پرو ہوسٹر > بلاگ > انتظامیہ > Iptables اور غریب اور سست مخالفین سے ٹریفک کو فلٹر کرنا

Iptables اور غریب اور سست مخالفین سے ٹریفک کو فلٹر کرنا

ممنوعہ وسائل کے دوروں کو روکنے کی مطابقت کسی بھی منتظم کو متاثر کرتی ہے جس پر سرکاری طور پر قانون یا متعلقہ حکام کے احکامات کی تعمیل میں ناکامی کا الزام لگایا جا سکتا ہے۔

Iptables اور غریب اور سست مخالفین سے ٹریفک کو فلٹر کرنا

جب ہمارے کاموں کے لیے خصوصی پروگرامز اور ڈسٹری بیوشنز ہوں تو پہیے کو دوبارہ کیوں ایجاد کریں، مثال کے طور پر: Zeroshell، pfSense، ClearOS۔

انتظامیہ کے پاس ایک اور سوال تھا: کیا استعمال شدہ پروڈکٹ کا ہماری ریاست سے حفاظتی سرٹیفکیٹ ہے؟

ہمیں درج ذیل تقسیم کے ساتھ کام کرنے کا تجربہ تھا:

  • Zeroshell - ڈویلپرز نے 2 سالہ لائسنس بھی عطیہ کیا، لیکن یہ پتہ چلا کہ جس ڈسٹری بیوشن کٹ میں ہماری دلچسپی تھی، غیر منطقی طور پر، اس نے ہمارے لیے ایک اہم کام انجام دیا۔
  • pfSense - احترام اور عزت، ایک ہی وقت میں بورنگ، FreeBSD فائر وال کی کمانڈ لائن کی عادت ڈالنا اور ہمارے لیے کافی آسان نہیں (میرے خیال میں یہ عادت کی بات ہے، لیکن یہ غلط طریقہ نکلا)؛
  • ClearOS - ہمارے ہارڈ ویئر پر یہ بہت سست نکلا، ہم سنجیدہ جانچ نہیں کر سکے، تو اتنے بھاری انٹرفیس کیوں؟
  • آئیڈیکو SELECTA۔ Ideco پروڈکٹ ایک الگ گفتگو ہے، ایک دلچسپ پروڈکٹ ہے، لیکن سیاسی وجوہات کی بناء پر ہمارے لیے نہیں، اور میں ان کو اسی لینکس، راؤنڈ کیوب وغیرہ کے لائسنس کے بارے میں "کاٹنا" بھی چاہتا ہوں۔ ان کو یہ خیال کہاں سے آیا کہ انٹرفیس کو کاٹ کر ازگر اور سپر یوزر کے حقوق چھین کر، وہ GPL&etc کے تحت تقسیم ہونے والی انٹرنیٹ کمیونٹی سے تیار شدہ اور تبدیل شدہ ماڈیولز پر مشتمل ایک تیار شدہ مصنوعات فروخت کر سکتے ہیں۔

میں سمجھتا ہوں کہ اب منفی فجائیہ میرے موضوعی جذبات کو تفصیل سے ثابت کرنے کے مطالبات کے ساتھ میری سمت میں داخل ہوں گے، لیکن میں یہ کہنا چاہتا ہوں کہ یہ نیٹ ورک نوڈ انٹرنیٹ کے 4 بیرونی چینلز کے لیے ٹریفک بیلنس بھی ہے، اور ہر چینل کی اپنی خصوصیات ہیں۔ . ایک اور سنگ بنیاد مختلف ایڈریس اسپیسز میں کام کرنے کے لیے متعدد نیٹ ورک انٹرفیس میں سے ایک کی ضرورت تھی، اور I تیار تسلیم کریں کہ VLANs کا استعمال جہاں بھی ضروری ہو اور ضروری نہ ہو۔ تیار نہیں. TP-Link TL-R480T+ جیسے آلات استعمال میں ہیں - وہ عام طور پر، ان کی اپنی باریکیوں کے ساتھ بالکل ٹھیک برتاؤ نہیں کرتے ہیں۔ اوبنٹو کی آفیشل ویب سائٹ کی بدولت لینکس پر اس حصے کو ترتیب دینا ممکن ہوا۔ آئی پی بیلنسنگ: متعدد انٹرنیٹ چینلز کو ایک میں ملانا. مزید یہ کہ ہر ایک چینل کسی بھی وقت "گر" سکتا ہے اور ساتھ ہی بڑھ بھی سکتا ہے۔ اگر آپ کسی اسکرپٹ میں دلچسپی رکھتے ہیں جو فی الحال کام کر رہا ہے (اور یہ ایک علیحدہ اشاعت کے قابل ہے)، تبصرے میں لکھیں۔

