गरीब र अल्छी असन्तुष्टहरूबाट Iptables र फिल्टरिङ ट्राफिक

प्रतिबन्धित स्रोतहरूमा भ्रमणहरू अवरुद्ध गर्ने सान्दर्भिकताले कुनै पनि प्रशासकलाई असर गर्छ जसलाई आधिकारिक रूपमा कानून वा सम्बन्धित अधिकारीहरूको आदेशहरूको पालना गर्न असफल भएको आरोप लगाइन्छ।

हाम्रा कार्यहरूका लागि विशेष कार्यक्रमहरू र वितरणहरू हुँदा ह्वीललाई किन पुन: आविष्कार गर्ने, उदाहरणका लागि: Zeroshell, pfSense, ClearOS।

व्यवस्थापनसँग अर्को प्रश्न थियो: के प्रयोग गरिएको उत्पादनसँग हाम्रो राज्यबाट सुरक्षा प्रमाणपत्र छ?

हामीसँग निम्न वितरणहरूसँग काम गर्ने अनुभव थियो:

• Zeroshell - विकासकर्ताहरूले 2-वर्षको इजाजतपत्र पनि दान गरे, तर यो पत्ता लाग्यो कि हामीले चासो राखेको वितरण किट, अतार्किक रूपमा, हाम्रो लागि एक महत्वपूर्ण कार्य प्रदर्शन गर्‍यो;
• pfSense - सम्मान र सम्मान, एकै समयमा बोरिंग, FreeBSD फायरवालको कमाण्ड लाइनमा बानी बस्नु र हाम्रो लागि पर्याप्त सुविधाजनक छैन (मलाई लाग्छ कि यो बानीको कुरा हो, तर यो गलत तरिका हो);
• ClearOS - हाम्रो हार्डवेयरमा यो धेरै ढिलो भयो, हामी गम्भीर परीक्षणमा पुग्न सकेनौं, त्यसोभए किन यस्तो भारी इन्टरफेसहरू?
• Ideco SELECTA। Ideco उत्पादन एक अलग कुराकानी हो, एक चाखलाग्दो उत्पादन, तर राजनीतिक कारणले हाम्रो लागि होइन, र म पनि उही लिनक्स, Roundcube, इत्यादि को लागी लाइसेन्स को बारे मा "बाइट" गर्न चाहन्छु। उनीहरुले कहाँबाट इन्टरफेस काटेर यो आइडिया पाए अजगर र सुपर प्रयोगकर्ता अधिकारहरू खोसेर, तिनीहरूले GPL&etc अन्तर्गत वितरित इन्टरनेट समुदायबाट विकसित र परिमार्जित मोड्युलहरू मिलेर बनेको उत्पादन बेच्न सक्छन्।

म बुझ्छु कि अब नकारात्मक विस्मयादिबोधकहरू मेरो दिशामा मेरो व्यक्तिपरक भावनाहरूलाई विस्तृत रूपमा प्रमाणित गर्नका लागि मागहरूसँग खन्याइनेछन्, तर म भन्न चाहन्छु कि यो नेटवर्क नोड इन्टरनेटमा 4 बाह्य च्यानलहरूको लागि ट्राफिक ब्यालेन्सर पनि हो, र प्रत्येक च्यानलको आफ्नै विशेषताहरू छन्। । अर्को आधारशिला विभिन्न ठेगाना ठाउँहरूमा काम गर्न धेरै नेटवर्क इन्टरफेसहरू मध्ये एउटाको आवश्यकता थियो, र म तयार VLAN हरू जहाँ आवश्यक र आवश्यक नभएको ठाउँमा प्रयोग गर्न सकिन्छ भनी स्वीकार गर्नुहोस् तयार छैन। त्यहाँ TP-Link TL-R480T+ जस्ता यन्त्रहरू प्रयोगमा छन् - तिनीहरू पूर्ण रूपमा व्यवहार गर्दैनन्, सामान्यतया, तिनीहरूको आफ्नै सूक्ष्मताहरूसँग। लिनक्समा यो भाग कन्फिगर गर्न सम्भव थियो Ubuntu आधिकारिक वेबसाइटको लागि धन्यवाद आईपी ​​ब्यालेन्सिङ: धेरै इन्टरनेट च्यानलहरू एकमा मिलाएर। यसबाहेक, प्रत्येक च्यानल कुनै पनि क्षणमा "पतन" हुन सक्छ, साथै उठ्न सक्छ। यदि तपाइँ हाल काम गरिरहेको स्क्रिप्टमा रुचि राख्नुहुन्छ (र यो छुट्टै प्रकाशनको लायक छ), टिप्पणीहरूमा लेख्नुहोस्।

