Iptables und Filterung des Verkehrs von den armen und faulen Andersdenkenden

Die Relevanz der Sperrung von Besuchen für verbotene Ressourcen betrifft jeden Administrator, dem offiziell die Nichteinhaltung der Gesetze oder Anordnungen der zuständigen Behörden angezeigt wird.



Warum das Rad neu erfinden, wenn es spezielle Programme und Distributionen für unsere Aufgaben gibt, zum Beispiel: Zeroshell, pfSense, ClearOS.

Eine weitere Frage wurde von den Behörden gestellt: Verfügt das verwendete Produkt über ein Sicherheitszertifikat unseres Staates?

Wir hatten Erfahrung mit folgenden Distributionen:

• Zeroshell - die Entwickler haben sogar eine Lizenz für 2 Jahre vorgelegt, aber es stellte sich heraus, dass die Verteilung des Interesses für uns unlogisch war, um eine kritische Funktion für uns zu erfüllen.
• pfSense - Respekt und Ehre, gleichzeitig langweilig, sich an die Befehlszeile der FreeBSD-Firewall zu gewöhnen, ist für uns nicht bequem genug (ich denke, es ist Gewohnheitssache, aber es war nicht so).
• ClearOS - es stellte sich heraus, dass unsere Hardware sehr langsam war, wir konnten keine ernsthaften Tests durchführen und warum so schwere Schnittstellen?
• Ideco SELECTA. Es gibt ein separates Gespräch über das Aydeko-Produkt, ein interessantes Produkt, aber aus politischen Gründen ist es nicht für uns, aber ich möchte sie auch über die Lizenz für dasselbe Linux, Roundcube usw. "beißen". Warum haben sie das Problem, dass sie, nachdem sie die Benutzeroberfläche in Python „gekürzt“ und Superuser-Rechte ausgewählt haben, ein fertiges Produkt verkaufen können, das aus entwickelten und verbesserten Modulen der Internet-Community besteht, die unter der GPL usw. vertrieben werden?

Ich verstehe, dass jetzt negative Schreie in meine Richtung strömen, mit Anforderungen, um meine subjektiven Gefühle im Detail zu untermauern, aber ich möchte sagen, dass dieser Netzwerkknoten auch ein Balancer des Verkehrs zu 4 externen Kanälen zum Internet ist und jeder Kanal seine eigenen Eigenschaften hat. Ein weiterer Eckpfeiler war die Notwendigkeit, an einer von mehreren Netzwerkschnittstellen in unterschiedlichen Adressräumen zu arbeiten, und ich bin bereit zuzugeben, dass ich nicht bereit bin, VLANs überall dort zu verwenden, wo ich sie benötige . Im Einsatz sind Geräte wie TP-Link TL-R480T + - sie verhalten sich im Allgemeinen nicht perfekt, mit ihren eigenen Nuancen. Es stellte sich heraus, dass die Konfiguration dieses Teils unter Linux dank des Off-Site- IP-Balancing von Ubuntu verantwortlich ist : Wir kombinieren mehrere Internetkanäle zu einem . Darüber hinaus kann jeder der Kanäle jederzeit "fallen" sowie steigen. Wenn Sie an einem Skript interessiert sind, das im Moment funktioniert (und das eine separate Veröffentlichung wert ist), schreiben Sie in die Kommentare.

Die fragliche Lösung erhebt keinen Anspruch auf Einzigartigkeit, aber ich möchte eine Frage stellen: „Warum passt sich das Unternehmen an fragwürdige Produkte von Drittanbietern mit schwerwiegenden Hardwareanforderungen an, wenn eine Alternative in Betracht gezogen werden kann?“

Wenn es in Russland eine Liste von Roskomnadzor in der Ukraine gibt - einen Anhang zur Entscheidung des Nationalen Sicherheitsrates (z. B. hier ), dann schlafen die Führer auch nicht auf dem Boden. Zum Beispiel erhielten wir nach Ansicht des Managements eine Liste verbotener Standorte, die die Arbeitsproduktivität am Arbeitsplatz verschlechtern.

Wenn Sie mit Kollegen in anderen Unternehmen kommunizieren, in denen standardmäßig alle Websites verboten sind, und nur auf Anfrage mit Erlaubnis des Chefs auf eine bestimmte Website zugreifen können, respektvoll lächeln, nachdenken und „ein Problem rauchen“, wurde klar, dass das Leben immer noch gut ist und wir hat Ihre Suche gestartet.

