الكتائب وتصفية حركة المرور من المنشقين الفقراء والكسول

تؤثر أهمية منع الزيارات على الموارد المحظورة على أي مسؤول قد يتم تقديمه رسميًا مع عدم الامتثال للقانون أو أوامر السلطات المختصة.



لماذا إعادة اختراع العجلة عند وجود برامج وتوزيعات متخصصة لمهامنا ، على سبيل المثال: Zeroshell ، pfSense ، ClearOS.

تم طرح سؤال آخر من قبل السلطات: هل يحتوي المنتج المستخدم على شهادة أمان من دولتنا؟

لدينا خبرة في العمل مع التوزيعات التالية:

• Zeroshell - قام المطورون حتى بتقديم ترخيص لمدة عامين ، لكن اتضح أن توزيع الاهتمام كان غير منطقي بالنسبة لنا لأداء وظيفة حرجة بالنسبة لنا ؛
• pfSense - الاحترام والشرف ، في الوقت نفسه ممل ، فإن التعود على سطر الأوامر لجدار الحماية FreeBSD ليس ملائمًا بدرجة كافية بالنسبة لنا (أعتقد أن هذه مسألة عادة ، ولكنها اتضح أنها ليست "بهذه الطريقة") ؛
• ClearOS - اتضح أنها بطيئة للغاية في أجهزتنا ، ولم نتمكن من الوصول إلى اختبار جاد ، ولماذا هذه الواجهات الثقيلة؟
• Ideco SELECTA. هناك محادثة منفصلة حول منتج Aydeko ، وهو منتج مثير للاهتمام ، ولكن لأسباب سياسية لا يتعلق الأمر بنا ، لكنني أريد أيضًا "تعضهم" حول ترخيص نفس Linux أو Roundcube ، إلخ. لماذا حصلوا على ذلك بعد أن "قاموا" بقطع الواجهة في Python وبعد اختيار حقوق المستخدم الخارق ، يمكنهم بيع منتج نهائي مكون من وحدات مطورة ومحسّنة من مجتمع الإنترنت موزعة بموجب GPL & إلخ.

أدرك أن الصيحات السلبية الآن ستتدفق في اتجاهي مع متطلبات لإثبات مشاعري الشخصية بالتفصيل ، لكنني أريد أن أقول أن عقدة الشبكة هذه هي أيضًا موازن لحركة المرور إلى 4 قنوات خارجية إلى الإنترنت ، ولكل قناة خصائصها الخاصة. كان حجر الزاوية الآخر هو الحاجة للعمل على واحدة من عدة واجهات للشبكة في مساحات عناوين مختلفة ، وأنا مستعد للاعتراف بأنني لست مستعدًا لاستخدام شبكات محلية ظاهرية أينما احتجت . قيد الاستخدام هناك أجهزة مثل TP-Link TL-R480T + - لا تتصرف بشكل مثالي ، بشكل عام مع الفروق الدقيقة الخاصة بها. لقد اتضح أن هذا الجزء مسؤول عن تهيئة هذا الجزء على نظام Linux بفضل ميزة "موازنة IP خارج الموقع" لـ Ubuntu : نجمع بين عدة قنوات إنترنت في قناة واحدة . علاوة على ذلك ، يمكن أن "تسقط" كل قناة في أي وقت ، وكذلك ترتفع. إذا كنت مهتمًا ببرنامج نصي يعمل حاليًا (وهذا يستحق إصدار منشور منفصل) - اكتب التعليقات.

لا يدعي الحل المذكور أنه فريد ، لكنني أريد طرح سؤال: "لماذا تتكيف الشركة مع منتجات الجهات الخارجية المشكوك فيها مع متطلبات الأجهزة الخطيرة عندما يمكنك التفكير في بديل؟"

إذا كانت في روسيا قائمة Roskomnadzor ، في أوكرانيا - ملحق بقرار مجلس الأمن القومي (على سبيل المثال. هنا ) ، فإن القادة أيضًا لا ينامون على الأرض. على سبيل المثال ، حصلنا على قائمة بالمواقع المحظورة التي ، حسب رأي الإدارة ، تزيد من إنتاجية العمل في مكان العمل.

التواصل مع الزملاء في المؤسسات الأخرى حيث يتم حظر جميع المواقع افتراضيًا وفقط عند الطلب بإذن من الرئيس ، يمكنك الوصول إلى موقع معين ، والابتسام باحترام والتفكير و "التدخين مشكلة" ، أصبح من الواضح أن الحياة لا تزال جيدة ونحن بدأت بحثك.

