Umuhimu wa kuzuia ziara kwa rasilimali zilizopigwa marufuku huathiri msimamizi yeyote ambaye anaweza kushtakiwa rasmi kwa kushindwa kuzingatia sheria au amri za mamlaka husika.
Kwa nini kuanzisha tena gurudumu wakati kuna programu maalum na usambazaji wa kazi zetu, kwa mfano: Zeroshell, pfSense, ClearOS.
Wasimamizi walikuwa na swali lingine: Je, bidhaa inayotumiwa ina cheti cha usalama kutoka kwa jimbo letu?
Tulikuwa na uzoefu wa kufanya kazi na usambazaji ufuatao:
- Zeroshell - watengenezaji hata walitoa leseni ya miaka 2, lakini ikawa kwamba kit cha usambazaji ambacho tulipendezwa nacho, bila mantiki, kilifanya kazi muhimu kwa ajili yetu;
- pfSense - heshima na heshima, wakati huo huo kuchoka, kuzoea safu ya amri ya firewall ya FreeBSD na sio rahisi kwetu (nadhani ni suala la mazoea, lakini ikawa njia mbaya);
- ClearOS - kwenye vifaa vyetu iligeuka kuwa polepole sana, hatukuweza kupata majaribio mazito, kwa nini miingiliano nzito kama hii?
- Ideco SELECTA. Bidhaa ya Ideco ni mazungumzo tofauti, bidhaa ya kuvutia, lakini kwa sababu za kisiasa sio kwetu, na pia nataka "kuwauma" kuhusu leseni ya Linux sawa, Roundcube, nk. Walipata wapi wazo hilo kwa kukata interface ndani Chatu na kwa kuchukua haki za mtumiaji bora, wanaweza kuuza bidhaa iliyokamilishwa inayoundwa na moduli zilizotengenezwa na zilizorekebishwa kutoka kwa jumuiya ya Mtandao inayosambazwa chini ya GPL&nk.
Ninaelewa kuwa sasa maneno hasi yatamiminika kwa mwelekeo wangu na mahitaji ya kudhibitisha hisia zangu za kibinafsi kwa undani, lakini nataka kusema kwamba nodi hii ya mtandao pia ni usawa wa trafiki kwa chaneli 4 za nje kwenye Mtandao, na kila chaneli ina sifa zake. . Jiwe lingine la msingi lilikuwa hitaji la moja ya miingiliano kadhaa ya mtandao kufanya kazi katika nafasi tofauti za anwani, na I tayari kubali kwamba VLAN zinaweza kutumika kila mahali inapobidi na si lazima si tayari. Kuna vifaa vinavyotumika kama vile TP-Link TL-R480T+ - havifanyi kazi kikamilifu, kwa ujumla, na nuances zao wenyewe. Iliwezekana kusanidi sehemu hii kwenye Linux shukrani kwa tovuti rasmi ya Ubuntu . Kwa kuongezea, kila chaneli inaweza "kuanguka" wakati wowote, na pia kuongezeka. Ikiwa una nia ya hati ambayo inafanya kazi kwa sasa (na hii inafaa kuchapishwa tofauti), andika kwenye maoni.
Suluhisho linalozingatiwa halidai kuwa la kipekee, lakini ningependa kuuliza swali: "Kwa nini biashara inapaswa kuzoea bidhaa zisizo na shaka za mtu wa tatu na mahitaji makubwa ya vifaa wakati chaguo mbadala linaweza kuzingatiwa?"
Ikiwa katika Shirikisho la Urusi kuna orodha ya Roskomnadzor, huko Ukraine kuna kiambatisho cha Uamuzi wa Baraza la Usalama la Taifa (kwa mfano. ), basi viongozi wa mitaa hawalali pia. Kwa mfano, tulipewa orodha ya tovuti zilizopigwa marufuku ambazo, kwa maoni ya usimamizi, huharibu tija mahali pa kazi.
Kuwasiliana na wenzako katika biashara zingine, ambapo kwa msingi tovuti zote ni marufuku na kwa ombi tu kwa idhini ya bosi unaweza kupata tovuti maalum, kutabasamu kwa heshima, kufikiria na "kuvuta sigara juu ya shida", tulielewa kuwa maisha. bado ni nzuri na tulianza utafutaji wao.
Kuwa na fursa sio tu kuona kwa uchambuzi kile wanachoandika katika "vitabu vya akina mama wa nyumbani" juu ya uchujaji wa trafiki, lakini pia kuona kinachotokea kwenye chaneli za watoa huduma tofauti, tuligundua mapishi yafuatayo (picha za skrini zimepunguzwa kidogo, tafadhali. kuelewa wakati wa kuuliza):
Mtoa huduma 1
- haisumbui na inaweka seva zake za DNS na seva ya wakala ya uwazi. Sawa? .. lakini tunaweza kufikia mahali tunapohitaji (ikiwa tunaihitaji :))
Mtoa huduma 2
- anaamini kwamba mtoa huduma wake mkuu anapaswa kufikiria kuhusu hili, usaidizi wa kiufundi wa mtoa huduma mkuu hata ulikubali kwa nini sikuweza kufungua tovuti niliyohitaji, ambayo haikupigwa marufuku. Nadhani picha itakufurahisha :)
Kama ilivyotokea, wanatafsiri majina ya tovuti zilizopigwa marufuku kwenye anwani za IP na kuzuia IP yenyewe (hawasumbuki na ukweli kwamba anwani hii ya IP inaweza kukaribisha tovuti 20).
