Yasaklanmış kaynaklara yapılan ziyaretlerin engellenmesinin konuyla ilgisi, kanunlara veya ilgili makamların emirlerine uymamakla resmi olarak suçlanabilecek tüm yöneticileri etkiler.
Görevlerimiz için özel programlar ve dağıtımlar varken neden tekerleği yeniden icat edelim: Zeroshell, pfSense, ClearOS.
Yönetimin bir sorusu daha vardı: Kullanılan ürünün devletimizden alınmış güvenlik sertifikası var mı?
Aşağıdaki dağıtımlarla çalışma deneyimimiz vardı:
- Zeroshell - geliştiriciler 2 yıllık bir lisans bile bağışladılar, ancak ilgilendiğimiz dağıtım kitinin mantıksız bir şekilde bizim için kritik bir işlevi yerine getirdiği ortaya çıktı;
- pfSense - saygı ve onur, aynı zamanda sıkıcı, FreeBSD güvenlik duvarının komut satırına alışmak ve bizim için yeterince uygun değil (bunun bir alışkanlık meselesi olduğunu düşünüyorum, ancak yanlış yol olduğu ortaya çıktı);
- ClearOS - donanımımızın çok yavaş olduğu ortaya çıktı, ciddi testlere ulaşamadık, peki neden bu kadar ağır arayüzler?
- Ideco SELECTA. Ideco ürünü ayrı bir konuşma, ilginç bir ürün, ancak siyasi nedenlerden dolayı bizim için değil ve aynı Linux, Roundcube vb. Lisansı konusunda da onları "ısırmak" istiyorum. Arayüzü keserek bunu nereden akıllarına getirdiler? Python ve süper kullanıcı haklarını ellerinden alarak, GPL vb. altında dağıtılan İnternet topluluğundan geliştirilmiş ve değiştirilmiş modüllerden oluşan bitmiş bir ürün satabilirler.
Artık öznel duygularımı ayrıntılı olarak doğrulama talepleriyle olumsuz ünlemlerin yönüme akacağını anlıyorum, ancak bu ağ düğümünün aynı zamanda internete giden 4 harici kanal için trafik dengeleyici olduğunu ve her kanalın kendine has özelliklere sahip olduğunu söylemek istiyorum. . Bir diğer temel taşı ise çeşitli ağ arayüzlerinden birinin farklı adres alanlarında çalışmasına duyulan ihtiyaçtı ve ben hazır VLAN'ların gerekli ve gereksiz her yerde kullanılabileceğini kabul edin hazır değil. TP-Link TL-R480T+ gibi kullanımda olan cihazlar var - genel olarak kendi nüanslarıyla mükemmel çalışmıyorlar. Ubuntu resmi web sitesi sayesinde bu bölümü Linux'ta yapılandırmak mümkün oldu . Üstelik kanalların her biri her an "düşebilir" ve yükselebilir. Şu anda çalışan bir senaryoyla ilgileniyorsanız (ve bu ayrı bir yayına değer), yorumları yazın.
Söz konusu çözümün benzersiz olduğu iddia edilmiyor ancak şu soruyu sormak istiyorum: "Alternatif bir seçenek değerlendirilebilecekken, neden bir kuruluş ciddi donanım gereksinimleri olan üçüncü taraf şüpheli ürünlere uyum sağlamalı?"
Rusya Federasyonu'nda Roskomnadzor'un bir listesi varsa, Ukrayna'da Milli Güvenlik Konseyi Kararının bir eki vardır (örneğin. ), o zaman yerel liderler de uyumuyor. Örneğin, yönetimin görüşüne göre işyerinde üretkenliği bozan yasaklı sitelerin bir listesi bize verildi.
Varsayılan olarak tüm sitelerin yasak olduğu ve yalnızca patronun izniyle belirli bir siteye erişebildiğiniz diğer işletmelerdeki meslektaşlarımızla iletişim kurarak, saygılı bir şekilde gülümseyerek, düşünerek ve "sorun üzerinde sigara içerek" hayatın şunu anladık ki; hala iyi ve aramaya başladık.
