હું જાણું છું કે આ વિષય ખૂબ મારવામાં આવ્યો છે. ઉદાહરણ તરીકે, એક મહાન છે લેખ, પરંતુ બ્લોકલિસ્ટના માત્ર IP ભાગને ત્યાં ગણવામાં આવે છે. અમે ડોમેન્સ પણ ઉમેરીશું.

હકીકત એ છે કે અદાલતો અને આરકેએન બધું જ જમણે અને ડાબે અવરોધે છે, અને પ્રદાતાઓ રેવિઝોરો દ્વારા જારી કરાયેલા દંડ હેઠળ ન આવે તે માટે સખત પ્રયાસ કરી રહ્યા છે, અવરોધિત કરવાથી સંકળાયેલ નુકસાન ખૂબ મોટું છે. અને "કાયદેસર" અવરોધિત સાઇટ્સમાં ઘણી ઉપયોગી સાઇટ્સ છે (હેલો, રુટ્રેકર)

હું RKN ના અધિકારક્ષેત્રની બહાર રહું છું, પરંતુ મારા માતા-પિતા, સંબંધીઓ અને મિત્રો ઘરે જ રહ્યા. તેથી IT થી દૂર લોકો માટે બ્લોકીંગને બાયપાસ કરવાનો સરળ રસ્તો લાવવાનું નક્કી કરવામાં આવ્યું, પ્રાધાન્યમાં તેમની સહભાગિતા વિના.

આ નોંધમાં, હું પગલાંઓમાં મૂળભૂત નેટવર્ક વસ્તુઓનું વર્ણન કરીશ નહીં, પરંતુ આ યોજનાને કેવી રીતે અમલમાં મૂકી શકાય તેના સામાન્ય સિદ્ધાંતોનું વર્ણન કરીશ. તેથી નેટવર્ક સામાન્ય રીતે અને ખાસ કરીને Linux માં કેવી રીતે કાર્ય કરે છે તેનું જ્ઞાન હોવું જરૂરી છે.

તાળાઓના પ્રકાર

પ્રથમ, ચાલો આપણે શું અવરોધિત કરવામાં આવી રહ્યું છે તેની યાદશક્તિને તાજી કરીએ.

RKN માંથી અનલોડ કરેલ XML માં ઘણા પ્રકારના તાળાઓ છે:

IP
ડોમેન
URL ને

સરળતા માટે, અમે તેને ઘટાડીને બે કરી દઈશું: IP અને ડોમેન, અને અમે ડોમેનને URL દ્વારા અવરોધિત કરવાથી ખાલી ખેંચીશું (વધુ સ્પષ્ટ રીતે, તેઓએ અમારા માટે આ પહેલેથી જ કર્યું છે).

ના સારા લોકો રોસ્કોમ્સવોબોડા એક અદ્ભુત સમજાયું API, જેના દ્વારા આપણે જે જોઈએ છે તે મેળવી શકીએ છીએ:

આઇપી: https://api.reserve-rbl.ru/api/v2/ips/json
ડોમેન્સ: https://api.reserve-rbl.ru/api/v2/domains/json

અવરોધિત સાઇટ્સની ઍક્સેસ

આ કરવા માટે, અમને કેટલાક નાના વિદેશી VPSની જરૂર છે, પ્રાધાન્યમાં અમર્યાદિત ટ્રાફિક સાથે - આમાંના ઘણા 3-5 રૂપિયા માટે છે. તમારે તેને નજીકના વિદેશમાં લેવાની જરૂર છે જેથી પિંગ ખૂબ મોટી ન હોય, પરંતુ ફરીથી, ધ્યાનમાં લો કે ઇન્ટરનેટ અને ભૂગોળ હંમેશા એકરૂપ થતા નથી. અને 5 રૂપિયા માટે કોઈ SLA ન હોવાથી, દોષ સહિષ્ણુતા માટે વિવિધ પ્રદાતાઓ પાસેથી 2+ ટુકડાઓ લેવાનું વધુ સારું છે.

આગળ, અમારે ક્લાયંટ રાઉટરથી VPS સુધી એક એન્ક્રિપ્ટેડ ટનલ સેટ કરવાની જરૂર છે. હું વાયરગાર્ડનો ઉપયોગ સેટઅપ કરવા માટે સૌથી ઝડપી અને સરળ તરીકે કરું છું. મારી પાસે Linux પર આધારિત ક્લાયંટ રાઉટર્સ પણ છે (APU2 અથવા OpenWRT માં કંઈક). કેટલાક Mikrotik/Cisco ના કિસ્સામાં, તમે OpenVPN અને GRE-over-IPSEC જેવા તેમના પર ઉપલબ્ધ પ્રોટોકોલ્સનો ઉપયોગ કરી શકો છો.

