තහනම් සම්පත් වෙත සංචාර අවහිර කිරීමේ අදාළත්වය අදාළ බලධාරීන්ගේ නීතියට හෝ නියෝගවලට අනුකූල වීමට අපොහොසත් වීම සම්බන්ධයෙන් නිල වශයෙන් චෝදනා කළ හැකි ඕනෑම පරිපාලකයෙකුට බලපායි.
අපගේ කාර්යයන් සඳහා විශේෂිත වැඩසටහන් සහ බෙදාහැරීම් ඇති විට රෝදය ප්රතිනිර්මාණය කරන්නේ ඇයි, උදාහරණයක් ලෙස: Zeroshell, pfSense, ClearOS.
කළමනාකාරිත්වයට තවත් ප්රශ්නයක් තිබුණි: භාවිතා කරන නිෂ්පාදනයට අපගේ ප්රාන්තයෙන් ආරක්ෂිත සහතිකයක් තිබේද?
පහත බෙදාහැරීම් සමඟ වැඩ කිරීමේ අත්දැකීම් අපට තිබුණි:
- Zeroshell - සංවර්ධකයින් වසර 2 ක බලපත්රයක් පවා පරිත්යාග කළ නමුත්, අප උනන්දු වූ බෙදාහැරීමේ කට්ටලය තර්කානුකූලව අප වෙනුවෙන් තීරණාත්මක කාර්යයක් ඉටු කළ බව පෙනී ගියේය;
- pfSense - ගෞරවය සහ ගෞරවය, ඒ අතරම කම්මැලි, FreeBSD ෆයර්වෝලයේ විධාන රේඛාවට හුරුවීම සහ අපට ප්රමාණවත් තරම් පහසු නොවේ (මම හිතන්නේ එය පුරුද්දක් බව, නමුත් එය වැරදි මාර්ගයක් විය);
- ClearOS - අපගේ දෘඪාංගයේ එය ඉතා මන්දගාමී විය, අපට බැරෑරුම් පරීක්ෂණයකට යාමට නොහැකි විය, එසේනම් එවැනි බර අතුරුමුහුණත් ඇයි?
- Ideco SELECTA. Ideco නිෂ්පාදනය වෙනම සංවාදයක්, රසවත් නිෂ්පාදනයක්, නමුත් දේශපාලන හේතූන් මත අපට නොව, එම Linux, Roundcube යනාදිය සඳහා බලපත්රය ගැන ඔවුන්ට “බයිට්” කිරීමට මට අවශ්යය. ඉන්ටර්ෆේස් එක කපලා කියලා අදහසක් කොහෙන්ද එයාලට ආවේ Python මීට උදාහරණ සහ සුපිරි පරිශීලක අයිතීන් උදුරා ගැනීමෙන්, ඔවුන්ට GPL සහ යනාදිය යටතේ බෙදා හරින ලද අන්තර්ජාල ප්රජාවෙන් සංවර්ධිත සහ නවීකරණය කරන ලද මොඩියුල වලින් සෑදූ නිමි භාණ්ඩයක් විකිණීමට හැකිය.
මගේ ආත්මීය හැඟීම් සවිස්තරාත්මකව සනාථ කිරීම සඳහා ඉල්ලීම් සමඟ සෘණාත්මක විස්මයන් මගේ දිශාවට ගලා එනු ඇති බව මට වැටහී ඇත, නමුත් මෙම ජාල නෝඩය අන්තර්ජාලයට බාහිර නාලිකා 4 ක් සඳහා ගමනාගමන සමතුලිතතාවයක් වන බව පැවසීමට අවශ්ය වන අතර සෑම නාලිකාවකටම එයටම ආවේණික වූ ලක්ෂණ ඇත. . තවත් මුල්ගලක් වූයේ විවිධ ලිපින අවකාශයන්හි ක්රියා කිරීමට ජාල අතුරුමුහුණත් කිහිපයකින් එකක් අවශ්ය වීම සහ I සූදානම් අවශ්ය සහ අවශ්ය නොවන සෑම තැනකම VLAN භාවිතා කළ හැකි බව පිළිගන්න සුදානම් නැ. TP-Link TL-R480T+ වැනි උපාංග භාවිතයේ ඇත - ඒවා සාමාන්යයෙන්, ඔවුන්ගේම සූක්ෂ්මතාවයන් සමඟ පරිපූර්ණ ලෙස හැසිරෙන්නේ නැත. Ubuntu නිල වෙබ් අඩවියට ස්තුති වන්නට Linux මත මෙම කොටස වින්යාස කිරීමට හැකි විය
සලකා බලනු ලබන විසඳුම අද්විතීය යැයි නොකියයි, නමුත් මම ප්රශ්නය ඇසීමට කැමැත්තෙමි: “විකල්ප විකල්පයක් සලකා බැලිය හැකි විට බරපතල දෘඩාංග අවශ්යතා සහිත තෙවන පාර්ශවීය සැක සහිත නිෂ්පාදනවලට ව්යවසායයක් අනුගත විය යුත්තේ ඇයි?”
