โปรโฮสต์ > บล็อก > การบริหาร > Iptables และกรองการรับส่งข้อมูลจากผู้ไม่เห็นด้วยที่น่าสงสารและเกียจคร้าน

Iptables และกรองการรับส่งข้อมูลจากผู้ไม่เห็นด้วยที่น่าสงสารและเกียจคร้าน

ความเกี่ยวข้องของการบล็อกการเข้าชมทรัพยากรที่ต้องห้ามส่งผลกระทบต่อผู้ดูแลระบบที่อาจถูกตั้งข้อหาอย่างเป็นทางการว่าไม่ปฏิบัติตามกฎหมายหรือคำสั่งของหน่วยงานที่เกี่ยวข้อง

Iptables และกรองการรับส่งข้อมูลจากผู้ไม่เห็นด้วยที่น่าสงสารและเกียจคร้าน

ทำไมต้องสร้างวงล้อขึ้นมาใหม่เมื่อมีโปรแกรมพิเศษและการแจกจ่ายสำหรับงานของเรา เช่น Zeroshell, pfSense, ClearOS

ผู้บริหารเกิดคำถามอีกว่า สินค้าที่ใช้มีใบรับรองความปลอดภัยจากรัฐเราหรือไม่?

เรามีประสบการณ์ในการทำงานกับการแจกแจงต่อไปนี้:

  • Zeroshell - นักพัฒนายังบริจาคใบอนุญาต 2 ปีด้วยซ้ำ แต่กลับกลายเป็นว่าชุดการแจกจ่ายที่เราสนใจทำหน้าที่สำคัญสำหรับเราอย่างไร้เหตุผล
  • pfSense - ความเคารพและให้เกียรติในเวลาเดียวกันก็น่าเบื่อทำความคุ้นเคยกับบรรทัดคำสั่งของไฟร์วอลล์ FreeBSD และไม่สะดวกพอสำหรับเรา (ฉันคิดว่ามันเป็นเรื่องของนิสัย แต่มันกลายเป็นวิธีที่ผิด);
  • ClearOS - บนฮาร์ดแวร์ของเราปรากฏว่าช้ามาก เราไม่สามารถทำการทดสอบอย่างจริงจังได้ แล้วทำไมอินเทอร์เฟซที่หนักหน่วงเช่นนี้
  • ไอเดโก้ ซีเล็คต้า. ผลิตภัณฑ์ Ideco เป็นการสนทนาที่แยกจากกันเป็นผลิตภัณฑ์ที่น่าสนใจ แต่ด้วยเหตุผลทางการเมืองไม่ใช่สำหรับเรา และฉันก็อยากจะ "กัด" พวกเขาเกี่ยวกับใบอนุญาตสำหรับ Linux, Roundcube เดียวกัน ฯลฯ พวกเขาเอาความคิดนั้นมาจากไหนโดยการตัดอินเทอร์เฟซเข้าไป หลาม และโดยการนำสิทธิ์ superuser ออกไป พวกเขาสามารถขายผลิตภัณฑ์สำเร็จรูปที่ประกอบด้วยโมดูลที่พัฒนาและดัดแปลงจากชุมชนอินเทอร์เน็ตที่เผยแพร่ภายใต้ GPL&ฯลฯ

ฉันเข้าใจว่าตอนนี้เครื่องหมายอัศเจรีย์เชิงลบจะหลั่งไหลมาในทิศทางของฉันพร้อมกับความต้องการที่จะยืนยันความรู้สึกส่วนตัวของฉันโดยละเอียด แต่ฉันอยากจะบอกว่าโหนดเครือข่ายนี้ยังเป็นตัวสร้างสมดุลการรับส่งข้อมูลสำหรับ 4 ช่องทางภายนอกสู่อินเทอร์เน็ตและแต่ละช่องมีลักษณะเฉพาะของตัวเอง . สิ่งสำคัญอีกประการหนึ่งคือความต้องการอินเทอร์เฟซเครือข่ายหนึ่งในหลาย ๆ อันเพื่อทำงานในพื้นที่ที่อยู่ที่แตกต่างกัน และฉัน พร้อมแล้ว ยอมรับว่า VLAN สามารถใช้งานได้ทุกที่ทั้งที่จำเป็นและไม่จำเป็น ไม่พร้อม. มีอุปกรณ์ที่ใช้งานอยู่เช่น TP-Link TL-R480T+ - โดยทั่วไปแล้วอุปกรณ์เหล่านั้นจะทำงานได้ไม่สมบูรณ์โดยมีความแตกต่างของตัวเอง สามารถกำหนดค่าส่วนนี้บน Linux ได้ด้วยเว็บไซต์อย่างเป็นทางการของ Ubuntu IP Balancing: รวมช่องอินเทอร์เน็ตหลายช่องเป็นช่องเดียว. ยิ่งกว่านั้นแต่ละช่องสามารถ “ร่วง” ได้ทุกเมื่อและเพิ่มขึ้นอีกด้วย หากคุณสนใจสคริปต์ที่ใช้งานได้ในปัจจุบัน (และคุ้มค่าที่จะตีพิมพ์แยกต่างหาก) ให้เขียนความคิดเห็น

