ProHoster > Blag > Riarachán > Seachbhóthar blocáil ILV le DNSTap agus BGP

Seachbhóthar blocáil ILV le DNSTap agus BGP

Seachbhóthar blocáil ILV le DNSTap agus BGP

Tá an topaic buailte go leor, tá a fhios agam. Mar shampla, tá iontach airteagal, ach ní mheastar ach an chuid IP den bhlocliosta ann. Cuirfimid fearainn leis freisin.

Mar gheall ar an bhfíric go gcuireann na cúirteanna agus an RKN bac ar gach rud ar dheis agus ar chlé, agus na soláthraithe ag iarraidh go crua gan titim faoi na fíneálacha a d'eisigh Revizorro, tá na caillteanais ghaolmhara ó bhlocáil sách mór. Agus i measc na suíomhanna "go dleathach" a bhfuil bac orthu tá go leor cinn úsáideacha (hello, rutracker)

Tá cónaí orm lasmuigh de dhlínse an RKN, ach d’fhan mo thuismitheoirí, mo ghaolta agus mo chairde sa bhaile. Mar sin socraíodh teacht ar bhealach éasca do dhaoine i bhfad ó TF chun seachbhóthar a bhlocáil, agus b'fhearr gan a rannpháirtíocht ar chor ar bith.

Sa nóta seo, ní dhéanfaidh mé cur síos ar na rudaí bunúsacha líonra i gcéimeanna, ach déanfaidh mé cur síos ar na prionsabail ghinearálta ar conas is féidir an scéim seo a chur i bhfeidhm. Mar sin ní mór eolas a bheith agat ar conas a oibríonn an líonra go ginearálta agus i Linux go háirithe.

Cineálacha glais

Ar dtús, déanaimis ár gcuimhne a athnuachan ar cad atá á bhlocáil.

Tá cineálacha éagsúla glas sa XML díluchtaithe ón RKN:

  • IP
  • Ainm Fearainn
  • URL

Ar mhaithe le simplíocht, laghdóimid iad go dtí dhá cheann: IP agus fearann, agus beidh muid ag tarraingt go simplí as an bhfearann ​​​​ó bhlocáil le URL (níos cruinne, tá sé seo déanta acu dúinn cheana féin).

daoine maithe ó Ros Comáin thuig iontach API, trínar féidir linn an méid a theastaíonn uainn a fháil:

Rochtain ar láithreáin blocáilte

Chun seo a dhéanamh, ní mór dúinn roinnt VPS eachtrach beag, b'fhearr le trácht gan teorainn - tá go leor díobh seo le haghaidh 3-5 bucks. Ní mór duit é a ghlacadh go luath thar lear ionas nach mbeidh an ping an-mhór, ach arís, cuir san áireamh nach mbíonn an Idirlíon agus an tíreolaíocht i gcomhthráth i gcónaí. Agus ós rud é nach bhfuil aon SLA ann le haghaidh 5 bucks, is fearr 2+ phíosa a ghlacadh ó sholáthraithe éagsúla le haghaidh lamháltais locht.

Ansin, ní mór dúinn tollán criptithe a bhunú ón ródaire cliant go dtí an VPS. Úsáidim Wireguard mar an ceann is tapúla agus is éasca le socrú. Tá ródairí cliaint agam freisin bunaithe ar Linux (APU2 nó rud éigin in OpenWRT). I gcás roinnt Mikrotik / Cisco, is féidir leat na prótacail atá ar fáil orthu a úsáid mar OpenVPN agus GRE-over-IPSEC.

Trácht inspéise a shainaithint agus a atreorú

Is féidir leat, ar ndóigh, gach trácht Idirlín a mhúchadh trí thíortha iasachta. Ach, is dócha, beidh an luas a bheith ag obair le hábhar áitiúil ag fulaingt go mór mar gheall air seo. Ina theannta sin, beidh na ceanglais bandaleithead ar VPS i bhfad níos airde.

