Geekly articles weekly

Iptables dan menyaring lalu lintas dari para pembangkang yang miskin dan malas

Relevansi pemblokiran kunjungan ke sumber daya terlarang memengaruhi admin mana pun yang mungkin secara resmi dinyatakan tidak mematuhi hukum atau perintah dari otoritas terkait.



Mengapa menemukan kembali roda ketika ada program khusus dan distribusi untuk tugas-tugas kita, misalnya: Zeroshell, pfSense, ClearOS.

Pertanyaan lain diajukan oleh otoritas: Apakah produk yang digunakan memiliki sertifikat keamanan dari negara kita?

Kami memiliki pengalaman bekerja dengan distribusi berikut:

  • Zeroshell - para pengembang bahkan memberikan lisensi selama 2 tahun, tetapi ternyata distribusi bunga tidak masuk akal bagi kami untuk memenuhi fungsi penting bagi kami;
  • pfSense - rasa hormat dan kehormatan, pada saat yang sama membosankan, membiasakan diri dengan baris perintah firewall FreeBSD tidak cukup nyaman bagi kami (saya pikir ini masalah kebiasaan, tetapi ternyata tidak menjadi "seperti itu");
  • ClearOS - ternyata sangat lambat pada perangkat keras kami, kami tidak bisa melakukan pengujian serius, dan mengapa antarmuka yang begitu berat?
  • Ideco SELECTA. Ada percakapan terpisah tentang produk Aydeko, produk yang menarik, tetapi karena alasan politis itu bukan untuk kita, tetapi saya juga ingin "menggigit" mereka tentang lisensi untuk Linux, Roundcube yang sama, dll. Mengapa mereka mendapatkan hal itu dengan "memotong" antarmuka Python dan memilih hak pengguna super, mereka dapat menjual produk jadi yang terdiri dari modul yang dikembangkan dan ditingkatkan dari komunitas Internet yang didistribusikan di bawah GPL & dll.

Saya mengerti bahwa sekarang tangisan negatif akan mengalir ke arah saya dengan persyaratan untuk membuktikan perasaan subjektif saya secara terperinci, tetapi saya ingin mengatakan bahwa simpul jaringan ini juga merupakan penyeimbang lalu lintas ke 4 saluran eksternal ke Internet, dan setiap saluran memiliki karakteristiknya sendiri. Landasan lain adalah kebutuhan untuk bekerja pada salah satu dari beberapa antarmuka jaringan di ruang alamat yang berbeda, dan saya siap untuk mengakui bahwa saya tidak siap untuk menggunakan VLAN di mana pun saya perlu . Saat digunakan ada perangkat seperti TP-Link TL-R480T + - mereka tidak berperilaku sempurna, secara umum dengan nuansa mereka sendiri. Ternyata bertanggung jawab untuk mengkonfigurasi bagian ini di Linux berkat Ubuntu off - situs IP-Balancing: kami menggabungkan beberapa saluran internet menjadi satu . Selain itu, masing-masing saluran dapat "jatuh" kapan saja, serta naik. Jika Anda tertarik pada skrip yang berfungsi saat ini (dan ini layak diterbitkan terpisah) - tulis di komentar.

Solusi yang dimaksud tidak mengklaim sebagai unik, tetapi saya ingin mengajukan pertanyaan: "Mengapa perusahaan beradaptasi dengan produk pihak ketiga yang dipertanyakan dengan persyaratan perangkat keras yang serius ketika Anda dapat mempertimbangkan alternatifnya?"

Jika di Rusia ada daftar Roskomnadzor, di Ukraina - lampiran Keputusan Dewan Keamanan Nasional (mis. Di sini ), maka para pemimpin juga tidak tidur di tanah. Misalnya, kami diberi daftar situs terlarang, menurut pendapat manajemen yang memperburuk produktivitas tenaga kerja di tempat kerja.

Berkomunikasi dengan kolega di perusahaan lain di mana semua situs dilarang secara default dan hanya atas permintaan dengan izin bos, Anda dapat mengakses situs tertentu, tersenyum penuh hormat, berpikir, dan "merokok masalah", menjadi jelas bahwa kehidupan masih baik dan kami mulai pencarian Anda.

