ProHoster > Blog > Tsamaiso > Li-Iptables le ho sefa sephethephethe ho tsoa ho bahanyetsi ba futsanehileng le ba botsoa

Li-Iptables le ho sefa sephethephethe ho tsoa ho bahanyetsi ba futsanehileng le ba botsoa

Bohlokoa ba ho thibela maeto ho lisebelisoa tse thibetsoeng ho ama molaoli ofe kapa ofe ea ka qosoang ka molao ka ho se ikobele molao kapa litaelo tsa ba boholong ba amehang.

Li-Iptables le ho sefa sephethephethe ho tsoa ho bahanyetsi ba futsanehileng le ba botsoa

Hobaneng ha re qapa lebili ha ho na le mananeo a ikhethileng le kabo ea mesebetsi ea rona, mohlala: Zeroshell, pfSense, ClearOS.

Batsamaisi ba ne ba e-na le potso e 'ngoe: Na sehlahisoa se sebelisitsoeng se na le setifikeiti sa polokeho se tsoang naheng ea rona?

Re bile le boiphihlelo ba ho sebetsa ka liphallelo tse latelang:

  • Zeroshell - bahlahisi ba bile ba fana ka lengolo la tumello ea lilemo tse 2, empa ho ile ha fumaneha hore setsi sa kabo seo re neng re se thahasella, ka mokhoa o sa utloahaleng, se re etselitse mosebetsi o boima;
  • pfSense - tlhompho le tlhompho, ka nako e ts'oanang e bora, ho tloaela mohala oa taelo ea FreeBSD firewall mme ha e re lokele ka ho lekaneng (ke nahana hore ke taba ea tloaelo, empa e bile tsela e fosahetseng);
  • ClearOS - ho hardware ea rona e ile ea tsamaea butle haholo, ha rea ​​​​ka ra fihla litekong tse tebileng, joale ke hobane'ng ha li-interfaces tse boima hakaale?
  • Ideco SELECTA. Sehlahisoa sa Ideco ke moqoqo o arohaneng, sehlahisoa se thahasellisang, empa ka mabaka a lipolotiki eseng bakeng sa rona, hape ke batla ho "loma" ka laesense ea Linux e tšoanang, Roundcube, joalo-joalo. Ba ile ba fumana maikutlo a hore ka ho khaola segokanyimmediamentsi sa sebolokigolo ho python mme ka ho amoha litokelo tsa superuser, ba ka rekisa sehlahisoa se felileng se entsoeng ka li-module tse ntlafalitsoeng le tse fetotsoeng ho tsoa sechabeng sa Marang-rang se ajoang tlasa GPL&etc.

Kea utloisisa hore hona joale litlatsetso tse mpe li tla tšollela ka tataiso ea ka ka litlhoko tsa ho tiisa maikutlo a ka ka botlalo, empa ke batla ho bolela hore node ena ea marang-rang e boetse e le tekanyo ea sephethephethe bakeng sa liteishene tse 4 tsa ka ntle ho Internet, 'me mocha ka mong o na le litšobotsi tsa oona. . Lejoe le leng la sekhutlo e ne e le tlhoko ea e 'ngoe ea marang-rang a mangata a marang-rang ho sebetsa libakeng tse fapaneng tsa liaterese, le I e lokile lumela hore li-VLAN li ka sebelisoa hohle moo ho hlokahalang le ho sa hlokahale e sa itokisetsang. Ho na le lisebelisoa tse sebelisoang tse kang TP-Link TL-R480T+ - ha li itšoare ka mokhoa o phethahetseng, ka kakaretso, ka mefuta ea tsona. Ho ne ho khonahala ho hlophisa karolo ena ho Linux ka lebaka la webosaete ea semmuso ea Ubuntu IP Balancing: Ho kopanya liteishene tse 'maloa tsa Marang-rang ho etsa e le' ngoe. Ho feta moo, e 'ngoe le e' ngoe ea mechine e ka "oela" ka nako leha e le efe, hammoho le ho phahama. Haeba u thahasella sengoloa se ntseng se sebetsa hajoale ('me sena se bohlokoa ho phatlalatsoa ka thoko), ngola litlhalosong.

Tharollo e ntseng e nahanoa ha e ipolele e ikhethile, empa ke kopa ho botsa potso: "Hobaneng khoebo e lokela ho ikamahanya le lihlahisoa tse belaetsang tsa motho oa boraro tse nang le litlhoko tse tebileng tsa hardware ha ho ka nahanoa khetho e 'ngoe?"

Haeba Russia Federation ho na le lethathamo la Roskomnadzor, Ukraine ho na le sehlomathiso sa Qeto ea Lekhotla la Tšireletso la Sechaba (mohlala. bonang), joale baetapele ba libaka le bona ha ba robale. Ka mohlala, re ile ra fuoa lethathamo la libaka tse thibetsoeng tseo, ho ea ka maikutlo a batsamaisi, li senyang tlhahiso mosebetsing.

Ho buisana le basebetsi-'moho le likhoebo tse ling, moo ka ho sa feleng libaka tsohle li thibetsoe 'me feela ka kopo ka tumello ea mookameli u ka khona ho fumana sebaka se itseng, ho bososela ka tlhompho, ho nahana le "ho tsuba ka lebaka la bothata", re ile ra utloisisa hore bophelo bo teng. e ntse e le ntle mme re ile ra qala patlo ea bona.

