ProHoster > Π‘Π»ΠΎΠ³ > Maamulka > Iptables iyo shaandheynta taraafikada ee ka soo horjeeda faqiirka iyo caajiska

Iptables iyo shaandheynta taraafikada ee ka soo horjeeda faqiirka iyo caajiska

Ku habboonaanta ka-hortagga booqashooyinka kheyraadka mamnuuca ah waxay saameeyaan maamule kasta oo si rasmi ah loogu soo oogi karo inuu ku guuldareystay inuu u hoggaansamo sharciga ama amarada mas'uuliyiinta ay khuseyso.

Iptables iyo shaandheynta taraafikada ee ka soo horjeeda faqiirka iyo caajiska

Waa maxay sababta dib u cusboonaysiinta giraangiraha marka ay jiraan barnaamijyo gaar ah iyo qaybinta hawlaheenna, tusaale ahaan: Zeroshell, pfSense, ClearOS.

Maamulka ayaa lahaa su'aal kale: Alaabta la isticmaalay ma ka haystaa shahaadada badbaadada ee gobolkayaga?

Waxaan khibrad u lahayn la shaqaynta qaybinta soo socota:

  • Zeroshell - horumariyayaashu xitaa waxay ku deeqeen shatiga 2-sano, laakiin waxay soo baxday in qalabka qaybinta ee aan xiisayneyno, caqli-darro, waxay noo qabatay hawl muhiim ah;
  • pfSense - ixtiraam iyo sharaf, isla markaana caajis ah, la qabsanaya khadka taliska ee Firewall FreeBSD oo aan nagu habboonayn (waxaan u maleynayaa inay tahay arrin caado ah, laakiin waxay u noqotay hab khaldan);
  • ClearOS - qalabkeena waxay u noqotay mid aad u gaabis ah, ma aadi karno imtixaan halis ah, markaa waa maxay sababta isdhexgalka culus?
  • Ideco SELECTA. Alaabta Ideco waa wada hadal gaar ah, badeecad xiiso leh, laakiin sababo siyaasadeed oo aan anaga ahayn, sidoo kale waxaan rabaa inaan "qaniino" iyaga oo ku saabsan shatiga isla Linux, Roundcube, iwm. Xaggee bay ka keeneen fikradda ah in ay gooyaan interface-ka Python iyo iyagoo meesha ka saaraya xuquuqaha isticmaalaha, waxay iibin karaan badeeco dhammaatay oo ka kooban qaybo la sameeyay oo wax laga beddelay oo ka yimid bulshada Internetka oo lagu qaybiyay GPL&iwm.

Waxaan fahamsanahay in hadda qaylo-dhaanta xun ay ku soo shubi doonaan jihadayda dalabaadka si aan u caddeeyo dareenkayga shakhsi ahaaneed si faahfaahsan, laakiin waxaan rabaa in aan sheego in noodhka shabakadani uu sidoo kale yahay dheellitirka taraafikada ee 4 kanaal dibadda ah ee internetka, iyo kanaal kastaa wuxuu leeyahay astaamo u gaar ah. . Dhagax kale ayaa ahaa baahida loo qabo mid ka mid ah dhowr shabakadood oo isku xira si ay uga shaqeeyaan meelo ciwaano kala duwan, iyo I diyaar qiro in VLAN-yada loo isticmaali karo meel kasta marka loo baahdo oo aan loo baahnayn diyaar uma aha. Waxaa jira aalado loo isticmaalo sida TP-Link TL-R480T+ - si fiican uma dhaqmaan, guud ahaan, siyaalo u gaar ah. Waxay ahayd suurtogal in lagu habeeyo qaybtan Linux iyada oo ay ugu wacan tahay bogga rasmiga ah ee Ubuntu Isku dheellitirnaanta IP: isku darka dhowr kanaal oo intarneedka ah oo mid laga dhigo. Waxaa intaa dheer, mid kasta oo ka mid ah kanaalada ayaa "dhici kara" daqiiqad kasta, iyo sidoo kale kor u kaca. Haddii aad xiisaynayso qoraal hadda shaqaynaya (oo tani waxay u qalantaa daabacaad gaar ah), ku qor faallooyinka.