Mar sin, beidh orainn trácht a leithdháileadh ar shuíomhanna bactha ar bhealach éigin agus é a threorú go roghnach chuig an tollán. Fiú má fhaigheann cuid den trácht "breise" ann, tá sé i bhfad níos fearr fós ná gach rud a thiomáint tríd an tollán.

Chun trácht a bhainistiú, úsáidfimid prótacal BGP agus fógróimid bealaí chuig na líonraí riachtanacha ónár VPS chuig cliaint. Glacaimis ÉIN mar cheann de na deamhan BGP is feidhmiúla agus is áisiúla.

IP

Le blocáil ag IP, tá gach rud soiléir: ní dhéanaimid ach gach IP blocáilte a fhógairt le VPS. Is í an fhadhb atá ann go bhfuil thart ar 600 subnets ar an liosta go bhfuil an API tuairisceáin, agus tá an chuid is mó mór acu / 32 óstach. Is féidir leis an líon bealaí seo mearbhall a chur ar ródairí cliant lag.

Mar sin, agus an liosta á phróiseáil, socraíodh achoimre a dhéanamh suas go dtí an líonra / 24 má tá 2 óstach nó níos mó aige. Mar sin, laghdaíodh líon na mbealaí go ~100 míle. Leanfaidh an script chuige seo.

Fearainn

Tá sé níos casta agus tá roinnt bealaí ann. Mar shampla, is féidir leat Scuid trédhearcach a shuiteáil ar gach ródaire cliaint agus idircheapadh HTTP a dhéanamh ansin agus peep isteach sa chroitheadh ​​láimhe TLS chun an URL iarrtha a fháil sa chéad chás agus an fearann ​​​​ó SNI sa dara cás.

Ach mar gheall ar gach cineál TLS1.3 + eSNI newfangled, tá anailís HTTPS ag éirí níos lú agus níos lú fíor gach lá. Sea, agus tá an bonneagar ar thaobh an chliaint ag éirí níos casta - beidh ort OpenWRT ar a laghad a úsáid.

Mar sin, chinn mé an bealach a ghlacadh chun freagraí a thascradh ar cheisteanna DNS. Anseo, freisin, tosaíonn aon DNS-thar-TLS / HTTPS a hover thar do cheann, ach is féidir linn (go dtí seo) an chuid seo a rialú ar an gcliant - ceachtar é a dhíchumasú nó a úsáid do fhreastalaí féin le haghaidh DoT / DoH.

Conas DNS a thascradh?

Anseo, freisin, d'fhéadfadh go mbeadh roinnt cur chuige.

  • Tascradh tráchta DNS trí PCAP nó NFLOG
    Cuirtear an dá mhodh idirghabhála seo i bhfeidhm san fhóntas sidmat. Ach níor tugadh tacaíocht dó ar feadh i bhfad agus tá an fheidhmiúlacht an-primitive, mar sin ní mór duit fós úim a scríobh dó.
  • Anailís ar logaí freastalaí DNS
    Ar an drochuair, ní féidir leis na hathchúrsaithe is eol dom freagraí a logáil, ach iarratais amháin. I bprionsabal, tá sé seo loighciúil, ós rud é, murab ionann agus iarratais, tá struchtúr casta ag freagraí agus tá sé deacair iad a scríobh i bhfoirm téacs.
  • DNSTap
    Go fortunately, tacaíonn go leor acu cheana féin le DNSTap chun na críche seo.

Cad é DNSTap?

Seachbhóthar blocáil ILV le DNSTap agus BGP

Is prótacal cliant-freastalaí é atá bunaithe ar Mhaoláin Phrótacail agus Sruthanna Fráma le haistriú ó fhreastalaí DNS go bailitheoir ceisteanna agus freagraí struchtúrtha DNS. Go bunúsach, tarchuireann an freastalaí DNS meiteashonraí fiosrúcháin agus freagartha (cineál teachtaireachta, IP cliaint/freastalaí, etc.) chomh maith le teachtaireachtaí DNS iomlána san fhoirm (dénártha) ina n-oibríonn sé leo thar an líonra.

