O le taua o le polokaina o asiasiga i punaoa faasaina e aafia ai soo se pule e ono molia aloaia i le le usitaia o le tulafono po o poloaiga a pulega talafeagai.
Aisea e toe faʻafouina ai le uili pe a iai polokalame faʻapitoa ma tufatufaga mo a tatou galuega, mo se faʻataʻitaʻiga: Zeroshell, pfSense, ClearOS.
Sa i ai se isi fesili a le pulega: O le oloa o loʻo faʻaaogaina e iai se tusi faamaonia o le saogalemu mai le matou setete?
Sa matou maua le poto masani i le galulue ai ma tufatufaga nei:
- Zeroshell - na foaʻi mai foʻi e le au atiaʻe se laisene e 2-tausaga, ae na aliali mai o le pusa tufatufaina matou te fiafia i ai, i le le talafeagai, na faia se galuega taua mo i matou;
- pfSense - faʻaaloalo ma faʻaaloalo, i le taimi lava e tasi e le fiafia, faʻaaogaina i le laina faʻatonu o le FreeBSD firewall ma e le talafeagai mo i tatou (Ou te manatu o se mea masani, ae na iu i le auala sese);
- ClearOS - i luga oa matou meafaigaluega na foliga mai e telegese tele, e le mafai ona matou oʻo i suʻega ogaoga, aisea la le mamafa o fesoʻotaʻiga?
- Ideco SELECTA. O le oloa Ideco o se talanoaga ese, o se mea manaia, ae mo mafuaaga faʻapolokiki e le mo i tatou, ma ou te manaʻo foi e "uu" i latou e uiga i le laisene mo le Linux tutusa, Roundcube, ma isi. O fea na latou maua ai le manatu e ala i le tipiina o le atinaʻe i totonu Python ma e ala i le aveesea o aia tatau a tagata sili, e mafai ona latou faʻatau atu se oloa maeʻa e fausia ma faʻaleleia modules mai le Initaneti o loʻo tufatufaina i lalo ole GPL&etc.
Ua ou malamalama o le taimi nei o le a sasaa mai ai le le fiafia i laʻu taʻiala ma manaʻoga e faʻamaonia ai oʻu lagona faʻapitoa i auiliiliga, ae ou te fia fai atu o lenei node fesoʻotaʻiga o se paleni fefaʻatauaʻiga mo 4 auala fafo i luga o le Initaneti, ma o auala taʻitasi e iai ona lava uiga. . O le isi maatulimanu o le manaʻomia lea o se tasi o fesoʻotaʻiga fesoʻotaʻiga e galue i avanoa tuatusi eseese, ma I ua saunia ta'utino e mafai ona fa'aoga VLAN i so'o se mea e mana'omia ma e le mana'omia e le'i sauni. O loʻo i ai masini faʻaaogaina e pei ole TP-Link TL-R480T + - latou te le amio lelei, i se tulaga lautele, ma a latou lava nuances. Na mafai ona faʻatulagaina lenei vaega ile Linux faʻafetai ile upega tafaʻilagi aloaia a Ubuntu . E le gata i lea, o auala taʻitasi e mafai ona "paʻu" i soo se taimi, faʻapea foʻi ma le tulaʻi. Afai e te fiafia i se tusitusiga o loʻo galue nei (ma e aoga se faʻasalalauga ese), tusi i faʻamatalaga.
O le fofo o loʻo iloiloina e le o fai mai e tulaga ese, ae ou te fia fesiligia le fesili: "Aisea e tatau ai i se atinaʻe ona faʻafetaui i oloa faʻatauvaʻa lona tolu ma manaʻoga faʻapitoa pe a mafai ona iloiloina se isi filifiliga?"
Afai i le Russian Federation o loʻo i ai se lisi o Roskomnadzor, i Iukureini o loʻo i ai se faʻaopoopoga i le Faʻaiuga a le National Security Council (mo se faʻataʻitaʻiga. ), ona le momoe ai lea o taitai i le lotoifale. Mo se faʻataʻitaʻiga, na tuʻuina mai ia i matou se lisi o nofoaga faʻasaina e, i le manatu o le pulega, faʻaleagaina le gaosiga i fale faigaluega.
Fesoʻotaʻiga ma paaga i isi atinaʻe, lea e le mafai ai ona faʻasaina nofoaga uma ma naʻo luga o le talosaga ma le faʻatagaga a le pule e mafai ona e mauaina se nofoaga patino, ataata faʻaaloalo, mafaufau ma "ulasu i luga o le faʻafitauli", na matou maua ai le malamalama o le olaga o loʻo lelei pea ma na matou amata la latou sailiga.
