Iptable များနှင့် ဆင်းရဲနွမ်းပါးပြီး ပျင်းရိသော အတိုက်အခံများထံမှ လမ်းကြောင်းများကို စစ်ထုတ်ခြင်း။

တားမြစ်ထားသော အရင်းအမြစ်များသို့ သွားရောက်ခြင်းအား ပိတ်ဆို့ခြင်း၏ ဆက်စပ်မှုသည် သက်ဆိုင်ရာ အာဏာပိုင်များ၏ ဥပဒေ သို့မဟုတ် အမိန့်များကို လိုက်နာရန် ပျက်ကွက်မှုဖြင့် တရားဝင် တရားစွဲဆိုခံရနိုင်သည့် စီမံခန့်ခွဲသူကို ထိခိုက်စေပါသည်။

ကျွန်ုပ်တို့၏လုပ်ငန်းတာဝန်များအတွက် အထူးပြုပရိုဂရမ်များနှင့် ဖြန့်ဖြူးမှုများရှိနေသောအခါ ဥပမာ- Zeroshell၊ pfSense၊ ClearOS တို့ကို ပြန်လည်တီထွင်ပါ။

စီမံခန့်ခွဲမှုတွင် နောက်ထပ်မေးခွန်းတစ်ခုရှိသည်- အသုံးပြုထားသောထုတ်ကုန်တွင် ကျွန်ုပ်တို့၏ပြည်နယ်မှ ဘေးကင်းလုံခြုံရေးလက်မှတ်ရှိပါသလား။

ကျွန်ုပ်တို့သည် အောက်ဖော်ပြပါ ဖြန့်ဖြူးမှုများဖြင့် လုပ်ဆောင်သည့် အတွေ့အကြုံရှိခဲ့ပါသည်။

• Zeroshell - ဆော့ဖ်ဝဲရေးသားသူများသည် 2 နှစ်လိုင်စင်ကိုပင် လှူဒါန်းခဲ့ကြသော်လည်း ကျွန်ုပ်တို့စိတ်ဝင်စားခဲ့သော ဖြန့်ချီရေးကိရိယာသည် ကျွန်ုပ်တို့အတွက် အရေးပါသောလုပ်ဆောင်ချက်ကို လုပ်ဆောင်ခဲ့ကြောင်း၊
• pfSense - တစ်ချိန်တည်းမှာပင် လေးစားဂုဏ်ယူစရာ၊ FreeBSD firewall ၏ command line ကိုအသုံးပြုပြီး ကျွန်ုပ်တို့အတွက် လုံလောက်မှုမရှိပါ (ကျွန်တော်ထင်တာက အကျင့်တစ်ခုလို့ထင်ပေမယ့် မှားယွင်းတဲ့နည်းလမ်းဖြစ်သွားတယ်);
• ClearOS - ကျွန်ုပ်တို့၏ ဟာ့ဒ်ဝဲတွင် ၎င်းသည် အလွန်နှေးကွေးသွားသည်၊ ကျွန်ုပ်တို့သည် ပြင်းထန်သော စမ်းသပ်မှုကို မရနိုင်ပါ၊ ထို့ကြောင့် အဘယ်ကြောင့် ဤမျှလေးလံသော အင်တာဖေ့စ်များသည် အဘယ်ကြောင့်နည်း။
• Ideco SELECTA Ideco ထုတ်ကုန်သည် သီးခြားစကားပြောဆိုမှုတစ်ခုဖြစ်ပြီး စိတ်ဝင်စားစရာကောင်းသည့် ထုတ်ကုန်တစ်ခုဖြစ်သော်လည်း ကျွန်ုပ်တို့အတွက်မဟုတ်သော နိုင်ငံရေးအကြောင်းပြချက်များအတွက်၊ တူညီသော Linux၊ Roundcube စသည်တို့အတွက် လိုင်စင်အကြောင်း ၎င်းတို့ကိုလည်း “ကိုက်” ချင်ပါသည်။ အင်တာဖေ့စ်ကို ဖြတ်ပြီး သူတို့ စိတ်ကူးကို ဘယ်ကရလာတာလဲ။ Python ကို နှင့် superuser လုပ်ပိုင်ခွင့်များကို ရုတ်သိမ်းခြင်းဖြင့်၊ GPL&etc အောက်တွင် ဖြန့်ဝေထားသော အင်တာနက်အသိုင်းအဝန်းမှ တီထွင်ပြီး ပြုပြင်မွမ်းမံထားသော module များဖြင့် ဖွဲ့စည်းထားသော ကုန်ချောကို ရောင်းချနိုင်သည်။

