Taqiqlangan manbalarga tashriflarni blokirovka qilishning dolzarbligi qonun yoki tegishli organlarning buyrug'iga rioya qilmaslik uchun rasman javobgarlikka tortilishi mumkin bo'lgan har qanday ma'murga ta'sir qiladi.
Bizning vazifalarimiz uchun maxsus dasturlar va tarqatishlar mavjud bo'lganda, nima uchun g'ildirakni qayta ixtiro qilish kerak, masalan: Zeroshell, pfSense, ClearOS.
Rahbariyatda yana bir savol bor edi: Ishlatilgan mahsulotning davlatimizdan xavfsizlik sertifikati bormi?
Quyidagi tarqatishlar bilan ishlash tajribamiz bor edi:
- Zeroshell - ishlab chiquvchilar hatto 2 yillik litsenziyani ham sovg'a qilishdi, ammo bizni qiziqtirgan tarqatish to'plami mantiqsiz ravishda biz uchun juda muhim vazifani bajarganligi ma'lum bo'ldi;
- pfSense - hurmat va hurmat, shu bilan birga zerikarli, FreeBSD xavfsizlik devorining buyruq satriga ko'nikish va biz uchun unchalik qulay emas (menimcha, bu odat masalasi, lekin bu noto'g'ri yo'l bo'lib chiqdi);
- ClearOS - bizning uskunamizda u juda sekin bo'lib chiqdi, biz jiddiy sinovlarga o'ta olmadik, nega bunday og'ir interfeyslar?
- Ideco SELECTA. Ideco mahsuloti - bu alohida suhbat, qiziqarli mahsulot, ammo siyosiy sabablarga ko'ra biz uchun emas va men ularni xuddi shu Linux, Roundcube va boshqalar uchun litsenziya haqida "tishlamoqchiman". Ular interfeysni kesish orqali degan fikrni qayerdan olishdi Python va superfoydalanuvchi huquqlarini olib qo'yish orqali ular GPL va boshqalar ostida tarqatilgan Internet hamjamiyatining ishlab chiqilgan va o'zgartirilgan modullaridan tashkil topgan tayyor mahsulotni sotishlari mumkin.
Tushundimki, endi salbiy nidolar mening sub'ektiv his-tuyg'ularimni batafsil isbotlash talablari bilan mening yo'nalishimga to'kiladi, ammo shuni aytmoqchimanki, ushbu tarmoq tugunlari Internetning 4 ta tashqi kanallari uchun trafik balansi hisoblanadi va har bir kanal o'ziga xos xususiyatlarga ega. . Yana bir asosiy tosh turli manzil maydonlarida ishlashi uchun bir nechta tarmoq interfeyslaridan birining zarurati edi va men tayyor VLAN-lardan hamma joyda zarur va kerak bo'lmagan joyda foydalanish mumkinligini tan oling tayyormas. TP-Link TL-R480T+ kabi qo'llaniladigan qurilmalar mavjud - ular o'zlarini mukammal tutmaydilar, umuman olganda, o'zlarining nuanslari bilan. Ubuntu rasmiy veb-sayti tufayli ushbu qismni Linuxda sozlash mumkin edi . Bundan tashqari, har bir kanal istalgan vaqtda "tushishi" ham, ko'tarilishi ham mumkin. Agar siz hozirda ishlayotgan skriptga qiziqsangiz (va bu alohida nashrga arziydi), izohlarda yozing.
Ko'rib chiqilayotgan yechim o'ziga xos deb da'vo qilmaydi, lekin men savol bermoqchiman: "Muqobil variantni ko'rib chiqish mumkin bo'lsa, nima uchun korxona jiddiy apparat talablari bo'lgan uchinchi tomonning shubhali mahsulotlariga moslashishi kerak?"
Agar Rossiya Federatsiyasida Roskomnadzorning ro'yxati mavjud bo'lsa, Ukrainada Milliy xavfsizlik kengashi qaroriga ilova mavjud (masalan. ), keyin mahalliy rahbarlar ham uxlamaydilar. Misol uchun, bizga rahbariyat fikricha, ish joyidagi unumdorlikka putur etkazadigan taqiqlangan saytlar ro'yxati berildi.
Sukut bo'yicha barcha saytlar taqiqlangan va faqat xo'jayinning ruxsati bilan ma'lum bir saytga kirishingiz, hurmat bilan tabassum qilish, o'ylash va "muammo ustida chekish" mumkin bo'lgan boshqa korxonalardagi hamkasblar bilan muloqot qilish biz hayot ekanligini tushundik. hali ham yaxshi va biz ularni qidirishni boshladik.
Nafaqat "uy bekalari kitoblarida" trafikni filtrlash haqida yozganlarini tahliliy ko'rish, balki turli provayderlarning kanallarida nima sodir bo'layotganini ko'rish imkoniyatiga ega bo'lgan holda, biz quyidagi retseptlarga e'tibor qaratdik (har qanday skrinshotlar biroz qisqartirilgan, iltimos so'raganda tushuning):
Provayder 1
β bezovta qilmaydi va o'zining DNS serverlarini va shaffof proksi-serverni yuklaydi. Xo'sh?.. lekin biz kerakli joyga kirishimiz mumkin (agar kerak bo'lsa :))
Provayder 2
- uning eng yaxshi provayderi bu haqda o'ylashi kerak deb hisoblaydi, eng yaxshi provayderning texnik yordami hatto nima uchun menga kerak bo'lgan saytni ocha olmaganimni tan oldi, bu taqiqlanmagan. Rasm sizni qiziqtiradi deb o'ylayman :)
Ma'lum bo'lishicha, ular taqiqlangan saytlar nomlarini IP manzillarga tarjima qiladilar va IP-ning o'zini bloklaydilar (bu IP-manzil 20 ta saytni joylashtirishi mumkinligi ularni bezovta qilmaydi).
