Ku habboonaanta ka-hortagga booqashooyinka kheyraadka mamnuuca ah waxay saameeyaan maamule kasta oo si rasmi ah loogu soo oogi karo inuu ku guuldareystay inuu u hoggaansamo sharciga ama amarada mas'uuliyiinta ay khuseyso.
Waa maxay sababta dib u cusboonaysiinta giraangiraha marka ay jiraan barnaamijyo gaar ah iyo qaybinta hawlaheenna, tusaale ahaan: Zeroshell, pfSense, ClearOS.
Maamulka ayaa lahaa su'aal kale: Alaabta la isticmaalay ma ka haystaa shahaadada badbaadada ee gobolkayaga?
Waxaan khibrad u lahayn la shaqaynta qaybinta soo socota:
- Zeroshell - horumariyayaashu xitaa waxay ku deeqeen shatiga 2-sano, laakiin waxay soo baxday in qalabka qaybinta ee aan xiisayneyno, caqli-darro, waxay noo qabatay hawl muhiim ah;
- pfSense - ixtiraam iyo sharaf, isla markaana caajis ah, la qabsanaya khadka taliska ee Firewall FreeBSD oo aan nagu habboonayn (waxaan u maleynayaa inay tahay arrin caado ah, laakiin waxay u noqotay hab khaldan);
- ClearOS - qalabkeena waxay u noqotay mid aad u gaabis ah, ma aadi karno imtixaan halis ah, markaa waa maxay sababta isdhexgalka culus?
- Ideco SELECTA. Alaabta Ideco waa wada hadal gaar ah, badeecad xiiso leh, laakiin sababo siyaasadeed oo aan anaga ahayn, sidoo kale waxaan rabaa inaan "qaniino" iyaga oo ku saabsan shatiga isla Linux, Roundcube, iwm. Xaggee bay ka keeneen fikradda ah in ay gooyaan interface-ka Python iyo iyagoo meesha ka saaraya xuquuqaha isticmaalaha, waxay iibin karaan badeeco dhammaatay oo ka kooban qaybo la sameeyay oo wax laga beddelay oo ka yimid bulshada Internetka oo lagu qaybiyay GPL&iwm.
Waxaan fahamsanahay in hadda qaylo-dhaanta xun ay ku soo shubi doonaan jihadayda dalabaadka si aan u caddeeyo dareenkayga shakhsi ahaaneed si faahfaahsan, laakiin waxaan rabaa in aan sheego in noodhka shabakadani uu sidoo kale yahay dheellitirka taraafikada ee 4 kanaal dibadda ah ee internetka, iyo kanaal kastaa wuxuu leeyahay astaamo u gaar ah. . Dhagax kale ayaa ahaa baahida loo qabo mid ka mid ah dhowr shabakadood oo isku xira si ay uga shaqeeyaan meelo ciwaano kala duwan, iyo I diyaar qiro in VLAN-yada loo isticmaali karo meel kasta marka loo baahdo oo aan loo baahnayn diyaar uma aha. Waxaa jira aalado loo isticmaalo sida TP-Link TL-R480T+ - si fiican uma dhaqmaan, guud ahaan, siyaalo u gaar ah. Waxay ahayd suurtogal in lagu habeeyo qaybtan Linux iyada oo ay ugu wacan tahay bogga rasmiga ah ee Ubuntu
Xalka la tixgelinayo ma sheeganayo inuu yahay mid gaar ah, laakiin waxaan jeclaan lahaa inaan weydiiyo su'aasha: "Maxay tahay sababta ay shirkaduhu ula qabsanayaan alaabada shakiga leh ee dhinac saddexaad ee leh shuruudaha qalabka khatarta ah marka ikhtiyaarka beddelka ah la tixgelin karo?"
Haddii Ruushka uu jiro liiska Roskomnadzor, gudaha Ukraine waxaa jira lifaaqa Go'aanka Golaha Amniga Qaranka (tusaale ahaan.
La xiriirka asxaabtaada shirkadaha kale, halkaas oo sida caadiga ah dhammaan goobaha laga mamnuuco oo kaliya marka la codsado ogolaanshaha madaxa waxaad geli kartaa goob gaar ah, adigoo dhoola cadeynaya, u fekeraya oo "sigaar cabba dhibaatada", waxaan gaadhnay fahamka nolosha. weli way wanaagsan tahay oo waxaan bilownay raadintooda.
Helitaanka fursada ma aha oo kaliya in la falanqeeyo waxa ay ku qoraan "buugaagta haweenka guriga" ee ku saabsan shaandhaynta taraafikada, laakiin sidoo kale si aan u aragno waxa ka dhacaya kanaalada bixiyeyaasha kala duwan, waxaan ogaanay cuntooyinka soo socda (wax kasta oo shaashad ah ayaa yar yar oo la jarjaray, fadlan faham markaad waydiinayso):
Bixiyaha 1
- ma dhibto oo soo rogtay server-keeda DNS iyo server-ka wakiil hufan. Hagaag?.. laakiin waxaan marin u leenahay halka aan uga baahanahay (haddii aan u baahanahay :))
Bixiyaha 2
- wuxuu aaminsan yahay in bixiyaha ugu sarreeya uu ka fekero arrintan, taageerada farsamo ee bixiyaha ugu sarreeya ayaa xitaa qirtay sababta aanan u furi karin goobta aan u baahanahay, taas oo aan la mamnuucin. Waxaan filayaa in sawirku kugu maaweelin doono :)
Sida ay soo baxday, waxay u tarjumaan magacyada goobaha mamnuuca ah cinwaannada IP-ga waxayna xannibaan IP-ga laftiisa (ma dhibayaan xaqiiqda ah in ciwaanka IP-ga uu martigelin karo 20 goobood).