ကျွန်ုပ်၏ပုဂ္ဂလဓိဋ္ဌာန်ခံစားချက်များကို အသေးစိတ်တင်ပြရန် တောင်းဆိုမှုများဖြင့် အနုတ်လက္ခဏာဆောင်သော အာမေဋိတ်များသည် ယခုအခါတွင် ကျွန်ုပ်၏ဦးတည်ချက်ဆီသို့ သွန်းလောင်းလာမည်ကို ကျွန်ုပ်နားလည်ပါသည်၊ သို့သော် ဤကွန်ရက် node သည် အင်တာနက်သို့ ပြင်ပချန်နယ် 4 ခုအတွက် အသွားအလာ ချိန်ခွင်လျှာတစ်ခုလည်းဖြစ်ပြီး ချန်နယ်တစ်ခုစီတွင် ၎င်း၏ကိုယ်ပိုင်လက္ခဏာများရှိသည်၊ . အခြားအုတ်မြစ်မှာ မတူညီသော လိပ်စာနေရာများတွင် အလုပ်လုပ်ရန် ကွန်ရက်အင်တာဖေ့စ်များစွာထဲမှ တစ်ခု လိုအပ်ကြောင်း၊ အဆင်သင့် VLAN များကို လိုအပ်သလို မလိုအပ်သည့် နေရာတိုင်းတွင် အသုံးပြုနိုင်ကြောင်း ဝန်ခံပါ။ အဆင်သင့်မဖြစ်သေးပါ။. TP-Link TL-R480T+ ကဲ့သို့သော အသုံးပြုသည့် စက်ပစ္စည်းများ ရှိသည် - ၎င်းတို့သည် ယေဘုယျအားဖြင့် ၎င်းတို့၏ကိုယ်ပိုင် ကွဲပြားမှုများဖြင့် ပြီးပြည့်စုံစွာ ပြုမူခြင်းမရှိပါ။ Ubuntu ၏တရားဝင်ဝဘ်ဆိုဒ်မှကျေးဇူးတင်စကားတွင်ဤအပိုင်းကို Linux တွင် configure လုပ်နိုင်သည်။ IP Balancing- အင်တာနက်ချန်နယ်များစွာကို တစ်ခုတည်းအဖြစ် ပေါင်းစပ်ခြင်း။. ထို့အပြင်၊ ချန်နယ်တစ်ခုစီသည် မည်သည့်အခိုက်အတန့်တွင်မဆို “ကျ” နိုင်ပြီး တက်လာနိုင်သည်။ သင်သည် လက်ရှိလုပ်ဆောင်နေသော ဇာတ်ညွှန်းကို စိတ်ဝင်စားပါက (၎င်းသည် သီးခြားထုတ်ဝေရန်ထိုက်တန်သည်)၊ မှတ်ချက်များတွင် ရေးပါ။

ထည့်သွင်းစဉ်းစားထားသည့်ဖြေရှင်းချက်သည် ထူးခြားသည်ဟုဆိုမည်မဟုတ်သော်လည်း၊ "အခြားရွေးချယ်စရာတစ်ခုကို ထည့်သွင်းစဉ်းစားနိုင်သောအခါတွင် လုပ်ငန်းတစ်ခုသည် ဟာ့ဒ်ဝဲလိုအပ်ချက်များနှင့်အတူ သံသယရှိသော ပြင်ပထုတ်ကုန်များနှင့် အဘယ်ကြောင့် လိုက်လျောညီထွေဖြစ်သင့်သနည်း။"