Tá sé tábhachtach a thuiscint go bhfeidhmíonn an freastalaí DNS mar chliant i bparadigm DNSTap agus feidhmíonn an bailitheoir mar fhreastalaí. Is é sin, nascann an freastalaí DNS leis an mbailitheoir, agus ní vice versa.

Sa lá atá inniu tacaítear le DNSTap i ngach freastalaí DNS tóir. Ach, mar shampla, is minic a thógtar BIND i go leor dáiltí (cosúil le Ubuntu LTS) ar chúis éigin gan a thacaíocht. Mar sin, ná déanaimis bodhraigh le hathchóimeáil, ach tógfaimid athchúrsóir níos éadroime agus níos tapúla - Gan cheangal.

Conas DNSTap a ghabháil?

roinnt Uimhir Fóntais CLI chun oibriú le sruth imeachtaí DNSTap, ach níl siad oiriúnach chun ár bhfadhb a réiteach. Mar sin, chinn mé mo rothar féin a chumadh a dhéanfaidh gach rud is gá: dnstap-bgp

Algartam oibre:

  • Nuair a sheoltar é, lódálann sé liosta fearainn ó chomhad téacs, déanann sé iad a inbhéartú (habr.com -> com.habr), ní áirítear línte briste, dúblaigh agus fofhearainn (i.e. má tá habr.com agus www.habr.com ar an liosta, beidh sé luchtaithe ach an chéad cheann) agus tógann sé crann réimír le haghaidh cuardach tapa tríd an liosta seo
  • Ag feidhmiú mar fhreastalaí DNSTap, fanann sé le nasc ó fhreastalaí DNS. I bprionsabal, tacaíonn sé le soicéid UNIX agus TCP araon, ach ní féidir leis na freastalaithe DNS atá ar eolas agam ach soicéid UNIX a úsáid
  • Déantar paicéid DNSTap atá ag teacht isteach a dhíshraith i struchtúr Protobuf ar dtús, agus ansin déantar an teachtaireacht dénártha DNS féin, atá suite i gceann de na réimsí Protobuf, a pharsáil go leibhéal taifead DNS RR
  • Déantar é a sheiceáil cibé an bhfuil an t-óstach iarrtha (nó a mháthairfhearann) sa liosta luchtaithe, mura bhfuil, déantar neamhaird den fhreagra
  • Ní roghnaítear ach A/AAAA/CNAME RR ón bhfreagra agus baintear na seoltaí IPv4/IPv6 astu
  • Déantar seoltaí IP a thaisceadh le TTL inchumraithe agus fógraítear iad do gach piaraí BGP cumraithe
  • Nuair a fhaigheann tú freagra a dhíríonn ar IP atá i dtaisce cheana féin, déantar a TTL a nuashonrú
  • Tar éis don TTL dul in éag, baintear an iontráil ón taisce agus ó fhógraí BGP

Feidhmiúlacht bhreise:

  • Liosta na bhfearann ​​á athléamh ag SIGHUP
  • An taisce a choinneáil i info le cásanna eile dnstap-bgp trí HTTP/JSON
  • Déan an taisce ar dhiosca a dhúbailt (i mbunachar sonraí BoltDB) chun a bhfuil ann a athbhunú tar éis atosú
  • Tacaíocht chun aistriú chuig ainmspás líonra eile (cuirfear síos thíos ar an bhfáth go bhfuil sé seo ag teastáil)
  • Tacaíocht IPv6

Teorainneacha:

  • Ní thacaítear le fearainn IDN fós
  • Is beag socruithe BGP

bhailigh mé RPM agus DEB pacáistí le haghaidh suiteáil éasca. Ba chóir go n-oibreodh sé ar gach OSes réasúnta le déanaí le systemd. níl aon spleáchais acu.

