పేద మరియు సోమరితనం ఉన్న అసమ్మతివాదుల నుండి Iptables మరియు ఫిల్టర్ ట్రాఫిక్

నిషేధించబడిన వనరులకు సందర్శనలను నిరోధించడం యొక్క ఔచిత్యం సంబంధిత అధికారుల చట్టం లేదా ఆదేశాలను పాటించడంలో విఫలమైందని అధికారికంగా అభియోగాలు మోపబడిన ఏదైనా నిర్వాహకుడిని ప్రభావితం చేస్తుంది.

మా టాస్క్‌ల కోసం ప్రత్యేకమైన ప్రోగ్రామ్‌లు మరియు డిస్ట్రిబ్యూషన్‌లు ఉన్నప్పుడు చక్రాన్ని ఎందుకు మళ్లీ ఆవిష్కరించాలి, ఉదాహరణకు: Zeroshell, pfSense, ClearOS.

నిర్వహణకు మరో ప్రశ్న ఉంది: ఉపయోగించిన ఉత్పత్తికి మన రాష్ట్రం నుండి భద్రతా ప్రమాణపత్రం ఉందా?

కింది పంపిణీలతో పనిచేసిన అనుభవం మాకు ఉంది:

• జీరోషెల్ - డెవలపర్లు 2-సంవత్సరాల లైసెన్స్‌ను కూడా విరాళంగా ఇచ్చారు, కానీ మేము ఆసక్తి ఉన్న పంపిణీ కిట్, అశాస్త్రీయంగా, మాకు ఒక క్లిష్టమైన పనితీరును ప్రదర్శించింది;
• pfSense - గౌరవం మరియు గౌరవం, అదే సమయంలో బోరింగ్, FreeBSD ఫైర్‌వాల్ యొక్క కమాండ్ లైన్‌కు అలవాటుపడటం మరియు మాకు తగినంత సౌకర్యవంతంగా లేదు (ఇది అలవాటుగా ఉందని నేను భావిస్తున్నాను, కానీ అది తప్పు మార్గంగా మారింది);
• ClearOS - మా హార్డ్‌వేర్‌లో ఇది చాలా నెమ్మదిగా ఉందని తేలింది, మేము తీవ్రమైన పరీక్షలను పొందలేకపోయాము, కాబట్టి ఇంత భారీ ఇంటర్‌ఫేస్‌లు ఎందుకు?
• Ideco SELECTA. Ideco ఉత్పత్తి అనేది ఒక ప్రత్యేక సంభాషణ, ఒక ఆసక్తికరమైన ఉత్పత్తి, కానీ రాజకీయ కారణాల వల్ల మాకు కాదు, మరియు నేను కూడా అదే Linux, Roundcube మొదలైన వాటి కోసం లైసెన్స్ గురించి "కాటు" చేయాలనుకుంటున్నాను. ఇంటర్‌ఫేస్‌ను కత్తిరించడం ద్వారా వారికి ఎక్కడ ఆలోచన వచ్చింది పైథాన్ మరియు సూపర్‌యూజర్ హక్కులను తీసివేయడం ద్వారా, వారు GPL&etc కింద పంపిణీ చేయబడిన ఇంటర్నెట్ కమ్యూనిటీ నుండి అభివృద్ధి చేయబడిన మరియు సవరించిన మాడ్యూల్‌లతో రూపొందించబడిన తుది ఉత్పత్తిని విక్రయించవచ్చు.

నా ఆత్మాశ్రయ భావాలను వివరంగా నిరూపించే డిమాండ్‌లతో ఇప్పుడు ప్రతికూల ఆశ్చర్యార్థకాలు నా దిశలో కురుస్తాయని నేను అర్థం చేసుకున్నాను, అయితే ఈ నెట్‌వర్క్ నోడ్ ఇంటర్నెట్‌కు 4 బాహ్య ఛానెల్‌లకు ట్రాఫిక్ బ్యాలెన్సర్ అని చెప్పాలనుకుంటున్నాను మరియు ప్రతి ఛానెల్‌కు దాని స్వంత లక్షణాలు ఉన్నాయి . వివిధ అడ్రస్ స్పేస్‌లలో పని చేయడానికి అనేక నెట్‌వర్క్ ఇంటర్‌ఫేస్‌లలో ఒకదాని అవసరం మరొక మూలస్తంభం, మరియు I సిద్ధంగా అవసరమైన మరియు అవసరం లేని ప్రతిచోటా VLANలను ఉపయోగించవచ్చని అంగీకరించండి సిద్ధంగా లేదు. TP-Link TL-R480T+ వంటి పరికరాలు వాడుకలో ఉన్నాయి - అవి సాధారణంగా, వారి స్వంత సూక్ష్మ నైపుణ్యాలతో సంపూర్ణంగా ప్రవర్తించవు. ఉబుంటు అధికారిక వెబ్‌సైట్‌కు ధన్యవాదాలు, ఈ భాగాన్ని Linuxలో కాన్ఫిగర్ చేయడం సాధ్యమైంది IP బ్యాలెన్సింగ్: అనేక ఇంటర్నెట్ ఛానెల్‌లను ఒకటిగా కలపడం. అంతేకాకుండా, ప్రతి ఛానెల్ ఏ క్షణంలోనైనా "పడిపోతుంది", అలాగే పెరుగుతుంది. మీరు ప్రస్తుతం పని చేస్తున్న స్క్రిప్ట్‌పై ఆసక్తి కలిగి ఉంటే (మరియు ఇది ప్రత్యేక ప్రచురణ విలువైనది), వ్యాఖ్యలలో వ్రాయండి.

