ProHoster > Блог > Isakoso > Iptables ati sisẹ ijabọ lati talaka ati ọlẹ dissidents

Iptables ati sisẹ ijabọ lati talaka ati ọlẹ dissidents

Ibaramu ti idinamọ awọn abẹwo si awọn orisun eewọ ni ipa lori eyikeyi alakoso ti o le gba ẹsun ni ifowosi pẹlu ikuna lati ni ibamu pẹlu ofin tabi awọn aṣẹ ti awọn alaṣẹ ti o yẹ.

Iptables ati sisẹ ijabọ lati talaka ati ọlẹ dissidents

Kini idi ti kẹkẹ tun ṣe nigbati awọn eto amọja ati awọn ipinpinpin wa fun awọn iṣẹ ṣiṣe wa, fun apẹẹrẹ: Zeroshell, pfSense, ClearOS.

Isakoso naa ni ibeere miiran: Njẹ ọja ti a lo ni ijẹrisi aabo lati ipinlẹ wa?

A ni iriri ṣiṣẹ pẹlu awọn pinpin wọnyi:

  • Zeroshell - awọn olupilẹṣẹ paapaa funni ni iwe-aṣẹ ọdun 2 kan, ṣugbọn o wa ni pe ohun elo pinpin ti a nifẹ si, laiṣe, ṣe iṣẹ pataki kan fun wa;
  • pfSense - ibowo ati ọlá, ni akoko kanna alaidun, lilo si laini aṣẹ ti ogiriina FreeBSD ati pe ko rọrun fun wa (Mo ro pe o jẹ ọrọ iwa, ṣugbọn o yipada lati jẹ ọna ti ko tọ);
  • ClearOS - lori ohun elo wa o jẹ o lọra pupọ, a ko le gba idanwo to ṣe pataki, nitorinaa kilode ti iru awọn atọkun eru?
  • Ideco SELECTA. Ọja Ideco jẹ ibaraẹnisọrọ lọtọ, ọja ti o nifẹ, ṣugbọn fun awọn idi iṣelu kii ṣe fun wa, ati pe Mo tun fẹ lati “jẹ” wọn nipa iwe-aṣẹ fun Linux kanna, Roundcube, ati bẹbẹ lọ. Nibo ni wọn ti gba ero pe nipa gige ni wiwo sinu Python ati nipa gbigbe awọn ẹtọ superuser kuro, wọn le ta ọja ti o pari ti o ni idagbasoke ati awọn modulu ti a tunṣe lati agbegbe Intanẹẹti ti o pin labẹ GPL&ati be be lo.

Mo loye pe ni bayi awọn iyanilẹnu odi yoo tú si itọsọna mi pẹlu awọn ibeere lati jẹrisi awọn ikunsinu ti ara-ẹni ni awọn alaye, ṣugbọn Mo fẹ lati sọ pe ipade nẹtiwọọki yii tun jẹ iwọntunwọnsi ijabọ fun awọn ikanni ita 4 si Intanẹẹti, ati pe ikanni kọọkan ni awọn abuda tirẹ. . Okuta igun miiran ni iwulo fun ọkan ninu ọpọlọpọ awọn atọkun nẹtiwọọki lati ṣiṣẹ ni awọn aaye adirẹsi oriṣiriṣi, ati I setan gba wipe VLANs le ṣee lo nibi gbogbo ibi ti pataki ati ki o ko wulo ko setan. Awọn ẹrọ wa ni lilo bii TP-Link TL-R480T+ - wọn ko huwa ni pipe, ni gbogbogbo, pẹlu awọn nuances tiwọn. O ṣee ṣe lati tunto apakan yii lori Linux o ṣeun si oju opo wẹẹbu osise Ubuntu Iwontunwonsi IP: apapọ ọpọlọpọ awọn ikanni Intanẹẹti sinu ọkan. Pẹlupẹlu, ọkọọkan awọn ikanni le “ṣubu” ni eyikeyi akoko, bakanna bi dide. Ti o ba nifẹ si iwe afọwọkọ ti n ṣiṣẹ lọwọlọwọ (ati pe eyi tọsi atẹjade lọtọ), kọ sinu awọn asọye.

Ojutu ti o wa labẹ ero ko sọ pe o jẹ alailẹgbẹ, ṣugbọn Emi yoo fẹ lati beere ibeere naa: “Kini idi ti ile-iṣẹ kan le ṣe deede si awọn ọja ti ẹnikẹta pẹlu awọn ibeere ohun elo to ṣe pataki nigbati aṣayan yiyan le ṣee gbero?”

Ti o ba wa ni Russian Federation akojọ kan ti Roskomnadzor, ni Ukraine wa ni afikun si Ipinnu ti Igbimọ Aabo Orilẹ-ede (fun apẹẹrẹ. wo o), lẹhinna awọn olori agbegbe ko sun boya. Fun apẹẹrẹ, a fun wa ni atokọ ti awọn aaye ti a ko leewọ ti, ni ero ti iṣakoso, bajẹ iṣẹ ṣiṣe ni ibi iṣẹ.

Ibaraẹnisọrọ pẹlu awọn ẹlẹgbẹ ni awọn ile-iṣẹ miiran, nibiti o ti jẹ idinamọ nipasẹ aiyipada gbogbo awọn aaye ati pe nigbati o ba beere pẹlu igbanilaaye ọga o le wọle si aaye kan pato, rẹrin musẹ, ironu ati “mu siga lori iṣoro naa”, a wa si oye pe igbesi aye. jẹ tun dara ati awọn ti a bẹrẹ wọn search.

