ProHoster > Blog > Pentadbiran > Iptables dan menapis trafik daripada penentang yang miskin dan malas

Iptables dan menapis trafik daripada penentang yang miskin dan malas

Perkaitan menyekat lawatan ke sumber terlarang memberi kesan kepada mana-mana pentadbir yang mungkin didakwa secara rasmi kerana gagal mematuhi undang-undang atau perintah pihak berkuasa yang berkaitan.

Iptables dan menapis trafik daripada penentang yang miskin dan malas

Mengapa mencipta semula roda apabila terdapat program dan pengedaran khusus untuk tugas kita, contohnya: Zeroshell, pfSense, ClearOS.

Pihak pengurusan mempunyai soalan lain: Adakah produk yang digunakan mempunyai sijil keselamatan dari negeri kita?

Kami mempunyai pengalaman bekerja dengan pengedaran berikut:

  • Zeroshell - pemaju malah mendermakan lesen 2 tahun, tetapi ternyata kit pengedaran yang kami minati, secara tidak logik, melakukan fungsi kritikal untuk kami;
  • pfSense - penghormatan dan penghormatan, pada masa yang sama membosankan, membiasakan diri dengan baris arahan tembok api FreeBSD dan tidak cukup mudah untuk kami (saya fikir ia adalah satu kebiasaan, tetapi ia ternyata cara yang salah);
  • ClearOS - pada perkakasan kami ternyata sangat perlahan, kami tidak dapat membuat ujian yang serius, jadi mengapa antara muka yang begitu berat?
  • Ideco SELECTA. Produk Ideco ialah perbualan yang berasingan, produk yang menarik, tetapi atas sebab politik bukan untuk kami, dan saya juga mahu "menggigit" mereka tentang lesen untuk Linux yang sama, Roundcube, dll. Di manakah mereka mendapat idea bahawa dengan memotong antara muka ke Python dan dengan mengambil hak pengguna super, mereka boleh menjual produk siap yang terdiri daripada modul yang dibangunkan dan diubah suai daripada komuniti Internet yang diedarkan di bawah GPL&dll.

Saya faham bahawa sekarang seruan negatif akan mengalir ke arah saya dengan tuntutan untuk membuktikan perasaan subjektif saya secara terperinci, tetapi saya ingin mengatakan bahawa nod rangkaian ini juga merupakan pengimbang trafik untuk 4 saluran luaran ke Internet, dan setiap saluran mempunyai ciri tersendiri. . Asas lain ialah keperluan untuk salah satu daripada beberapa antara muka rangkaian untuk berfungsi dalam ruang alamat yang berbeza, dan saya sedia mengakui bahawa VLAN boleh digunakan di mana-mana di mana perlu dan tidak perlu tidak bersedia. Terdapat peranti yang digunakan seperti TP-Link TL-R480T+ - mereka tidak berkelakuan sempurna, secara umum, dengan nuansa mereka sendiri. Ia adalah mungkin untuk mengkonfigurasi bahagian ini pada Linux terima kasih kepada laman web rasmi Ubuntu Pengimbangan IP: menggabungkan beberapa saluran Internet menjadi satu. Selain itu, setiap saluran boleh "jatuh" pada bila-bila masa, serta meningkat. Jika anda berminat dengan skrip yang sedang berfungsi (dan ini bernilai penerbitan berasingan), tulis dalam ulasan.

Penyelesaian yang sedang dipertimbangkan tidak mendakwa sebagai unik, tetapi saya ingin bertanya soalan: "Mengapa perusahaan harus menyesuaikan diri dengan produk pihak ketiga yang meragukan dengan keperluan perkakasan yang serius apabila pilihan alternatif boleh dipertimbangkan?"

Jika di Persekutuan Rusia terdapat senarai Roskomnadzor, di Ukraine terdapat lampiran kepada Keputusan Majlis Keselamatan Negara (contohnya. di sini), maka pemimpin tempatan juga tidak tidur. Sebagai contoh, kami diberi senarai tapak terlarang yang, pada pendapat pengurusan, menjejaskan produktiviti di tempat kerja.

Berkomunikasi dengan rakan sekerja di perusahaan lain, di mana secara lalai semua tapak adalah dilarang dan hanya atas permintaan dengan kebenaran bos anda boleh mengakses tapak tertentu, tersenyum hormat, berfikir dan "menghilangkan masalah", kami memahami bahawa kehidupan masih baik dan kami memulakan pencarian mereka.

Mempunyai peluang bukan sahaja untuk melihat secara analitik apa yang mereka tulis dalam "buku suri rumah" tentang penapisan lalu lintas, tetapi juga untuk melihat apa yang berlaku pada saluran pembekal yang berbeza, kami melihat resipi berikut (sebarang tangkapan skrin dipotong sedikit, sila faham bila bertanya):

Pembekal 1
β€” tidak mengganggu dan mengenakan pelayan DNSnya sendiri dan pelayan proksi telus. Nah?.. tetapi kita mempunyai akses ke tempat yang kita perlukan (jika kita memerlukannya :))

Pembekal 2
- percaya bahawa pembekal utamanya harus memikirkan perkara ini, sokongan teknikal pembekal teratas juga mengakui mengapa saya tidak dapat membuka tapak yang saya perlukan, yang tidak dilarang. Saya rasa gambar itu akan menghiburkan anda :)

Iptables dan menapis trafik daripada penentang yang miskin dan malas

Ternyata, mereka menterjemahkan nama tapak yang dilarang ke dalam alamat IP dan menyekat IP itu sendiri (mereka tidak terganggu oleh fakta bahawa alamat IP ini boleh menjadi tuan rumah 20 tapak).