ရုရှားဖက်ဒရေးရှင်းတွင် Roskomnadzor စာရင်းရှိပါက၊ ယူကရိန်းတွင် အမျိုးသားလုံခြုံရေးကောင်စီ၏ ဆုံးဖြတ်ချက်၏ နောက်ဆက်တွဲတစ်ခုရှိသည် (ဥပမာ။ ဒီမှာ) ဒါဆို ဒေသခံခေါင်းဆောင်တွေလည်း မအိပ်ကြဘူး။ ဥပမာအားဖြင့်၊ စီမံခန့်ခွဲမှုအမြင်အရ လုပ်ငန်းခွင်အတွင်း ကုန်ထုတ်စွမ်းအားကို ထိခိုက်စေသည့် တားမြစ်ထားသောဆိုဒ်များစာရင်းကို ကျွန်ုပ်တို့အား ပေးအပ်ခဲ့ပါသည်။

ပုံမှန်အားဖြင့် ဆိုက်များအားလုံးကို တားမြစ်ထားပြီး သူဌေး၏ခွင့်ပြုချက်ဖြင့် တောင်းဆိုမှသာ သင်သတ်မှတ်ထားသောဆိုက်ကို ဝင်ရောက်ကြည့်ရှုနိုင်သည်၊ လေးစားစွာပြုံးကာ၊ တွေးခေါ်ကာ “ပြဿနာကို ဆေးလိပ်သောက်ခြင်း” ဟူသော ရည်ရွယ်ချက်ဖြင့် အခြားလုပ်ငန်းကြီးများနှင့် ဆက်သွယ်ပြောဆိုခြင်းဖြင့် ကျွန်ုပ်တို့သည် အသက်တာကို နားလည်လာပါသည်။ ကောင်းနေတုန်းပဲ၊ သူတို့ရှာဖွေမှုကို စတင်ခဲ့တယ်။

အသွားအလာစစ်ထုတ်ခြင်းဆိုင်ရာ "အိမ်ရှင်မများစာအုပ်များ" တွင် သူတို့ရေးထားသည်ကို ခွဲခြမ်းစိတ်ဖြာကြည့်ရုံသာမကဘဲ မတူညီသောဝန်ဆောင်မှုပေးသူ၏ချန်နယ်များတွင်ဖြစ်ပျက်နေသည်ကိုကြည့်ရန်လည်း အခွင့်အလမ်းရှိသဖြင့် အောက်ပါချက်ပြုတ်နည်းများကို သတိပြုမိပါသည် (မည်သည့်စခရင်ပုံများကိုမဆို အနည်းငယ်ဖြတ်ယူထားပါသည်၊ ကျေးဇူးပြု၍ မေးတဲ့အခါ နားလည်ပါတယ်)။

ပံ့ပိုးသူ ၁
— ၎င်း၏ကိုယ်ပိုင် DNS ဆာဗာများနှင့် ပွင့်လင်းမြင်သာသော ပရောက်စီဆာဗာကို အနှောက်အယှက် မပြုပါ။ ကောင်းပြီ?..ဒါပေမယ့်ကျွန်ုပ်တို့လိုအပ်တဲ့နေရာကိုဝင်ရောက်ခွင့်ရှိပါတယ် (ကျွန်ုပ်တို့လိုအပ်ပါက :))

ပံ့ပိုးသူ ၁
- ၎င်း၏ထိပ်တန်းပံ့ပိုးပေးသူသည် ၎င်းကိုစဉ်းစားသင့်သည်ဟု ယုံကြည်သည်၊ တားမြစ်ထားသောဆိုဒ်ကို ကျွန်ုပ်လိုအပ်သောဆိုက်ကို မဖွင့်နိုင်ရသည့်အကြောင်း ထိပ်တန်းပံ့ပိုးပေးသူ၏ နည်းပညာပံ့ပိုးကူညီမှုကပင် ဝန်ခံခဲ့သည်။ ပုံလေးက သဘောကျမယ်ထင်ပါတယ် :)

