پرو هوسٽر > بلاگ > انتظاميه > Iptables ۽ فلٽرنگ ٽرئفڪ غريب ۽ سست اختلافن کان

Iptables ۽ فلٽرنگ ٽرئفڪ غريب ۽ سست اختلافن کان

ممنوع وسيلن جي دورن کي روڪڻ جي لاڳاپي ڪنهن به منتظم تي اثر انداز ٿئي ٿي جنهن تي سرڪاري طور تي لاڳاپيل اختيارين جي قانون يا حڪمن جي تعميل ۾ ناڪامي جو الزام لڳايو وڃي ٿو.

Iptables ۽ فلٽرنگ ٽرئفڪ غريب ۽ سست اختلافن کان

جڏهن اسان جي ڪمن لاءِ خاص پروگرام ۽ تقسيم موجود آهن ته ڦيٿي کي ٻيهر ڇو ٺاهيو، مثال طور: Zeroshell، pfSense، ClearOS.

انتظاميا وٽ هڪ ٻيو سوال هو: ڇا استعمال ٿيل پراڊڪٽ وٽ اسان جي رياست کان حفاظتي سرٽيفڪيٽ آهي؟

اسان کي هيٺين تقسيم سان ڪم ڪرڻ جو تجربو هو:

  • Zeroshell - ڊولپرز به 2 سالن جو لائسنس عطيو ڪيو، پر اهو ظاهر ٿيو ته تقسيم کٽ جنهن ۾ اسان دلچسپي وٺندا هئاسين، غير منطقي طور تي، اسان لاء هڪ نازڪ ڪم ڪيو؛
  • pfSense - عزت ۽ احترام، ساڳئي وقت بورنگ، فري بي ايس ڊي فائر وال جي ڪمانڊ لائن کي استعمال ڪرڻ ۽ اسان لاءِ ڪافي آسان نه آهي (منهنجو خيال آهي ته اها عادت جي ڳالهه آهي، پر اهو غلط طريقو نڪتو)؛
  • ClearOS - اسان جي هارڊويئر تي اهو تمام سست نڪتو، اسان سنجيده جاچ حاصل نه ڪري سگهياسين، پوء ڇو اهڙيون ڳري انٽرفيس؟
  • آئيڊيڪو SELECTA. آئيڊيڪو پراڊڪٽ هڪ الڳ ڳالهه ٻولهه آهي، هڪ دلچسپ پراڊڪٽ، پر سياسي سببن جي ڪري اسان لاءِ نه، ۽ مان پڻ چاهيان ٿو ته انهن کي ساڳي لينڪس، راؤنڊ ڪيوب وغيره جي لائسنس بابت ”ڪٽڻ“. انهن کي اهو خيال ڪٿان آيو ته انٽرفيس کي ڪٽيندي Python ۽ سپر يوزر جي حقن تان هٿ کڻڻ سان، اهي GPL&etc جي تحت ورهايل انٽرنيٽ ڪميونٽي مان ترقي يافته ۽ تبديل ٿيل ماڊيولز مان ٺهيل پراڊڪٽ وڪرو ڪري سگهن ٿا.

مان سمجھان ٿو ته ھاڻي ناڪاري عجب وارا مطالبا منھنجي سمت ۾ وڌندا ته جيئن منھنجي موضوعي جذبات کي تفصيل سان بيان ڪري سگھجي، پر مان اھو چوڻ چاھيان ٿو ته ھي نيٽ ورڪ نوڊ انٽرنيٽ جي 4 بيروني چينلن لاءِ ٽريفڪ بيلنس پڻ آھي، ۽ ھر چينل جون پنھنجون خاصيتون آھن. . هڪ ٻيو بنيادي بنياد ڪيترن ئي نيٽ ورڪ انٽرفيس مان هڪ جي ضرورت هئي مختلف پتي جي جڳهن ۾ ڪم ڪرڻ لاءِ، ۽ I تيار ٿيو تسليم ڪيو ته VLANs هر هنڌ استعمال ڪري سگهجن ٿيون جتي ضروري هجي ۽ ضروري ناهي تيار ناهي. اتي ڊوائيسز استعمال ۾ آهن جيئن ته TP-Link TL-R480T+ - اهي مڪمل طور تي، عام طور تي، انهن جي پنهنجي nuances سان عمل نه ڪندا آھن. لينڪس تي هن حصي کي ترتيب ڏيڻ ممڪن هو Ubuntu جي سرڪاري ويب سائيٽ جي مهرباني IP بيلنس: ڪيترن ئي انٽرنيٽ چينلن کي هڪ ۾ گڏ ڪرڻ. ان کان علاوه، هر هڪ چينل ڪنهن به وقت "گر" ڪري سگهي ٿو، انهي سان گڏ اڀري. جيڪڏهن توهان هڪ اسڪرپٽ ۾ دلچسپي رکو ٿا جيڪو هن وقت ڪم ڪري رهيو آهي (۽ اهو هڪ الڳ اشاعت جي لائق آهي)، تبصرن ۾ لکو.