పరిశీలనలో ఉన్న పరిష్కారం ప్రత్యేకమైనదని క్లెయిమ్ చేయదు, కానీ నేను ఈ ప్రశ్నను అడగాలనుకుంటున్నాను: "ప్రత్యామ్నాయ ఎంపికను పరిగణించినప్పుడు తీవ్రమైన హార్డ్‌వేర్ అవసరాలతో మూడవ పక్ష సందేహాస్పద ఉత్పత్తులకు ఎంటర్‌ప్రైజ్ ఎందుకు అనుగుణంగా ఉండాలి?"

రష్యన్ ఫెడరేషన్‌లో రోస్కోమ్నాడ్జోర్ జాబితా ఉంటే, ఉక్రెయిన్‌లో జాతీయ భద్రతా మండలి నిర్ణయానికి అనుబంధం ఉంది (ఉదాహరణకు. ఇక్కడ), అప్పుడు స్థానిక నాయకులు కూడా నిద్రపోరు. ఉదాహరణకు, మేనేజ్‌మెంట్ అభిప్రాయం ప్రకారం కార్యాలయంలో ఉత్పాదకతను దెబ్బతీసే నిషేధిత సైట్‌ల జాబితా మాకు అందించబడింది.

ఇతర సంస్థలలోని సహోద్యోగులతో కమ్యూనికేట్ చేయడం, ఇక్కడ డిఫాల్ట్‌గా అన్ని సైట్‌లు నిషేధించబడ్డాయి మరియు బాస్ అనుమతితో అభ్యర్థనపై మాత్రమే మీరు నిర్దిష్ట సైట్‌ను యాక్సెస్ చేయగలరు, గౌరవంగా నవ్వుతూ, ఆలోచిస్తూ మరియు “సమస్యపై ధూమపానం”, మేము జీవితాన్ని అర్థం చేసుకున్నాము. ఇంకా బాగానే ఉంది మరియు మేము వారి శోధనను ప్రారంభించాము.

ట్రాఫిక్ ఫిల్టరింగ్ గురించి “గృహిణుల పుస్తకాలలో” వారు వ్రాసే వాటిని విశ్లేషణాత్మకంగా చూడటమే కాకుండా, వివిధ ప్రొవైడర్ల ఛానెల్‌లలో ఏమి జరుగుతుందో చూడటానికి కూడా అవకాశం ఉన్నందున, మేము ఈ క్రింది వంటకాలను గమనించాము (ఏదైనా స్క్రీన్‌షాట్‌లు కొద్దిగా కత్తిరించబడ్డాయి, దయచేసి అడిగినప్పుడు అర్థం చేసుకోండి):

ప్రొవైడర్ 1
- ఇబ్బంది పడదు మరియు దాని స్వంత DNS సర్వర్‌లను మరియు పారదర్శక ప్రాక్సీ సర్వర్‌ను విధిస్తుంది. సరే?.. అయితే మనకు అవసరమైన చోట మనకు యాక్సెస్ ఉంది (అవసరమైతే :))

ప్రొవైడర్ 2
- తన టాప్ ప్రొవైడర్ దీని గురించి ఆలోచించాలని నమ్ముతున్నాడు, అగ్రశ్రేణి ప్రొవైడర్ యొక్క సాంకేతిక మద్దతు కూడా నాకు అవసరమైన సైట్‌ను నేను ఎందుకు తెరవలేకపోయాను అని అంగీకరించింది, అది నిషేధించబడలేదు. చిత్రం మిమ్మల్ని రంజింపజేస్తుందని భావిస్తున్నాను :)

ఇది ముగిసినట్లుగా, వారు నిషేధించబడిన సైట్‌ల పేర్లను IP చిరునామాలుగా అనువదిస్తారు మరియు IPని బ్లాక్ చేస్తారు (ఈ IP చిరునామా 20 సైట్‌లను హోస్ట్ చేయగలదని వారు బాధపడరు).

ప్రొవైడర్ 3
— ట్రాఫిక్‌ని అక్కడికి వెళ్లడానికి అనుమతిస్తుంది, కానీ మార్గంలో తిరిగి అనుమతించదు.

ప్రొవైడర్ 4
- పేర్కొన్న దిశలో ప్యాకెట్లతో అన్ని అవకతవకలను నిషేధిస్తుంది.