રુચિના ટ્રાફિકની ઓળખ અને રીડાયરેક્શન

તમે, અલબત્ત, વિદેશી દેશો દ્વારા તમામ ઇન્ટરનેટ ટ્રાફિકને બંધ કરી શકો છો. પરંતુ, મોટે ભાગે, સ્થાનિક સામગ્રી સાથે કામ કરવાની ઝડપ આનાથી મોટા પ્રમાણમાં પીડાશે. ઉપરાંત, VPS પર બેન્ડવિડ્થ આવશ્યકતાઓ ઘણી વધારે હશે.

તેથી, અમારે કોઈક રીતે અવરોધિત સાઇટ્સ પર ટ્રાફિક ફાળવવાની જરૂર પડશે અને પસંદગીપૂર્વક તેને ટનલ પર લઈ જવી પડશે. જો અમુક "અતિરિક્ત" ટ્રાફિક ત્યાં પહોંચી જાય, તો પણ તે બધું ટનલ મારફતે ચલાવવા કરતાં ઘણું સારું છે.

ટ્રાફિક મેનેજ કરવા માટે, અમે BGP પ્રોટોકોલનો ઉપયોગ કરીશું અને અમારા VPS થી ક્લાયન્ટ્સ માટે જરૂરી નેટવર્ક્સ માટેના રૂટની જાહેરાત કરીશું. ચાલો BIRD ને સૌથી વધુ કાર્યાત્મક અને અનુકૂળ BGP ડિમન તરીકે લઈએ.

IP

IP દ્વારા અવરોધિત કરવા સાથે, બધું સ્પષ્ટ છે: અમે ફક્ત VPS સાથે તમામ અવરોધિત IP ની જાહેરાત કરીએ છીએ. સમસ્યા એ છે કે API પરત કરે છે તે યાદીમાં લગભગ 600 હજાર સબનેટ છે અને તેમાંથી મોટા ભાગના /32 હોસ્ટ છે. રૂટની આ સંખ્યા નબળા ક્લાયંટ રાઉટર્સને મૂંઝવણમાં મૂકી શકે છે.

તેથી, સૂચિની પ્રક્રિયા કરતી વખતે, જો તેમાં 24 અથવા વધુ હોસ્ટ્સ હોય તો નેટવર્ક / 2 સુધી સારાંશ આપવાનું નક્કી કરવામાં આવ્યું હતું. આમ, રૂટની સંખ્યા ઘટીને ~100 હજાર થઈ ગઈ. આ માટેની સ્ક્રિપ્ટ અનુસરશે.

ડોમેન્સ

તે વધુ જટિલ છે અને ત્યાં ઘણી રીતો છે. ઉદાહરણ તરીકે, તમે દરેક ક્લાયંટ રાઉટર પર એક પારદર્શક સ્ક્વિડ ઇન્સ્ટોલ કરી શકો છો અને ત્યાં HTTP ઇન્ટરસેપ્શન કરી શકો છો અને પહેલા કેસમાં વિનંતી કરેલ URL અને બીજા કિસ્સામાં SNI તરફથી ડોમેન મેળવવા માટે TLS હેન્ડશેકમાં ડોકિયું કરી શકો છો.

પરંતુ તમામ પ્રકારના નવા TLS1.3 + eSNI ને લીધે, HTTPS વિશ્લેષણ દરરોજ ઓછું અને ઓછું વાસ્તવિક બની રહ્યું છે. હા, અને ક્લાયંટ બાજુનું ઈન્ફ્રાસ્ટ્રક્ચર વધુ જટિલ બની રહ્યું છે - તમારે ઓછામાં ઓછું OpenWRT નો ઉપયોગ કરવો પડશે.

તેથી, મેં DNS વિનંતીઓના જવાબોને અટકાવવાનો માર્ગ અપનાવવાનું નક્કી કર્યું. અહીં પણ, કોઈપણ DNS-ઓવર-TLS/HTTPS તમારા માથા પર ફરવા લાગે છે, પરંતુ અમે (હમણાં માટે) ક્લાયન્ટ પર આ ભાગને નિયંત્રિત કરી શકીએ છીએ - કાં તો તેને અક્ષમ કરી શકીએ અથવા DoT/DH માટે તમારા પોતાના સર્વરનો ઉપયોગ કરીએ.

