ProHoster > බ්ලොග් > පරිපාලනය > Iptables සහ දුප්පත් සහ කම්මැලි විරුද්ධවාදීන්ගෙන් ගමනාගමනය පෙරීම

Iptables සහ දුප්පත් සහ කම්මැලි විරුද්ධවාදීන්ගෙන් ගමනාගමනය පෙරීම

තහනම් සම්පත් වෙත සංචාර අවහිර කිරීමේ අදාළත්වය අදාළ බලධාරීන්ගේ නීතියට හෝ නියෝගවලට අනුකූල වීමට අපොහොසත් වීම සම්බන්ධයෙන් නිල වශයෙන් චෝදනා කළ හැකි ඕනෑම පරිපාලකයෙකුට බලපායි.

Iptables සහ දුප්පත් සහ කම්මැලි විරුද්ධවාදීන්ගෙන් ගමනාගමනය පෙරීම

අපගේ කාර්යයන් සඳහා විශේෂිත වැඩසටහන් සහ බෙදාහැරීම් ඇති විට රෝදය ප්‍රතිනිර්මාණය කරන්නේ ඇයි, උදාහරණයක් ලෙස: Zeroshell, pfSense, ClearOS.

කළමනාකාරිත්වයට තවත් ප්‍රශ්නයක් තිබුණි: භාවිතා කරන නිෂ්පාදනයට අපගේ ප්‍රාන්තයෙන් ආරක්ෂිත සහතිකයක් තිබේද?

පහත බෙදාහැරීම් සමඟ වැඩ කිරීමේ අත්දැකීම් අපට තිබුණි:

  • Zeroshell - සංවර්ධකයින් වසර 2 ක බලපත්‍රයක් පවා පරිත්‍යාග කළ නමුත්, අප උනන්දු වූ බෙදාහැරීමේ කට්ටලය තර්කානුකූලව අප වෙනුවෙන් තීරණාත්මක කාර්යයක් ඉටු කළ බව පෙනී ගියේය;
  • pfSense - ගෞරවය සහ ගෞරවය, ඒ අතරම කම්මැලි, FreeBSD ෆයර්වෝලයේ විධාන රේඛාවට හුරුවීම සහ අපට ප්‍රමාණවත් තරම් පහසු නොවේ (මම හිතන්නේ එය පුරුද්දක් බව, නමුත් එය වැරදි මාර්ගයක් විය);
  • ClearOS - අපගේ දෘඪාංගයේ එය ඉතා මන්දගාමී විය, අපට බැරෑරුම් පරීක්ෂණයකට යාමට නොහැකි විය, එසේනම් එවැනි බර අතුරුමුහුණත් ඇයි?
  • Ideco SELECTA. Ideco නිෂ්පාදනය වෙනම සංවාදයක්, රසවත් නිෂ්පාදනයක්, නමුත් දේශපාලන හේතූන් මත අපට නොව, එම Linux, Roundcube යනාදිය සඳහා බලපත්‍රය ගැන ඔවුන්ට “බයිට්” කිරීමට මට අවශ්‍යය. ඉන්ටර්ෆේස් එක කපලා කියලා අදහසක් කොහෙන්ද එයාලට ආවේ Python මීට උදාහරණ සහ සුපිරි පරිශීලක අයිතීන් උදුරා ගැනීමෙන්, ඔවුන්ට GPL සහ යනාදිය යටතේ බෙදා හරින ලද අන්තර්ජාල ප්‍රජාවෙන් සංවර්ධිත සහ නවීකරණය කරන ලද මොඩියුල වලින් සෑදූ නිමි භාණ්ඩයක් විකිණීමට හැකිය.

මගේ ආත්මීය හැඟීම් සවිස්තරාත්මකව සනාථ කිරීම සඳහා ඉල්ලීම් සමඟ සෘණාත්මක විස්මයන් මගේ දිශාවට ගලා එනු ඇති බව මට වැටහී ඇත, නමුත් මෙම ජාල නෝඩය අන්තර්ජාලයට බාහිර නාලිකා 4 ක් සඳහා ගමනාගමන සමතුලිතතාවයක් වන බව පැවසීමට අවශ්‍ය වන අතර සෑම නාලිකාවකටම එයටම ආවේණික වූ ලක්ෂණ ඇත. . තවත් මුල්ගලක් වූයේ විවිධ ලිපින අවකාශයන්හි ක්‍රියා කිරීමට ජාල අතුරුමුහුණත් කිහිපයකින් එකක් අවශ්‍ය වීම සහ I සූදානම් අවශ්‍ය සහ අවශ්‍ය නොවන සෑම තැනකම VLAN භාවිතා කළ හැකි බව පිළිගන්න සුදානම් නැ. TP-Link TL-R480T+ වැනි උපාංග භාවිතයේ ඇත - ඒවා සාමාන්‍යයෙන්, ඔවුන්ගේම සූක්ෂ්මතාවයන් සමඟ පරිපූර්ණ ලෙස හැසිරෙන්නේ නැත. Ubuntu නිල වෙබ් අඩවියට ස්තුති වන්නට Linux මත මෙම කොටස වින්‍යාස කිරීමට හැකි විය IP තුලනය: අන්තර්ජාල නාලිකා කිහිපයක් එකකට ඒකාබද්ධ කිරීම. එපමණක් නොව, එක් එක් නාලිකා ඕනෑම මොහොතක "වැටීමට" මෙන්ම නැඟී සිටීමටද හැකිය. ඔබ දැනට ක්‍රියාත්මක වන ස්ක්‍රිප්ට් එකක් ගැන උනන්දුවක් දක්වන්නේ නම් (මෙය වෙනම ප්‍රකාශනයක් කිරීම වටී), අදහස් දැක්වීමේදී ලියන්න.