Nini anfani kii ṣe lati ṣe itupalẹ ohun ti wọn kọ sinu “awọn iwe ti awọn iyawo ile” nipa sisẹ ijabọ, ṣugbọn tun lati rii ohun ti n ṣẹlẹ lori awọn ikanni ti awọn olupese oriṣiriṣi, a ṣe akiyesi awọn ilana atẹle (eyikeyi awọn sikirinisoti jẹ gige diẹ, jọwọ ni oye nigbati o beere):

Olupese 1
- ko ṣe wahala ati fa awọn olupin DNS tirẹ ati olupin aṣoju ti o han gbangba. O dara? .. ṣugbọn a ni iwọle si ibiti a nilo rẹ (ti a ba nilo rẹ :))

Olupese 2
- gbagbọ pe olupese ti o ga julọ yẹ ki o ronu nipa eyi, atilẹyin imọ-ẹrọ olupese ti o ga julọ paapaa gba idi ti Emi ko le ṣii aaye ti Mo nilo, eyiti ko ni idinamọ. Mo ro pe aworan naa yoo dun ọ :)

Iptables ati sisẹ ijabọ lati talaka ati ọlẹ dissidents

Bi o ti wa ni titan, wọn tumọ awọn orukọ ti awọn aaye ti a ko gba laaye si awọn adirẹsi IP ati dènà IP funrararẹ (wọn ko ni idamu nipasẹ otitọ pe adiresi IP yii le gbalejo awọn aaye 20).

Olupese 3
- ngbanilaaye ijabọ lati lọ sibẹ, ṣugbọn ko gba laaye lati pada si ọna.

Olupese 4
- fàye gbogbo ifọwọyi pẹlu awọn apo-iwe ninu awọn pàtó kan itọsọna.

Kini lati ṣe pẹlu VPN (bọwọ si ẹrọ aṣawakiri Opera) ati awọn afikun ẹrọ aṣawakiri? Ti ndun pẹlu ipade Mikrotik ni akọkọ, a paapaa ni ohunelo ti o lekoko fun L7, eyiti a ni lati fi silẹ (awọn orukọ ti a ko leewọ le jẹ diẹ sii, o di ibanujẹ nigbati, ni afikun si awọn ojuse taara fun awọn ipa-ọna, lori 3 mejila). Awọn ikosile pe fifuye ero isise PPC460GT lọ si 100%).

Iptables ati sisẹ ijabọ lati talaka ati ọlẹ dissidents.

Kini o han gbangba:
DNS lori 127.0.0.1 kii ṣe panacea patapata; awọn ẹya ode oni ti awọn aṣawakiri tun gba ọ laaye lati fori iru awọn iṣoro bẹ. Ko ṣee ṣe lati fi opin si gbogbo awọn olumulo si awọn ẹtọ ti o dinku, ati pe a ko gbọdọ gbagbe nipa nọmba nla ti DNS yiyan. Intanẹẹti kii ṣe aimi, ati ni afikun si awọn adirẹsi DNS tuntun, awọn aaye ti a ko leewọ ra awọn adirẹsi titun, yi awọn ibugbe ipele-oke pada, ati pe o le ṣafikun/yọ ohun kikọ silẹ ni adirẹsi wọn. Ṣugbọn tun ni ẹtọ lati gbe nkan bii:

ip route add blackhole 1.2.3.4

Yoo jẹ doko gidi lati gba atokọ ti awọn adirẹsi IP lati atokọ ti awọn aaye ti a ko leewọ, ṣugbọn fun awọn idi ti a sọ loke, a lọ si awọn ero nipa Iptables. Oniwọntunwọnsi laaye tẹlẹ wa lori idasilẹ CentOS Linux 7.5.1804.

Intanẹẹti ti olumulo yẹ ki o yara, ati pe ẹrọ aṣawakiri ko yẹ ki o duro fun idaji iṣẹju, pinnu pe oju-iwe yii ko si. Lẹhin wiwa gigun a wa si awoṣe yii:
Faili 1 -> / akosile / dened_host, akojọ awọn orukọ eewọ:

test.test
blablabla.bubu
torrent
porno

Faili 2 -> / akosile/denied_range, atokọ ti awọn aaye adirẹsi leewọ ati awọn adirẹsi:

192.168.111.0/24
241.242.0.0/16

Faili akosile 3 -> ipt.shṣiṣẹ pẹlu ipables:

# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP  -d $i -j REJECT --reject-with tcp-reset;
done

Lilo sudo jẹ nitori otitọ pe a ni gige kekere kan fun iṣakoso nipasẹ wiwo WEB, ṣugbọn bi iriri ni lilo iru awoṣe fun diẹ sii ju ọdun kan ti fihan, WEB kii ṣe pataki. Lẹhin imuse, ifẹ kan wa lati ṣafikun atokọ ti awọn aaye si ibi ipamọ data, ati bẹbẹ lọ. Nọmba awọn agbalejo ti dina mọ jẹ diẹ sii ju 250 + awọn aaye adirẹsi mejila kan. Iṣoro kan wa gaan nigbati lilọ si aaye kan nipasẹ asopọ https, bii oluṣakoso eto, Mo ni awọn ẹdun ọkan nipa awọn aṣawakiri :), ṣugbọn awọn ọran pataki ni, pupọ julọ awọn okunfa fun aini wiwọle si orisun wa tun wa ni ẹgbẹ wa. , a tun ṣe aṣeyọri dina Opera VPN ati awọn afikun bii friGate ati telemetry lati Microsoft.

Iptables ati sisẹ ijabọ lati talaka ati ọlẹ dissidents

orisun: www.habr.com

Fi ọrọìwòye kun