DNS ને કેવી રીતે અટકાવવું?

અહીં પણ, ઘણા અભિગમો હોઈ શકે છે.

PCAP અથવા NFLOG દ્વારા DNS ટ્રાફિકનું વિક્ષેપ
વિક્ષેપની આ બંને પદ્ધતિઓ ઉપયોગિતામાં લાગુ કરવામાં આવે છે sidmat. પરંતુ તે લાંબા સમયથી સપોર્ટેડ નથી અને કાર્યક્ષમતા ખૂબ જ આદિમ છે, તેથી તમારે હજી પણ તેના માટે હાર્નેસ લખવાની જરૂર છે.
DNS સર્વર લોગનું વિશ્લેષણ
કમનસીબે, મને જાણીતા રિકરર્સ પ્રતિસાદોને લૉગ કરવામાં સક્ષમ નથી, પરંતુ માત્ર વિનંતીઓ. સૈદ્ધાંતિક રીતે, આ તાર્કિક છે, કારણ કે, વિનંતીઓથી વિપરીત, જવાબોમાં જટિલ માળખું હોય છે અને તેને ટેક્સ્ટ સ્વરૂપમાં લખવું મુશ્કેલ છે.
DNSTap
સદનસીબે, તેમાંના ઘણા પહેલાથી જ આ હેતુ માટે DNSTap ને સમર્થન આપે છે.

DNSTap શું છે?

તે પ્રોટોકોલ બફર્સ અને ફ્રેમ સ્ટ્રીમ્સ પર આધારિત ક્લાયંટ-સર્વર પ્રોટોકોલ છે જે DNS સર્વરમાંથી સ્ટ્રક્ચર્ડ DNS ક્વેરીઝ અને પ્રતિસાદોના કલેક્ટરમાં ટ્રાન્સફર કરવા માટે છે. આવશ્યકપણે, DNS સર્વર ક્વેરી અને રિસ્પોન્સ મેટાડેટા (સંદેશનો પ્રકાર, ક્લાયંટ/સર્વર IP, વગેરે) વત્તા સંપૂર્ણ DNS સંદેશાઓ (દ્વિસંગી) સ્વરૂપમાં ટ્રાન્સમિટ કરે છે જેમાં તે નેટવર્ક પર તેમની સાથે કામ કરે છે.

તે સમજવું અગત્યનું છે કે DNSTap પેરાડાઈમમાં, DNS સર્વર ક્લાયન્ટ તરીકે કામ કરે છે અને કલેક્ટર સર્વર તરીકે કામ કરે છે. એટલે કે, DNS સર્વર કલેક્ટર સાથે જોડાય છે, અને ઊલટું નહીં.

આજે DNSTap બધા લોકપ્રિય DNS સર્વરમાં સપોર્ટેડ છે. પરંતુ, ઉદાહરણ તરીકે, ઘણા વિતરણોમાં BIND (જેમ કે ઉબુન્ટુ એલટીએસ) ઘણીવાર તેના સમર્થન વિના કોઈ કારણસર બનાવવામાં આવે છે. તો ચાલો ફરીથી એસેમ્બલીની ચિંતા ન કરીએ, પરંતુ હળવા અને ઝડપી રિકરસર લો - અનબાઉન્ડ.

DNSTap કેવી રીતે પકડવું?

છે કેટલાક જથ્થો DNSTap ઇવેન્ટ્સના સ્ટ્રીમ સાથે કામ કરવા માટે CLI ઉપયોગિતાઓ, પરંતુ તે અમારી સમસ્યાને ઉકેલવા માટે યોગ્ય નથી. તેથી, મેં મારી પોતાની સાયકલની શોધ કરવાનું નક્કી કર્યું જે જરૂરી છે તે બધું કરશે: dnstap-bgp

કાર્ય અલ્ગોરિધમ:

જ્યારે લૉન્ચ કરવામાં આવે છે, ત્યારે તે ટેક્સ્ટ ફાઇલમાંથી ડોમેન્સની સૂચિ લોડ કરે છે, તેમને ઉલટાવે છે (habr.com -> com.habr), તૂટેલી રેખાઓ, ડુપ્લિકેટ્સ અને સબડોમેન્સને બાકાત રાખે છે (એટલે કે જો સૂચિમાં habr.com અને www.habr.com હોય તો, તે ફક્ત પ્રથમ લોડ કરવામાં આવશે) અને આ સૂચિ દ્વારા ઝડપી શોધ માટે ઉપસર્ગ વૃક્ષ બનાવે છે
DNSTap સર્વર તરીકે કામ કરીને, તે DNS સર્વરથી કનેક્શનની રાહ જુએ છે. સૈદ્ધાંતિક રીતે, તે UNIX અને TCP બંને સોકેટ્સને સપોર્ટ કરે છે, પરંતુ DNS સર્વર્સ જે હું જાણું છું તે ફક્ત UNIX સોકેટ્સનો ઉપયોગ કરી શકે છે.
ઇનકમિંગ DNSTap પેકેટો સૌપ્રથમ પ્રોટોબફ સ્ટ્રક્ચરમાં ડીસીરિયલાઈઝ કરવામાં આવે છે, અને પછી પ્રોટોબફ ફીલ્ડમાંના એકમાં સ્થિત બાઈનરી DNS સંદેશ પોતે જ DNS RR રેકોર્ડ્સના સ્તર પર વિશ્લેષિત થાય છે.
વિનંતી કરેલ હોસ્ટ (અથવા તેનું પેરેન્ટ ડોમેન) લોડ કરેલી સૂચિમાં છે કે કેમ તે તપાસવામાં આવે છે, જો નહીં, તો પ્રતિભાવ અવગણવામાં આવે છે.
પ્રતિભાવમાંથી માત્ર A/AAAA/CNAME RR પસંદ કરવામાં આવે છે અને તેમાંથી સંબંધિત IPv4/IPv6 સરનામાંઓ કાઢવામાં આવે છે.
IP સરનામાઓ રૂપરેખાંકિત TTL સાથે કેશ કરવામાં આવે છે અને તમામ રૂપરેખાંકિત BGP સાથીદારોને જાહેરાત કરવામાં આવે છે.
જ્યારે પહેલાથી જ કેશ્ડ IP તરફ નિર્દેશ કરતો પ્રતિસાદ પ્રાપ્ત થાય છે, ત્યારે તેનું TTL અપડેટ થાય છે
TTL સમાપ્ત થયા પછી, કેશમાંથી અને BGP ઘોષણાઓમાંથી એન્ટ્રી દૂર કરવામાં આવે છે

વધારાની કાર્યક્ષમતા:

SIGHUP દ્વારા ડોમેન્સની સૂચિને ફરીથી વાંચવું
કેશને અન્ય ઉદાહરણો સાથે સુમેળમાં રાખવું dnstap-bgp HTTP/JSON દ્વારા
પુનઃપ્રારંભ કર્યા પછી તેના સમાવિષ્ટોને પુનઃસ્થાપિત કરવા માટે ડિસ્ક પર કેશ (બોલ્ટડીબી ડેટાબેઝમાં) ડુપ્લિકેટ કરો
અલગ નેટવર્ક નેમસ્પેસ પર સ્વિચ કરવા માટે સપોર્ટ (આ શા માટે જરૂરી છે તે નીચે વર્ણવવામાં આવશે)
IPv6 સપોર્ટ

મર્યાદાઓ:

IDN ડોમેન્સ હજુ સુધી સમર્થિત નથી
થોડા BGP સેટિંગ્સ

મેં એકત્રિત કર્યું RPM અને DEB સરળ સ્થાપન માટે પેકેજો. systemd સાથે તમામ પ્રમાણમાં તાજેતરના OS પર કામ કરવું જોઈએ. તેમની પાસે કોઈ નિર્ભરતા નથી.

આ યોજના

તો, ચાલો બધા ઘટકોને એકસાથે ભેગા કરવાનું શરૂ કરીએ. પરિણામે, આપણે આ નેટવર્ક ટોપોલોજી જેવું કંઈક મેળવવું જોઈએ:

કામનો તર્ક, મને લાગે છે કે, આકૃતિ પરથી સ્પષ્ટ છે:

ક્લાયન્ટે અમારું સર્વર DNS તરીકે ગોઠવેલું છે, અને DNS ક્વેરીઝ પણ VPN પર જવી જોઈએ. આ જરૂરી છે જેથી પ્રદાતા અવરોધિત કરવા માટે DNS ઇન્ટરસેપ્શનનો ઉપયોગ ન કરી શકે.
સાઇટ ખોલતી વખતે, ક્લાયંટ "xxx.org ના IPs શું છે" જેવી DNS ક્વેરી મોકલે છે.
અનબાઉન્ડ xxx.orgનું નિરાકરણ કરે છે (અથવા તેને કેશમાંથી લે છે) અને ક્લાયન્ટને જવાબ મોકલે છે “xxx.org પાસે આવા અને આવા IP છે”, તેને DNSTap દ્વારા સમાંતરમાં ડુપ્લિકેટ કરીને
dnstap-bgp માં આ સરનામાની જાહેરાત કરે છે પક્ષી જો ડોમેન અવરોધિત સૂચિમાં હોય તો BGP દ્વારા
પક્ષી સાથે આ IPs માટે માર્ગની જાહેરાત કરે છે next-hop self ક્લાયંટ રાઉટર
ક્લાયન્ટથી આ IP પરના અનુગામી પેકેટ્સ ટનલમાંથી પસાર થાય છે