Kaha re na le monyetla oa ho bona feela seo ba se ngolang "libukeng tsa bo-'mè ba malapa" mabapi le ho hloekisa sephethephethe, empa hape le ho bona se etsahalang liteisheneng tsa bafani ba fapaneng, re hlokometse litlolo tse latelang (li-screenshots leha e le life li fokotsehile, ka kopo. utloisisa ha u botsa):

Mofani 1
- ha e khathatse ebile e beha li-server tsa eona tsa DNS le seva ea proxy e pepeneneng. Ho lokile? .. empa re na le phihlello moo re e hlokang (haeba re e hloka :))

Mofani 2
- o lumela hore mofani oa hae ea ka sehloohong o lokela ho nahana ka sena, tšehetso ea theknoloji ea mofani oa holimo e bile e lumela hore na ke hobane'ng ha ke sa khone ho bula sebaka seo ke neng ke se hloka, se neng se sa haneloa. Ke nahana hore setšoantšo se tla u thabisa :)

Li-Iptables le ho sefa sephethephethe ho tsoa ho bahanyetsi ba futsanehileng le ba botsoa

Ha e le hantle, ba fetolela mabitso a libaka tse thibetsoeng ka liaterese tsa IP 'me ba thibela IP ka boeona (ha ba khathatsoe ke taba ea hore aterese ena ea IP e ka amohela libaka tsa 20).

Mofani 3
- e lumella sephethephethe ho ea moo, empa ha se e lumelle ho khutlela tseleng.

Mofani 4
- e thibela ho qhekella hohle ka lipakete ka tsela e boletsoeng.

Seo u lokelang ho se etsa ka VPN (tlhompho ho sebatli sa Opera) le li-plugins tsa sebatli? Ho bapala le node Mikrotik qalong, re bile ra fumana risepe e matla ea lisebelisoa bakeng sa L7, eo hamorao re ileng ra tlameha ho e lahla (ho ka 'na ha e-ba le mabitso a mangata a thibetsoeng, hoa soabisa ha, ho phaella ho boikarabelo ba eona bo tobileng ba litsela, ka 3 dozen. mantsoe a palo ea processor ea PPC460GT e ea ho 100 %).

Li-Iptables le ho sefa sephethephethe ho tsoa ho bahanyetsi ba futsanehileng le ba botsoa.

Se ileng sa hlaka:
DNS ho 127.0.0.1 ha se pheko ho hang, libatli tsa sejoale-joale li ntse li u lumella ho qoba mathata a joalo. Ha ho khonehe ho fokotsa basebelisi bohle ho fokotsa litokelo, 'me ha rea ​​​​lokela ho lebala ka palo e kholo ea DNS e 'ngoe. Marang-rang ha a tsitsitse, 'me ho phaella ho liaterese tse ncha tsa DNS, libaka tse thibetsoeng li reka liaterese tse ncha, li fetola libaka tsa maemo a holimo,' me li ka eketsa / tsa tlosa sebopeho atereseng ea tsona. Empa o ntse a na le tokelo ea ho phela lintho tse kang:

ip route add blackhole 1.2.3.4

E ka ba hantle ho fumana lethathamo la liaterese tsa IP ho tsoa lethathamong la libaka tse thibetsoeng, empa ka mabaka a boletsoeng ka holimo, re ile ra fetela pele ho maikutlo a mabapi le Iptables. Ho ne ho se ho ntse ho e-na le balancer e phelang ho CentOS Linux tokollo 7.5.1804.

Marang-rang a mosebelisi a tlameha ho potlaka, 'me Sebatli ha sea lokela ho ema halofo ea motsotso, ho etsa qeto ea hore leqephe lena ha le fumanehe. Ka mor'a ho batlisisa nako e telele re ile ra tla ho mohlala ona:
Faele 1 -> /script/denied_host, lenane la mabitso a thibetsoeng:

test.test
blablabla.bubu
torrent
porno

Faele 2 -> /script/denied_range, lethathamo la libaka le liaterese tse thibetsoeng:

192.168.111.0/24
241.242.0.0/16

Script faele 3 -> ipt.shho etsa mosebetsi ka li-ipables:

# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

Ts'ebeliso ea sudo e bakoa ke taba ea hore re na le ts'ebetso e nyane ea ho laola ka sehokelo sa WEB, empa joalo ka ha boiphihlelo ba ho sebelisa mohlala o joalo nako e fetang selemo bo bonts'itse, WEB ha e hlokahale. Ka mor'a ts'ebetsong, ho ne ho e-na le takatso ea ho eketsa lenane la libaka ho database, joalo-joalo. Palo ea mabotho a koetsoeng e feta 250 + libaka tse leshome le metso e 'meli tsa liaterese. Ho hlile ho na le bothata ha u ea sebakeng sa marang-rang ka khokahano ea https, joalo ka motsamaisi oa sistimi, ke na le litletlebo mabapi le li-browser :), empa tsena ke linyeoe tse ikhethileng, boholo ba lintho tse bakang khaello ea phihlello ea lisebelisoa li ntse li le ka lehlakoreng la rona. , re boetse re atlehile ho thibela Opera VPN le li-plugins tse kang friGate le telemetry ho tsoa ho Microsoft.

Li-Iptables le ho sefa sephethephethe ho tsoa ho bahanyetsi ba futsanehileng le ba botsoa

Source: www.habr.com

Eketsa ka tlhaloso