An scéim

Mar sin, déanaimis tús a chur le chéile na comhpháirteanna go léir le chéile. Mar thoradh air sin, ba cheart dúinn rud éigin cosúil leis an topology líonra seo a fháil:
Seachbhóthar blocáil ILV le DNSTap agus BGP

Tá loighic na hoibre, sílim, soiléir ón léaráid:

  • Tá ár bhfreastalaí cumraithe ag an gcliant mar DNS, agus caithfidh ceisteanna DNS dul thar an VPN freisin. Tá sé seo riachtanach ionas nach féidir leis an soláthraí idircheapadh DNS a úsáid chun bac a chur.
  • Agus an suíomh á oscailt, seolann an cliant ceist DNS ar nós “cad iad IPanna xxx.org”
  • neamhcheangailte réitíonn xxx.org (nó tógann sé ón taisce é) agus seolann sé freagra chuig an gcliant “tá a leithéid de IP ag xxx.org”, agus é á dhúbailt go comhthreomhar trí DNSTap
  • dnstap-bgp ag fógairt na seoltaí seo i Éan via BGP má tá an fearann ​​ar an liosta bactha
  • Éan fógraíonn sé bealach chuig na IPanna seo le next-hop self ródaire cliant
  • Téann paicéid ina dhiaidh sin ón gcliant chuig na IPanna seo tríd an tollán

Ar an bhfreastalaí, le haghaidh bealaí chuig láithreáin blocáilte, úsáidim tábla ar leith taobh istigh de BIRD agus ní thrasnaíonn sé an OS ar bhealach ar bith.

Tá míbhuntáiste ag an scéim seo: is dócha go mbeidh am ag an gcéad phaicéad SYN ón gcliant imeacht tríd an soláthraí baile. ní fhógraítear an bealach láithreach. Agus anseo tá roghanna indéanta ag brath ar an gcaoi a ndéanann an soláthraí an blocáil. Má thiteann sé díreach tráchta, ansin níl aon fhadhb. Agus má atreoraíonn sé é chuig roinnt PSO, ansin (go teoiriciúil) is féidir éifeachtaí speisialta.

Is féidir freisin nach n-urramaíonn cliaint míorúiltí DNS TTL, rud a d’fhéadfadh a bheith ina chúis leis an gcliant roinnt iontrálacha seanchaite a úsáid óna thaisce lofa in ionad Unbound a iarraidh.

Go praiticiúil, ní raibh an chéad cheann ná an dara ceann ina chúis le fadhbanna domsa, ach d’fhéadfadh go n-athródh do mhíleáiste.

Tiúnadh Freastalaí

Ar mhaithe le héascaíocht rollta, scríobh mé ról do Ansible. Is féidir leis freastalaithe agus cliaint a chumrú bunaithe ar Linux (deartha le haghaidh dáiltí bunaithe ar deb-bhunaithe). Tá gach socrú sách soiléir agus tá siad socraithe isteach fardal.yml. Tá an ról seo gearrtha ó mo leabhar súgartha mór, mar sin d'fhéadfadh earráidí a bheith ann - iarratais tarraingthe fáilte 🙂

A ligean ar dul tríd na príomh-chomhpháirteanna.

BGP

Tá fadhb bhunúsach ag baint le dhá dheamhan BGP a rith ar an ósta céanna: ní theastaíonn ó ÉIN féachaint ar BGP a chur ar bun leis an localhost (nó aon chomhéadan áitiúil). Ón bhfocal ar chor ar bith. Níor chabhraigh googling agus léamh liostaí poist, éilíonn siad gur de réir dearadh é seo. B'fhéidir go bhfuil bealach éigin ann, ach ní bhfuair mé é.