زیر غور حل منفرد ہونے کا دعویٰ نہیں کرتا، لیکن میں یہ سوال پوچھنا چاہوں گا: "جب ایک متبادل آپشن پر غور کیا جا سکتا ہے تو ایک انٹرپرائز کو تھرڈ پارٹی مشکوک پروڈکٹس کے ساتھ ہارڈ ویئر کی سنگین ضروریات کو کیوں اپنانا چاہیے؟"

اگر روسی فیڈریشن میں Roskomnadzor کی ایک فہرست ہے، تو یوکرین میں قومی سلامتی کونسل کے فیصلے سے منسلک ہے (مثال کے طور پر۔ یہاں)، پھر مقامی رہنما بھی نہیں سوتے۔ مثال کے طور پر، ہمیں ممنوعہ سائٹس کی ایک فہرست دی گئی جو کہ انتظامیہ کی رائے میں، کام کی جگہ پر پیداواری صلاحیت کو خراب کرتی ہیں۔

دوسرے کاروباری اداروں کے ساتھیوں کے ساتھ بات چیت کرتے ہوئے، جہاں پہلے سے طے شدہ طور پر تمام سائٹس ممنوع ہیں اور صرف باس کی اجازت سے آپ کسی مخصوص سائٹ تک رسائی حاصل کر سکتے ہیں، احترام سے مسکراتے ہوئے، سوچتے ہوئے اور "مسئلہ پر سگریٹ نوشی" کرتے ہوئے، ہم سمجھ گئے کہ زندگی اب بھی اچھا ہے اور ہم نے ان کی تلاش شروع کردی۔

نہ صرف تجزیاتی طور پر یہ دیکھنے کا موقع ہے کہ وہ ٹریفک فلٹرنگ کے بارے میں "گھریلو خواتین کی کتابوں" میں کیا لکھتی ہیں، بلکہ یہ دیکھنے کے لیے کہ مختلف فراہم کنندگان کے چینلز پر کیا ہو رہا ہے، ہم نے مندرجہ ذیل ترکیبوں کو دیکھا (کسی بھی اسکرین شاٹس کو تھوڑا سا کٹا ہوا ہے، براہ کرم پوچھتے وقت سمجھیں):

فراہم کنندہ 1
- اپنے DNS سرورز اور ایک شفاف پراکسی سرور کو پریشان اور مسلط نہیں کرتا ہے۔ ٹھیک ہے؟ .. لیکن ہمیں وہاں تک رسائی حاصل ہے جہاں ہمیں اس کی ضرورت ہے (اگر ہمیں اس کی ضرورت ہے :))

فراہم کنندہ 2
- اس کا خیال ہے کہ اس کے اعلی فراہم کنندہ کو اس کے بارے میں سوچنا چاہئے، اعلی فراہم کنندہ کی تکنیکی مدد نے یہاں تک اعتراف کیا کہ میں اپنی ضرورت کی سائٹ کو کیوں نہیں کھول سکا، جو کہ ممنوع نہیں تھی۔ مجھے لگتا ہے کہ تصویر آپ کو خوش کرے گی :)

Iptables اور غریب اور سست مخالفین سے ٹریفک کو فلٹر کرنا

جیسا کہ یہ نکلا، وہ ممنوعہ سائٹس کے ناموں کا IP پتوں میں ترجمہ کرتے ہیں اور خود IP کو بلاک کر دیتے ہیں (وہ اس بات سے پریشان نہیں ہوتے کہ یہ IP ایڈریس 20 سائٹوں کی میزبانی کر سکتا ہے)۔

فراہم کنندہ 3
- ٹریفک کو وہاں جانے کی اجازت دیتا ہے، لیکن راستے میں واپس جانے کی اجازت نہیں دیتا۔