VPN (Opera బ్రౌజర్‌కి సంబంధించి) మరియు బ్రౌజర్ ప్లగిన్‌లతో ఏమి చేయాలి? మొదట మైక్రోటిక్ నోడ్‌తో ఆడుతూ, మేము L7 కోసం రిసోర్స్-ఇంటెన్సివ్ రెసిపీని కూడా పొందాము, దానిని మేము తరువాత వదిలివేయవలసి వచ్చింది (మరిన్ని నిషేధించబడిన పేర్లు ఉండవచ్చు, 3 డజనులలో దాని ప్రత్యక్ష బాధ్యతలతో పాటు, రూట్‌ల కోసం దాని ప్రత్యక్ష బాధ్యతలు ఉన్నప్పుడు ఇది విచారంగా ఉంటుంది. వ్యక్తీకరణలు PPC460GT ప్రాసెసర్ లోడ్ 100 %కి వెళుతుంది).

.

ఏమి స్పష్టమైంది:
127.0.0.1లోని DNS ఖచ్చితంగా వినాశనం కాదు; బ్రౌజర్‌ల యొక్క ఆధునిక సంస్కరణలు ఇప్పటికీ అటువంటి సమస్యలను దాటవేయడానికి మిమ్మల్ని అనుమతిస్తాయి. వినియోగదారులందరినీ తగ్గించిన హక్కులకు పరిమితం చేయడం అసాధ్యం మరియు భారీ సంఖ్యలో ప్రత్యామ్నాయ DNS గురించి మనం మరచిపోకూడదు. ఇంటర్నెట్ స్థిరంగా లేదు మరియు కొత్త DNS చిరునామాలతో పాటు, నిషేధించబడిన సైట్‌లు కొత్త చిరునామాలను కొనుగోలు చేస్తాయి, ఉన్నత-స్థాయి డొమైన్‌లను మార్చవచ్చు మరియు వారి చిరునామాలో అక్షరాన్ని జోడించవచ్చు/తీసివేయవచ్చు. కానీ ఇప్పటికీ ఇలా జీవించే హక్కు ఉంది:

ip route add blackhole 1.2.3.4

నిషేధించబడిన సైట్‌ల జాబితా నుండి IP చిరునామాల జాబితాను పొందడం చాలా ప్రభావవంతంగా ఉంటుంది, కానీ పైన పేర్కొన్న కారణాల వల్ల, మేము Iptables గురించి పరిగణలోకి తీసుకున్నాము. CentOS Linux విడుదల 7.5.1804లో ఇప్పటికే లైవ్ బ్యాలెన్సర్ ఉంది.

వినియోగదారు ఇంటర్నెట్ వేగంగా ఉండాలి మరియు బ్రౌజర్ ఈ పేజీ అందుబాటులో లేదని నిర్ధారించి అర నిమిషం పాటు వేచి ఉండకూడదు. సుదీర్ఘ శోధన తర్వాత మేము ఈ నమూనాకు వచ్చాము:
ఫైల్ 1 -> /script/denied_host, నిషేధించబడిన పేర్ల జాబితా:

test.test
blablabla.bubu
torrent
porno

ఫైల్ 2 -> /స్క్రిప్ట్/నిరాకరణ_రేంజ్, నిషేధించబడిన చిరునామా ఖాళీలు మరియు చిరునామాల జాబితా:

192.168.111.0/24
241.242.0.0/16

స్క్రిప్ట్ ఫైల్ 3 -> ipt.shipablesతో ఉద్యోగం చేయడం:

# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

మేము వెబ్ ఇంటర్‌ఫేస్ ద్వారా నిర్వహించడానికి చిన్న హ్యాక్‌ని కలిగి ఉన్నందున సుడో యొక్క ఉపయోగం ఉంది, అయితే అటువంటి మోడల్‌ను ఒక సంవత్సరం కంటే ఎక్కువ కాలం ఉపయోగించడంలో అనుభవం చూపినట్లుగా, WEB అంత అవసరం లేదు. అమలు చేసిన తర్వాత, డేటాబేస్ మొదలైన వాటికి సైట్ల జాబితాను జోడించాలనే కోరిక ఉంది. బ్లాక్ చేయబడిన హోస్ట్‌ల సంఖ్య 250 కంటే ఎక్కువ + డజను చిరునామా ఖాళీలు. సిస్టమ్ అడ్మినిస్ట్రేటర్ వంటి https కనెక్షన్ ద్వారా సైట్‌కు వెళ్లేటప్పుడు నిజంగా సమస్య ఉంది, నాకు బ్రౌజర్‌ల గురించి ఫిర్యాదులు ఉన్నాయి :), కానీ ఇవి ప్రత్యేక సందర్భాలు, వనరుకు ప్రాప్యత లేకపోవడం వల్ల చాలా ట్రిగ్గర్లు ఇప్పటికీ మా వైపు ఉన్నాయి. , మేము Opera VPN మరియు Microsoft నుండి ఫ్రిగేట్ మరియు టెలిమెట్రీ వంటి ప్లగిన్‌లను కూడా విజయవంతంగా బ్లాక్ చేస్తాము.

మూలం: www.habr.com