La relevancia del bloqueo de visitas a recursos prohibidos afecta a cualquier administrador que pueda ser presentado oficialmente con incumplimiento de la ley u órdenes de las autoridades pertinentes.
¿Por qué reinventar la rueda cuando hay programas especializados y distribuciones para nuestras tareas, por ejemplo: Zeroshell, pfSense, ClearOS?
Las autoridades hicieron otra pregunta: ¿El producto utilizado tiene un certificado de seguridad de nuestro estado?
Teníamos experiencia trabajando con las siguientes distribuciones:
- Zeroshell: los desarrolladores incluso presentaron una licencia por 2 años, pero resultó que la distribución de intereses era ilógica para nosotros para cumplir una función crítica para nosotros;
- pfSense: respeto y honor, al mismo tiempo aburrido, acostumbrarse a la línea de comando del firewall de FreeBSD no es lo suficientemente conveniente para nosotros (creo que es una cuestión de costumbre, pero resultó no ser "de esa manera");
- ClearOS: resultó ser muy lento en nuestro hardware, no pudimos realizar pruebas serias y ¿por qué interfaces tan pesadas?
- Ideco SELECTA. Hay una conversación por separado sobre el producto Aydeko, un producto interesante, pero por razones políticas no es para nosotros, pero también quiero "morderlos" sobre la licencia para el mismo Linux, Roundcube, etc. ¿Por qué obtuvieron que al "cortar" la interfaz en Python y al seleccionar los derechos de superusuario, pueden vender un producto terminado compuesto por módulos desarrollados y mejorados de la comunidad de Internet distribuidos bajo la GPL, etc.
Entiendo que ahora los gritos negativos llegarán en mi dirección con requisitos para corroborar mis sentimientos subjetivos en detalle, pero quiero decir que este nodo de red también es un equilibrador de tráfico a 4 canales externos a Internet, y cada canal tiene sus propias características. Otra piedra angular fue la necesidad de trabajar en una de varias interfaces de red en diferentes espacios de direcciones, y estoy
listo para admitir que no estoy
listo para usar las VLAN donde sea
necesario . En uso, hay dispositivos como TP-Link TL-R480T +: no se comportan perfectamente, en general con sus propios matices. Resultó ser responsable de configurar esta parte en Linux gracias al
Equilibrio de IP fuera del sitio de Ubuntu
: combinamos varios canales de Internet en uno . Además, cada uno de los canales puede "caer" en cualquier momento, así como subir. Si está interesado en un script que funciona en este momento (y vale la pena publicarlo por separado), escriba los comentarios.
La solución en cuestión no pretende ser única, pero quiero hacer una pregunta: "¿Por qué la empresa se adapta a productos de terceros cuestionables con requisitos de hardware serios cuando puede considerar una alternativa?"
Si en Rusia hay una lista de Roskomnadzor, en Ucrania, un apéndice de la Decisión del Consejo de Seguridad Nacional (por ejemplo,
aquí ), entonces los líderes tampoco duermen en el suelo. Por ejemplo, se nos dio una lista de sitios prohibidos, en opinión de la gerencia que empeora la productividad laboral en el lugar de trabajo.
Al comunicarse con colegas de otras empresas donde todos los sitios están prohibidos de manera predeterminada y solo bajo solicitud con el permiso del jefe, puede acceder a un sitio específico, sonriendo respetuosamente, pensando y "fumando un problema", quedó claro que la vida sigue siendo buena y nosotros comenzó su búsqueda
Teniendo la oportunidad no solo de ver analíticamente lo que escriben los “libros de amas de casa” sobre el filtrado de tráfico, sino también de ver qué sucede en los canales de diferentes proveedores, notamos las siguientes recetas (cualquier captura de pantalla es un poco corta, por favor comprenda y perdone):
¿Y qué hacer con VPN (respecto del navegador Opera) y los complementos del navegador? Primero, jugando con el centro Mikrotik, incluso obtuvimos una receta de uso intensivo de recursos para L7, que luego tuvimos que abandonar (puede haber nombres más prohibidos, se vuelve triste cuando, además de sus tareas directas en rutas, en docenas de expresiones, el procesador PPC460GT llega a 100 %)
.
Lo que quedó claro:
CSN en 127.0.0.1 no es en absoluto una panacea, las versiones modernas de los navegadores aún le permiten evitar tales problemas. Es imposible limitar a todos los usuarios con derechos reducidos, y uno no debe olvidarse de la gran cantidad de DNS alternativos. Internet no es estático y, además de las nuevas direcciones DNS, los sitios prohibidos compran nuevas direcciones, cambian los dominios de nivel superior y pueden agregar / eliminar caracteres en sus direcciones. Pero aún así, tiene el derecho de vivir algo así (subjetivamente: en tal protección veo cómo el navegador, con pérdida, todavía está esperando una respuesta, y la página que contiene elementos de contenido prohibido tarda mucho en cargar):
ip route add blackhole 1.2.3.4
Obtener una lista de direcciones IP de la lista de sitios prohibidos sería bastante efectivo, pero por las razones anteriores, pasamos a consideraciones de Iptables. Ya había un balanceador en vivo en CentOS Linux versión 7.5.1804.
La Internet del usuario debe ser rápida y el navegador no debe esperar medio minuto, concluyendo que esta página no está disponible. Después de una larga búsqueda de diferentes opciones de bloqueo, llegamos a este modelo:
Archivo 1 ->
/ script / deny_host , lista de nombres prohibidos:
test.test blablabla.bubu torrent porno
Archivo 2 ->
/ script / deny_range , una lista de direcciones y espacios de direcciones prohibidos:
192.168.111.0/24 241.242.0.0/16
Archivo de script 3 ->
ipt.sh , que funciona con ipables:
El uso de sudo se debe al hecho de que tenemos que controlar un pequeño truco a través de la interfaz WEB, pero como lo demuestra la experiencia con el uso de dicho modelo durante más de un año, WEB no es tan necesario. Después de la implementación, hubo un deseo de hacer una lista de sitios en la base de datos, etc. El número de hosts bloqueados es más de 250 + una docena de espacios de direcciones. De hecho, hay un problema al cambiar al sitio a través de una conexión https, como el administrador del sistema, tengo quejas sobre los navegadores :), pero estos son casos especiales, la mayoría de las respuestas a la falta de acceso al recurso todavía están de nuestro lado, también bloqueamos con éxito Opera VPN, complementos como friGate y telemetría de Microsoft.