Provayder 3
β transportning u erga borishiga ruxsat beradi, lekin marshrut bo'ylab orqaga qaytishga ruxsat bermaydi.
Provayder 4
β belgilangan yo'nalishdagi paketlar bilan barcha manipulyatsiyalarni taqiqlaydi.
VPN (Opera brauzeriga nisbatan) va brauzer plaginlari bilan nima qilish kerak? Dastlab Mikrotik tugunida o'ynab, biz hatto L7 uchun resurs talab qiladigan retseptni oldik, uni keyinchalik tark etishga majbur bo'ldik (taqiqlangan nomlar ko'proq bo'lishi mumkin, marshrutlar bo'yicha to'g'ridan-to'g'ri mas'uliyatidan tashqari, 3 o'ntagacha bo'lganida bu qayg'uli bo'ladi. ifodalar PPC460GT protsessor yuki 100% gacha boradi.
.
Nima aniq bo'ldi:
127.0.0.1 da DNS mutlaqo davo emas, brauzerlarning zamonaviy versiyalari hali ham bunday muammolarni chetlab o'tishga imkon beradi. Barcha foydalanuvchilarni cheklangan huquqlar bilan cheklab bo'lmaydi va biz juda ko'p muqobil DNS haqida unutmasligimiz kerak. Internet statik emas va yangi DNS manzillaridan tashqari, taqiqlangan saytlar yangi manzillarni sotib oladi, yuqori darajadagi domenlarni o'zgartiradi va o'z manziliga belgi qo'shishi/o'chirishi mumkin. Ammo baribir yashash huquqiga ega:
ip route add blackhole 1.2.3.4Taqiqlangan saytlar ro'yxatidan IP-manzillar ro'yxatini olish juda samarali bo'lar edi, ammo yuqorida aytib o'tilgan sabablarga ko'ra biz Iptables haqidagi fikrlarga o'tdik. CentOS Linux 7.5.1804 versiyasida allaqachon jonli balanslashtiruvchi mavjud edi.
Foydalanuvchining Interneti tez bo'lishi kerak va Brauzer bu sahifa mavjud emas degan xulosaga kelib, yarim daqiqa kutmasligi kerak. Uzoq izlanishlardan so'ng biz ushbu modelga keldik:
1-fayl -> /script/denied_host, taqiqlangan nomlar ro'yxati:
test.test
blablabla.bubu
torrent
porno2-fayl -> /skript/denied_range, taqiqlangan manzillar va manzillar ro'yxati:
192.168.111.0/24
241.242.0.0/16Skript fayli 3 -> ipt.shishni ipables bilan bajarish:
# ΡΡΠΈΡΡΠ²Π°Π΅ΠΌ ΠΏΠΎΠ»Π΅Π·Π½ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΈΠ· ΠΏΠ΅ΡΠ΅ΡΠ½Π΅ΠΉ ΡΠ°ΠΉΠ»ΠΎΠ²
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# ΡΠ±ΡΠ°ΡΡΠ²Π°Π΅ΠΌ Π²ΡΠ΅ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ iptables, ΡΠ°Π·ΡΠ΅ΡΠ°Ρ ΡΠΎ ΡΡΠΎ Π½Π΅ Π·Π°ΠΏΡΠ΅ΡΠ΅Π½ΠΎ
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#ΡΠ΅ΡΠ°Π΅ΠΌ ΠΎΠ±Π½ΠΎΠ²ΠΈΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΎ ΠΌΠ°ΡΡΡΡΡΠ°Ρ
(ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡΡ Π½Π°ΡΠ΅ΠΉ Π°ΡΡ
ΠΈΡΠ΅ΠΊΡΡΡΡ)
sudo sh rout.sh
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ ΡΡΡΠΎΠΊΠΈ
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ Π°Π΄ΡΠ΅ΡΠ°
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Sudo-dan foydalanish bizda WEB interfeysi orqali boshqarish uchun kichik hack mavjudligi bilan bog'liq, ammo bunday modeldan bir yildan ortiq foydalanish tajribasi shuni ko'rsatdiki, WEB unchalik zarur emas. Amalga oshirilgandan so'ng, ma'lumotlar bazasiga saytlar ro'yxatini qo'shish istagi paydo bo'ldi va hokazo. Bloklangan xostlar soni 250 dan ortiq + o'nlab manzil joylari. Haqiqatan ham https ulanishi orqali saytga kirishda muammo bor, tizim ma'muri kabi, menda brauzerlar haqida shikoyatlar bor :), lekin bu alohida holatlar, resursga kirishning yo'qligi bilan bog'liq sabablarning aksariyati hali ham biz tomonda. , shuningdek, biz Opera VPN va Microsoft-dan friGate va telemetriya kabi plaginlarni muvaffaqiyatli bloklaymiz.
Manba: www.habr.com