ထွက်ပေါ်လာသည့်အတိုင်း၊ ၎င်းတို့သည် တားမြစ်ထားသောဆိုက်များ၏အမည်များကို IP လိပ်စာများအဖြစ် ဘာသာပြန်ပြီး IP ကိုယ်တိုင်ပိတ်ဆို့ခြင်း (ဤ IP လိပ်စာသည် ဆိုက် 20 တွင် လက်ခံကျင်းပနိုင်သည်ဟူသောအချက်ကြောင့် ၎င်းတို့သည် အနှောက်အယှက်မဖြစ်စေပါ)။

ပံ့ပိုးသူ ၁
— ထိုနေရာသို့ အသွားအလာကို ခွင့်ပြုသော်လည်း လမ်းကြောင်းတစ်လျှောက် ပြန်သွားခွင့်မပြုပါ။

ပံ့ပိုးသူ ၁
- သတ်မှတ်ထားသော ဦးတည်ချက်တွင် အစုံလိုက်များဖြင့် ခြယ်လှယ်မှုအားလုံးကို တားမြစ်သည်။

VPN (အော်ပရာဘရောက်ဆာကိုလေးစားမှု) နှင့်ဘရောက်ဆာပလပ်အင်များနှင့်ဘာလုပ်ရမလဲ။ အစပိုင်းတွင် node Mikrotik နှင့်ကစားရင်း၊ နောက်ပိုင်းတွင်ကျွန်ုပ်တို့စွန့်လွှတ်ခဲ့ရသည့် L7 အတွက် အရင်းအမြစ်-အသုံးများသော ဟင်းချက်နည်းကိုပင် ရရှိခဲ့သည် (တားမြစ်ထားသောအမည်များ ထပ်မံရှိနိုင်သည်၊ လမ်းကြောင်းများအတွက် ၎င်း၏ တိုက်ရိုက်တာဝန်များအပြင် 3 ဒါဇင်တွင် ဝမ်းနည်းစရာဖြစ်လာပါသည်။ PPC460GT ပရိုဆက်ဆာ load သည် 100% သို့သွားသည်ဟု ဖော်ပြသည်။

.

ဘာတွေရှင်းသွားလဲ
127.0.0.1 ရှိ DNS သည် လုံးဝ panacea မဟုတ်ပါ။ ခေတ်မီဘရောက်ဆာများ၏ ဗားရှင်းများသည် ထိုပြဿနာများကို ကျော်လွှားရန် သင့်ကို ခွင့်ပြုဆဲဖြစ်သည်။ အသုံးပြုသူအားလုံးကို လျှော့ထားသောအခွင့်အရေးများကို ကန့်သတ်ရန်မဖြစ်နိုင်ဘဲ၊ အခြားရွေးချယ်စရာ DNS အများအပြားကို ကျွန်ုပ်တို့ မမေ့သင့်ပါ။ အင်တာနက်သည် အငြိမ်မနေဘဲ၊ DNS လိပ်စာအသစ်များအပြင်၊ တားမြစ်ထားသောဆိုက်များသည် လိပ်စာအသစ်များကို ဝယ်ယူကာ ထိပ်တန်းအဆင့်ဒိုမိန်းများကို ပြောင်းလဲကာ ၎င်းတို့၏လိပ်စာတွင် ဇာတ်ကောင်တစ်ခုကို ထည့်သွင်း/ဖယ်ရှားနိုင်သည်။ သို့သော် ထိုကဲ့သို့သော အရာမျိုးတွင် အသက်ရှင်နေထိုင်ခွင့် ရှိနေသေးသည်-