Trafik filtrelemeyle ilgili "ev kadınları kitaplarında" yazdıklarını analitik olarak görmenin yanı sıra farklı sağlayıcıların kanallarında neler olup bittiğini de görme fırsatı bulduğumuz için aşağıdaki tarifleri fark ettik (herhangi bir ekran görüntüsü biraz kırpılmış, lütfen anlayın) ):
Sağlayıcı 1
— zahmet etmez ve kendi DNS sunucularını ve şeffaf bir proxy sunucusunu empoze eder. Peki?.. ama ihtiyacımız olan yere erişimimiz var (eğer ihtiyacımız varsa :))
Sağlayıcı 2
- en iyi sağlayıcısının bunu düşünmesi gerektiğine inanıyor, hatta en iyi sağlayıcının teknik desteği, ihtiyacım olan siteyi neden açamadığımı bile itiraf etti ki bu yasak değildi. Bu fotoğrafın sizi eğlendireceğini düşünüyorum :)
Anlaşıldığı üzere, yasaklı sitelerin adlarını IP adreslerine çeviriyorlar ve IP'nin kendisini engelliyorlar (bu IP adresinin 20 siteyi barındırabilmesinden rahatsız değiller).
Sağlayıcı 3
— trafiğin oraya gitmesine izin verir, ancak rota boyunca geri dönmesine izin vermez.
Sağlayıcı 4
— paketlerle belirtilen yöndeki tüm manipülasyonları yasaklar.
VPN (Opera tarayıcısına göre) ve tarayıcı eklentileri ile ne yapmalı? İlk başta Mikrotik düğümüyle oynayarak, daha sonra vazgeçmek zorunda kaldığımız L7 için kaynak yoğun bir tarif bile aldık (daha fazla yasaklı isim olabilir, rotalarla ilgili doğrudan sorumluluklarına ek olarak 3 düzinede üzücü hale gelir) PPC460GT işlemci yükünün %100'e ulaştığı ifadeleri).
.
Neler netleşti:
127.0.0.1'deki DNS kesinlikle her derde deva değil; tarayıcıların modern sürümleri hala bu tür sorunları atlamanıza izin veriyor. Tüm kullanıcıları azaltılmış haklarla sınırlandırmak imkansızdır ve çok sayıda alternatif DNS'yi unutmamalıyız. İnternet statik değildir ve yasaklı siteler yeni DNS adreslerinin yanı sıra yeni adresler satın alır, üst düzey alan adlarını değiştirir ve adreslerine karakter ekleyebilir/kaldırabilir. Ama yine de şöyle bir şey yaşama hakkı var:
ip route add blackhole 1.2.3.4Yasaklanmış siteler listesinden IP adreslerinin bir listesini almak oldukça etkili olacaktır ancak yukarıda belirtilen nedenlerden dolayı Iptables ile ilgili hususlara geçtik. CentOS Linux'un 7.5.1804 sürümünde zaten bir canlı dengeleyici mevcuttu.
Kullanıcının interneti hızlı olmalı ve tarayıcı bu sayfanın mevcut olmadığı sonucuna varacak şekilde yarım dakika beklememelidir. Uzun bir araştırmadan sonra şu modele ulaştık:
Dosya 1 -> /script/reddedilen_ana bilgisayar, yasaklı isimlerin listesi:
test.test
blablabla.bubu
torrent
pornoDosya 2 -> /script/reddedilen_aralık, yasaklanmış adres alanlarının ve adreslerin listesi:
192.168.111.0/24
241.242.0.0/16Komut dosyası 3 -> ipt.shişi ipables ile yapmak:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Sudo kullanımı, WEB arayüzü üzerinden kontrol için küçük bir hack'e sahip olmamızdan kaynaklanmaktadır, ancak böyle bir modeli bir yıldan fazla kullanma deneyiminin gösterdiği gibi, WEB o kadar da gerekli değildir. Uygulamadan sonra, veritabanına vb. sitelerin bir listesini ekleme isteği vardı. Engellenen ana bilgisayarların sayısı 250 + bir düzine adres alanından fazladır. Gerçekten https bağlantısı üzerinden bir siteye gittiğinizde sorun oluyor sistem yöneticisi gibi, tarayıcılarla ilgili şikayetlerim var :) ama bunlar özel durumlar, kaynağa erişim eksikliği tetikleyicilerinin çoğu hala bizden yana. Ayrıca Opera VPN'i ve Microsoft'un friGate ve telemetri gibi eklentilerini de başarıyla engelliyoruz.
Kaynak: habr.com