Iptables et filtrage du trafic des dissidents pauvres et paresseux

La pertinence de bloquer les visites de ressources interdites affecte tout administrateur qui peut être officiellement présenté pour non-respect de la loi ou des ordres des autorités compétentes.



Pourquoi réinventer la roue quand il existe des programmes et des distributions spécialisés pour nos tâches, par exemple: Zeroshell, pfSense, ClearOS.

Une autre question a été posée par les autorités: le produit utilisé a-t-il un certificat de sécurité de notre état?

Nous avions de l'expérience avec les distributions suivantes:

• Zeroshell - les développeurs ont même présenté une licence pour 2 ans, mais il s'est avéré que la répartition des intérêts était illogique pour nous de remplir une fonction critique pour nous;
• pfSense - le respect et l'honneur, en même temps ennuyeux, s'habituer à la ligne de commande du pare-feu FreeBSD n'est pas assez pratique pour nous (je pense que c'est une question d'habitude, mais il s'est avéré que ce n'était pas "de cette façon");
• ClearOS - il s'est avéré être très lent sur notre matériel, nous n'avons pas pu passer à des tests sérieux, et pourquoi des interfaces si lourdes?
• Ideco SELECTA. Il y a une conversation séparée sur le produit Aydeko, un produit intéressant, mais pour des raisons politiques ce n'est pas pour nous, mais je veux aussi les "mordre" à propos de la licence pour le même Linux, Roundcube, etc. Pourquoi ont-ils obtenu cela après avoir "coupé" l'interface en Python et avoir sélectionné les droits de superutilisateur, ils peuvent vendre un produit fini composé de modules développés et améliorés de la communauté Internet distribués sous la GPL, etc.

Je comprends que maintenant des cris négatifs vont couler dans ma direction avec des exigences pour justifier mes sentiments subjectifs en détail, mais je veux dire que ce nœud de réseau est également un équilibreur de trafic vers 4 canaux externes vers Internet, et chaque canal a ses propres caractéristiques. Une autre pierre angulaire était la nécessité de travailler sur l'une des nombreuses interfaces réseau dans différents espaces d'adressage, et je suis prêt à admettre que je ne suis pas prêt à utiliser les VLAN où j'en ai besoin . En cours d'utilisation, il existe des appareils comme TP-Link TL-R480T + - ils ne se comportent pas parfaitement, en général avec leurs propres nuances. Il s'est avéré responsable de configurer cette partie sous Linux grâce à l' équilibrage IP hors site Ubuntu : nous combinons plusieurs canaux Internet en un seul . De plus, chacun des canaux peut "tomber" à tout moment, ainsi que monter. Si vous êtes intéressé par un script qui fonctionne pour le moment (et cela vaut la peine d'être publié séparément) - écrivez dans les commentaires.

La solution en question ne prétend pas être unique, mais je veux poser une question: «Pourquoi l'entreprise s'adapte-t-elle à des produits tiers douteux avec des exigences matérielles sérieuses quand vous pouvez envisager une alternative?

S'il y a en Russie une liste de Roskomnadzor, en Ukraine - une annexe à la décision du Conseil de sécurité nationale (par exemple ici ), alors les dirigeants ne dorment pas non plus sur le sol. Par exemple, on nous a donné une liste de sites interdits, de l'avis de la direction qui aggrave la productivité du travail sur le lieu de travail.

Communiquer avec des collègues dans d'autres entreprises où tous les sites sont interdits par défaut et uniquement sur demande avec l'autorisation du patron, vous pouvez accéder à un site spécifique, souriant respectueusement, pensant et «fumant un problème», il est devenu clair que la vie est toujours belle et nous a commencé votre recherche.

Ayant la possibilité non seulement de voir analytiquement ce que les «livres de femmes au foyer» écrivent sur le filtrage du trafic, mais aussi de voir ce qui se passe sur les canaux de différents fournisseurs, nous avons remarqué les recettes suivantes (toutes les captures d'écran sont un peu recadrées, veuillez comprendre et pardonner):
Et que faire des VPN (respect du navigateur Opera) et des plug-ins de navigateur? Tout d'abord, en jouant avec le hub Mikrotik, nous avons même eu une recette gourmande en ressources pour L7, que nous avons ensuite dû refuser (il peut y avoir plus de noms interdits, cela devient triste quand, en plus de ses fonctions directes sur les routes, sur 3 dizaines d'expressions, le processeur PPC460GT passe à 100 %).

.

Ce qui est devenu clair:
CSN sur 127.0.0.1 n'est absolument pas une panacée, les versions modernes des navigateurs vous permettent toujours de contourner ces problèmes. Il est impossible de limiter tous les utilisateurs avec des droits supprimés, et il ne faut pas oublier le grand nombre de DNS alternatifs. Internet n'est pas statique et, en plus des nouvelles adresses DNS, les sites interdits achètent de nouvelles adresses, modifient les domaines de premier niveau et peuvent ajouter / supprimer des caractères dans leurs adresses. Mais encore, il a le droit de vivre quelque chose comme ça (subjectivement: dans une telle protection, je vois comment le navigateur, à perte, attend toujours une réponse, et la page qui contient des éléments de contenu interdit prend beaucoup de temps à charger):

ip route add blackhole 1.2.3.4 

Obtenir une liste d'adresses IP à partir de la liste des sites interdits serait assez efficace, mais pour les raisons ci-dessus, nous sommes passés à des considérations sur Iptables. Il y avait déjà un équilibreur en direct sur CentOS Linux version 7.5.1804.

L’Internet de l’utilisateur doit être rapide et le navigateur ne doit pas attendre une demi-minute, concluant que cette page n’est pas disponible. Après une longue recherche de différentes options de verrouillage, nous sommes arrivés à ce modèle:
Fichier 1 -> / script / refuse_host , liste des noms interdits:

 test.test blablabla.bubu torrent porno 

Fichier 2 -> / script / refuse_range , une liste des espaces d'adressage interdits et des adresses:

 192.168.111.0/24 241.242.0.0/16 

Fichier de script 3 -> ipt.sh , qui fonctionne avec ipables:

 #       HOSTS=`cat /script/denied_host | grep -v '^#'` RANGE=`cat /script/denied_range | grep -v '^#'` echo "Stopping firewall and allowing everyone..." #    iptables,      sudo iptables -F sudo iptables -X sudo iptables -t nat -F sudo iptables -t nat -X sudo iptables -t mangle -F sudo iptables -t mangle -X sudo iptables -P INPUT ACCEPT sudo iptables -P FORWARD ACCEPT sudo iptables -P OUTPUT ACCEPT #     (  ) sudo sh rout.sh #          for i in $HOSTS; do sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset; sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP; done #          for i in $RANGE; do sudo iptables -I FORWARD -p UDP -d $i -j DROP; sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset; done 

L'utilisation de sudo est due au fait que nous avons un petit hack à contrôler via l'interface WEB, mais comme l'expérience de l'utilisation d'un tel modèle depuis plus d'un an l'a montré, WEB n'est pas si nécessaire. Après la mise en œuvre, il y avait un désir de faire une liste de sites dans la base de données, etc. Le nombre d'hôtes bloqués est supérieur à 250 + une douzaine d'espaces d'adressage. En effet, il y a un problème lors du passage au site via une connexion https, ainsi que l'administrateur système, j'ai des plaintes concernant les navigateurs :), mais ce sont des cas particuliers, la plupart des réponses au manque d'accès à la ressource sont toujours de notre côté, nous bloquons également avec succès Opera VPN, les plugins comme friGate et la télémétrie de Microsoft.