โซลูชันที่อยู่ระหว่างการพิจารณาไม่ได้อ้างว่ามีเอกลักษณ์เฉพาะ แต่ฉันอยากจะถามคำถาม: “เหตุใดองค์กรจึงควรปรับให้เข้ากับผลิตภัณฑ์ที่น่าสงสัยของบุคคลที่สามซึ่งมีข้อกำหนดด้านฮาร์ดแวร์ที่ร้ายแรง ในเมื่อสามารถพิจารณาตัวเลือกอื่นได้”

หากในสหพันธรัฐรัสเซียมีรายชื่อ Roskomnadzor ในยูเครนจะมีภาคผนวกต่อการตัดสินใจของคณะมนตรีความมั่นคงแห่งชาติ (เช่น ที่นี่) จากนั้นผู้นำท้องถิ่นก็ไม่หลับเช่นกัน ตัวอย่างเช่น เราได้รับรายชื่อไซต์ต้องห้ามซึ่งตามความเห็นของฝ่ายบริหาร พบว่าทำให้ประสิทธิภาพการทำงานในที่ทำงานลดลง

การสื่อสารกับเพื่อนร่วมงานในองค์กรอื่น ๆ โดยค่าเริ่มต้นแล้วไซต์ทั้งหมดจะถูกห้ามและเมื่อได้รับการร้องขอจากเจ้านายเท่านั้นคุณจึงสามารถเข้าถึงไซต์ใดไซต์หนึ่งได้ ยิ้มด้วยความเคารพ คิดและ "สูบบุหรี่เหนือปัญหา" เราจึงได้เข้าใจว่าชีวิต ยังคงดีอยู่และเราเริ่มค้นหาพวกเขา

มีโอกาสไม่เพียงแต่จะได้เห็นสิ่งที่พวกเขาเขียนใน "หนังสือของแม่บ้าน" เกี่ยวกับการกรองการจราจร แต่ยังดูสิ่งที่เกิดขึ้นในช่องทางของผู้ให้บริการที่แตกต่างกันเราสังเกตเห็นสูตรต่อไปนี้ (ภาพหน้าจอใด ๆ ที่ถูกครอบตัดเล็กน้อยโปรด เข้าใจตอนถาม):

ผู้ให้บริการ 1
— ไม่ต้องกังวลและกำหนดเซิร์ฟเวอร์ DNS ของตัวเองและพร็อกซีเซิร์ฟเวอร์แบบโปร่งใส เอ่อ?.. แต่เราสามารถเข้าถึงจุดที่เราต้องการได้ (ถ้าเราต้องการ :))

ผู้ให้บริการ 2
- เชื่อว่าผู้ให้บริการชั้นนำของเขาควรคิดถึงเรื่องนี้ ฝ่ายสนับสนุนด้านเทคนิคของผู้ให้บริการชั้นนำถึงกับยอมรับว่าเหตุใดฉันจึงไม่สามารถเปิดเว็บไซต์ที่ต้องการได้ ซึ่งไม่ได้ถูกห้าม ฉันคิดว่าภาพจะทำให้คุณสนุก :)

Iptables และกรองการรับส่งข้อมูลจากผู้ไม่เห็นด้วยที่น่าสงสารและเกียจคร้าน

เมื่อปรากฎว่าพวกเขาแปลชื่อของไซต์ต้องห้ามเป็นที่อยู่ IP และบล็อก IP เอง (พวกเขาไม่สนใจความจริงที่ว่าที่อยู่ IP นี้สามารถโฮสต์ได้ 20 ไซต์)