સર્વર પર, અવરોધિત સાઇટ્સના માર્ગો માટે, હું BIRD ની અંદર એક અલગ ટેબલનો ઉપયોગ કરું છું અને તે કોઈપણ રીતે OS સાથે છેદતું નથી.

આ સ્કીમમાં ખામી છે: ક્લાયન્ટ તરફથી પ્રથમ SYN પેકેટ, મોટે ભાગે, સ્થાનિક પ્રદાતા દ્વારા છોડવાનો સમય હશે. રૂટ તાત્કાલિક જાહેર કરવામાં આવતો નથી. અને પ્રદાતા કેવી રીતે અવરોધિત કરે છે તેના આધારે અહીં વિકલ્પો શક્ય છે. જો તે ફક્ત ટ્રાફિક છોડે છે, તો કોઈ સમસ્યા નથી. અને જો તે તેને અમુક DPI પર રીડાયરેક્ટ કરે છે, તો પછી (સૈદ્ધાંતિક રીતે) વિશેષ અસરો શક્ય છે.

તે પણ શક્ય છે કે ક્લાયન્ટ્સ DNS TTL ચમત્કારોનો આદર કરતા નથી, જેના કારણે ક્લાયન્ટ અનબાઉન્ડ પૂછવાને બદલે તેના સડેલા કેશમાંથી કેટલીક જૂની એન્ટ્રીઓનો ઉપયોગ કરી શકે છે.

વ્યવહારમાં, ન તો પ્રથમ કે બીજું મારા માટે સમસ્યા ઊભી કરે છે, પરંતુ તમારું માઇલેજ બદલાઈ શકે છે.

સર્વર ટ્યુનિંગ

રોલિંગની સરળતા માટે, મેં લખ્યું જવાબદાર માટે ભૂમિકા. તે Linux પર આધારિત સર્વર અને ક્લાયંટ બંનેને ગોઠવી શકે છે (ડેબ-આધારિત વિતરણો માટે રચાયેલ). બધી સેટિંગ્સ એકદમ સ્પષ્ટ છે અને સેટ કરેલી છે inventory.yml. આ ભૂમિકા મારી મોટી પ્લેબુકમાંથી કાપી છે, તેથી તેમાં ભૂલો હોઈ શકે છે - અરજીઓ ખેંચો સ્વાગત છે 🙂

ચાલો મુખ્ય ઘટકોમાંથી પસાર થઈએ.

બી.જી.પી.

એક જ હોસ્ટ પર બે BGP ડિમન ચલાવવામાં મૂળભૂત સમસ્યા છે: BIRD લોકલહોસ્ટ (અથવા કોઈપણ સ્થાનિક ઈન્ટરફેસ) સાથે BGP પીઅરિંગ સેટ કરવા માંગતું નથી. બિલકુલ શબ્દમાંથી. ગૂગલિંગ અને મેઇલિંગ-લિસ્ટ્સ વાંચવાથી મદદ મળી નથી, તેઓ દાવો કરે છે કે આ ડિઝાઇન દ્વારા છે. કદાચ ત્યાં કોઈ રસ્તો છે, પરંતુ મને તે મળ્યો નથી.

તમે બીજો BGP ડિમન અજમાવી શકો છો, પરંતુ મને BIRD ગમે છે અને તે મારા દ્વારા દરેક જગ્યાએ ઉપયોગમાં લેવાય છે, હું એન્ટિટી બનાવવા માંગતો નથી.