विचाराधीन समाधान अद्वितीय भएको दाबी गर्दैन, तर म यो प्रश्न सोध्न चाहन्छु: "वैकल्पिक विकल्पलाई विचार गर्न सकिन्छ भने गम्भीर हार्डवेयर आवश्यकताहरूको साथ तेस्रो-पक्ष संदिग्ध उत्पादनहरूमा उद्यमले किन अनुकूलन गर्नुपर्छ?"

यदि रूसी संघमा Roskomnadzor को सूची छ भने, युक्रेनमा राष्ट्रिय सुरक्षा परिषद्को निर्णयको अनुलग्नक छ (उदाहरणका लागि। हेरत्यसपछि स्थानीय नेताहरू पनि सुत्दैनन् । उदाहरणका लागि, हामीलाई प्रतिबन्धित साइटहरूको सूची दिइएको थियो, जसले व्यवस्थापनको विचारमा, कार्यस्थलमा उत्पादकतालाई कमजोर बनाउँछ।

अन्य उद्यमहरूमा सहकर्मीहरूसँग कुराकानी गर्दै, जहाँ पूर्वनिर्धारित रूपमा सबै साइटहरू प्रतिबन्धित छन् र मालिकको अनुमतिको साथ अनुरोधमा मात्र तपाइँ एक विशिष्ट साइट पहुँच गर्न सक्नुहुन्छ, सम्मानपूर्वक मुस्कुराउँदै, सोच्दै र "समस्यामा धुम्रपान", हामी बुझ्यौं कि जीवन। अझै राम्रो छ र हामीले उनीहरूको खोजी सुरु गर्यौं।

ट्राफिक फिल्टरिङको बारेमा "गृहिणीहरूका पुस्तकहरू" मा उनीहरूले के लेख्छन् भनेर विश्लेषणात्मक रूपमा हेर्ने अवसर पाएर, तर विभिन्न प्रदायकहरूको च्यानलहरूमा के भइरहेको छ भनेर हेर्नको लागि, हामीले निम्न व्यञ्जनहरू देख्यौं (कुनै पनि स्क्रिनसटहरू थोरै क्रप गरिएका छन्, कृपया सोध्दा बुझ्नुहोस्):

प्रदायक १
- यसको आफ्नै DNS सर्भरहरू र पारदर्शी प्रोक्सी सर्भरलाई चिन्ता र लागू गर्दैन। ठीक छ? .. तर हामीसँग जहाँ आवश्यक छ त्यहाँ पहुँच छ (यदि हामीलाई आवश्यक छ :))

प्रदायक १
- विश्वास गर्दछ कि उनको शीर्ष प्रदायकले यस बारे सोच्नु पर्छ, शीर्ष प्रदायकको प्राविधिक समर्थनले पनि स्वीकार गर्यो किन मैले मलाई चाहिएको साइट खोल्न सकिन, जुन निषेध गरिएको थिएन। मलाई लाग्छ तस्बिरले तपाईंलाई मनोरञ्जन दिनेछ :)

जसरी यो बाहिरियो, तिनीहरूले प्रतिबन्धित साइटहरूको नामहरू IP ठेगानाहरूमा अनुवाद गर्छन् र IP आफैंलाई ब्लक गर्छन् (यस IP ठेगानाले 20 साइटहरू होस्ट गर्न सक्छ भन्ने तथ्यबाट तिनीहरू चिन्तित छैनन्)।

प्रदायक १
- ट्राफिकलाई त्यहाँ जान अनुमति दिन्छ, तर यसलाई मार्गमा फिर्ता अनुमति दिँदैन।