Mtoa huduma 3
- inaruhusu trafiki kwenda huko, lakini hairuhusu kurudi kwenye njia.
Mtoa huduma 4
- inakataza udanganyifu wote na pakiti katika mwelekeo maalum.
Nini cha kufanya na VPN (heshima kwa kivinjari cha Opera) na programu-jalizi za kivinjari? Kucheza na node ya Mikrotik mwanzoni, tulipata kichocheo cha rasilimali nyingi cha L7, ambacho baadaye tulilazimika kuacha (kunaweza kuwa na majina yaliyokatazwa zaidi, inakuwa ya kusikitisha wakati, pamoja na majukumu yake ya moja kwa moja ya njia, kwenye dazeni 3. misemo ya mzigo wa kichakataji cha PPC460GT huenda hadi 100 %).
.
Kilichokuwa wazi:
DNS kwenye 127.0.0.1 sio tiba kabisa; matoleo ya kisasa ya vivinjari bado hukuruhusu kupitisha shida kama hizo. Haiwezekani kupunguza watumiaji wote kwa haki zilizopunguzwa, na hatupaswi kusahau kuhusu idadi kubwa ya DNS mbadala. Mtandao hauko tuli, na pamoja na anwani mpya za DNS, tovuti zilizopigwa marufuku hununua anwani mpya, kubadilisha vikoa vya kiwango cha juu, na zinaweza kuongeza/kuondoa herufi kwenye anwani zao. Lakini bado ana haki ya kuishi kitu kama:
ip route add blackhole 1.2.3.4Itakuwa vyema kabisa kupata orodha ya anwani za IP kutoka kwenye orodha ya tovuti zilizopigwa marufuku, lakini kwa sababu zilizotajwa hapo juu, tulihamia kwenye masuala kuhusu Iptables. Tayari kulikuwa na kisawazisha cha moja kwa moja kwenye toleo la CentOS Linux 7.5.1804.
Mtandao wa mtumiaji unapaswa kuwa wa haraka, na Kivinjari haipaswi kusubiri nusu dakika, na kuhitimisha kuwa ukurasa huu haupatikani. Baada ya kutafuta kwa muda mrefu tulikuja kwa mfano huu:
Faili 1 -> /script/denied_host, orodha ya majina yaliyopigwa marufuku:
test.test
blablabla.bubu
torrent
pornoFaili 2 -> /script/denied_range, orodha ya nafasi na anwani zilizopigwa marufuku:
192.168.111.0/24
241.242.0.0/16Hati ya faili 3 -> ipt.shkufanya kazi na ipables:
# ΡΡΠΈΡΡΠ²Π°Π΅ΠΌ ΠΏΠΎΠ»Π΅Π·Π½ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΈΠ· ΠΏΠ΅ΡΠ΅ΡΠ½Π΅ΠΉ ΡΠ°ΠΉΠ»ΠΎΠ²
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# ΡΠ±ΡΠ°ΡΡΠ²Π°Π΅ΠΌ Π²ΡΠ΅ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ iptables, ΡΠ°Π·ΡΠ΅ΡΠ°Ρ ΡΠΎ ΡΡΠΎ Π½Π΅ Π·Π°ΠΏΡΠ΅ΡΠ΅Π½ΠΎ
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#ΡΠ΅ΡΠ°Π΅ΠΌ ΠΎΠ±Π½ΠΎΠ²ΠΈΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΎ ΠΌΠ°ΡΡΡΡΡΠ°Ρ
(ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡΡ Π½Π°ΡΠ΅ΠΉ Π°ΡΡ
ΠΈΡΠ΅ΠΊΡΡΡΡ)
sudo sh rout.sh
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ ΡΡΡΠΎΠΊΠΈ
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ Π°Π΄ΡΠ΅ΡΠ°
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Matumizi ya sudo yanatokana na ukweli kwamba tuna udukuzi mdogo wa kudhibiti kupitia kiolesura cha WEB, lakini kama uzoefu wa kutumia modeli kama hiyo kwa zaidi ya mwaka mmoja umeonyesha, WEB sio lazima sana. Baada ya utekelezaji, kulikuwa na hamu ya kuongeza orodha ya tovuti kwenye hifadhidata, nk. Idadi ya wapangishi waliozuiwa ni zaidi ya 250 + nafasi kadhaa za anwani. Kweli kuna shida wakati wa kwenda kwenye wavuti kupitia kiunganisho cha https, kama msimamizi wa mfumo, nina malalamiko juu ya vivinjari :), lakini hizi ni kesi maalum, vichochezi vingi vya ukosefu wa ufikiaji wa rasilimali bado viko upande wetu. , pia tumefaulu kuzuia Opera VPN na programu-jalizi kama vile friGate na telemetry kutoka Microsoft.
Chanzo: mapenzi.com