Pembekal 3
β€” membenarkan lalu lintas pergi ke sana, tetapi tidak membenarkannya kembali di sepanjang laluan.

Pembekal 4
β€” melarang semua manipulasi dengan paket ke arah yang ditentukan.

Apa yang perlu dilakukan dengan VPN (menghormati penyemak imbas Opera) dan pemalam penyemak imbas? Bermain dengan nod Mikrotik pada mulanya, kami juga mendapat resipi intensif sumber untuk L7, yang kemudiannya terpaksa kami tinggalkan (mungkin terdapat lebih banyak nama yang dilarang, ia menjadi sedih apabila, sebagai tambahan kepada tanggungjawab langsungnya untuk laluan, pada 3 dozen ungkapan beban pemproses PPC460GT menjadi 100 %).

Iptables dan menapis trafik daripada penentang yang miskin dan malas.

Apa yang menjadi jelas:
DNS pada 127.0.0.1 sama sekali bukan ubat penawar; versi penyemak imbas moden masih membenarkan anda memintas masalah sedemikian. Adalah mustahil untuk mengehadkan semua pengguna kepada hak yang dikurangkan, dan kita tidak boleh melupakan sejumlah besar DNS alternatif. Internet tidak statik, dan sebagai tambahan kepada alamat DNS baharu, tapak terlarang membeli alamat baharu, menukar domain peringkat atas dan boleh menambah/mengalih keluar aksara dalam alamat mereka. Tetapi masih mempunyai hak untuk hidup seperti:

ip route add blackhole 1.2.3.4

Adalah agak berkesan untuk mendapatkan senarai alamat IP daripada senarai tapak terlarang, tetapi atas sebab yang dinyatakan di atas, kami beralih kepada pertimbangan tentang Iptables. Sudah ada pengimbang langsung pada keluaran CentOS Linux 7.5.1804.

Internet pengguna harus pantas, dan Pelayar tidak perlu menunggu setengah minit, membuat kesimpulan bahawa halaman ini tidak tersedia. Selepas pencarian yang panjang, kami datang ke model ini:
Fail 1 -> /script/denied_host, senarai nama yang dilarang:

test.test
blablabla.bubu
torrent
porno

Fail 2 -> /script/denied_range, senarai ruang alamat dan alamat yang dilarang:

192.168.111.0/24
241.242.0.0/16

Fail skrip 3 -> ipt.shmelakukan kerja dengan itables:

# считываСм ΠΏΠΎΠ»Π΅Π·Π½ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΈΠ· ΠΏΠ΅Ρ€Π΅Ρ‡Π½Π΅ΠΉ Ρ„Π°ΠΉΠ»ΠΎΠ²
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываСм всС настройки iptables, Ρ€Π°Π·Ρ€Π΅ΡˆΠ°Ρ Ρ‚ΠΎ Ρ‡Ρ‚ΠΎ Π½Π΅ Π·Π°ΠΏΡ€Π΅Ρ‰Π΅Π½ΠΎ
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#Ρ€Π΅ΡˆΠ°Π΅ΠΌ ΠΎΠ±Π½ΠΎΠ²ΠΈΡ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚Π°Ρ… (ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡ‚ΡŒ нашСй Π°Ρ€Ρ…ΠΈΡ‚Π΅ΠΊΡ‚ΡƒΡ€Ρ‹)
sudo sh rout.sh
# цикличСски обрабатывая ΠΊΠ°ΠΆΠ΄ΡƒΡŽ строку Ρ„Π°ΠΉΠ»Π° примСняСм ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠΈ строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# цикличСски обрабатывая ΠΊΠ°ΠΆΠ΄ΡƒΡŽ строку Ρ„Π°ΠΉΠ»Π° примСняСм ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠΈ адрСса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

Penggunaan sudo adalah disebabkan oleh fakta bahawa kami mempunyai hack kecil untuk kawalan melalui antara muka WEB, tetapi seperti yang ditunjukkan oleh pengalaman menggunakan model sedemikian selama lebih dari setahun, WEB tidak begitu diperlukan. Selepas pelaksanaan, terdapat keinginan untuk menambah senarai tapak ke pangkalan data, dsb. Bilangan hos yang disekat adalah lebih daripada 250 + sedozen ruang alamat. Terdapat masalah apabila pergi ke tapak melalui sambungan https, seperti pentadbir sistem, saya mempunyai aduan tentang penyemak imbas :), tetapi ini adalah kes khas, kebanyakan pencetus kekurangan akses kepada sumber masih berada di pihak kami , kami juga berjaya menyekat Opera VPN dan pemalam seperti friGate dan telemetri daripada Microsoft.

Iptables dan menapis trafik daripada penentang yang miskin dan malas

Sumber: www.habr.com

Tambah komen