તેથી, મેં નેટવર્ક નેમસ્પેસની અંદર dnstap-bgp છુપાવ્યું છે, જે વેથ ઈન્ટરફેસ દ્વારા રૂટ સાથે જોડાયેલ છે: તે પાઇપ જેવું છે, જેનો છેડો અલગ અલગ નેમસ્પેસમાં ચોંટી જાય છે. આ દરેક છેડા પર, અમે ખાનગી p2p IP એડ્રેસ લટકાવીએ છીએ જે યજમાનની બહાર જતા નથી, તેથી તે કંઈપણ હોઈ શકે છે. આ તે જ પદ્ધતિ છે જેનો ઉપયોગ અંદરની પ્રક્રિયાઓને ઍક્સેસ કરવા માટે થાય છે બધા દ્વારા પ્રેમ ડોકર અને અન્ય કન્ટેનર.

આ માટે લખવામાં આવ્યું હતું સ્ક્રિપ્ટ અને તમારી જાતને વાળ દ્વારા અન્ય નેમસ્પેસમાં ખેંચવા માટે ઉપર વર્ણવેલ કાર્યક્ષમતા dnstap-bgp માં ઉમેરવામાં આવી હતી. આને કારણે, તે રુટ તરીકે ચલાવવામાં આવવું જોઈએ અથવા setcap આદેશ દ્વારા CAP_SYS_ADMIN બાઈનરીને જારી કરવું જોઈએ.

નેમસ્પેસ બનાવવા માટેની સ્ક્રિપ્ટનું ઉદાહરણ

#!/bin/bash

NS="dtap"

IP="/sbin/ip"
IPNS="$IP netns exec $NS $IP"

IF_R="veth-$NS-r"
IF_NS="veth-$NS-ns"

IP_R="192.168.149.1"
IP_NS="192.168.149.2"

/bin/systemctl stop dnstap-bgp || true

$IP netns del $NS > /dev/null 2>&1
$IP netns add $NS

$IP link add $IF_R type veth peer name $IF_NS
$IP link set $IF_NS netns $NS

$IP addr add $IP_R remote $IP_NS dev $IF_R
$IP link set $IF_R up

$IPNS addr add $IP_NS remote $IP_R dev $IF_NS
$IPNS link set $IF_NS up

/bin/systemctl start dnstap-bgp

dnstap-bgp.conf

namespace = "dtap"
domains = "/var/cache/rkn_domains.txt"
ttl = "168h"

[dnstap]
listen = "/tmp/dnstap.sock"
perm = "0666"

[bgp]
as = 65000
routerid = "192.168.149.2"

peers = [
    "192.168.149.1",
]

bird.conf

router id 192.168.1.1;

table rkn;

# Clients
protocol bgp bgp_client1 {
    table rkn;
    local as 65000;
    neighbor 192.168.1.2 as 65000;
    direct;
    bfd on;
    next hop self;
    graceful restart;
    graceful restart time 60;
    export all;
    import none;
}

# DNSTap-BGP
protocol bgp bgp_dnstap {
    table rkn;
    local as 65000;
    neighbor 192.168.149.2 as 65000;
    direct;
    passive on;
    rr client;
    import all;
    export none;
}

# Static routes list
protocol static static_rkn {
    table rkn;
    include "rkn_routes.list";
    import all;
    export none;
}

rkn_routes.list

route 3.226.79.85/32 via "ens3";
route 18.236.189.0/24 via "ens3";
route 3.224.21.0/24 via "ens3";
...

DNS

મૂળભૂત રીતે, ઉબુન્ટુમાં, અનબાઉન્ડ બાઈનરી એપઆર્મર પ્રોફાઇલ દ્વારા ક્લેમ્પ્ડ છે, જે તેને તમામ પ્રકારના DNSTap સોકેટ્સ સાથે કનેક્ટ થવાથી પ્રતિબંધિત કરે છે. તમે કાં તો આ પ્રોફાઇલ કાઢી શકો છો, અથવા તેને અક્ષમ કરી શકો છો:

# cd /etc/apparmor.d/disable && ln -s ../usr.sbin.unbound .
# apparmor_parser -R /etc/apparmor.d/usr.sbin.unbound

આ કદાચ પ્લેબુકમાં ઉમેરવું જોઈએ. અલબત્ત, પ્રોફાઇલને સુધારવા અને જરૂરી અધિકારો જારી કરવા તે આદર્શ છે, પરંતુ હું ખૂબ આળસુ હતો.

