे. https कनेक्शनद्वारे साइटवर जाताना खरोखरच एक समस्या आहे, जसे की सिस्टम प्रशासक, मला ब्राउझरबद्दल तक्रारी आहेत :), परंतु ही विशेष प्रकरणे आहेत, संसाधनामध्ये प्रवेश नसल्याबद्दल बहुतेक ट्रिगर अजूनही आमच्या बाजूने आहेत. , आम्ही Microsoft कडून Opera VPN आणि friGate आणि telemetry सारखे प्लगइन देखील यशस्वीरित्या अवरोधित केले.

स्त्रोत: www.habr.com