Релевантност блокирања посета забрањеним ресурсима утиче на сваког администратора који може бити званично оптужен за непоштовање закона или налога релевантних органа.
Зашто поново измишљати точак када постоје специјализовани програми и дистрибуције за наше задатке, на пример: Зеросхелл, пфСенсе, ЦлеарОС.
Менаџмент је имао још једно питање: Да ли производ који се користи има сертификат о безбедности наше државе?
Имали смо искуства у раду са следећим дистрибуцијама:
- Зеросхелл – програмери су чак поклонили лиценцу на 2 године, али се испоставило да је дистрибутивни комплет за који смо били заинтересовани, нелогично, имао критичну функцију за нас;
- пфСенсе - поштовање и част, истовремено досадно, навикавање на командну линију ФрееБСД заштитног зида и недовољно згодно за нас (мислим да је то ствар навике, али се испоставило да је то био погрешан пут);
- ЦлеарОС - испоставило се да је на нашем хардверу веома спор, нисмо могли да дођемо до озбиљног тестирања, па зашто тако тешки интерфејси?
- Идецо СЕЛЕЦТА. Идецо производ је засебан разговор, интересантан производ, али из политичких разлога не за нас, а желим и да их „загризем” за лиценцу за исти Линукс, Роундцубе итд. Одакле им идеја да сечењем интерфејса Питон и одузимањем права суперкорисника, они могу да продају готов производ састављен од развијених и модификованих модула из Интернет заједнице који се дистрибуирају под ГПЛ&етц.
Разумем да ће сада негативни узвици пљуштати у мом правцу са захтевима да до детаља поткрепим своја субјективна осећања, али желим да кажем да је овај мрежни чвор такође балансатор саобраћаја за 4 екстерна канала ка Интернету, и сваки канал има своје карактеристике . Други камен темељац била је потреба да један од неколико мрежних интерфејса ради у различитим адресним просторима, а ја спреман признати да се ВЛАН-ови могу користити свуда где је потребно, а није неопходно није спреман. Постоје уређаји у употреби као што је ТП-Линк ТЛ-Р480Т+ - они се не понашају савршено, генерално, са својим нијансама. Било је могуће конфигурисати овај део на Линук-у захваљујући званичном сајту Убунту-а . Штавише, сваки од канала може у сваком тренутку да „падне“, али и да се подигне. Ако сте заинтересовани за скрипту која тренутно ради (а ово вреди посебне публикације), напишите у коментарима.
Решење које се разматра не тврди да је јединствено, али бих желео да поставим питање: „Зашто би се предузеће прилагођавало сумњивим производима трећих страна са озбиљним хардверским захтевима када се може размотрити алтернативна опција?“
Ако у Руској Федерацији постоји листа Роскомнадзора, у Украјини постоји анекс Одлуке Савета за националну безбедност (нпр. ), онда ни локални лидери не спавају. На пример, добили смо списак забрањених локација које, по мишљењу менаџмента, нарушавају продуктивност на радном месту.
Комуницирајући са колегама у другим предузећима, где су подразумевано забрањени сви сајтови и само на захтев шефа можете приступити одређеном сајту, с поштовањем, размишљајући и „пушећи проблем“, дошли смо до схватања да живот је и даље добро и почели смо њихову потрагу.
Имајући прилику не само да аналитички видимо шта пишу у „књигама домаћица“ о филтрирању саобраћаја, већ и да видимо шта се дешава на каналима различитих провајдера, приметили смо следеће рецепте (сви снимци екрана су мало исечени, молим вас разумети када питаш):
Добављач 1
— не смета и намеће своје ДНС сервере и транспарентан прокси сервер. Па?.. али имамо приступ тамо где нам треба (ако нам треба :))
Добављач 2
- сматра да његов врхунски провајдер треба да размисли о овоме, техничка подршка врхунског провајдера је чак признала зашто нисам могао да отворим сајт који ми је био потребан, што није забрањено. Мислим да ће те слика забавити :)
Како се испоставило, они преводе називе забрањених сајтова у ИП адресе и блокирају сам ИП (не смета им што ова ИП адреса може да угости 20 сајтова).
Добављач 3
— дозвољава саобраћају да иде тамо, али га не дозвољава назад дуж руте.
Добављач 4
— забрањује све манипулације са пакетима у наведеном правцу.
Шта радити са ВПН-ом (у односу на претраживач Опера) и додацима за претраживач? Играјући се у почетку са чвором Микротик, чак смо добили и ресурсно интензиван рецепт за Л7, који смо касније морали да напустимо (можда има више забрањених имена, постаје тужно када, поред његових директних одговорности за руте, на 3 туцета изразе оптерећење процесора ППЦ460ГТ иде на 100 %).
.
Шта је постало јасно:
ДНС на 127.0.0.1 апсолутно није панацеја; модерне верзије претраживача и даље вам омогућавају да заобиђете такве проблеме. Немогуће је све кориснике ограничити на смањена права, а не смијемо заборавити ни огроман број алтернативних ДНС-а. Интернет није статичан, а поред нових ДНС адреса, забрањени сајтови купују нове адресе, мењају домене највишег нивоа и могу да додају/уклањају знак у својој адреси. Али ипак има право да живи нешто попут:
ip route add blackhole 1.2.3.4Било би прилично ефикасно добити листу ИП адреса са листе забрањених локација, али из горе наведених разлога, прешли смо на разматрања о Иптаблес-у. Већ је постојао ливе балансер на ЦентОС Линук издању 7.5.1804.
Интернет корисника треба да буде брз, а претраживач не би требало да чека пола минута, закључивши да ова страница није доступна. После дуге потраге дошли смо до овог модела:
Фајл 1 -> /сцрипт/дениед_хост, листа забрањених имена:
test.test
blablabla.bubu
torrent
pornoФајл 2 -> /сцрипт/дениед_ранге, листа забрањених адресних простора и адреса:
192.168.111.0/24
241.242.0.0/16Датотека скрипте 3 -> ипт.схради посао са ипаблес-ом:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Употреба судо је последица чињенице да имамо мали хак за управљање преко ВЕБ интерфејса, али као што је показало искуство коришћења оваквог модела дуже од годину дана, ВЕБ није толико потребан. Након имплементације, постојала је жеља да се у базу података дода листа сајтова итд. Број блокираних хостова је више од 250 + десетак адресних простора. Заиста постоји проблем при одласку на сајт преко хттпс везе, попут администратора система, имам притужбе на претраживаче :), али ово су посебни случајеви, већина покретача недостатка приступа ресурсу је и даље на нашој страни , такође успешно блокирамо Опера ВПН и додатке као што су фриГате и телеметрија из Мицрософта.
Извор: ввв.хабр.цом