De relevantie van het blokkeren van bezoeken aan verboden bronnen is van invloed op elke beheerder die officieel kan worden beschuldigd van het niet naleven van de wet of bevelen van de relevante autoriteiten.
Waarom het wiel opnieuw uitvinden als er gespecialiseerde programma's en distributies zijn voor onze taken, bijvoorbeeld: Zeroshell, pfSense, ClearOS.
Het management had nog een vraag: heeft het gebruikte product een veiligheidscertificaat van onze staat?
Wij hadden ervaring met het werken met de volgende distributies:
- Zeroshell - de ontwikkelaars hebben zelfs een licentie voor twee jaar gedoneerd, maar het bleek dat de distributiekit waarin we geΓ―nteresseerd waren, onlogisch, een cruciale functie voor ons vervulde;
- pfSense - respect en eer, tegelijkertijd saai, wennen aan de opdrachtregel van de FreeBSD-firewall en niet handig genoeg voor ons (ik denk dat het een kwestie van gewoonte is, maar het bleek de verkeerde manier te zijn);
- ClearOS - op onze hardware bleek het erg traag te zijn, we konden niet serieus testen, dus waarom zulke zware interfaces?
- Ideco SELECTA. Het Ideco-product is een apart gesprek, een interessant product, maar om politieke redenen niet voor ons, en ik wil ze ook βbijtenβ over de licentie voor dezelfde Linux, Roundcube, enz. Waar haalden ze dat idee vandaan door de interface in te korten Python en door de superuser-rechten weg te nemen, kunnen ze een eindproduct verkopen dat bestaat uit ontwikkelde en aangepaste modules van de internetgemeenschap, gedistribueerd onder GPL&etc.
Ik begrijp dat er nu negatieve uitroepen in mijn richting zullen stromen met eisen om mijn subjectieve gevoelens in detail te onderbouwen, maar ik wil zeggen dat dit netwerkknooppunt ook een verkeersbalancer is voor 4 externe kanalen naar internet, en dat elk kanaal zijn eigen kenmerken heeft . Een andere hoeksteen was de behoefte aan een van de verschillende netwerkinterfaces om in verschillende adresruimten te werken, en ik Π³ΠΎΡΠΎΠ² geef toe dat VLAN's overal kunnen worden gebruikt waar dat nodig en niet nodig is niet klaar. Er zijn apparaten in gebruik zoals de TP-Link TL-R480T+ - deze gedragen zich over het algemeen niet perfect met hun eigen nuances. Het was mogelijk om dit onderdeel op Linux te configureren dankzij de officiΓ«le Ubuntu-website . Bovendien kan elk van de kanalen op elk moment βdalenβ, maar ook stijgen. Als je geΓ―nteresseerd bent in een script dat momenteel werkt (en dit is een aparte publicatie waard), schrijf dan in de reacties.
De oplossing die wordt overwogen beweert niet uniek te zijn, maar ik zou de vraag willen stellen: "Waarom zou een onderneming zich moeten aanpassen aan dubieuze producten van derden met ernstige hardwarevereisten als een alternatieve optie kan worden overwogen?"
Als er in de Russische Federatie een lijst van Roskomnadzor bestaat, is er in OekraΓ―ne een bijlage bij het besluit van de Nationale Veiligheidsraad (bijvoorbeeld. ), dan slapen lokale leiders ook niet. We kregen bijvoorbeeld een lijst met verboden sites die, naar de mening van het management, de productiviteit op de werkplek schaden.
Door te communiceren met collega's bij andere bedrijven, waar standaard alle sites verboden zijn en alleen op verzoek en met toestemming van de baas toegang krijgt tot een specifieke site, respectvol glimlachend, nadenkend en "rokend over het probleem", kwamen we tot het inzicht dat het leven is nog steeds goed en we zijn op zoek gegaan.
Omdat we niet alleen de mogelijkheid hadden om analytisch te zien wat ze in de 'boeken van huisvrouwen' schrijven over het filteren van verkeer, maar ook om te zien wat er gebeurt op de kanalen van verschillende providers, hebben we de volgende recepten opgemerkt (eventuele schermafbeeldingen zijn een beetje bijgesneden, alstublieft begrijpen als je het vraagt):
Aanbieder 1
β doet er geen moeite mee en legt zijn eigen DNS-servers en een transparante proxyserver op. Nou?.. maar we hebben toegang tot waar we het nodig hebben (als we het nodig hebben :))
Aanbieder 2
- vindt dat zijn topaanbieder hierover moet nadenken, de technische ondersteuning van de topaanbieder gaf zelfs toe waarom ik de site die ik nodig had niet kon openen, wat niet verboden was. Ik denk dat de foto je zal vermaken :)
Het bleek dat ze de namen van verboden sites vertalen naar IP-adressen en het IP-adres zelf blokkeren (ze hebben er geen last van dat dit IP-adres 20 sites kan hosten).