Als wir die Möglichkeit hatten, nicht nur analytisch zu sehen, was „Hausfrauenbücher“ über Verkehrsfilterung schreiben, sondern auch zu sehen, was auf den Kanälen verschiedener Anbieter passiert, haben wir die folgenden Rezepte bemerkt (alle Screenshots sind etwas beschnitten, bitte verstehen und verzeihen):
Und was tun mit VPN (Opera Browser Respekt) und Browser-Plug-Ins? Zuerst haben wir beim Spielen mit dem Mikrotik-Hub sogar ein ressourcenintensives Rezept für L7 erhalten, das wir später aufgeben mussten (es gibt möglicherweise verbotene Namen, es wird traurig, wenn der PPC460GT-Prozessor zusätzlich zu seinen direkten Aufgaben auf Routen in Dutzenden von Ausdrücken auf 100 geht %).

.

Was wurde klar:
CSN unter 127.0.0.1 ist absolut kein Allheilmittel. Moderne Versionen von Browsern ermöglichen es Ihnen dennoch, solche Probleme zu umgehen. Es ist unmöglich, alle Benutzer mit reduzierten Rechten einzuschränken, und man darf die große Anzahl alternativer DNS nicht vergessen. Das Internet ist nicht statisch. Zusätzlich zu neuen DNS-Adressen kaufen gesperrte Websites neue Adressen, ändern Domänen der obersten Ebene und können Zeichen in ihren Adressen hinzufügen / entfernen. Trotzdem hat er das Recht, so etwas zu leben (subjektiv: In einem solchen Schutz sehe ich, wie der Browser ratlos immer noch auf eine Antwort wartet und das Laden der Seite, die Elemente verbotenen Inhalts enthält, lange dauert):

ip route add blackhole 1.2.3.4 

Das Abrufen einer Liste von IP-Adressen aus der Liste der gesperrten Websites wäre sehr effektiv, aber aus den oben genannten Gründen haben wir uns den Überlegungen zu Iptables zugewandt. Unter CentOS Linux Release 7.5.1804 gab es bereits einen Live-Balancer.

Das Internet des Benutzers sollte schnell sein und der Browser sollte keine halbe Minute warten, um zu dem Schluss zu kommen, dass diese Seite nicht verfügbar ist. Nach langer Suche nach verschiedenen Sperroptionen kamen wir zu diesem Modell:
Datei 1 -> / script / verweigerter_Host , Liste der verbotenen Namen:

 test.test blablabla.bubu torrent porno 

Datei 2 -> / script / verweigerter_Bereich , eine Liste verbotener Adressräume und Adressen:

 192.168.111.0/24 241.242.0.0/16 

Skriptdatei 3 -> ipt.sh , die mit ipables funktioniert:

 #       HOSTS=`cat /script/denied_host | grep -v '^#'` RANGE=`cat /script/denied_range | grep -v '^#'` echo "Stopping firewall and allowing everyone..." #    iptables,      sudo iptables -F sudo iptables -X sudo iptables -t nat -F sudo iptables -t nat -X sudo iptables -t mangle -F sudo iptables -t mangle -X sudo iptables -P INPUT ACCEPT sudo iptables -P FORWARD ACCEPT sudo iptables -P OUTPUT ACCEPT #     (  ) sudo sh rout.sh #          for i in $HOSTS; do sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset; sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP; done #          for i in $RANGE; do sudo iptables -I FORWARD -p UDP -d $i -j DROP; sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset; done 

Die Verwendung von sudo ist auf die Tatsache zurückzuführen, dass wir einen kleinen Hack über die WEB-Schnittstelle steuern müssen. Wie die Erfahrung mit der Verwendung eines solchen Modells seit mehr als einem Jahr gezeigt hat, ist WEB nicht so notwendig. Nach der Implementierung bestand der Wunsch, die Sites in der Datenbank usw. aufzulisten. Die Anzahl der blockierten Hosts beträgt mehr als 250 + ein Dutzend Adressräume. In der Tat gibt es ein Problem beim Wechsel zur Site über eine https-Verbindung sowie beim Systemadministrator. Ich habe Beschwerden über Browser :), aber dies sind Sonderfälle. Die meisten Antworten auf den fehlenden Zugriff auf die Ressource sind immer noch auf unserer Seite. Wir blockieren auch erfolgreich Opera VPN-Plugins wie friGate und Telemetrie von Microsoft.