Is féidir leat triail a bhaint as deamhan BGP eile, ach is maith liom bird agus úsáidtear é i ngach áit agam, níl mé ag iarraidh aonáin a tháirgeadh.

Dá bhrí sin, chuir mé dnstap-bgp i bhfolach taobh istigh den ainmspás líonra, atá ceangailte leis an bhfréamh tríd an gcomhéadan veth: tá sé cosúil le píopa, a bhfuil a foircinn greamaithe amach i spásanna éagsúla. Ar gach ceann de na foircinn seo, crochadh muid seoltaí IP p2p príobháideacha nach dtéann níos faide ná an t-óstach, ionas gur féidir leo a bheith ina rud ar bith. Is é seo an mheicníocht chéanna a úsáidtear chun rochtain a fháil ar phróisis laistigh grá ag gach duine Docker agus coimeádáin eile.

Chun seo a bhí sé scríofa script agus cuireadh le dnstap-bgp an fheidhmiúlacht a bhfuil cur síos déanta uirthi thuas chun tú féin a tharraingt leis an ghruaig chuig ainmspás eile. Mar gheall air seo, ní mór é a rith mar fhréamh nó a eisiúint chuig an dénártha CAP_SYS_ADMIN tríd an ordú setcap.

Script shampla chun ainmspás a chruthú

#!/bin/bash

NS="dtap"

IP="/sbin/ip"
IPNS="$IP netns exec $NS $IP"

IF_R="veth-$NS-r"
IF_NS="veth-$NS-ns"

IP_R="192.168.149.1"
IP_NS="192.168.149.2"

/bin/systemctl stop dnstap-bgp || true

$IP netns del $NS > /dev/null 2>&1
$IP netns add $NS

$IP link add $IF_R type veth peer name $IF_NS
$IP link set $IF_NS netns $NS

$IP addr add $IP_R remote $IP_NS dev $IF_R
$IP link set $IF_R up

$IPNS addr add $IP_NS remote $IP_R dev $IF_NS
$IPNS link set $IF_NS up

/bin/systemctl start dnstap-bgp

dnstap-bgp.conf

namespace = "dtap"
domains = "/var/cache/rkn_domains.txt"
ttl = "168h"

[dnstap]
listen = "/tmp/dnstap.sock"
perm = "0666"

[bgp]
as = 65000
routerid = "192.168.149.2"

peers = [
    "192.168.149.1",
]

éan.conf

router id 192.168.1.1;

table rkn;

# Clients
protocol bgp bgp_client1 {
    table rkn;
    local as 65000;
    neighbor 192.168.1.2 as 65000;
    direct;
    bfd on;
    next hop self;
    graceful restart;
    graceful restart time 60;
    export all;
    import none;
}

# DNSTap-BGP
protocol bgp bgp_dnstap {
    table rkn;
    local as 65000;
    neighbor 192.168.149.2 as 65000;
    direct;
    passive on;
    rr client;
    import all;
    export none;
}

# Static routes list
protocol static static_rkn {
    table rkn;
    include "rkn_routes.list";
    import all;
    export none;
}

rkn_routes.list

route 3.226.79.85/32 via "ens3";
route 18.236.189.0/24 via "ens3";
route 3.224.21.0/24 via "ens3";
...

DNS

De réir réamhshocraithe, i Ubuntu, tá an dénártha neamhcheangailte clampáilte ag an bpróifíl AppArmor, rud a chuireann cosc ​​air nascadh le gach cineál soicéid DNSTap. Is féidir leat an phróifíl seo a scriosadh nó í a dhíchumasú:

# cd /etc/apparmor.d/disable && ln -s ../usr.sbin.unbound .
# apparmor_parser -R /etc/apparmor.d/usr.sbin.unbound

Is dócha gur cheart é seo a chur leis an leabhar súgartha. Tá sé oiriúnach, ar ndóigh, an phróifíl a cheartú agus na cearta riachtanacha a eisiúint, ach bhí mé ró-leisciúil.

