Муносибати бастани боздидҳо ба захираҳои мамнӯъ ба ҳар як мудир таъсир мерасонад, ки мумкин аст расман барои риоя накардани қонун ё фармонҳои мақомоти дахлдор айбдор карда шавад.
Чаро чархро аз нав ихтироъ кунед, вақте ки барномаҳои махсус ва тақсимот барои вазифаҳои мо мавҷуданд, масалан: Zeroshell, pfSense, ClearOS.
Роҳбарият як саволи дигар дошт: Оё маҳсулоти истифодашуда сертификати бехатарии давлати мо дорад?
Мо таҷрибаи кор бо тақсимоти зерин доштем:
- Zeroshell - таҳиягарон ҳатто литсензияи 2-соларо ҳадя карданд, аммо маълум шуд, ки маҷмӯаи тақсимот, ки мо ба он таваҷҷӯҳ доштем, ғайримантиқӣ барои мо вазифаи муҳимро иҷро кардааст;
- pfSense - эҳтиром ва эҳтиром, ҳамзамон дилгиркунанда, одат кардан ба сатри фармони девори FreeBSD ва барои мо кофӣ қулай нест (ман фикр мекунам, ки ин як одат аст, аммо ин роҳи нодуруст баромад);
- ClearOS - дар сахтафзори мо он хеле суст буд, мо натавонистем ба санҷиши ҷиддӣ ворид шавем, пас чаро чунин интерфейсҳои вазнин?
- Ideco SELECTA. Маҳсулоти Ideco як сӯҳбати алоҳида, маҳсулоти ҷолиб аст, аммо бо сабабҳои сиёсӣ на барои мо ва ман инчунин мехоҳам онҳоро дар бораи литсензия барои ҳамон Linux, Roundcube ва ғайра "газанам". Онҳо аз куҷо фикр карданд, ки тавассути буридани интерфейс ба Python ва бо гирифтани ҳуқуқи суперистифодабаранда, онҳо метавонанд маҳсулоти тайёреро, ки аз модулҳои таҳияшуда ва тағирёфтаи ҷомеаи интернетӣ дар доираи GPL ва ғайра паҳн карда шудаанд, фурӯшанд.
Ман мефаҳмам, ки ҳоло нидоҳои манфӣ ба самти ман бо талабҳо барои ба таври муфассал асоснок кардани эҳсосоти субъективии ман мерезанд, аммо ман мехоҳам бигӯям, ки ин гиреҳи шабакавӣ инчунин барои 4 канали беруна ба Интернет мувозинаткунандаи трафик мебошад ва ҳар як канал хусусиятҳои худро дорад. . Дигар санги асосӣ зарурати яке аз якчанд интерфейсҳои шабакавӣ барои кор дар фазои суроғаҳои гуногун буд ва ман омода аст иқрор шавед, ки VLAN-ро дар ҳама ҷо истифода бурдан мумкин аст, дар он ҷое ки лозим аст ва на зарурат тайёр нестанд. Дастгоҳҳое мавҷуданд, ки TP-Link TL-R480T+ истифода мешаванд - онҳо умуман бо нозукиҳои худ ба таври комил рафтор намекунанд. Ба шарофати вебсайти расмии Ubuntu, ин қисмро дар Linux танзим кардан мумкин буд . Гузашта аз ин, ҳар як канал метавонад дар ҳар лаҳза "афтад" ва инчунин боло равад. Агар шумо ба скрипте, ки ҳоло кор мекунад, таваҷҷӯҳ дошта бошед (ва ин ба нашри алоҳида арзиш дорад), дар шарҳҳо нависед.
Ҳалли баррасишаванда даъвои нодир нест, аммо ман мехоҳам саволе диҳам: "Чаро корхона бояд ба маҳсулоти шубҳаноки тарафи сеюм бо талаботи ҷиддии сахтафзор мутобиқ шавад, вақте ки варианти алтернативӣ баррасӣ мешавад?"
Агар дар Федератсияи Русия рӯйхати Роскомнадзор мавҷуд бошад, дар Украина замимаи Қарори Шӯрои Амнияти Миллӣ мавҷуд аст (масалан. ), пас рохбарони махалхо хам хоб намекунанд. Масалан, ба мо руйхати сайтхои манъшударо доданд, ки ба акидаи рохбарият, хосилнокии мехнатро дар чои кор паст мекунанд.
Бо ҳамкасбон дар корхонаҳои дигар, ки дар онҳо ҳама сайтҳо манъ аст ва танҳо бо дархости роҳбар шумо метавонед ба як сайти мушаххас дастрасӣ пайдо кунед, бо эҳтиром табассум карда, фикр карда, "аз сари мушкилот тамокукашӣ кунед". то ҳол хуб аст ва мо ҷустуҷӯи онҳоро оғоз кардем.