O le i ai o le avanoa e le gata e vaʻavaʻai ai i mea latou te tusia i totonu o le "tusi a faletua" e uiga i le faʻavasegaina o feoaiga, ae ia vaʻavaʻai foi i mea o loʻo tupu i luga o auala o kamupani eseese, matou te matauina fua nei (soʻo se screenshots e laʻititi laʻititi, faʻamolemole malamalama pe a fesili):
Tuuina atu 1
- e le faʻalavelave ma tuʻuina atu ana lava DNS server ma se sui sui manino. Ia?.. ae tatou maua le avanoa i le mea tatou te manaʻomia (pe a tatou manaʻomia :))
Tuuina atu 2
- talitonu e tatau i lana 'auʻaunaga sili ona mafaufau e uiga i lenei mea, o le lagolago faʻapitoa a le kamupani pito i luga na ioeina pe aisea na le mafai ai ona ou tatalaina le saite na ou manaʻomia, lea e leʻi faʻasaina. Ou te manatu o le ata o le a faʻafiafiaina oe :)
O le mea na tupu, latou te faaliliuina igoa o nofoaga faʻasaina i tuatusi IP ma poloka le IP lava ia (latou te le faʻalavelaveina i le mea moni e mafai e lenei tuatusi IP ona faʻafeiloaʻi 20 nofoaga).
Tuuina atu 3
- fa'atagaina feoaiga e alu i ai, ae le toe fa'atagaina i tua i le ala.
Tuuina atu 4
- fa'asa uma togafiti fa'atasi ma afifi i le itu fa'atonu.
Ole a le mea e fai ile VPN (fa'aaloalo ile Opera browser) ma masini su'esu'e? Taʻalo i le node Mikrotik i le taimi muamua, na matou maua ai foi se fua faʻatatau mo le L7, lea na tatau ona matou lafoaia mulimuli ane (atonu e tele atu igoa faʻasaina, e faʻanoanoa pe a, faʻaopoopo i ona tiute tuusaʻo mo auala, i luga o le 3 taseni. fa'aaliga o le uta PPC460GT processor e alu i le 100 %).
.
O le a le mea na manino:
DNS i luga o le 127.0.0.1 e matuaʻi le o se panacea; faʻaonaponei lomiga o suʻesuʻega o loʻo faʻatagaina pea oe e faʻafefe ia faʻafitauli. E le mafai ona faʻatapulaʻaina tagata faʻaoga uma i le faʻaitiitia o aia tatau, ma e le tatau ona galo ia i tatou le numera tele o isi DNS. Le Initaneti e le tumau, ma faʻaopoopo i tuatusi DNS fou, nofoaga faʻasaina e faʻatau ai tuatusi fou, sui tulaga pito i luga, ma e mafai ona faʻaopoopo / aveese se tagata i la latou tuatusi. Ae o loʻo iai pea le aia tatau e ola ai i se mea e pei o:
ip route add blackhole 1.2.3.4E aoga tele le mauaina o se lisi o tuatusi IP mai le lisi o nofoaga faʻasaina, ae mo mafuaʻaga o loʻo taʻua i luga, na matou agai atu i iloiloga e uiga i Iptables. Ua uma ona iai se paleni ola ile CentOS Linux faʻasaʻo 7.5.1804.
O le Initaneti a le tagata faʻaoga e tatau ona vave, ma e le tatau ona faʻatali le Browser i le afa minute, faʻamaonia e le o avanoa lenei itulau. Ina ua maeʻa se suʻesuʻega umi na matou oʻo mai i lenei faʻataʻitaʻiga:
faila 1 -> /script/denied_host, lisi o igoa fa'asaina:
test.test
blablabla.bubu
torrent
pornofaila 2 -> /script/denied_range, lisi o avanoa fa'asa ma tuatusi:
192.168.111.0/24
241.242.0.0/16Faila faila 3 -> ipt.shfaia le galuega i ipables:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
O le faʻaaogaina o sudo e mafua ona o le mea moni o loʻo i ai a matou tamai hack mo le puleaina e ala i le WEB interface, ae pei o le poto masani i le faʻaaogaina o sea faʻataʻitaʻiga mo le sili atu ma le tausaga ua faʻaalia, WEB e le talafeagai. Ina ua maeʻa le faʻatinoga, sa i ai se manaʻoga e faʻaopoopo se lisi o nofoaga i le database, ma isi. Ole numera ole poloka poloka e sili atu ile 250 + luasefulu avanoa tuatusi. E i ai moni lava se faʻafitauli pe a alu i se 'upega tafaʻilagi e ala i se fesoʻotaʻiga https, pei o le pule o le polokalama, o loʻo i ai aʻu faitioga e uiga i tagata suʻesuʻe :), ae o mea faʻapitoa nei, o le tele o faʻalavelave mo le leai o se avanoa i le punaoa o loʻo i luga o la matou itu. , matou te poloka manuia foi Opera VPN ma plugins pei friGate ma telemetry mai Microsoft.
puna: www.habr.com