Memiliki kesempatan tidak hanya untuk secara analitis melihat apa yang ditulis oleh "buku-buku ibu rumah tangga" tentang penyaringan lalu lintas, tetapi juga untuk melihat apa yang terjadi pada saluran-saluran penyedia yang berbeda, kami memperhatikan resep-resep berikut (screenshot apa pun sedikit dipangkas, harap dipahami dan maafkan):
Penyedia 1- Tidak mengganggu dan memaksakan server DNS dan server proxy transparan. Baiklah? .. tetapi kita memiliki akses ke tempat yang kita butuhkan (jika kita membutuhkannya :))
Penyedia 2- Dia percaya bahwa penyedia topnya harus memikirkannya, dukungan teknis dari penyedia top bahkan mengakui mengapa saya tidak bisa membuka situs yang tidak dilarang yang diperlukan untuk saya. Saya pikir gambar akan menghibur Anda :)



Ternyata, mereka menerjemahkan nama-nama situs terlarang menjadi alamat IP dan memblokir IP (itu tidak mengganggu mereka bahwa 20 situs dapat di-host pada alamat IP ini).
Penyedia 3- Melewati lalu lintas di sana, tetapi tidak mengizinkannya kembali di sepanjang rute.
Penyedia 4- melarang semua manipulasi dengan paket ke arah yang ditentukan.
Dan apa yang harus dilakukan dengan VPN (penghormatan browser Opera) dan plug-in browser? Pertama, bermain dengan hub Mikrotik, kami bahkan memiliki resep intensif sumber daya untuk L7, yang kemudian kami tolak (mungkin ada lebih banyak nama terlarang, menjadi sedih ketika, selain tugas langsungnya pada rute, pada 3 lusin ekspresi, prosesor PPC460GT masuk ke 100 %).

.

Apa yang menjadi jelas:
CSN pada 127.0.0.1 sama sekali bukan obat mujarab, versi browser modern masih memungkinkan Anda untuk melewati masalah seperti itu. Tidak mungkin untuk membatasi semua pengguna dengan hak yang dilucuti, dan orang tidak boleh lupa tentang sejumlah besar DNS alternatif. Internet tidak statis, dan selain alamat DNS baru, situs yang terlarang membeli alamat baru, mengubah domain tingkat atas, dan dapat menambah / menghapus karakter di alamat mereka. Namun tetap saja, ia memiliki hak untuk menjalani sesuatu seperti itu (secara subyektif: dalam perlindungan seperti itu saya melihat bagaimana browser, yang masih bingung, masih menunggu jawaban, dan halaman yang berisi elemen konten terlarang membutuhkan waktu lama untuk dimuat):

ip route add blackhole 1.2.3.4

Memperoleh daftar alamat IP dari daftar situs yang terlarang akan sangat efektif, tetapi untuk alasan di atas, kami beralih ke pertimbangan Iptables. Sudah ada penyeimbang langsung pada rilis CentOS Linux 7.5.1804.

Internet pengguna harus cepat, dan browser tidak boleh menunggu setengah menit, menyimpulkan bahwa halaman ini tidak tersedia. Setelah lama mencari opsi penguncian yang berbeda, kami sampai pada model ini:
File 1 -> / script / deny_host , daftar nama terlarang:

 test.test blablabla.bubu torrent porno

File 2 -> / script / deny_range , daftar ruang dan alamat alamat terlarang:

 192.168.111.0/24 241.242.0.0/16

File skrip 3 -> ipt.sh , yang berfungsi dengan ipables:

 #       HOSTS=`cat /script/denied_host | grep -v '^#'` RANGE=`cat /script/denied_range | grep -v '^#'` echo "Stopping firewall and allowing everyone..." #    iptables,      sudo iptables -F sudo iptables -X sudo iptables -t nat -F sudo iptables -t nat -X sudo iptables -t mangle -F sudo iptables -t mangle -X sudo iptables -P INPUT ACCEPT sudo iptables -P FORWARD ACCEPT sudo iptables -P OUTPUT ACCEPT #     (  ) sudo sh rout.sh #          for i in $HOSTS; do sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset; sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP; done #          for i in $RANGE; do sudo iptables -I FORWARD -p UDP -d $i -j DROP; sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset; done

Penggunaan sudo disebabkan oleh fakta bahwa kami memiliki hack kecil untuk dikendalikan melalui antarmuka WEB, tetapi seperti yang ditunjukkan oleh pengalaman dengan model seperti itu selama lebih dari setahun, WEB tidak begitu diperlukan. Setelah implementasi ada keinginan untuk membuat daftar situs dalam database, dll. Jumlah host yang diblokir adalah lebih dari 250 + selusin ruang alamat. Memang, ada masalah ketika beralih ke situs melalui koneksi https, serta administrator sistem, saya punya keluhan tentang browser :), tetapi ini adalah kasus khusus, sebagian besar tanggapan terhadap kurangnya akses ke sumber daya masih di pihak kami, kami juga berhasil memblokir Opera VPN, plugin seperti friGate dan telemetri dari Microsoft.

Source: https://habr.com/ru/post/id471402/

More articles:


All Articles