සලකා බලනු ලබන විසඳුම අද්විතීය යැයි නොකියයි, නමුත් මම ප්‍රශ්නය ඇසීමට කැමැත්තෙමි: “විකල්ප විකල්පයක් සලකා බැලිය හැකි විට බරපතල දෘඩාංග අවශ්‍යතා සහිත තෙවන පාර්ශවීය සැක සහිත නිෂ්පාදනවලට ව්‍යවසායයක් අනුගත විය යුත්තේ ඇයි?”

රුසියානු සමූහාණ්ඩුවේ Roskomnadzor ලැයිස්තුවක් තිබේ නම්, යුක්රේනයේ ජාතික ආරක්ෂක කවුන්සිලයේ තීරණයට ඇමුණුමක් තිබේ (උදාහරණයක් ලෙස. බලන්නකෝ), එවිට ප්‍රාදේශීය නායකයෝ නිදා නොගනිති. උදාහරණයක් ලෙස, කළමනාකාරිත්වයේ මතය අනුව, රැකියා ස්ථානයේ ඵලදායිතාව අඩාල කරන තහනම් අඩවි ලැයිස්තුවක් අපට ලබා දී ඇත.

පෙරනිමියෙන් සියලුම වෙබ් අඩවි තහනම් කර ඇති වෙනත් ව්‍යවසායක සගයන් සමඟ සන්නිවේදනය කිරීමෙන් ඔබට නිශ්චිත වෙබ් අඩවියකට පිවිසිය හැක්කේ ලොක්කාගේ අවසරය ඇතිව පමණි, ගෞරවාන්විතව සිනාසෙමින්, සිතමින් සහ “ගැටලුව ගැන දුම් පානය කරමින්”, අපි ජීවිතය අවබෝධ කර ගත්තෙමු. තවමත් හොඳයි අපි ඔවුන්ගේ සෙවීම ආරම්භ කළා.

රථවාහන පෙරීම ගැන “ගෘහණියන්ගේ පොත්වල” ඔවුන් ලියන දේ විශ්ලේෂණාත්මකව බැලීමට පමණක් නොව, විවිධ සැපයුම්කරුවන්ගේ නාලිකා වල සිදුවන්නේ කුමක්ද යන්න බැලීමටද අවස්ථාව ලැබීමෙන්, අපි පහත වට්ටෝරු දුටුවෙමු (ඕනෑම තිරපිටපත් ටිකක් කපා ඇත, කරුණාකර අසන විට තේරුම් ගන්න):

සපයන්නා 1
- කරදර නොවන අතර තමන්ගේම DNS සේවාදායකයන් සහ විනිවිද පෙනෙන ප්‍රොක්සි සේවාදායකයක් පනවයි. හොඳයිද?.. නමුත් අපට අවශ්‍ය තැනට ප්‍රවේශය ඇත (අපට එය අවශ්‍ය නම් :))

සපයන්නා 2
- ඔහුගේ ඉහළම සැපයුම්කරු මේ ගැන සිතා බැලිය යුතු යැයි විශ්වාස කරයි, ඉහළ සැපයුම්කරුගේ තාක්ෂණික සහාය පවා මට අවශ්‍ය වෙබ් අඩවිය විවෘත කිරීමට නොහැකි වූයේ මන්දැයි පිළිගත්තේය, එය තහනම් කර නැත. මම හිතන්නේ පින්තූරය ඔබව විනෝදයට පත් කරයි :)

Iptables සහ දුප්පත් සහ කම්මැලි විරුද්ධවාදීන්ගෙන් ගමනාගමනය පෙරීම

එය සිදු වූ පරිදි, ඔවුන් තහනම් අඩවි වල නම් IP ලිපින බවට පරිවර්තනය කර IP ම අවහිර කරයි (මෙම IP ලිපිනයට අඩවි 20 ක් සත්කාරකත්වය දැක්විය හැකි බැවින් ඔවුන් කරදර වන්නේ නැත).

සපයන්නා 3
- ගමනාගමනයට එහි යාමට ඉඩ සලසයි, නමුත් මාර්ගය ඔස්සේ ආපසු යාමට ඉඩ නොදේ.

සපයන්නා 4
- නිශ්චිත දිශාවට පැකට් සමඟ සියලු හැසිරවීම් තහනම් කරයි.