Бо имкони на танҳо ба таври таҳлилӣ дидани он чизе, ки онҳо дар "китобҳои занони хонашин" дар бораи филтркунии трафик чӣ менависанд, инчунин дидани он, ки дар каналҳои провайдерҳои гуногун чӣ рӯй дода истодааст, мо рецептҳои зеринро мушоҳида кардем (ҳама гуна скриншотҳо каме бурида шудаанд, лутфан ҳангоми пурсидан фаҳмед):
Таъминкунанда 1
— ташвиш намедиҳад ва серверҳои DNS-и худ ва сервери прокси шаффофро муқаррар мекунад. Хуб?.. аммо мо ба он ҷое, ки ба мо лозим аст, дастрасӣ дорем (агар ба мо лозим бошад :))
Таъминкунанда 2
- боварӣ дорад, ки провайдери олии ӯ бояд дар ин бора фикр кунад, дастгирии техникии провайдери олӣ ҳатто иқрор шуд, ки чаро ман сайти лозимаро кушода натавонистам, ки манъ набуд. Ман фикр мекунам, ки тасвир шуморо шавқовар хоҳад кард :)
Тавре маълум шуд, онҳо номи сайтҳои мамнӯъро ба суроғаҳои IP тарҷума мекунанд ва худи IP-ро маҳкам мекунанд (онҳоро ташвиш намедиҳад, ки ин IP-адрес метавонад 20 сайтро ҷойгир кунад).
Таъминкунанда 3
— ба он чо рафтани трафикро ичозат медихад, вале аз руи маршрут баргашт.
Таъминкунанда 4
— ҳама гуна амалҳоро бо пакетҳо дар самти муайяншуда манъ мекунад.
Бо VPN (нисбат ба браузери Opera) ва плагинҳои браузер чӣ бояд кард? Дар аввал бо гиреҳи Mikrotik бозӣ карда, мо ҳатто як рецепти серталаб барои L7 гирифтем, ки баъдтар мо маҷбур шудем, ки аз он даст кашем (мумкин аст номҳои манъшуда бештар бошанд, вақте ки ба ғайр аз масъулияти мустақими худ дар масирҳо, дар 3 даҳҳо ифодаҳои сарбории протсессори PPC460GT ба 100% мерасад.
.
Чӣ равшан шуд:
DNS дар 127.0.0.1 комилан панацея нест; версияҳои муосири браузерҳо ба шумо имкон медиҳанд, ки ин гуна мушкилотро аз байн баред. Ҳама корбаронро бо ҳуқуқҳои маҳдуд маҳдуд кардан ғайриимкон аст ва мо набояд дар бораи шумораи зиёди DNS алтернативӣ фаромӯш кунем. Интернет статикӣ нест ва ба ғайр аз суроғаҳои нави DNS, сайтҳои мамнӯъ суроғаҳои нав мехаранд, доменҳои сатҳи болоро иваз мекунанд ва метавонанд дар суроғаи худ аломатеро илова ё хориҷ кунанд. Аммо ба ҳар ҳол ҳақ дорад, ки чизе зиндагӣ кунад:
ip route add blackhole 1.2.3.4Гирифтани рӯйхати суроғаҳои IP аз рӯйхати сайтҳои мамнӯъ хеле муассир мебуд, аммо бо сабабҳои дар боло зикршуда, мо ба мулоҳизаҳо дар бораи Iptables гузаштем. Дар нашри CentOS Linux 7.5.1804 аллакай мувозинати зинда мавҷуд буд.
Интернети корбар бояд зуд бошад ва Браузер набояд ним дақиқа интизор шавад ва ба хулосае омад, ки ин саҳифа дастрас нест. Пас аз ҷустуҷӯи тӯлонӣ мо ба ин модел расидем:
Файл 1 -> /script/denied_host, рӯйхати номҳои мамнӯъ:
test.test
blablabla.bubu
torrent
pornoФайл 2 -> /script/denied_range, рӯйхати ҷойҳои манъшуда ва суроғаҳо:
192.168.111.0/24
241.242.0.0/16Файли скрипт 3 -> ipt.shиҷрои кор бо ipables:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Истифодаи sudo аз он сабаб аст, ки мо барои идоракунӣ тавассути интерфейси WEB як хаки хурд дорем, аммо тавре ки таҷрибаи истифодаи чунин модел дар тӯли зиёда аз як сол нишон дод, WEB он қадар зарур нест. Пас аз татбиқ, хоҳиши илова кардани рӯйхати сайтҳо ба пойгоҳи додаҳо ва ғайра вуҷуд дошт. Шумораи ҳостҳои басташуда зиёда аз 250 + даҳҳо фазои суроғаро ташкил медиҳад. Ҳангоми ворид шудан ба сайт тавассути пайвасти https, воқеан мушкилот вуҷуд дорад, ба монанди мудири система, ман аз браузерҳо шикоят дорам :), аммо ин ҳолатҳои махсус мебошанд, аксари триггерҳо барои дастрасӣ ба манбаъ ҳанӯз дар тарафи мо ҳастанд. , мо инчунин бомуваффақият Opera VPN ва плагинҳоро ба монанди friGate ва телеметрия аз Microsoft маҳкам мекунем.
Манбаъ: will.com