Aanbieder 3
β laat het verkeer daarheen gaan, maar laat het niet terug langs de route toe.
Aanbieder 4
β verbiedt alle manipulaties met pakketten in de opgegeven richting.
Wat te doen met VPN (met betrekking tot de Opera-browser) en browserplug-ins? Door eerst met het knooppunt Mikrotik te spelen, kregen we zelfs een recept voor L7 dat veel middelen kostte, dat we later moesten opgeven (er kunnen meer verboden namen zijn, het wordt triest wanneer, naast de directe verantwoordelijkheden voor routes, op 3 dozijn expressies gaat de processorbelasting van de PPC460GT naar 100 %).
.
Wat duidelijk werd:
DNS op 127.0.0.1 is absoluut geen wondermiddel; met moderne browserversies kun je dergelijke problemen nog steeds omzeilen. Het is onmogelijk om alle gebruikers te beperken tot verminderde rechten, en we mogen het enorme aantal alternatieve DNS niet vergeten. Het internet is niet statisch en naast nieuwe DNS-adressen kunnen verboden sites ook nieuwe adressen kopen, topniveaudomeinen wijzigen en een teken aan hun adres toevoegen/verwijderen. Maar heeft nog steeds het recht om zoiets te leven als:
ip route add blackhole 1.2.3.4Het zou behoorlijk effectief zijn om een ββlijst met IP-adressen te verkrijgen uit de lijst met verboden sites, maar om de hierboven genoemde redenen zijn we verder gegaan met de overwegingen over Iptables. Er was al een live balancer op CentOS Linux release 7.5.1804.
Het internet van de gebruiker moet snel zijn en de browser mag geen halve minuut wachten om te concluderen dat deze pagina niet beschikbaar is. Na lang zoeken kwamen we bij dit model uit:
Bestand 1 -> /script/geweigerde_host, lijst met verboden namen:
test.test
blablabla.bubu
torrent
pornoBestand 2 -> /script/geweigerd_bereik, lijst met verboden adresruimten en adressen:
192.168.111.0/24
241.242.0.0/16Scriptbestand 3 -> ipt.shhet werk doen met ipables:
# ΡΡΠΈΡΡΠ²Π°Π΅ΠΌ ΠΏΠΎΠ»Π΅Π·Π½ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΈΠ· ΠΏΠ΅ΡΠ΅ΡΠ½Π΅ΠΉ ΡΠ°ΠΉΠ»ΠΎΠ²
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# ΡΠ±ΡΠ°ΡΡΠ²Π°Π΅ΠΌ Π²ΡΠ΅ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ iptables, ΡΠ°Π·ΡΠ΅ΡΠ°Ρ ΡΠΎ ΡΡΠΎ Π½Π΅ Π·Π°ΠΏΡΠ΅ΡΠ΅Π½ΠΎ
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#ΡΠ΅ΡΠ°Π΅ΠΌ ΠΎΠ±Π½ΠΎΠ²ΠΈΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΎ ΠΌΠ°ΡΡΡΡΡΠ°Ρ
(ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡΡ Π½Π°ΡΠ΅ΠΉ Π°ΡΡ
ΠΈΡΠ΅ΠΊΡΡΡΡ)
sudo sh rout.sh
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ ΡΡΡΠΎΠΊΠΈ
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ Π°Π΄ΡΠ΅ΡΠ°
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Het gebruik van sudo is te wijten aan het feit dat we een kleine hack hebben voor het beheer via de WEB-interface, maar zoals de ervaring met het gebruik van een dergelijk model gedurende meer dan een jaar heeft geleerd, is WEB niet zo noodzakelijk. Na de implementatie was er de wens om een ββlijst met sites aan de database toe te voegen, enz. Het aantal geblokkeerde hosts is meer dan 250 + een tiental adresruimtes. Er is echt een probleem als je naar een site gaat via een https-verbinding, zoals de systeembeheerder, ik heb klachten over browsers :), maar dit zijn speciale gevallen, de meeste triggers voor gebrek aan toegang tot de bron liggen nog steeds aan onze kant , blokkeren we ook met succes Opera VPN en plug-ins zoals friGate en telemetrie van Microsoft.
Bron: www.habr.com