gan cheangal.conf

server:
    chroot: ""
    port: 53
    interface: 0.0.0.0
    root-hints: "/var/lib/unbound/named.root"
    auto-trust-anchor-file: "/var/lib/unbound/root.key"
    access-control: 192.168.0.0/16 allow

remote-control:
    control-enable: yes
    control-use-cert: no

dnstap:
    dnstap-enable: yes
    dnstap-socket-path: "/tmp/dnstap.sock"
    dnstap-send-identity: no
    dnstap-send-version: no

    dnstap-log-client-response-messages: yes

Íoslódáil agus a phróiseáil liostaí

Script le haghaidh liosta seoltaí IP a íoslódáil agus a phróiseáil
Íoslódálann sé an liosta, suim suas go dtí an réimír pfx. I ná cuir_leis и ná déan_achoimre is féidir leat insint do na IPanna agus líonraí gan bacadh le nó gan achoimre. Bhí sé de dhíth orm. bhí fo-líon mo VPS sa bhlocliosta 🙂

Is é an rud greannmhar go bhfuil an API RosKomSvoboda bloc iarratais leis an ngníomhaire úsáideora Python réamhshocraithe. Is cosúil go bhfuair an script-kiddy é. Mar sin, déanaimid é a athrú go Ognelis.

Go dtí seo, ní oibríonn sé ach le IPv4. tá an sciar de IPv6 beag, ach beidh sé éasca a shocrú. Ach amháin má tá tú a úsáid bird6 chomh maith.

rkn.py

#!/usr/bin/python3

import json, urllib.request, ipaddress as ipa

url = 'https://api.reserve-rbl.ru/api/v2/ips/json'
pfx = '24'

dont_summarize = {
    # ipa.IPv4Network('1.1.1.0/24'),
}

dont_add = {
    # ipa.IPv4Address('1.1.1.1'),
}

req = urllib.request.Request(
    url,
    data=None, 
    headers={
        'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.47 Safari/537.36'
    }
)

f = urllib.request.urlopen(req)
ips = json.loads(f.read().decode('utf-8'))

prefix32 = ipa.IPv4Address('255.255.255.255')

r = {}
for i in ips:
    ip = ipa.ip_network(i)
    if not isinstance(ip, ipa.IPv4Network):
        continue

    addr = ip.network_address

    if addr in dont_add:
        continue

    m = ip.netmask
    if m != prefix32:
        r[m] = [addr, 1]
        continue

    sn = ipa.IPv4Network(str(addr) + '/' + pfx, strict=False)

    if sn in dont_summarize:
        tgt = addr
    else:
        tgt = sn

    if not sn in r:
        r[tgt] = [addr, 1]
    else:
        r[tgt][1] += 1

o = []
for n, v in r.items():
    if v[1] == 1:
        o.append(str(v[0]) + '/32')
    else:
        o.append(n)

for k in o:
    print(k)

Script le nuashonrú
Ritheann mé ar an choróin é uair sa lá, b'fhéidir gur fiú é a tharraingt gach 4 uair an chloig. is é seo, i mo thuairim, an tréimhse athnuachana a éilíonn an RKN ó sholáthraithe. Ina theannta sin, tá blocáil ró-phráinneach eile acu, a d'fhéadfadh teacht níos tapúla.

Seo a leanas:

  • Ritheann sé an chéad script agus nuashonraítear an liosta bealaí (rkn_routes.list) le haghaidh ÉIN
  • Athlódáil bird
  • Nuashonraítear agus glanann sé liosta na bhfearann ​​le haghaidh dnstap-bgp
  • Íosluchtaigh dnstap bgp

rkn_nuashonrú.sh

#!/bin/bash

ROUTES="/etc/bird/rkn_routes.list"
DOMAINS="/var/cache/rkn_domains.txt"