Xalka la tixgelinayo ma sheeganayo inuu yahay mid gaar ah, laakiin waxaan jeclaan lahaa inaan weydiiyo su'aasha: "Maxay tahay sababta ay shirkaduhu ula qabsanayaan alaabada shakiga leh ee dhinac saddexaad ee leh shuruudaha qalabka khatarta ah marka ikhtiyaarka beddelka ah la tixgelin karo?"

Haddii Ruushka uu jiro liiska Roskomnadzor, gudaha Ukraine waxaa jira lifaaqa Go'aanka Golaha Amniga Qaranka (tusaale ahaan. bal eega), markaas madaxda deegaanku sidoo kale ma seexdaan. Tusaale ahaan, waxaa nala siiyay liiska goobaha mamnuuca ah ee, ra'yiga maamulka, wax u dhimaya wax soo saarka goobta shaqada.

La xiriirka asxaabtaada shirkadaha kale, halkaas oo sida caadiga ah dhammaan goobaha laga mamnuuco oo kaliya marka la codsado ogolaanshaha madaxa waxaad geli kartaa goob gaar ah, adigoo dhoola cadeynaya, u fekeraya oo "sigaar cabba dhibaatada", waxaan gaadhnay fahamka nolosha. weli way wanaagsan tahay oo waxaan bilownay raadintooda.

Helitaanka fursada ma aha oo kaliya in la falanqeeyo waxa ay ku qoraan "buugaagta haweenka guriga" ee ku saabsan shaandhaynta taraafikada, laakiin sidoo kale si aan u aragno waxa ka dhacaya kanaalada bixiyeyaasha kala duwan, waxaan ogaanay cuntooyinka soo socda (wax kasta oo shaashad ah ayaa yar yar oo la jarjaray, fadlan faham markaad waydiinayso):

Bixiyaha 1
- ma dhibto oo soo rogtay server-keeda DNS iyo server-ka wakiil hufan. Hagaag?.. laakiin waxaan marin u leenahay halka aan uga baahanahay (haddii aan u baahanahay :))

Bixiyaha 2
- wuxuu aaminsan yahay in bixiyaha ugu sarreeya uu ka fekero arrintan, taageerada farsamo ee bixiyaha ugu sarreeya ayaa xitaa qirtay sababta aanan u furi karin goobta aan u baahanahay, taas oo aan la mamnuucin. Waxaan filayaa in sawirku kugu maaweelin doono :)

Iptables iyo shaandheynta taraafikada ee ka soo horjeeda faqiirka iyo caajiska

Sida ay soo baxday, waxay u tarjumaan magacyada goobaha mamnuuca ah cinwaannada IP-ga waxayna xannibaan IP-ga laftiisa (ma dhibayaan xaqiiqda ah in ciwaanka IP-ga uu martigelin karo 20 goobood).

Bixiyaha 3
- waxay ogolaataa taraafikada inay halkaas tagto, laakiin uma ogola inay dib ugu soo noqoto wadada.

Bixiyaha 4
- Mamnuuc dhammaan wax-is-daba-marinta baakidhyada jihada la cayimay.

Maxaa lagu sameeyaa VPN (ixtiraamka browserka Opera) iyo plugins browser? Ku ciyaarista qanjirada Mikrotik marka hore, waxaan xitaa helnay cunto kariye kheyraad leh oo loogu talagalay L7, kaas oo aan markii dambe ka tagnay (waxaa jiri kara magacyo badan oo mamnuuc ah, waxay noqotaa murugo marka, marka lagu daro masuuliyadeeda tooska ah ee waddooyinka, 3 darsin tibaaxaha culeyska processor-ka PPC460GT wuxuu gaarayaa 100%.

Iptables iyo shaandheynta taraafikada ee ka soo horjeeda faqiirka iyo caajiska.