රුසියානු සමූහාණ්ඩුවේ Roskomnadzor ලැයිස්තුවක් තිබේ නම්, යුක්රේනයේ ජාතික ආරක්ෂක කවුන්සිලයේ තීරණයට ඇමුණුමක් තිබේ (උදාහරණයක් ලෙස.
පෙරනිමියෙන් සියලුම වෙබ් අඩවි තහනම් කර ඇති වෙනත් ව්යවසායක සගයන් සමඟ සන්නිවේදනය කිරීමෙන් ඔබට නිශ්චිත වෙබ් අඩවියකට පිවිසිය හැක්කේ ලොක්කාගේ අවසරය ඇතිව පමණි, ගෞරවාන්විතව සිනාසෙමින්, සිතමින් සහ “ගැටලුව ගැන දුම් පානය කරමින්”, අපි ජීවිතය අවබෝධ කර ගත්තෙමු. තවමත් හොඳයි අපි ඔවුන්ගේ සෙවීම ආරම්භ කළා.
රථවාහන පෙරීම ගැන “ගෘහණියන්ගේ පොත්වල” ඔවුන් ලියන දේ විශ්ලේෂණාත්මකව බැලීමට පමණක් නොව, විවිධ සැපයුම්කරුවන්ගේ නාලිකා වල සිදුවන්නේ කුමක්ද යන්න බැලීමටද අවස්ථාව ලැබීමෙන්, අපි පහත වට්ටෝරු දුටුවෙමු (ඕනෑම තිරපිටපත් ටිකක් කපා ඇත, කරුණාකර අසන විට තේරුම් ගන්න):
සපයන්නා 1
- කරදර නොවන අතර තමන්ගේම DNS සේවාදායකයන් සහ විනිවිද පෙනෙන ප්රොක්සි සේවාදායකයක් පනවයි. හොඳයිද?.. නමුත් අපට අවශ්ය තැනට ප්රවේශය ඇත (අපට එය අවශ්ය නම් :))
සපයන්නා 2
- ඔහුගේ ඉහළම සැපයුම්කරු මේ ගැන සිතා බැලිය යුතු යැයි විශ්වාස කරයි, ඉහළ සැපයුම්කරුගේ තාක්ෂණික සහාය පවා මට අවශ්ය වෙබ් අඩවිය විවෘත කිරීමට නොහැකි වූයේ මන්දැයි පිළිගත්තේය, එය තහනම් කර නැත. මම හිතන්නේ පින්තූරය ඔබව විනෝදයට පත් කරයි :)
එය සිදු වූ පරිදි, ඔවුන් තහනම් අඩවි වල නම් IP ලිපින බවට පරිවර්තනය කර IP ම අවහිර කරයි (මෙම IP ලිපිනයට අඩවි 20 ක් සත්කාරකත්වය දැක්විය හැකි බැවින් ඔවුන් කරදර වන්නේ නැත).
සපයන්නා 3
- ගමනාගමනයට එහි යාමට ඉඩ සලසයි, නමුත් මාර්ගය ඔස්සේ ආපසු යාමට ඉඩ නොදේ.
සපයන්නා 4
- නිශ්චිත දිශාවට පැකට් සමඟ සියලු හැසිරවීම් තහනම් කරයි.
VPN (ඔපෙරා බ්රව්සරය සම්බන්ධයෙන්) සහ බ්රවුසර ප්ලගීන සමඟ කුමක් කළ යුතුද? මුලදී Mikrotik නෝඩය සමඟ සෙල්ලම් කරමින්, අපට පසුව අතහැර දැමීමට සිදු වූ L7 සඳහා සම්පත්-අධික වට්ටෝරුවක් පවා ලැබුණි (තවත් තහනම් නම් තිබිය හැකිය, මාර්ග සඳහා එහි සෘජු වගකීම් වලට අමතරව, දුසිම් 3 ක් මත එය කණගාටුදායක වේ. ප්රකාශන PPC460GT ප්රොසෙසර භාරය 100% දක්වා යයි).