unbound.conf

server:
    chroot: ""
    port: 53
    interface: 0.0.0.0
    root-hints: "/var/lib/unbound/named.root"
    auto-trust-anchor-file: "/var/lib/unbound/root.key"
    access-control: 192.168.0.0/16 allow

remote-control:
    control-enable: yes
    control-use-cert: no

dnstap:
    dnstap-enable: yes
    dnstap-socket-path: "/tmp/dnstap.sock"
    dnstap-send-identity: no
    dnstap-send-version: no

    dnstap-log-client-response-messages: yes

ડાઉનલોડ અને પ્રક્રિયા યાદીઓ

IP સરનામાઓની સૂચિ ડાઉનલોડ કરવા અને પ્રક્રિયા કરવા માટેની સ્ક્રિપ્ટ
તે સૂચિ ડાઉનલોડ કરે છે, ઉપસર્ગ સુધી સરવાળો કરે છે pfx. આ ઉમેરશો નહીં и સારાંશ ન આપો તમે IPs અને નેટવર્ક્સને છોડી દેવા અથવા સારાંશ ન આપવા માટે કહી શકો છો. મને તેની જરૂર હતી. મારા VPS નું સબનેટ બ્લોકલિસ્ટમાં હતું 🙂

મજાની વાત એ છે કે RosKomSvoboda API ડિફોલ્ટ Python વપરાશકર્તા એજન્ટ સાથે વિનંતીઓને અવરોધિત કરે છે. એવું લાગે છે કે સ્ક્રિપ્ટ-કિડીને તે મળી ગયું છે. તેથી, અમે તેને ઓગ્નેલિસમાં બદલીએ છીએ.

અત્યાર સુધી, તે માત્ર IPv4 સાથે કામ કરે છે. IPv6 નો હિસ્સો નાનો છે, પરંતુ તેને ઠીક કરવું સરળ હશે. સિવાય કે તમારે bird6 નો પણ ઉપયોગ કરવો પડે.

rkn.py

#!/usr/bin/python3

import json, urllib.request, ipaddress as ipa

url = 'https://api.reserve-rbl.ru/api/v2/ips/json'
pfx = '24'

dont_summarize = {
    # ipa.IPv4Network('1.1.1.0/24'),
}

dont_add = {
    # ipa.IPv4Address('1.1.1.1'),
}

req = urllib.request.Request(
    url,
    data=None, 
    headers={
        'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.47 Safari/537.36'
    }
)

f = urllib.request.urlopen(req)
ips = json.loads(f.read().decode('utf-8'))

prefix32 = ipa.IPv4Address('255.255.255.255')

r = {}
for i in ips:
    ip = ipa.ip_network(i)
    if not isinstance(ip, ipa.IPv4Network):
        continue

    addr = ip.network_address

    if addr in dont_add:
        continue

    m = ip.netmask
    if m != prefix32:
        r[m] = [addr, 1]
        continue

    sn = ipa.IPv4Network(str(addr) + '/' + pfx, strict=False)

    if sn in dont_summarize:
        tgt = addr
    else:
        tgt = sn

    if not sn in r:
        r[tgt] = [addr, 1]
    else:
        r[tgt][1] += 1

o = []
for n, v in r.items():
    if v[1] == 1:
        o.append(str(v[0]) + '/32')
    else:
        o.append(n)

for k in o:
    print(k)

અપડેટ કરવા માટે સ્ક્રિપ્ટ
હું તેને દિવસમાં એકવાર તાજ પર ચલાવું છું, કદાચ તે દર 4 કલાકે તેને ખેંચવા યોગ્ય છે. આ, મારા મતે, RKN ને પ્રદાતાઓ પાસેથી જરૂરી નવીકરણનો સમયગાળો છે. ઉપરાંત, તેમની પાસે કેટલાક અન્ય સુપર-અર્જન્ટ બ્લોકિંગ છે, જે ઝડપથી પહોંચી શકે છે.

નીચેના કરે છે:

પ્રથમ સ્ક્રિપ્ટ ચલાવે છે અને રૂટની યાદી અપડેટ કરે છે (rkn_routes.list) BIRD માટે
BIRD ફરીથી લોડ કરો
dnstap-bgp માટે ડોમેન્સની સૂચિને અપડેટ કરે છે અને સાફ કરે છે
dnstap-bgp ફરીથી લોડ કરો

rkn_update.sh

#!/bin/bash

ROUTES="/etc/bird/rkn_routes.list"
DOMAINS="/var/cache/rkn_domains.txt"

