Relevansi meungpeuk kunjungan ka sumber anu dilarang mangaruhan kuncén mana waé anu sacara resmi dituduh gagal matuh hukum atanapi paréntah otoritas anu relevan.
Naha reinvent kabayang lamun aya program husus sarta sebaran pikeun tugas urang, contona: Zeroshell, pfSense, ClearOS.
Manajemén ngagaduhan patarosan anu sanés: Naha produk anu dianggo ngagaduhan sertipikat kaamanan ti nagara urang?
Kami ngagaduhan pangalaman damel sareng distribusi di handap ieu:
- Zeroshell - pamekar malah nyumbangkeun lisénsi 2 taun, tapi tétéla yén kit distribution kami museurkeun, illogically, ngalaksanakeun fungsi kritis pikeun urang;
- pfSense - hormat sareng ngahargaan, dina waktos anu sami pikaboseneun, biasa kana garis komando firewall FreeBSD sareng henteu cekap pikeun urang (Jigana éta masalah kabiasaan, tapi tétéla jalan anu salah);
- ClearOS - dina hardware kami tétéla lambat pisan, kami henteu tiasa nguji serius, janten naha antarmuka anu beurat sapertos kitu?
- Ideco SELECTA. Produk Ideco mangrupikeun paguneman anu misah, produk anu pikaresepeun, tapi pikeun alesan politik sanés pikeun urang, sareng kuring ogé hoyong "ngegel" aranjeunna ngeunaan lisénsi pikeun Linux anu sami, Roundcube, jsb. Dimana maranéhna meunang pamanggih yén ku motong panganteur kana Python sarta ku cara nyokot jauh hak superuser, aranjeunna bisa ngajual produk rengse diwangun ku modul dimekarkeun sarta dirobah tina komunitas Internet disebarkeun dina GPL & jsb.
Kuring ngarti yén ayeuna exclamations négatip bakal tuang di arah kuring jeung tungtutan pikeun substantiate parasaan subjektif kuring di jéntré, tapi abdi hoyong disebutkeun yen titik jaringan ieu ogé mangrupa balancer lalulintas keur 4 saluran éksternal ka Internet, sarta unggal channel boga ciri sorangan. . Landasan anu sanés nyaéta kabutuhan salah sahiji sababaraha antarmuka jaringan pikeun dianggo dina rohangan alamat anu béda, sareng kuring siap ngaku yén VLANs bisa dipaké madhab mana perlu jeung teu perlu teu siap. Aya alat anu dianggo sapertos TP-Link TL-R480T + - aranjeunna henteu kalakuanana sampurna, sacara umum, kalayan nuansa sorangan. Ieu mungkin pikeun ngonpigurasikeun bagian ieu dina Linux hatur nuhun kana ramatloka resmi Ubuntu . Leuwih ti éta, unggal saluran bisa "ragrag" iraha wae, kitu ogé naek. Upami anjeun kabetot dina naskah anu ayeuna damel (sareng ieu patut publikasi anu misah), nyerat dina koméntar.
Solusi anu dipertimbangkeun henteu ngaku unik, tapi kuring hoyong naroskeun patarosan: "Naha perusahaan kedah adaptasi sareng produk dubious pihak katilu kalayan syarat hardware anu serius nalika pilihan alternatif tiasa dianggap?"
Upami di Féderasi Rusia aya daptar Roskomnadzor, di Ukraina aya lampiran kana Kaputusan Déwan Kaamanan Nasional (contona. ), teras pamimpin satempat ogé henteu saré. Salaku conto, kami dibéré daptar situs anu dilarang anu, dina pamadegan manajemén, ngaruksak produktivitas di gaw.
Komunikasi sareng kolega di perusahaan anu sanés, dimana sacara standar sadaya situs dilarang sareng ngan ukur upami dipénta ku idin bos anjeun tiasa ngaksés situs khusus, mesem hormat, mikir sareng "ngudud kana masalah", kami ngartos yén kahirupan. masih alus sarta kami ngamimitian pilarian maranéhanana.