ผู้ให้บริการ 3
- อนุญาตให้สัญจรไปมาได้ แต่ห้ามกลับรถตามเส้นทาง

ผู้ให้บริการ 4
— ห้ามการปรับเปลี่ยนแพ็กเก็ตทั้งหมดในทิศทางที่กำหนด

จะทำอย่างไรกับ VPN (สำหรับเบราว์เซอร์ Opera) และปลั๊กอินของเบราว์เซอร์? การเล่นกับโหนด Mikrotik ในตอนแรกเรายังมีสูตรที่ใช้ทรัพยากรมากสำหรับ L7 ซึ่งต่อมาเราต้องละทิ้ง (อาจมีชื่อต้องห้ามมากกว่านี้ มันกลายเป็นเรื่องน่าเศร้าเมื่อนอกเหนือจากความรับผิดชอบโดยตรงสำหรับเส้นทางบน 3 โหล นิพจน์โหลดโปรเซสเซอร์ PPC460GT ไปที่ 100 %)

Iptables และกรองการรับส่งข้อมูลจากผู้ไม่เห็นด้วยที่น่าสงสารและเกียจคร้าน.

สิ่งที่ชัดเจน:
DNS บน 127.0.0.1 ไม่ใช่ยาครอบจักรวาลอย่างแน่นอน เบราว์เซอร์เวอร์ชันใหม่ยังช่วยให้คุณหลีกเลี่ยงปัญหาดังกล่าวได้ เป็นไปไม่ได้ที่จะจำกัดผู้ใช้ทั้งหมดให้มีสิทธิ์ลดลง และเราต้องไม่ลืมเกี่ยวกับ DNS ทางเลือกจำนวนมาก อินเทอร์เน็ตไม่คงที่ และนอกเหนือจากที่อยู่ DNS ใหม่แล้ว ไซต์ต้องห้ามยังซื้อที่อยู่ใหม่ เปลี่ยนโดเมนระดับบนสุด และสามารถเพิ่ม/ลบอักขระในที่อยู่ของพวกเขาได้ แต่ก็ยังมีสิทธิที่จะมีชีวิตอยู่เช่น:

ip route add blackhole 1.2.3.4

การรับรายการที่อยู่ IP จากรายการไซต์ต้องห้ามจะค่อนข้างมีประสิทธิภาพ แต่ด้วยเหตุผลที่ระบุไว้ข้างต้น เราจึงได้พิจารณาเกี่ยวกับ Iptables มี Live Balancer บน CentOS Linux รุ่น 7.5.1804 อยู่แล้ว

อินเตอร์เน็ตของผู้ใช้ควรจะเร็ว และ Browser ไม่ควรรอครึ่งนาที สรุปว่า หน้านี้ใช้งานไม่ได้ หลังจากค้นหามานานเราก็มาถึงโมเดลนี้:
ไฟล์ 1 -> /script/denied_host, รายชื่อต้องห้าม :

test.test
blablabla.bubu
torrent
porno

ไฟล์ 2 -> /script/denied_range, รายการช่องว่างและที่อยู่ต้องห้าม:

192.168.111.0/24
241.242.0.0/16

ไฟล์สคริปต์ 3 -> ไอพีที.ชทำงานด้วย iables:

# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

การใช้ sudo เกิดจากการที่เรามีแฮ็กเล็กๆ สำหรับควบคุมผ่านอินเทอร์เฟซ WEB แต่จากประสบการณ์ในการใช้โมเดลดังกล่าวมานานกว่าหนึ่งปีได้แสดงให้เห็นแล้ว WEB ก็ไม่จำเป็นนัก หลังจากดำเนินการแล้วมีความปรารถนาที่จะเพิ่มรายการไซต์ลงในฐานข้อมูล ฯลฯ จำนวนโฮสต์ที่ถูกบล็อกมีมากกว่า 250 + ช่องว่างที่อยู่โหล มีปัญหาจริงๆ เมื่อไปที่ไซต์ผ่านการเชื่อมต่อ https เช่นผู้ดูแลระบบ ฉันมีข้อร้องเรียนเกี่ยวกับเบราว์เซอร์ :) แต่สิ่งเหล่านี้เป็นกรณีพิเศษ สาเหตุส่วนใหญ่ของการไม่สามารถเข้าถึงทรัพยากรยังคงอยู่ในฝั่งของเรา เรายังบล็อก Opera VPN และปลั๊กอินเช่น friGate และ telemetry จาก Microsoft ได้สำเร็จอีกด้วย

Iptables และกรองการรับส่งข้อมูลจากผู้ไม่เห็นด้วยที่น่าสงสารและเกียจคร้าน

ที่มา: will.com

เพิ่มความคิดเห็น