प्रदायक १
- निर्दिष्ट दिशामा प्याकेटहरूसँग सबै हेरफेरहरूलाई निषेध गर्दछ।

VPN (ओपेरा ब्राउजरको सम्मान) र ब्राउजर प्लगइनहरूसँग के गर्ने? सुरुमा नोड Mikrotik सँग खेल्दै, हामीले L7 को लागी एक संसाधन-गहन नुस्खा पनि पायौं, जुन हामीले पछि त्याग्नुपर्‍यो (त्यहाँ धेरै प्रतिबन्धित नामहरू हुन सक्छन्, यो दुखी हुन्छ जब, मार्गहरूको लागि यसको प्रत्यक्ष जिम्मेवारीहरू बाहेक, 3 दर्जनमा। अभिव्यक्ति PPC460GT प्रोसेसर लोड 100% मा जान्छ)।

.

के स्पष्ट भयो:
127.0.0.1 मा DNS बिल्कुल एक रामबाण छैन; ब्राउजरहरूको आधुनिक संस्करणहरूले अझै पनि तपाईंलाई त्यस्ता समस्याहरू बाइपास गर्न अनुमति दिन्छ। सबै प्रयोगकर्ताहरूलाई कम अधिकारहरूमा सीमित गर्न असम्भव छ, र हामीले वैकल्पिक DNS को ठूलो संख्याको बारेमा बिर्सनु हुँदैन। इन्टरनेट स्थिर छैन, र नयाँ DNS ठेगानाहरूको अतिरिक्त, निषेधित साइटहरूले नयाँ ठेगानाहरू खरीद गर्छन्, शीर्ष-स्तर डोमेनहरू परिवर्तन गर्न सक्छन्, र तिनीहरूको ठेगानामा क्यारेक्टर थप्न/हटाउन सक्छन्। तर अझै पनि केहि बाँच्ने अधिकार छ:

ip route add blackhole 1.2.3.4

प्रतिबन्धित साइटहरूको सूचीबाट IP ठेगानाहरूको सूची प्राप्त गर्न यो एकदम प्रभावकारी हुनेछ, तर माथि उल्लेखित कारणहरूका लागि, हामी Iptables को बारेमा विचार गर्न अगाडि बढ्यौं। CentOS लिनक्स रिलीज 7.5.1804 मा पहिले नै लाइभ ब्यालेन्सर थियो।

प्रयोगकर्ताको इन्टरनेट छिटो हुनुपर्छ, र ब्राउजरले आधा मिनेट पर्खनु हुँदैन, यो पृष्ठ उपलब्ध छैन भन्ने निष्कर्षमा। लामो खोज पछि हामी यो मोडेलमा आयौं:
फाइल १ -> /script/denied_host, निषेधित नामहरूको सूची:

test.test
blablabla.bubu
torrent
porno

फाइल १ -> /script/denied_range, निषेधित ठेगाना स्पेस र ठेगानाहरूको सूची:

192.168.111.0/24
241.242.0.0/16

स्क्रिप्ट फाइल 3 -> ipt.shipables संग काम गर्दै:

# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

sudo को प्रयोग यस तथ्यको कारण हो कि हामीसँग WEB इन्टरफेस मार्फत नियन्त्रणको लागि सानो ह्याक छ, तर एक वर्ष भन्दा बढीको लागि यस्तो मोडेल प्रयोग गर्ने अनुभवले देखाएको छ, WEB त्यति आवश्यक छैन। कार्यान्वयन पछि, डाटाबेस, इत्यादिमा साइटहरूको सूची थप्ने इच्छा थियो। अवरुद्ध होस्टहरूको संख्या 250 + एक दर्जन ठेगाना खाली ठाउँहरू भन्दा बढी छ। https जडान मार्फत साइटमा जाँदा त्यहाँ वास्तवमै समस्या छ, जस्तै प्रणाली प्रशासक, मसँग ब्राउजरहरूको बारेमा गुनासो छ :), तर यी विशेष केसहरू हुन्, स्रोतमा पहुँचको कमीको लागि धेरै ट्रिगरहरू अझै पनि हाम्रो पक्षमा छन्। , हामीले Microsoft बाट Opera VPN र friGate र telemetry जस्ता प्लगइनहरू पनि सफलतापूर्वक अवरुद्ध गर्छौं।

स्रोत: www.habr.com