Maxaa caddaaday:
DNS ee 127.0.0.1 gabi ahaanba maaha daawo; Noocyada casriga ah ee daalacashada ayaa wali kuu oggolaanaya inaad ka gudubto dhibaatooyinkaas. Suurtagal maaha in dhammaan isticmaalayaasha lagu xaddido xuquuqaha la dhimay, mana aha inaynaan iloobin tirada badan ee DNS kale. Internetku ma aha mid taagan, oo marka lagu daro ciwaanada cusub ee DNS, goobaha mamnuuca ah waxay iibsadaan ciwaano cusub, beddelaan xayndaabyada heerka sare ah, waxayna ku dari karaan/ka saari karaan jilaa cinwaankooda. Laakiin wali waxay xaq u leedahay inaad ku noolaato wax sidan oo kale ah:

ip route add blackhole 1.2.3.4

Waxay noqon doontaa mid aad waxtar u leh in laga helo liiska cinwaannada IP-ga liiska goobaha la mamnuucay, laakiin sababaha kor lagu sheegay awgeed, waxaan u gudubnay tixgelinta Iptables. Waxaa horeyba u jiray dheellitir nool oo ku saabsan CentOS Linux sii deynta 7.5.1804.

Internetka isticmaaluhu waa inuu ahaado mid degdeg ah, Browser-kuna waa inuusan sugin nus daqiiqo, isagoo ku soo gebogebeynaya in boggan aan la heli karin. Raadin dheer ka dib waxaan u nimid qaabkan:
Faylka 1 -> /script/diiday_martigeliyaha, liiska magacyada la mamnuucay:

test.test
blablabla.bubu
torrent
porno

Faylka 2 -> /script/Denied_ range, liiska meelaha ciwaanka ah iyo ciwaanada mamnuuca ah:

192.168.111.0/24
241.242.0.0/16

Faylka qoraalka 3 -> ipt.shshaqada adoo isticmaalaya ipables:

# считываСм ΠΏΠΎΠ»Π΅Π·Π½ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΈΠ· ΠΏΠ΅Ρ€Π΅Ρ‡Π½Π΅ΠΉ Ρ„Π°ΠΉΠ»ΠΎΠ²
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываСм всС настройки iptables, Ρ€Π°Π·Ρ€Π΅ΡˆΠ°Ρ Ρ‚ΠΎ Ρ‡Ρ‚ΠΎ Π½Π΅ Π·Π°ΠΏΡ€Π΅Ρ‰Π΅Π½ΠΎ
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#Ρ€Π΅ΡˆΠ°Π΅ΠΌ ΠΎΠ±Π½ΠΎΠ²ΠΈΡ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚Π°Ρ… (ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡ‚ΡŒ нашСй Π°Ρ€Ρ…ΠΈΡ‚Π΅ΠΊΡ‚ΡƒΡ€Ρ‹)
sudo sh rout.sh
# цикличСски обрабатывая ΠΊΠ°ΠΆΠ΄ΡƒΡŽ строку Ρ„Π°ΠΉΠ»Π° примСняСм ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠΈ строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# цикличСски обрабатывая ΠΊΠ°ΠΆΠ΄ΡƒΡŽ строку Ρ„Π°ΠΉΠ»Π° примСняСм ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠΈ адрСса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

Isticmaalka sudo waxaa sabab u ah xaqiiqda ah in aan haysano hack yar oo lagu maareeyo interface-ka WEB, laakiin waayo-aragnimada isticmaalka qaabkan oo kale muddo ka badan hal sano ayaa muujisay, WEB maahan lagama maarmaan. Hirgelinta ka dib, waxaa jiray rabitaan ah in lagu daro liiska goobaha xogta, iwm. Tirada martigeliyaha la xannibay ayaa ka badan 250 + darsin goob ciwaan ah. Runtii waxaa jira dhibaato markaad aado goobta adoo isticmaalaya isku xirka https, sida maamulaha nidaamka, waxaan qabaa cabashooyin ku saabsan daalacashada :), laakiin kuwani waa kiisas gaar ah, inta badan kiciyeyaasha helitaan la'aanta kheyraadka ayaa wali ku jira dhinaceena. , waxaan sidoo kale si guul leh u xannibnay Opera VPN iyo plugins sida friGate iyo telemetry ee Microsoft.

Iptables iyo shaandheynta taraafikada ee ka soo horjeeda faqiirka iyo caajiska

Source: www.habr.com

Add a comment