Ngabogaan kasempetan henteu ngan ukur analitis ningali naon anu aranjeunna tulis dina "buku ibu rumah tangga" ngeunaan panyaring lalu lintas, tapi ogé ningali naon anu lumangsung dina saluran panyadia anu béda, kami perhatikeun resep di handap ieu (sagala Potret layar anu dipotong sakedik, mangga ngartos nalika naroskeun):
Panyadia 1
- henteu ngaganggu sareng maksakeun server DNS sorangan sareng server proxy transparan. Nya?.. tapi urang gaduh aksés ka tempat anu diperyogikeun (upami peryogina :))
Panyadia 2
- percaya yén panyadia luhur na kudu mikir ngeunaan ieu, rojongan teknis panyadia luhur malah ngaku naha kuring teu bisa muka situs kuring diperlukeun, nu teu dilarang. Jigana gambarna bakal ngahibur anjeun :)
Salaku tétéla, aranjeunna narjamahkeun ngaran situs dilarang kana alamat IP sarta meungpeuk IP sorangan (aranjeunna teu diganggu ku kanyataan yén alamat IP ieu bisa boga 20 situs).
Panyadia 3
- ngamungkinkeun lalulintas ka dinya, tapi teu ngidinan deui sapanjang jalur.
Panyadia 4
- nyaram sadaya manipulasi sareng pakét dina arah anu ditangtukeun.
Naon anu kudu dilakukeun sareng VPN (hormat ka browser Opera) sareng plugins browser? Maén sareng titik Mikrotik dina mimitina, urang malah meunang resep sumberdaya-intensif pikeun L7, nu engké urang kapaksa abandon (bisa aya leuwih ngaran dilarang, janten hanjelu lamun, sajaba tanggung jawab langsung na pikeun ruteu, on 3 belasan. ungkapan beban processor PPC460GT mana anu ka 100 %).
.
Anu janten jelas:
DNS dina 127.0.0.1 leres-leres sanés panacea; versi browser modéren masih ngamungkinkeun anjeun ngaliwat masalah sapertos kitu. Mustahil pikeun ngabatesan sadaya pangguna pikeun ngirangan hak, sareng urang henteu kedah hilap ngeunaan sajumlah ageung DNS alternatif. Internét henteu statis, sareng salian ti alamat DNS énggal, situs dilarang mésér alamat énggal, ngarobih domain tingkat luhur, sareng tiasa nambihan/miceun karakter dina alamatna. Tapi tetep boga hak pikeun hirup hal kawas:
ip route add blackhole 1.2.3.4Eta bakal rada éféktif pikeun ménta daptar alamat IP tina daptar situs dilarang, tapi alesan disebutkeun di luhur, urang dipindahkeun kana tinimbangan ngeunaan Iptables. Geus aya balancer langsung dina CentOS Linux release 7.5.1804.
Internét pamaké kudu gancang, sarta Browser teu kudu antosan satengah menit, concluding yén kaca ieu teu sadia. Saatos milarian anu panjang, kami dugi ka modél ieu:
File 1 -> /script/denied_host, daptar ngaran anu dilarang:
test.test
blablabla.bubu
torrent
pornoFile 2 -> /script/denied_range, daptar spasi alamat jeung alamat dilarang:
192.168.111.0/24
241.242.0.0/16File skrip 3 -> ipt.shngalakonan pakasaban kalawan ipables:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Pamakéan sudo téh alatan kanyataan yén urang boga hack leutik pikeun ngatur via panganteur WEB, tapi sakumaha pangalaman dina ngagunakeun modél misalna pikeun leuwih ti sataun geus ditémbongkeun, WEB teu jadi perlu. Saatos palaksanaan, aya kahayang pikeun nambahkeun daptar situs ka database, jsb. Jumlah host anu diblokir langkung ti 250 + belasan rohangan alamat. Saleresna aya masalah nalika angkat ka situs liwat sambungan HTTPS, sapertos administrator sistem, kuring gaduh keluhan ngeunaan panyungsi :), tapi ieu mangrupikeun kasus khusus, kalolobaan pemicu pikeun kurangna aksés kana sumberdaya masih aya di sisi kami. , kami ogé suksés meungpeuk Opera VPN sareng plugins sapertos friGate sareng telemétri ti Microsoft.
sumber: www.habr.com