ممنوع سرچینو ته د لیدنو د بندولو تړاو هر هغه مدیر باندې تاثیر کوي چې ممکن په رسمي ډول د اړوندو چارواکو قانون یا امرونو سره په مطابقت کې د ناکامۍ تور ولګول شي.
ولې څرخ بیا ایجاد کړئ کله چې زموږ د دندو لپاره ځانګړي برنامې او توزیع شتون ولري ، د مثال په توګه: زیروشیل ، pfSense ، ClearOS.
مدیریت بله پوښتنه درلوده: ایا کارول شوي محصول زموږ د دولت څخه د خوندیتوب سند لري؟
موږ د لاندې توزیع سره کار کولو تجربه درلوده:
- زیروشیل - پراختیا کونکو حتی د 2 کلن جواز مرسته وکړه ، مګر دا معلومه شوه چې د توزیع کټ چې موږ یې علاقه درلوده ، په غیر منطقي ډول زموږ لپاره مهم فعالیت ترسره کړ؛
- pfSense - درناوی او درناوی، په ورته وخت کې ستړیا، د FreeBSD فایروال کمانډ لاین ته عادت کول او زموږ لپاره کافي نه دي (زما په اند دا د عادت خبره ده، مګر دا غلطه لاره وه)؛
- ClearOS - زموږ په هارډویر کې دا خورا ورو وګرځید ، موږ نشو کولی جدي ازموینې ته ورسیږو ، نو ولې دومره درانه انٹرفیسونه؟
- Ideco SELECTA. د ایډیکو محصول یو جلا خبرې اترې دي، یو په زړه پورې محصول، مګر د سیاسي دلایلو لپاره زموږ لپاره نه، او زه هم غواړم دوی د ورته لینکس، راؤنډ کیوب، او نورو لپاره د جواز په اړه "چټک" کړم. دوی دا نظر چیرته ترلاسه کړ چې د انٹرفیس په پرې کولو سره Python او د سوپر کاروونکي حقونه په نیولو سره، دوی کولی شي د GPL&etc لاندې ویشل شوي د انټرنیټ ټولنې څخه د پرمختللي او بدل شوي ماډلونو څخه جوړ شوي محصول وپلوري.
زه پوهیږم چې اوس به منفي افکار زما لوري ته د غوښتنو سره توجیه کړي ترڅو زما د موضوع احساسات په تفصیل سره ثابت کړي، مګر زه غواړم ووایم چې دا د شبکې نوډ انټرنیټ ته د 4 بهرنیو چینلونو لپاره د ټرافیک توازن هم دی، او هر چینل خپل ځانګړتیاوې لري. . یو بل بنسټ د ډیری شبکې انٹرفیسونو څخه یو ته اړتیا وه چې په مختلف پته ځایونو کې کار وکړي، او I چمتو دا ومنئ چې VLANs په هر ځای کې کارول کیدی شي چیرې چې اړین وي او اړین نه وي چمتو نه دی. داسې وسیلې شتون لري چې کارول کیږي لکه TP-Link TL-R480T+ - دوی په بشپړ ډول چلند نه کوي ، په عموم کې ، د خپلو باریکیو سره. دا ممکنه وه چې دا برخه په لینکس کې تنظیم کړئ د اوبنټو رسمي ویب پا toې څخه مننه . سربیره پردې، هر چینل کولی شي په هر وخت کې "راښکته" شي، او همدارنګه لوړ شي. که تاسو د هغه سکریپټ سره علاقه لرئ چې اوس مهال کار کوي (او دا د جلا خپرونې ارزښت لري) ، په نظرونو کې ولیکئ.
د غور لاندې حل د ځانګړي کیدو ادعا نه کوي ، مګر زه غواړم دا پوښتنه وپوښتم: "ولې یو شرکت باید د دریمې ډلې مشکوک محصولاتو سره د جدي هارډویر اړتیاو سره تطابق وکړي کله چې یو بدیل اختیار په پام کې ونیول شي؟"
که چیرې په روسیه کې د Roskomnadzor لیست شتون ولري، په اوکراین کې د ملي امنیت شورا د پریکړې سره ضمیمه شتون لري (د بیلګې په توګه. )، بیا محلي مشران هم خوب نه کوي. د بیلګې په توګه، موږ ته د منع شوي سایټونو لیست راکړل شوی و چې د مدیریت په نظر کې، د کار ځای کې د تولید زیان رسوي.
په نورو تصدیو کې د همکارانو سره خبرې کول ، چیرې چې په ډیفالټ ډول ټول سایټونه منع دي او یوازې د مالک په غوښتنه تاسو کولی شئ ځانګړي سایټ ته لاسرسی ومومئ ، په درناوي موسکا کول ، فکر کول او "د ستونزې په اړه سګرټ څښل" ، موږ پوهیږو چې ژوند لاهم ښه دی او موږ د دوی لټون پیل کړ.