# Get & summarize routes
/opt/rkn.py | sed 's/(.*)/route 1 via "ens3";/' > $ROUTES.new

if [ $? -ne 0 ]; then
    rm -f $ROUTES.new
    echo "Unable to download RKN routes"
    exit 1
fi

if [ -e $ROUTES ]; then
    mv $ROUTES $ROUTES.old
fi

mv $ROUTES.new $ROUTES

/bin/systemctl try-reload-or-restart bird

# Get domains
curl -s https://api.reserve-rbl.ru/api/v2/domains/json -o - | jq -r '.[]' | sed 's/^*.//' | sort | uniq > $DOMAINS.new

if [ $? -ne 0 ]; then
    rm -f $DOMAINS.new
    echo "Unable to download RKN domains"
    exit 1
fi

if [ -e $DOMAINS ]; then
    mv $DOMAINS $DOMAINS.old
fi

mv $DOMAINS.new $DOMAINS

/bin/systemctl try-reload-or-restart dnstap-bgp

તેઓ ખૂબ વિચાર્યા વિના લખવામાં આવ્યા હતા, તેથી જો તમે કંઈક જોશો કે જે સુધારી શકાય છે - તેના માટે જાઓ.

ક્લાયંટ સેટઅપ

અહીં હું Linux રાઉટર્સ માટે ઉદાહરણો આપીશ, પરંતુ Mikrotik / Cisco ના કિસ્સામાં તે વધુ સરળ હોવું જોઈએ.

પ્રથમ, અમે બર્ડ સેટ કરીએ છીએ:

bird.conf

router id 192.168.1.2;
table rkn;

protocol device {
    scan time 10;
};

# Servers
protocol bgp bgp_server1 {
    table rkn;
    local as 65000;
    neighbor 192.168.1.1 as 65000;
    direct;
    bfd on;
    next hop self;
    graceful restart;
    graceful restart time 60;
    rr client;
    export none;
    import all;
}

protocol kernel {
    table rkn;
    kernel table 222;
    scan time 10;
    export all;
    import none;
}

આમ, અમે BGP તરફથી મળેલા રૂટને કર્નલ રૂટીંગ ટેબલ નંબર 222 સાથે સિંક્રનાઇઝ કરીશું.

તે પછી, ડિફોલ્ટને જોતા પહેલા કર્નલને આ પ્લેટ જોવા માટે પૂછવું પૂરતું છે:

# ip rule add from all pref 256 lookup 222
# ip rule
0:  from all lookup local
256:    from all lookup 222
32766:  from all lookup main
32767:  from all lookup default

બધું, સર્વરના ટનલ IP સરનામાને DNS તરીકે વિતરિત કરવા માટે રાઉટર પર DHCP ને ગોઠવવાનું બાકી છે, અને યોજના તૈયાર છે.

ખામીઓ

ડોમેન્સની સૂચિ બનાવવા અને પ્રક્રિયા કરવા માટે વર્તમાન અલ્ગોરિધમ સાથે, તેમાં અન્ય વસ્તુઓની સાથે, youtube.com અને તેના CDN.

અને આ એ હકીકત તરફ દોરી જાય છે કે બધી વિડિઓઝ VPN દ્વારા જશે, જે સમગ્ર ચેનલને ક્લોગ કરી શકે છે. કદાચ તે લોકપ્રિય ડોમેન્સ-બાકાતની સૂચિનું સંકલન કરવા યોગ્ય છે જે તે સમય માટે RKN ને અવરોધિત કરે છે, હિંમત પાતળી છે. અને પદચ્છેદન કરતી વખતે તેમને છોડો.

નિષ્કર્ષ

વર્ણવેલ પદ્ધતિ તમને લગભગ કોઈપણ બ્લોકિંગને બાયપાસ કરવાની મંજૂરી આપે છે જે પ્રદાતાઓ હાલમાં અમલમાં છે.

સિદ્ધાંતમાં, dnstap-bgp ડોમેન નામના આધારે ટ્રાફિક નિયંત્રણના અમુક સ્તરની જરૂર હોય તેવા કોઈપણ અન્ય હેતુ માટે ઉપયોગ કરી શકાય છે. ફક્ત ધ્યાનમાં રાખો કે આપણા સમયમાં, એક હજાર સાઇટ્સ સમાન IP સરનામાં પર અટકી શકે છે (ઉદાહરણ તરીકે, કેટલાક ક્લાઉડફ્લેર પાછળ), તેથી આ પદ્ધતિમાં એકદમ ઓછી ચોકસાઈ છે.

પરંતુ તાળાઓને બાયપાસ કરવાની જરૂરિયાતો માટે, આ તદ્દન પર્યાપ્ત છે.

ઉમેરાઓ, સંપાદનો, પુલ વિનંતીઓ - સ્વાગત છે!

સોર્સ: www.habr.com

DNSTap અને BGP સાથે ILV બ્લોકિંગને બાયપાસ કરો