.
පැහැදිලි වූ දේ:
127.0.0.1 හි DNS යනු කෝකටත් තෛලයක් නොවේ; බ්රව්සර් වල නවීන අනුවාදයන් තවමත් ඔබට එවැනි ගැටළු මඟහරවා ගැනීමට ඉඩ සලසයි. සියලුම පරිශීලකයින් අඩු කරන ලද අයිතිවාසිකම්වලට සීමා කළ නොහැකි අතර විකල්ප DNS විශාල සංඛ්යාවක් ගැන අප අමතක නොකළ යුතුය. අන්තර්ජාලය ස්ථිතික නොවන අතර, නව DNS ලිපින වලට අමතරව, තහනම් අඩවි නව ලිපින මිලදී ගැනීම, ඉහළ මට්ටමේ වසම් වෙනස් කිරීම සහ ඔවුන්ගේ ලිපිනයෙහි අක්ෂරයක් එක් කිරීමට/ඉවත් කිරීමට හැකිය. නමුත් තවමත් එවැනි දෙයක් ජීවත් වීමට අයිතියක් ඇත:
ip route add blackhole 1.2.3.4
තහනම් අඩවි ලැයිස්තුවෙන් IP ලිපින ලැයිස්තුවක් ලබා ගැනීම බෙහෙවින් ඵලදායී වනු ඇත, නමුත් ඉහත සඳහන් කර ඇති හේතු නිසා, අපි Iptables පිළිබඳ සලකා බැලීම් වෙත යොමු විය. CentOS Linux නිකුතුව 7.5.1804 මත දැනටමත් සජීවී සමතුලිතතාවයක් තිබුණි.
පරිශීලකයාගේ අන්තර්ජාලය වේගවත් විය යුතු අතර, මෙම පිටුව නොමැති බව නිගමනය කරමින් බ්රවුසරය විනාඩි භාගයක් බලා නොසිටිය යුතුය. දිගු සෙවුමකින් පසු අපි මෙම ආකෘතියට පැමිණියෙමු:
ගොනුව 1 -> /script/denied_host, තහනම් නම් ලැයිස්තුව:
test.test
blablabla.bubu
torrent
porno
ගොනුව 2 -> /script/denied_range, තහනම් ලිපින අවකාශයන් සහ ලිපින ලැයිස්තුව:
192.168.111.0/24
241.242.0.0/16
ස්ක්රිප්ට් ගොනුව 3 -> ipt.shipables සමඟ වැඩ කිරීම:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
sudo භාවිතයට හේතු වී ඇත්තේ අපට WEB අතුරුමුහුණත හරහා කළමනාකරණය කිරීම සඳහා කුඩා හැක් එකක් තිබීමයි, නමුත් වසරකට වැඩි කාලයක් එවැනි ආකෘතියක් භාවිතා කිරීමේ අත්දැකීම් පෙන්වා ඇති පරිදි, WEB එතරම් අවශ්ය නොවේ. ක්රියාත්මක කිරීමෙන් පසු, දත්ත සමුදායට අඩවි ලැයිස්තුවක් එකතු කිරීමට ආශාවක් ඇති විය. අවහිර කළ ධාරක සංඛ්යාව 250 + ලිපින අවකාශය දුසිමකට වඩා වැඩිය. ඇත්තටම https කනෙක්ෂන් එකකින් සයිට් එකකට ගියාම ප්රශ්නයක් තියෙනවා, සිස්ටම් ඇඩ්මින් වගේ, මට බ්රවුසර් ගැන පැමිණිලි තියෙනවා :), නමුත් මේවා විශේෂ අවස්ථා, සම්පත් වලට ප්රවේශය නොමැතිකම සඳහා බොහෝ ප්රේරක තවමත් අපගේ පැත්තේ ය. , අපි ඔපෙරා වීපීඑන් සහ මයික්රොසොෆ්ට් වෙතින් ෆ්රිගේට් සහ ටෙලිමෙට්රි වැනි ප්ලගීන ද සාර්ථකව අවහිර කරන්නෙමු.
මූලාශ්රය: www.habr.com