A relevância de bloquear visitas a recursos proibidos afeta qualquer administrador que possa ser apresentado oficialmente como não-cumpridor da lei ou das ordens das autoridades relevantes.
Por que reinventar a roda quando há programas e distribuições especializadas para nossas tarefas, por exemplo: Zeroshell, pfSense, ClearOS.
Outra pergunta foi feita pelas autoridades: o produto usado possui um certificado de segurança de nosso estado?
Tivemos experiência em trabalhar com as seguintes distribuições:
- Zeroshell - os desenvolvedores chegaram a apresentar uma licença por 2 anos, mas descobriu-se que a distribuição de interesse era ilógica para cumprirmos uma função crítica para nós;
- pfSense - respeito e honra, ao mesmo tempo chatos, se acostumar com a linha de comando do firewall do FreeBSD não é conveniente o suficiente para nós (acho que é uma questão de hábito, mas acabou não sendo "assim");
- ClearOS - acabou sendo muito lento em nosso hardware, não conseguimos testes sérios e por que interfaces tão pesadas?
- Ideco SELECTA. Há uma conversa separada sobre o produto Aydeko, um produto interessante, mas por razões políticas não é para nós, mas também quero "mordê-los" sobre a licença para o mesmo Linux, Roundcube etc. Por que eles conseguiram "cortar" a interface no Python e selecionar direitos de superusuário? Eles podem vender um produto final composto por módulos desenvolvidos e aprimorados da comunidade da Internet distribuídos sob a GPL etc.
Entendo que agora clamores negativos virão em minha direção com requisitos para substanciar meus sentimentos subjetivos em detalhes, mas quero dizer que esse nó da rede também é um balanceador de tráfego para 4 canais externos da Internet, e cada canal tem suas próprias características. Outra pedra angular foi a necessidade de trabalhar em uma das várias interfaces de rede em diferentes espaços de endereço, e estou
pronto para admitir que não estou
pronto para usar VLANs onde for
necessário . Em uso, existem dispositivos como o TP-Link TL-R480T + - eles não se comportam perfeitamente, em geral com suas próprias nuances. Acabou sendo responsável por configurar esta parte no Linux, graças ao
balanceamento de IP externo do Ubuntu
: combinamos vários canais da Internet em um . Além disso, cada um dos canais pode "cair" a qualquer momento e subir. Se você estiver interessado em um script que funcione no momento (e isso vale uma publicação separada) - escreva nos comentários.
A solução em questão não afirma ser única, mas quero fazer uma pergunta: "Por que a empresa se adapta a produtos questionáveis de terceiros com sérios requisitos de hardware quando você pode considerar uma alternativa?"
Se na Rússia há uma lista de Roskomnadzor, na Ucrânia - um apêndice da decisão do Conselho de Segurança Nacional (por exemplo,
aqui ), os líderes também não dormem no chão. Por exemplo, recebemos uma lista de sites proibidos, na opinião da gerência que piora a produtividade do trabalho no local de trabalho.
Ao se comunicar com colegas de outras empresas onde todos os sites são proibidos por padrão e somente mediante solicitação do chefe, você pode acessar um site específico, sorrindo respeitosamente, pensando e “fumando um problema”, ficou claro que a vida ainda é boa e nós iniciou sua pesquisa.
Tendo a oportunidade não apenas de analisar analiticamente o que os “livros das donas de casa” escrevem sobre a filtragem de tráfego, mas também de ver o que acontece nos canais de diferentes fornecedores, notamos as seguintes receitas (todas as capturas de tela são um pouco cortadas, entenda e perdoe):
E o que fazer com a VPN (respeito ao navegador Opera) e plug-ins do navegador? Primeiro, jogando com o hub Mikrotik, até recebemos uma receita com muitos recursos para o L7, que mais tarde tivemos que abandonar (pode haver nomes proibidos, fica triste quando, além de suas funções diretas nas rotas, em dezenas de expressões, o processador PPC460GT chega a 100 %)
.
O que ficou claro:
O CSN no 127.0.0.1 não é absolutamente uma panacéia, as versões modernas dos navegadores ainda permitem que você ignore esses problemas. É impossível limitar todos os usuários com direitos despojados, e não se deve esquecer o grande número de DNS alternativo. A Internet não é estática e, além de novos endereços DNS, sites proibidos compram novos endereços, alteram domínios de nível superior e podem adicionar / remover caracteres em seus endereços. Mas, ainda assim, ele tem o direito de viver algo assim (subjetivamente: com essa proteção, vejo como o navegador, ainda sem resultados, aguarda uma resposta, e a página que contém elementos de conteúdo proibido leva muito tempo para carregar):
ip route add blackhole 1.2.3.4
Obter uma lista de endereços IP a partir da lista de sites proibidos seria bastante eficaz, mas pelas razões acima, passamos a considerações sobre o Iptables. Já havia um balanceador ao vivo no CentOS Linux versão 7.5.1804.
A Internet do usuário deve ser rápida e o navegador não deve esperar meio minuto, concluindo que esta página não está disponível. Após uma longa pesquisa por diferentes opções de bloqueio, chegamos a este modelo:
Arquivo 1 ->
/ script / denied_host , lista de nomes proibidos:
test.test blablabla.bubu torrent porno
Arquivo 2 ->
/ script / denied_range , uma lista de espaços e endereços de endereços proibidos:
192.168.111.0/24 241.242.0.0/16
Arquivo de script 3 ->
ipt.sh , que funciona com o ipables:
O uso do sudo se deve ao fato de termos um pequeno hack para controlar via interface WEB, mas como a experiência de usar esse modelo por mais de um ano mostrou, o WEB não é tão necessário. Após a implementação, houve um desejo de fazer uma lista de sites no banco de dados, etc. O número de hosts bloqueados é superior a 250 + uma dúzia de espaços de endereço. De fato, há um problema ao mudar para o site por uma conexão https, assim como o administrador do sistema, tenho reclamações sobre navegadores :), mas esses são casos especiais, a maioria das respostas à falta de acesso ao recurso ainda está do nosso lado, também bloqueamos com êxito o Opera VPN, plugins como friGate e telemetria da Microsoft.