بعد أن أتيحت لنا الفرصة ليس فقط لمعرفة ما كتبته "كتب ربات البيوت" حول تصفية حركة المرور ، ولكن أيضًا لمعرفة ما يحدث على قنوات مقدمي الخدمات المختلفين ، لاحظنا الوصفات التالية (أي لقطات من الشاشة يتم اقتصاصها قليلاً ، يرجى الفهم والتسامح)
وماذا تفعل مع VPN (احترام متصفح Opera) والمكونات الإضافية للمتصفح؟ أولاً ، باللعب مع مركز Mikrotik ، حصلنا على وصفة كثيفة الاستخدام للموارد لـ L7 ، والتي اضطررنا في وقت لاحق إلى التخلي عنها (قد يكون هناك المزيد من الأسماء الممنوعة ، يصبح حزينًا ، بالإضافة إلى واجباته المباشرة على الطرق ، على عشرات التعبيرات ، يذهب معالج PPC460GT إلى 100 ٪).

.

ما أصبح واضحا:
لا تعد CSN on 127.0.0.1 حلاً سحريًا ، فما زالت الإصدارات الحديثة من المتصفحات تسمح لك بتجاوز هذه المشكلات. من المستحيل قصر جميع المستخدمين على حقوق مجردة ، ويجب ألا ينسى المرء العدد الهائل من DNS البديل. الإنترنت ليس ثابتًا ، وبالإضافة إلى عناوين DNS الجديدة ، تشتري المواقع المحظورة عناوين جديدة وتغيير نطاقات المستوى الأعلى ، ويمكنها إضافة / إزالة أحرف في عناوينها. ولكن لا يزال ، لديه الحق في أن يعيش شيئًا من هذا القبيل (ذاتي: في مثل هذه الحماية ، أرى كيف أن المتصفح ، في حيرة ، ما زال ينتظر إجابة ، والصفحة التي تحتوي على عناصر المحتوى المحظور تستغرق وقتًا طويلاً للتحميل):

ip route add blackhole 1.2.3.4 

سيكون الحصول على قائمة بعناوين IP من قائمة المواقع المحظورة فعالًا للغاية ، ولكن للأسباب المذكورة أعلاه ، تحولنا إلى اعتبارات Iptables. كان هناك بالفعل موازن مباشر على إصدار CentOS Linux 7.5.1804.

يجب أن يكون إنترنت المستخدم سريعًا ، ويجب ألا ينتظر المتصفح نصف دقيقة ، مع استنتاج أن هذه الصفحة غير متوفرة. بعد بحث طويل عن خيارات قفل مختلفة ، توصلنا إلى هذا النموذج:
الملف 1 -> / script / den_host ، قائمة الأسماء الممنوعة:

 test.test blablabla.bubu torrent porno 

الملف 2 -> / script / den_range ، قائمة بمساحات العناوين المحظورة والعناوين:

 192.168.111.0/24 241.242.0.0/16 

ملف البرنامج النصي 3 -> ipt.sh ، والذي يعمل مع ipables:

 #       HOSTS=`cat /script/denied_host | grep -v '^#'` RANGE=`cat /script/denied_range | grep -v '^#'` echo "Stopping firewall and allowing everyone..." #    iptables,      sudo iptables -F sudo iptables -X sudo iptables -t nat -F sudo iptables -t nat -X sudo iptables -t mangle -F sudo iptables -t mangle -X sudo iptables -P INPUT ACCEPT sudo iptables -P FORWARD ACCEPT sudo iptables -P OUTPUT ACCEPT #     (  ) sudo sh rout.sh #          for i in $HOSTS; do sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset; sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP; done #          for i in $RANGE; do sudo iptables -I FORWARD -p UDP -d $i -j DROP; sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset; done 

يرجع استخدام sudo إلى حقيقة أن لدينا اختراقًا صغيرًا للإدارة عبر واجهة WEB ، ولكن كما أثبتت تجربة استخدام هذا النموذج لأكثر من عام ، فإن WEB ليس ضروريًا. بعد التنفيذ ، كانت هناك رغبة في سرد ​​المواقع في قاعدة البيانات ، إلخ. عدد المضيفين المحظورين يزيد عن 250 + عشرة مساحات عناوين. في الواقع ، هناك مشكلة عند التبديل إلى الموقع عبر اتصال https ، بالإضافة إلى مسؤول النظام ، لدي شكاوى حول المتصفحات :) ، ولكن هذه حالات خاصة ، لا تزال معظم الاستجابات لعدم الوصول إلى المورد في جانبنا ، كما نجح أيضًا في حظر Opera VPN ، المكونات الإضافية مثل friGate والقياس عن بعد من مايكروسوفت.