Ir-rilevanza tal-imblukkar ta' żjarat għal riżorsi pprojbiti taffettwa kwalunkwe amministratur li jista' jiġi akkużat uffiċjalment b'nuqqas ta' konformità mal-liġi jew l-ordnijiet tal-awtoritajiet rilevanti.
Għaliex tivvinta mill-ġdid ir-rota meta jkun hemm programmi u distribuzzjonijiet speċjalizzati għall-kompiti tagħna, pereżempju: Zeroshell, pfSense, ClearOS.
Il-maniġment kellu mistoqsija oħra: Il-prodott użat għandu ċertifikat tas-sigurtà mill-istat tagħna?
Kellna esperjenza ta’ ħidma mad-distribuzzjonijiet li ġejjin:
- Zeroshell - l-iżviluppaturi saħansitra taw liċenzja ta '2 snin, iżda rriżulta li l-kit ta' distribuzzjoni li konna interessati fih, b'mod illoġiku, wettaq funzjoni kritika għalina;
- pfSense - rispett u unur, fl-istess ħin boring, jidraw il-linja tal-kmand tal-firewall FreeBSD u mhux konvenjenti biżżejjed għalina (naħseb li hija kwistjoni ta 'drawwa, iżda rriżulta li kien il-mod ħażin);
- ClearOS - fuq il-ħardwer tagħna rriżulta li kien bil-mod ħafna, ma stajniex naslu għal ittestjar serju, allura għaliex interfaces tqal bħal dawn?
- Ideco SELECTA. Il-prodott Ideco huwa konverżazzjoni separata, prodott interessanti, iżda għal raġunijiet politiċi mhux għalina, u nixtieq ukoll "gidma" dwar il-liċenzja għall-istess Linux, Roundcube, eċċ. Fejn ma ħadu l-idea li billi jaqtgħu l-interface fis Python u billi jneħħu d-drittijiet tas-superuser, jistgħu jbigħu prodott lest magħmul minn moduli żviluppati u modifikati mill-komunità tal-Internet imqassma taħt GPL&etc.
Nifhem li issa esklamazzjonijiet negattivi se jferrgħu fid-direzzjoni tiegħi b'talbiet biex jissostanzjaw is-sentimenti suġġettivi tiegħi fid-dettall, imma nixtieq ngħid li dan in-node tan-netwerk huwa wkoll bilanċjatur tat-traffiku għal 4 kanali esterni għall-Internet, u kull kanal għandu l-karatteristiċi tiegħu stess . Pedament ieħor kien il-ħtieġa għal waħda minn diversi interfaces tan-netwerk biex taħdem fi spazji ta 'indirizzi differenti, u I lest jammettu li l-VLANs jistgħu jintużaw kullimkien fejn meħtieġ u mhux meħtieġ mhux lest. Hemm apparati li qed jintużaw bħal TP-Link TL-R480T+ - ma jaġixxux perfettament, b'mod ġenerali, bl-sfumaturi tagħhom stess. Kien possibbli li tiġi kkonfigurata din il-parti fuq Linux grazzi għall-websajt uffiċjali ta 'Ubuntu . Barra minn hekk, kull wieħed mill-kanali jista '"waqa" fi kwalunkwe mument, kif ukoll jitla'. Jekk inti interessat fi skript li bħalissa qed jaħdem (u dan jiswa pubblikazzjoni separata), ikteb fil-kummenti.
Is-soluzzjoni li qed tiġi kkunsidrata ma tippretendix li hija unika, iżda nixtieq nagħmel il-mistoqsija: "Għaliex għandha intrapriża tadatta għal prodotti dubjużi ta' partijiet terzi b'rekwiżiti serji ta' hardware meta tista' tiġi kkunsidrata għażla alternattiva?"
Jekk fil-Federazzjoni Russa hemm lista ta 'Roskomnadzor, fl-Ukraina hemm anness għad-Deċiżjoni tal-Kunsill tas-Sigurtà Nazzjonali (per eżempju. ), allura l-mexxejja lokali lanqas jorqdu. Pereżempju, ingħatajna lista ta’ siti pprojbiti li, fl-opinjoni tal-maniġment, ifixklu l-produttività fuq il-post tax-xogħol.
Il-komunikazzjoni ma 'kollegi f'intrapriżi oħra, fejn awtomatikament is-siti kollha huma pprojbiti u biss fuq talba bil-permess tal-boxxla tista' taċċessa sit speċifiku, titbissem b'rispett, taħseb u "tipjip fuq il-problema", sirna nifhmu li l-ħajja għadu tajjeb u bdejna t-tfittxija tagħhom.