Bixiyaha 3
- waxay ogolaataa taraafikada inay halkaas tagto, laakiin uma ogola inay dib ugu soo noqoto wadada.
Bixiyaha 4
- Mamnuuc dhammaan wax-is-daba-marinta baakidhyada jihada la cayimay.
Maxaa lagu sameeyaa VPN (ixtiraamka browserka Opera) iyo plugins browser? Ku ciyaarista qanjirada Mikrotik marka hore, waxaan xitaa helnay cunto kariye kheyraad leh oo loogu talagalay L7, kaas oo aan markii dambe ka tagnay (waxaa jiri kara magacyo badan oo mamnuuc ah, waxay noqotaa murugo marka, marka lagu daro masuuliyadeeda tooska ah ee waddooyinka, 3 darsin tibaaxaha culeyska processor-ka PPC460GT wuxuu gaarayaa 100%.
.
Maxaa caddaaday:
DNS ee 127.0.0.1 gabi ahaanba maaha daawo; Noocyada casriga ah ee daalacashada ayaa wali kuu oggolaanaya inaad ka gudubto dhibaatooyinkaas. Suurtagal maaha in dhammaan isticmaalayaasha lagu xaddido xuquuqaha la dhimay, mana aha inaynaan iloobin tirada badan ee DNS kale. Internetku ma aha mid taagan, oo marka lagu daro ciwaanada cusub ee DNS, goobaha mamnuuca ah waxay iibsadaan ciwaano cusub, beddelaan xayndaabyada heerka sare ah, waxayna ku dari karaan/ka saari karaan jilaa cinwaankooda. Laakiin wali waxay xaq u leedahay inaad ku noolaato wax sidan oo kale ah:
ip route add blackhole 1.2.3.4
Waxay noqon doontaa mid aad waxtar u leh in laga helo liiska cinwaannada IP-ga liiska goobaha la mamnuucay, laakiin sababaha kor lagu sheegay awgeed, waxaan u gudubnay tixgelinta Iptables. Waxaa horeyba u jiray dheellitir nool oo ku saabsan CentOS Linux sii deynta 7.5.1804.
Internetka isticmaaluhu waa inuu ahaado mid degdeg ah, Browser-kuna waa inuusan sugin nus daqiiqo, isagoo ku soo gebogebeynaya in boggan aan la heli karin. Raadin dheer ka dib waxaan u nimid qaabkan:
Faylka 1 -> /script/diiday_martigeliyaha, liiska magacyada la mamnuucay:
test.test
blablabla.bubu
torrent
porno
Faylka 2 -> /script/Denied_ range, liiska meelaha ciwaanka ah iyo ciwaanada mamnuuca ah:
192.168.111.0/24
241.242.0.0/16
Faylka qoraalka 3 -> ipt.shshaqada adoo isticmaalaya ipables:
# ΡΡΠΈΡΡΠ²Π°Π΅ΠΌ ΠΏΠΎΠ»Π΅Π·Π½ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΈΠ· ΠΏΠ΅ΡΠ΅ΡΠ½Π΅ΠΉ ΡΠ°ΠΉΠ»ΠΎΠ²
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# ΡΠ±ΡΠ°ΡΡΠ²Π°Π΅ΠΌ Π²ΡΠ΅ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ iptables, ΡΠ°Π·ΡΠ΅ΡΠ°Ρ ΡΠΎ ΡΡΠΎ Π½Π΅ Π·Π°ΠΏΡΠ΅ΡΠ΅Π½ΠΎ
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#ΡΠ΅ΡΠ°Π΅ΠΌ ΠΎΠ±Π½ΠΎΠ²ΠΈΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΎ ΠΌΠ°ΡΡΡΡΡΠ°Ρ
(ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡΡ Π½Π°ΡΠ΅ΠΉ Π°ΡΡ
ΠΈΡΠ΅ΠΊΡΡΡΡ)
sudo sh rout.sh
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ ΡΡΡΠΎΠΊΠΈ
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ Π°Π΄ΡΠ΅ΡΠ°
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Isticmaalka sudo waxaa sabab u ah xaqiiqda ah in aan haysano hack yar oo lagu maareeyo interface-ka WEB, laakiin waayo-aragnimada isticmaalka qaabkan oo kale muddo ka badan hal sano ayaa muujisay, WEB maahan lagama maarmaan. Hirgelinta ka dib, waxaa jiray rabitaan ah in lagu daro liiska goobaha xogta, iwm. Tirada martigeliyaha la xannibay ayaa ka badan 250 + darsin goob ciwaan ah. Runtii waxaa jira dhibaato markaad aado goobta adoo isticmaalaya isku xirka https, sida maamulaha nidaamka, waxaan qabaa cabashooyin ku saabsan daalacashada :), laakiin kuwani waa kiisas gaar ah, inta badan kiciyeyaasha helitaan la'aanta kheyraadka ayaa wali ku jira dhinaceena. , waxaan sidoo kale si guul leh u xannibnay Opera VPN iyo plugins sida friGate iyo telemetry ee Microsoft.
Source: www.habr.com