غور هيٺ ڏنل حل منفرد هجڻ جي دعويٰ نٿو ڪري، پر مان اهو سوال پڇڻ چاهيان ٿو: "ڇو هڪ ڪمپني کي ٽئين پارٽي جي مشڪوڪ شين کي سنگين هارڊويئر گهرجن سان ٺهڪندڙ ڪرڻ گهرجي جڏهن هڪ متبادل آپشن سمجهي سگهجي ٿو؟"

جيڪڏهن روسي فيڊريشن ۾ Roskomnadzor جي هڪ فهرست آهي، يوڪرين ۾ قومي سلامتي ڪائونسل جي فيصلي جو هڪ ضميمو آهي (مثال طور. ڏس)، پوءِ مقامي اڳواڻ به ننڊ نه ڪندا آهن. مثال طور، اسان کي ممنوع سائيٽن جي هڪ فهرست ڏني وئي جيڪا، انتظام جي راء ۾، ڪم ڪار ۾ پيداوار کي خراب ڪري ٿي.

ٻين ادارن ۾ ساٿين سان رابطو ڪرڻ، جتي ڊفالٽ طور تي سڀني سائيٽن تي پابندي آهي ۽ صرف باس جي اجازت سان توهان هڪ مخصوص سائيٽ تائين رسائي ڪري سگهو ٿا، احترام سان مسڪرائڻ، سوچڻ ۽ "مسئلو تي سگريٽ نوشي"، اسان کي سمجهه ۾ آيو ته زندگي. اڃا به سٺو آهي ۽ اسان انهن جي ڳولا شروع ڪئي.

ان موقعي تي نه رڳو تجزياتي طور تي اهو ڏسڻ جو ته اهي ٽريفڪ فلٽرنگ بابت ”گهريلو عورتن جي ڪتابن“ ۾ ڇا لکن ٿيون، پر اهو پڻ ڏسڻ لاءِ ته مختلف مهيا ڪندڙن جي چينلن تي ڇا ٿي رهيو آهي، اسان هيٺيون ترڪيبون نوٽ ڪيون (ڪنهن به اسڪرين شاٽ ٿوري ڪرپٽ آهن، مهرباني ڪري سمجھو ):

فراهم ڪندڙ 1
- پريشان نه ڪندو آهي ۽ پنهنجي DNS سرورز ۽ هڪ شفاف پراکسي سرور لاڳو ڪندو آهي. خير؟ .. پر اسان وٽ پهچ آهي جتي اسان کي ضرورت آهي (جيڪڏهن اسان کي ضرورت هجي :))

فراهم ڪندڙ 2
- مڃي ٿو ته هن جي مٿين فراهم ڪندڙ کي ان بابت سوچڻ گهرجي، مٿين فراهم ڪندڙ جي ٽيڪنيڪل سپورٽ پڻ تسليم ڪيو آهي ته مان ڇو نه ٿو کولي سگهيس سائيٽ مون کي گهربل هئي، جيڪا منع نه هئي. منهنجو خيال آهي ته تصوير توهان کي مزو ڏيندو :)

Iptables ۽ فلٽرنگ ٽرئفڪ غريب ۽ سست اختلافن کان

جيئن ته اهو نڪتو، اهي ممنوع سائيٽن جا نالا IP پتي ۾ ترجمو ڪن ٿا ۽ IP پاڻ کي بلاڪ ڪن ٿا (اهي حقيقت کان پريشان نه آهن ته هي IP پتو 20 سائيٽن کي ميزبان ڪري سگهي ٿو).

فراهم ڪندڙ 3
- ٽريفڪ کي اتي وڃڻ جي اجازت ڏئي ٿي، پر ان کي رستي ۾ واپس وڃڻ جي اجازت نٿو ڏئي.

فراهم ڪندڙ 4
- مخصوص هدايتن ۾ پيڪيٽس سان سڀني ڌانڌلي کي منع ڪري ٿو.