فراہم کنندہ 4
- مخصوص سمت میں پیکٹ کے ساتھ تمام ہیرا پھیری سے منع کرتا ہے۔

وی پی این (اوپیرا براؤزر کا احترام) اور براؤزر پلگ ان کا کیا کرنا ہے؟ پہلے نوڈ Mikrotik کے ساتھ کھیلتے ہوئے، ہمیں L7 کے لیے وسائل پر مبنی ایک نسخہ بھی ملا، جسے بعد میں ہمیں ترک کرنا پڑا (مزید ممنوعہ نام ہو سکتے ہیں، یہ افسوسناک ہو جاتا ہے جب، راستوں کی براہ راست ذمہ داریوں کے علاوہ، 3 درجن پر اظہار PPC460GT پروسیسر کا بوجھ 100% تک جاتا ہے)۔

Iptables اور غریب اور سست مخالفین سے ٹریفک کو فلٹر کرنا.

کیا واضح ہوا:
127.0.0.1 پر DNS قطعی طور پر کوئی علاج نہیں ہے؛ براؤزر کے جدید ورژن اب بھی آپ کو اس طرح کے مسائل کو نظرانداز کرنے کی اجازت دیتے ہیں۔ تمام صارفین کو کم حقوق تک محدود کرنا ناممکن ہے، اور ہمیں متبادل DNS کی بڑی تعداد کو نہیں بھولنا چاہیے۔ انٹرنیٹ جامد نہیں ہے، اور نئے DNS پتوں کے علاوہ، ممنوعہ سائٹیں نئے پتے خریدتی ہیں، اعلیٰ درجے کے ڈومینز کو تبدیل کرتی ہیں، اور اپنے پتے میں کوئی حرف شامل/ہٹا سکتی ہیں۔ لیکن پھر بھی کچھ جینے کا حق ہے جیسے:

ip route add blackhole 1.2.3.4

ممنوعہ سائٹس کی فہرست سے IP پتوں کی فہرست حاصل کرنا کافی موثر ہوگا، لیکن اوپر بیان کردہ وجوہات کی بناء پر، ہم Iptables کے بارے میں غور و فکر کی طرف بڑھے۔ CentOS Linux ریلیز 7.5.1804 پر پہلے سے ہی ایک لائیو بیلنس موجود تھا۔

صارف کا انٹرنیٹ تیز ہونا چاہیے، اور براؤزر کو آدھا منٹ انتظار نہیں کرنا چاہیے، یہ نتیجہ اخذ کرتے ہوئے کہ یہ صفحہ دستیاب نہیں ہے۔ ایک طویل تلاش کے بعد ہم اس ماڈل پر پہنچے:
فائل 1 -> /script/denied_hostممنوعہ ناموں کی فہرست:

test.test
blablabla.bubu
torrent
porno

فائل 2 -> /script/denied_range, ممنوعہ پتے کی جگہوں اور پتوں کی فہرست:

192.168.111.0/24
241.242.0.0/16

اسکرپٹ فائل 3 -> ipt.shipables کے ساتھ کام کرنا:

# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

سوڈو کا استعمال اس حقیقت کی وجہ سے ہے کہ ہمارے پاس WEB انٹرفیس کے ذریعے انتظام کرنے کے لئے ایک چھوٹا سا ہیک ہے، لیکن جیسا کہ ایک سال سے زیادہ عرصے سے اس طرح کے ماڈل کو استعمال کرنے کے تجربے سے پتہ چلتا ہے کہ WEB اتنا ضروری نہیں ہے۔ نفاذ کے بعد، ڈیٹا بیس وغیرہ میں سائٹس کی فہرست شامل کرنے کی خواہش تھی۔ مسدود میزبانوں کی تعداد 250 + ایک درجن ایڈریس اسپیس سے زیادہ ہے۔ https کنکشن کے ذریعے کسی سائٹ پر جاتے وقت واقعی ایک مسئلہ ہوتا ہے، جیسے سسٹم ایڈمنسٹریٹر، مجھے براؤزرز کے بارے میں شکایات ہیں :)، لیکن یہ خاص معاملات ہیں، وسائل تک رسائی نہ ہونے کے زیادہ تر محرکات اب بھی ہماری طرف ہیں۔ ، ہم Microsoft سے Opera VPN اور پلگ ان جیسے friGate اور telemetry کو بھی کامیابی کے ساتھ بلاک کر دیتے ہیں۔

Iptables اور غریب اور سست مخالفین سے ٹریفک کو فلٹر کرنا

ماخذ: www.habr.com

نیا تبصرہ شامل کریں