Wara li l-opportunità mhux biss biex tara b'mod analitiku dak li jiktbu fil-"kotba tan-nisa tad-dar" dwar il-filtrazzjoni tat-traffiku, iżda wkoll biex tara x'qed jiġri fuq il-kanali ta 'fornituri differenti, aħna ndunajna r-riċetti li ġejjin (kwalunkwe screenshots huma ftit maqtugħa, jekk jogħġbok tifhem meta tistaqsi):
Fornitur 1
— ma jiddejjaqx u jimponi s-servers DNS tiegħu stess u proxy server trasparenti. Tajjeb?.. imma għandna aċċess fejn għandna bżonnha (jekk għandna bżonnha :))
Fornitur 2
- jemmen li l-aqwa fornitur tiegħu għandu jaħseb dwar dan, l-appoġġ tekniku tal-aqwa fornitur saħansitra ammetta għaliex ma stajtx niftaħ is-sit li kelli bżonn, li ma kienx ipprojbit. Naħseb li l-istampa ser tiddovertik :)
Kif irriżulta, jittraduċu l-ismijiet ta 'siti pprojbiti f'indirizzi IP u jimblokkaw l-IP innifsu (mhumiex imdejqa mill-fatt li dan l-indirizz IP jista' jospita siti 20).
Fornitur 3
— jippermetti lit-traffiku jmur hemm, iżda ma jħallihx lura tul ir-rotta.
Fornitur 4
— jipprojbixxi l-manipulazzjonijiet kollha b'pakketti fid-direzzjoni speċifikata.
X'għandek tagħmel mal-VPN (rispett għall-brawżer Opera) u l-plugins tal-browser? Nilagħbu man-node Mikrotik għall-ewwel, saħansitra ksibna riċetta li tuża ħafna riżorsi għal L7, li aktar tard kellna nabbandunaw (jista 'jkun hemm aktar ismijiet projbiti, isir imdejjaq meta, minbarra r-responsabbiltajiet diretti tiegħu għar-rotot, fuq 3 tużżana espressjonijiet it-tagħbija tal-proċessur PPC460GT tmur għal 100 %).
.
Dak li sar ċar:
DNS fuq 127.0.0.1 assolutament mhuwiex rimedju; verżjonijiet moderni tal-browsers xorta jippermettulek tevita problemi bħal dawn. Huwa impossibbli li l-utenti kollha jiġu limitati għal drittijiet imnaqqsa, u ma rridux ninsew dwar in-numru kbir ta 'DNS alternattivi. L-Internet mhuwiex statiku, u minbarra l-indirizzi DNS ġodda, is-siti pprojbiti jixtru indirizzi ġodda, ibiddlu dominji tal-ogħla livell, u jistgħu jżidu/neħħu karattru fl-indirizz tagħhom. Iżda xorta għandu d-dritt li jgħix xi ħaġa bħal:
ip route add blackhole 1.2.3.4Ikun pjuttost effettiv li tinkiseb lista ta 'indirizzi IP mil-lista ta' siti pprojbiti, iżda għar-raġunijiet imsemmija hawn fuq, għaddejna għal kunsiderazzjonijiet dwar Iptables. Diġà kien hemm bilanċjar ħaj fuq ir-rilaxx CentOS Linux 7.5.1804.
L-Internet tal-utent għandu jkun mgħaġġel, u l-Browser m'għandux jistenna nofs minuta, u jikkonkludi li din il-paġna mhix disponibbli. Wara tfittxija twila wasalna għal dan il-mudell:
Fajl 1 -> /script/denied_host, lista ta' ismijiet pprojbiti:
test.test
blablabla.bubu
torrent
pornoFajl 2 -> /script/denied_range, lista ta' spazji ta' indirizzi u indirizzi pprojbiti:
192.168.111.0/24
241.242.0.0/16Fajl tal-iskript 3 -> ipt.shtagħmel ix-xogħol bl-ipables:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
L-użu ta 'sudo huwa dovut għall-fatt li għandna hack żgħir għall-ġestjoni permezz tal-interface WEB, iżda kif uriet esperjenza fl-użu ta' mudell bħal dan għal aktar minn sena, WEB mhux daqshekk meħtieġ. Wara l-implimentazzjoni, kien hemm ix-xewqa li tiżdied lista ta 'siti fid-database, eċċ. In-numru ta 'hosts imblukkati huwa aktar minn 250 + tużżana spazji ta' indirizzi. Tassew hemm problema meta mmur f'sit permezz ta' konnessjoni https, bħall-amministratur tas-sistema, għandi ilmenti dwar il-browsers :), iżda dawn huma każijiet speċjali, ħafna mill-kawżi għan-nuqqas ta 'aċċess għar-riżors għadhom min-naħa tagħna , aħna wkoll b'suċċess jimblokkaw Opera VPN u plugins bħal friGate u telemetrija minn Microsoft.
Sors: www.habr.com