د دې فرصت په درلودلو سره چې نه یوازې په تحلیلي ډول وګورئ چې دوی د ترافیک فلټر کولو په اړه "د کور میرمنو کتابونو" کې څه لیکي ، بلکه دا هم وګورو چې د مختلف چمتو کونکو چینلونو کې څه پیښیږي ، موږ لاندې ترکیبونه ولیدل (هر ډول سکرین شاټونه یو څه کرپ شوي دي ، مهرباني وکړئ پوه شئ کله چې پوښتنه وکړئ):
وړاندې کوونکی ۱
- د خپل DNS سرورونه او یو شفاف پراکسي سرور نه ځوروي او نه یې تحمیلوي. ښه؟ .. مګر موږ هغه ځای ته لاسرسی لرو چې ورته اړتیا لرو (که موږ ورته اړتیا لرو :))
وړاندې کوونکی ۱
- باور لري چې د هغه لوړ چمتو کونکی باید پدې اړه فکر وکړي ، د لوړ چمتو کونکي تخنیکي ملاتړ حتی اعتراف وکړ چې ولې زه نشم کولی هغه سایټ خلاص کړم چې زه ورته اړتیا لرم ، کوم چې منع نه و. زه فکر کوم چې عکس به تاسو خوښ کړي :)
لکه څنګه چې دا معلومه شوه، دوی د منع شوي سایټونو نومونه په IP پته کې ژباړي او IP پخپله بلاک کوي (دوی د دې حقیقت په اړه اندیښنه نلري چې دا IP پته کولی شي 20 سایټونه کوربه کړي).
وړاندې کوونکی ۱
- ترافیک ته اجازه ورکوي چې هلته لاړ شي، مګر د لارې په اوږدو کې بیرته اجازه نه ورکوي.
وړاندې کوونکی ۱
- په ټاکل شوي لوري کې د کڅوړو سره ټولې لاسوهنې منع کوي.
د VPN (اوپیرا براوزر ته په درناوي) او د براوزر پلگ انونو سره څه وکړئ؟ په لومړي سر کې د مایکروټیک نوډ سره لوبې کول ، موږ حتی د L7 لپاره د سرچینې متمرکز ترکیب ترلاسه کړ ، کوم چې موږ یې وروسته پریښودو (شاید ډیر منع شوي نومونه شتون ولري ، دا غمجن کیږي کله چې د لارو لپاره د مستقیم مسؤلیتونو سربیره ، په 3 درجنونو کې. څرګندونه د PPC460GT پروسیسر بار 100٪ ته ځي).
.
څه روښانه شول:
په 127.0.0.1 کې DNS په بشپړ ډول درملنه نه ده؛ د براوزرونو عصري نسخې لاهم تاسو ته اجازه درکوي چې دا ډول ستونزې له پامه وغورځوئ. دا ناشونې ده چې ټول کاروونکي محدود کړي حقونه کم کړي، او موږ باید د بدیل DNS لوی شمیر په اړه هیر نکړو. انټرنیټ جامد ندی، او د نوي DNS پتې سربیره، منع شوي سایټونه نوي پتې اخلي، د لوړې کچې ډومینونه بدلوي، او کولی شي په خپل پته کې یو کرکټر اضافه / لیرې کړي. مګر بیا هم د ژوند کولو حق لري لکه:
ip route add blackhole 1.2.3.4دا به خورا اغیزمن وي چې د منع شوي سایټونو لیست څخه د IP پتې لیست ترلاسه کړئ، مګر د پورته ذکر شوي دلیلونو لپاره، موږ د Iptables په اړه غور ته لاړ. په CentOS لینکس ریلیز 7.5.1804 کې لا دمخه یو ژوندی توازن شتون درلود.
د کاروونکي انټرنیټ باید چټک وي، او براوزر باید نیم دقیقې انتظار ونه کړي، دې پایلې ته رسیدلي چې دا پاڼه شتون نلري. د اوږدې پلټنې وروسته موږ دې ماډل ته راغلو:
دوتنه 1 -> /script/denied_hostد منع شویو نومونو لیست:
test.test
blablabla.bubu
torrent
pornoدوتنه 2 -> /script/denied_range, د منع شوي پته ځایونو او ادرسونو لیست:
192.168.111.0/24
241.242.0.0/16د سکریپټ فایل 3 -> ipt.shد ipables سره دنده ترسره کول:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
د سوډو کارول د دې حقیقت له امله دي چې موږ د WEB انٹرفیس له لارې اداره کولو لپاره یو کوچنی هیک لرو ، مګر لکه څنګه چې د یو کال څخه ډیر وخت لپاره د داسې ماډل کارولو تجربه ښودلې ، WEB دومره اړین ندي. د پلي کولو وروسته ، د ډیټابیس لپاره د سایټونو لیست اضافه کولو لیوالتیا وه ، او داسې نور. د بند شوي کوربه شمیر د 250 + درجن پته ځایونو څخه ډیر دی. واقعیا یوه ستونزه شتون لري کله چې د https اتصال له لارې سایټ ته ځي ، لکه د سیسټم مدیر ، زه د براوزرونو په اړه شکایتونه لرم :) ، مګر دا ځانګړي قضیې دي ، سرچینې ته د لاسرسي نشتوالي ډیری محرکات لاهم زموږ په خوا کې دي. ، موږ هم په بریالیتوب سره د مایکروسافټ څخه د اوپیرا VPN او فلګ انونه لکه فری ګیټ او ټیلی میټری بلاک کوو.
سرچینه: www.habr.com