وي پي اين (اوپيرا برائوزر جي حوالي سان) ۽ برائوزر پلگ ان سان ڇا ڪجي؟ شروع ۾ نوڊ ميڪروٽڪ سان کيڏڻ سان، اسان کي L7 لاءِ هڪ وسيلا-گھڻي ترڪيب پڻ مليو، جنهن کي اسان کي بعد ۾ ڇڏڻو پيو (شايد وڌيڪ ممنوع نالا هوندا، اهو افسوسناڪ ٿيندو جڏهن، رستن جي سڌي ذميوارين کان علاوه، 3 درجن تي. اظهار PPC460GT پروسيسر لوڊ 100٪ تائين وڃي ٿو).

Iptables ۽ فلٽرنگ ٽرئفڪ غريب ۽ سست اختلافن کان.

ڇا پڌرو ٿيو:
127.0.0.1 تي DNS بلڪل علاج نه آهي؛ برائوزرن جا جديد نسخا اڃا تائين توهان کي اهڙين مسئلن کي نظرانداز ڪرڻ جي اجازت ڏين ٿا. اهو ناممڪن آهي ته سڀني استعمال ڪندڙن کي محدود ڪرڻ جي حقن کي گهٽايو وڃي، ۽ اسان کي متبادل DNS جي وڏي تعداد جي باري ۾ نه وسارڻ گهرجي. انٽرنيٽ جامد نه آهي، ۽ نئين DNS پتي کان علاوه، ممنوع سائيٽون نوان ايڊريس خريد ڪري، مٿين سطح جي ڊومينز کي تبديل ڪري، ۽ انهن جي ايڊريس ۾ هڪ ڪردار شامل / هٽائي سگهن ٿيون. پر اڃا به حق آهي ته جيئن جيئن:

ip route add blackhole 1.2.3.4

ممنوع سائيٽن جي فهرست مان IP پتي جي فهرست حاصل ڪرڻ ڪافي اثرائتو ٿيندو، پر مٿي بيان ڪيل سببن جي ڪري، اسان Iptables بابت غور ڪرڻ تي اڳتي وڌو. CentOS Linux رليز 7.5.1804 تي اڳ ۾ ئي ھڪڙو لائيو بيلنس ھو.

صارف جو انٽرنيٽ تيز هجڻ گهرجي، ۽ برائوزر کي اڌ منٽ انتظار نه ڪرڻ گهرجي، اهو نتيجو اهو آهي ته هي صفحو موجود ناهي. گهڻي ڳولا کان پوءِ اسان هن ماڊل تي آياسين:
فائل 1 -> /script/denied_host, منع ٿيل نالن جي فهرست:

test.test
blablabla.bubu
torrent
porno

فائل 2 -> /script/denied_range, منع ٿيل پتي جي جڳهن ۽ پتي جي فهرست:

192.168.111.0/24
241.242.0.0/16

اسڪرپٽ فائل 3 -> ipt.shipables سان ڪم ڪندي:

# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

سوڊو جو استعمال ان حقيقت جو سبب آهي ته اسان وٽ WEB انٽرفيس ذريعي ڪنٽرول لاءِ هڪ ننڍڙو هيڪ آهي، پر جيئن ته هڪ سال کان وڌيڪ عرصي تائين اهڙي نموني استعمال ڪرڻ جو تجربو ڏيکاريو ويو آهي ته WEB ايترو ضروري ناهي. عمل ڪرڻ کان پوء، ڊيٽابيس ۾ سائيٽن جي فهرست شامل ڪرڻ جي خواهش هئي، وغيره. بلاڪ ٿيل ميزبانن جو تعداد 250 + درجن کان وڌيڪ پتي جي جڳھ آھي. هتي واقعي هڪ مسئلو آهي جڏهن ويب سائيٽ تي https ڪنيڪشن ذريعي وڃو، جهڙوڪ سسٽم ايڊمنسٽريٽر، مون کي برائوزرن بابت شڪايتون آهن :)، پر اهي خاص ڪيس آهن، وسيلن تائين رسائي جي کوٽ جا اڪثر محرڪ اڃا تائين اسان جي پاسي آهن. ، اسان ڪاميابيءَ سان Opera VPN ۽ پلگ ان کي بلاڪ ڪريون ٿا جهڙوڪ friGate ۽ telemetry Microsoft کان.

Iptables ۽ فلٽرنگ ٽرئفڪ غريب ۽ سست اختلافن کان

جو ذريعو: www.habr.com

تبصرو شامل ڪريو