# Get & summarize routes
/opt/rkn.py | sed 's/(.*)/route 1 via "ens3";/' > $ROUTES.new

if [ $? -ne 0 ]; then
    rm -f $ROUTES.new
    echo "Unable to download RKN routes"
    exit 1
fi

if [ -e $ROUTES ]; then
    mv $ROUTES $ROUTES.old
fi

mv $ROUTES.new $ROUTES

/bin/systemctl try-reload-or-restart bird

# Get domains
curl -s https://api.reserve-rbl.ru/api/v2/domains/json -o - | jq -r '.[]' | sed 's/^*.//' | sort | uniq > $DOMAINS.new

if [ $? -ne 0 ]; then
    rm -f $DOMAINS.new
    echo "Unable to download RKN domains"
    exit 1
fi

if [ -e $DOMAINS ]; then
    mv $DOMAINS $DOMAINS.old
fi

mv $DOMAINS.new $DOMAINS

/bin/systemctl try-reload-or-restart dnstap-bgp

Scríobhadh iad gan mórán machnaimh, mar sin má fheiceann tú rud éigin is féidir a fheabhsú - téigh chun é.

Socrú cliant

Anseo tabharfaidh mé samplaí do ródairí Linux, ach i gcás Mikrotik / Cisco ba chóir go mbeadh sé níos éasca fós.

Gcéad dul síos, bhunaíomar bird:

éan.conf

router id 192.168.1.2;
table rkn;

protocol device {
    scan time 10;
};

# Servers
protocol bgp bgp_server1 {
    table rkn;
    local as 65000;
    neighbor 192.168.1.1 as 65000;
    direct;
    bfd on;
    next hop self;
    graceful restart;
    graceful restart time 60;
    rr client;
    export none;
    import all;
}

protocol kernel {
    table rkn;
    kernel table 222;
    scan time 10;
    export all;
    import none;
}

Mar sin, déanfaimid na bealaí a fhaightear ó BGP a shioncronú leis an tábla ródaithe eithne uimhir 222.

Tar éis sin, is leor a iarraidh ar an eithne breathnú ar an pláta seo roimh breathnú ar an gceann réamhshocraithe:

# ip rule add from all pref 256 lookup 222
# ip rule
0:  from all lookup local
256:    from all lookup 222
32766:  from all lookup main
32767:  from all lookup default

Gach rud, tá sé fós le DHCP a chumrú ar an ródaire chun seoladh IP tollán an fhreastalaí a dháileadh mar DNS, agus tá an scéim réidh.

Teorainneacha

Leis an algartam reatha chun liosta na bhfearann ​​a ghiniúint agus a phróiseáil, cuimsíonn sé, i measc rudaí eile, youtube.com agus a CDNanna.

Agus mar thoradh air seo go rachaidh gach físeán tríd an VPN, is féidir a clog an cainéal ar fad. B'fhéidir gur fiú liosta de na heisiaimh fearainn a bhfuil an-tóir orthu a chur le chéile a chuireann bac ar an RKN de thuras na huaire, tá an inní tanaí. Agus skip iad nuair a parsáil.

Conclúid

Ceadaíonn an modh a thuairiscítear duit beagnach aon bhlocáil a chuireann soláthraithe i bhfeidhm faoi láthair a sheachbhóthar.

I bprionsabal, dnstap-bgp is féidir é a úsáid chun aon chríche eile ina bhfuil gá le leibhéal éigin rialaithe tráchta bunaithe ar an ainm fearainn. Just a choinneáil i gcuimhne go bhfuil i ár gcuid ama, is féidir míle suíomh hang ar an seoladh IP céanna (taobh thiar de roinnt Cloudflare, mar shampla), agus mar sin tá an modh seo cruinneas sách íseal.

Ach do riachtanais na glais sheachbhóthar, tá sé seo sách go leor.

Breiseanna, athruithe, iarratais ar tharraingt - fáilte romhat!

Foinse: will.com

Add a comment