ip route add blackhole 1.2.3.4

တားမြစ်ထားသောဆိုက်များစာရင်းမှ IP လိပ်စာများစာရင်းကိုရယူခြင်းသည် အလွန်ထိရောက်မှုရှိသော်လည်း အထက်တွင်ဖော်ပြထားသောအကြောင်းများကြောင့်၊ ကျွန်ုပ်တို့သည် Iptables နှင့်ပတ်သက်သော ထည့်သွင်းစဉ်းစားမှုများဆီသို့ ဆက်လက်ရွေ့လျားခဲ့ပါသည်။ CentOS Linux ထုတ်ဝေမှု 7.5.1804 တွင် တိုက်ရိုက်ချိန်ခွင်လျှာရှိပြီးသားဖြစ်သည်။

အသုံးပြုသူ၏အင်တာနက်သည် မြန်ဆန်သင့်ပြီး Browser သည် ဤစာမျက်နှာကို မရရှိနိုင်ကြောင်း နိဂုံးချုပ်အနေဖြင့် မိနစ်ဝက်မျှ မစောင့်သင့်ပါ။ အချိန်အတော်ကြာ ရှာဖွေပြီးနောက် ဤမော်ဒယ်သို့ ကျွန်ုပ်တို့ ရောက်လာသည်-
ဖိုင် 1 --> /script/denied_hostတားမြစ်ထားသောအမည်များစာရင်း-

test.test
blablabla.bubu
torrent
porno

ဖိုင် 2 --> /script/denied_range၊ တားမြစ်ထားသော လိပ်စာနေရာများနှင့် လိပ်စာများစာရင်း-

192.168.111.0/24
241.242.0.0/16

ဇာတ်ညွှန်းဖိုင် 3 -> ipt.shipables ဖြင့် အလုပ် လုပ်သည် ။

# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

sudo ကိုအသုံးပြုခြင်းသည် WEB interface မှတဆင့်စီမံခန့်ခွဲရန်အတွက်သေးငယ်သောဟက်ကာတစ်ခုရှိခြင်းကြောင့်ဖြစ်သည်၊ သို့သော်ထိုကဲ့သို့သောမော်ဒယ်ကိုတစ်နှစ်ကျော်အသုံးပြုခြင်းအတွေ့အကြုံကိုပြသထားသောကြောင့် WEB သည်ထိုမျှမလိုအပ်ပါ။ အကောင်အထည်ဖော်ပြီးနောက်၊ ဒေတာဘေ့စ်သို့ ဆိုက်များစာရင်း စသည်တို့ကို ပေါင်းထည့်လိုစိတ်ရှိခဲ့သည်။ ပိတ်ဆို့ထားသော host အရေအတွက်သည် 250 + လိပ်စာနေရာများ ဒါဇင်ကျော်ဖြစ်သည်။ စနစ်စီမံခန့်ခွဲသူကဲ့သို့ https ချိတ်ဆက်မှုမှတစ်ဆင့် ဝဘ်ဆိုက်တစ်ခုသို့ သွားသည့်အခါတွင် ပြဿနာတစ်ခုရှိပါသည်၊ ကျွန်ုပ်တွင် ဘရောက်ဆာများနှင့် ပတ်သက်၍ တိုင်ကြားမှုများရှိပါသည် :) သို့သော် ၎င်းတို့သည် အထူးကိစ္စရပ်များဖြစ်သည်၊ အရင်းအမြစ်သို့ဝင်ရောက်ခွင့်မရှိခြင်းအတွက် အစပျိုးမှုအများစုမှာ ကျွန်ုပ်တို့ဘက်တွင် ရှိနေဆဲဖြစ်သည်။ Microsoft မှ friGate နှင့် telemetry တို့ကဲ့သို့သော Opera VPN နှင့် ပလပ်အင်များကို အောင်မြင်စွာ ပိတ်ဆို့ထားပါသည်။

source: www.habr.com