VPN (ඔපෙරා බ්‍රව්සරය සම්බන්ධයෙන්) සහ බ්‍රවුසර ප්ලගීන සමඟ කුමක් කළ යුතුද? මුලදී Mikrotik නෝඩය සමඟ සෙල්ලම් කරමින්, අපට පසුව අතහැර දැමීමට සිදු වූ L7 සඳහා සම්පත්-අධික වට්ටෝරුවක් පවා ලැබුණි (තවත් තහනම් නම් තිබිය හැකිය, මාර්ග සඳහා එහි සෘජු වගකීම් වලට අමතරව, දුසිම් 3 ක් මත එය කණගාටුදායක වේ. ප්‍රකාශන PPC460GT ප්‍රොසෙසර භාරය 100% දක්වා යයි).

Iptables සහ දුප්පත් සහ කම්මැලි විරුද්ධවාදීන්ගෙන් ගමනාගමනය පෙරීම.

පැහැදිලි වූ දේ:
127.0.0.1 හි DNS යනු කෝකටත් තෛලයක් නොවේ; බ්‍රව්සර් වල නවීන අනුවාදයන් තවමත් ඔබට එවැනි ගැටළු මඟහරවා ගැනීමට ඉඩ සලසයි. සියලුම පරිශීලකයින් අඩු කරන ලද අයිතිවාසිකම්වලට සීමා කළ නොහැකි අතර විකල්ප DNS විශාල සංඛ්යාවක් ගැන අප අමතක නොකළ යුතුය. අන්තර්ජාලය ස්ථිතික නොවන අතර, නව DNS ලිපින වලට අමතරව, තහනම් අඩවි නව ලිපින මිලදී ගැනීම, ඉහළ මට්ටමේ වසම් වෙනස් කිරීම සහ ඔවුන්ගේ ලිපිනයෙහි අක්ෂරයක් එක් කිරීමට/ඉවත් කිරීමට හැකිය. නමුත් තවමත් එවැනි දෙයක් ජීවත් වීමට අයිතියක් ඇත:

ip route add blackhole 1.2.3.4

තහනම් අඩවි ලැයිස්තුවෙන් IP ලිපින ලැයිස්තුවක් ලබා ගැනීම බෙහෙවින් ඵලදායී වනු ඇත, නමුත් ඉහත සඳහන් කර ඇති හේතු නිසා, අපි Iptables පිළිබඳ සලකා බැලීම් වෙත යොමු විය. CentOS Linux නිකුතුව 7.5.1804 මත දැනටමත් සජීවී සමතුලිතතාවයක් තිබුණි.

පරිශීලකයාගේ අන්තර්ජාලය වේගවත් විය යුතු අතර, මෙම පිටුව නොමැති බව නිගමනය කරමින් බ්‍රවුසරය විනාඩි භාගයක් බලා නොසිටිය යුතුය. දිගු සෙවුමකින් පසු අපි මෙම ආකෘතියට පැමිණියෙමු:
ගොනුව 1 -> /script/denied_host, තහනම් නම් ලැයිස්තුව:

test.test
blablabla.bubu
torrent
porno

ගොනුව 2 -> /script/denied_range, තහනම් ලිපින අවකාශයන් සහ ලිපින ලැයිස්තුව:

192.168.111.0/24
241.242.0.0/16

ස්ක්‍රිප්ට් ගොනුව 3 -> ipt.shipables සමඟ වැඩ කිරීම:

# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

sudo භාවිතයට හේතු වී ඇත්තේ අපට WEB අතුරුමුහුණත හරහා කළමනාකරණය කිරීම සඳහා කුඩා හැක් එකක් තිබීමයි, නමුත් වසරකට වැඩි කාලයක් එවැනි ආකෘතියක් භාවිතා කිරීමේ අත්දැකීම් පෙන්වා ඇති පරිදි, WEB එතරම් අවශ්‍ය නොවේ. ක්‍රියාත්මක කිරීමෙන් පසු, දත්ත සමුදායට අඩවි ලැයිස්තුවක් එකතු කිරීමට ආශාවක් ඇති විය. අවහිර කළ ධාරක සංඛ්‍යාව 250 + ලිපින අවකාශය දුසිමකට වඩා වැඩිය. ඇත්තටම https කනෙක්ෂන් එකකින් සයිට් එකකට ගියාම ප්‍රශ්නයක් තියෙනවා, සිස්ටම් ඇඩ්මින් වගේ, මට බ්‍රවුසර් ගැන පැමිණිලි තියෙනවා :), නමුත් මේවා විශේෂ අවස්ථා, සම්පත් වලට ප්‍රවේශය නොමැතිකම සඳහා බොහෝ ප්‍රේරක තවමත් අපගේ පැත්තේ ය. , අපි ඔපෙරා වීපීඑන් සහ මයික්‍රොසොෆ්ට් වෙතින් ෆ්‍රිගේට් සහ ටෙලිමෙට්‍රි වැනි ප්ලගීන ද සාර්ථකව අවහිර කරන්නෙමු.

Iptables සහ දුප්පත් සහ කම්මැලි විරුද්ධවාදීන්ගෙන් ගමනාගමනය පෙරීම

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න