突然の冒険

デーモン、RFC、ネットワークを研究し、オープンソースを推進するのに Spotify がどのように役立つか。 あるいは、支払いができないが、どうしてもプレミアムグッズが欲しい場合はどうなるでしょうか。

開始

XNUMX日目に、SpotifyがIPアドレスの国に基づいて広告を表示していることが判明した。 一部の国では広告がまったく輸入されていないことも指摘された。 たとえば、ベラルーシ共和国。 そして、非プレミアムアカウントでの広告を無効にするという「素晴らしい」計画が立案されました。

Spotify について少し

一般的に言って、Spotify には奇妙なポリシーがあります。 私たちの兄弟は、プレミアムを購入するためにかなりひねくれなければなりません。プロフィールの場所を海外に変更し、PayPal でのみ支払い可能な適切なギフトカードを探します。PayPal は最近挙動がおかしく、大量の書類を要求します。 一般に、それは冒険でもありますが、順序が異なります。 ほとんどの人はモバイル版のためにこれを行うと思いますが、私はそれに興味がありません。 したがって、以下のすべてはデスクトップ版の場合にのみ役に立ちます。 また、機能の拡張はございません。 余分なものの一部をカットするだけです。

なぜこれほど複雑なのでしょうか?

そして、Spotify の設定に Socks-proxy データを登録するときにそう思いました。 問題は、ログインとパスワードを使用したソックスの認証が機能しないことであることが判明しました。 さらに、開発者は定期的にプロキシを使用して何かを行います。プロキシを許可したり、禁止したり、破ったりするため、オフサイトでの議論全体が発生します。

不安定な機能に依存せず、より信頼性が高く興味深いものを見つけることにしました。

ここのどこかで読者はこう尋ねなければなりません：なぜそれを取らないのか ssh 鍵付き -D それで終わりですか？ そして一般的に、彼は正しいでしょう。 しかし、第一に、切断された接続について考えないようにするために、これを悪魔化し、autossh と友達にする必要があります。 そして第二に、シンプルすぎて退屈です。

順番に

いつものように、左から右、上から下の順に、「単純な」アイデアを実装するために必要なすべてを説明してみましょう。

まずプロキシが必要です

そして、一度に多くの代替手段があります。

• 開いているプロキシ リストから取得するだけです。 安価 (またはむしろ無料) ですが、信頼性がまったく低く、そのようなプロキシの寿命はゼロになる傾向があります。 したがって、プロキシ リストのパーサーを検索/作成し、目的のタイプと国でフィルタリングする必要があります。また、見つかったプロキシを Spotify で置き換えるという問題は未解決のままです (おそらく、 HTTP_PROXY 他のすべてのトラフィックがそこに送信されないように、バイナリのカスタム ラッパーを転送して作成します)。
• 同様のプロキシを購入すれば、上記の問題のほとんどを回避できます。 しかし、プロキシの料金を支払えば、Spotify ですぐにプレミアムを購入できますが、これは本来のタスクには現実的ではありません。
• 上げてください。 ご想像のとおり、これが私たちの選択です。

まったくの偶然ですが、ベラルーシ共和国または他の小さな国のサーバーに友人がいることが判明する可能性があります。 これを使用して、目的のプロキシをロールアウトする必要があります。 特別な愛好家は、ルーターを使用して友人と満足することができます DD-WRT または同様のソフトウェア。 しかし、そこに 彼の 素敵な世界 そしてこの世界は明らかにこの物語の枠にはまりません。

したがって、私たちの選択肢は次のとおりです。Squid - 刺激的ではありません。HTTP プロキシは必要ありません。このプロトコルはすでに多すぎます。 そして、SOCKSの分野では、次のこと以外に賢明なことは何もありません。 ダンテ まだ届けていません。 したがって、それを受け取りましょう。

Dante のインストールと設定に関するマニュアルを待つ必要はありません。 彼 ただグーグルするだけ 特に興味深いものではありません。 最小構成では、あらゆる種類の要素を投入する必要があります。 client pass, socks pass、インターフェイスを正しく登録し、追加することを忘れないでください socksmethod: username。 このフォームでは、認証のためにシステム ユーザーからロゴパスが取得されます。 そして、セキュリティに関する部分: localhost へのアクセスの禁止、ユーザーの制限など - これは純粋に個人的なものであり、個人的な妄想に依存します。

ネットワークに面したプロキシを導入する

劇は二幕構成です。

第一幕

プロキシを整理しました。今度はグローバル Web からプロキシにアクセスする必要があります。 希望する国にホワイト IP を持つマシンがある場合は、この点をスキップしても問題ありません。 私たちには IP がありません (前述したように、私たちは友人の家でホストされています)。最も近いホワイト IP はドイツのどこかにあるため、ネットワークを研究します。

はい、注意深い読者は、次のような既存のサービスをなぜ採用しないのかと再度尋ねるでしょう。 グローク または類似？ そして彼は再び正しくなるだろう。 しかし、これはサービスであり、再び悪者扱いする必要があり、お金がかかる可能性もあり、一般的にスポーツではありません。 そこで廃材から自転車を作ります。

タスク: NAT のはるか後ろのどこかにプロキシがあります。ホワイト IP を持ち、世界の端にある VPS のポートの XNUMX つにプロキシをハングする必要があります。

これはポート転送 (上記の方法で実装される) によって解決できると考えるのが論理的です。 ssh)、または VPN 経由でハードウェアを仮想ネットワークに結合します。 と ssh 私たちは働き方を知っています、 autossh 取るのは退屈なので、OpenVPN を使用しましょう。

DigitalOcean は 素晴らしいマヌルヌル この件に関しては。 それに付け加えることは何もありません。 結果として得られる構成は、非常に簡単に OpenVPN クライアントに接続でき、 systemd。 それ（config）を入れるだけです /etc/openvpn/client/ 拡張子を次のように変更することを忘れないでください .conf。 その後、サービスをプルします [email protected]彼女のためにそれをすることを忘れないでください enable そしてすべてが飛んでいったことを喜びます。

もちろん、トラフィックをボールの半分に通過させることでクライアント マシンの速度を低下させたくないため、新しく作成した VPN へのトラフィックのリダイレクトを無効にする必要があります。

はい、クライアントの VPN サーバーに静的 IP アドレスを登録する必要があります。 これは物語の少し後のところで必要になります。 これを行うには、有効にする必要があります ifconfig-pool-persist、 編集 ipp.txt、OpenVPN に含まれており、client-config-dir を有効にし、さらに追加して目的のクライアントの構成を編集します。 ifconfig-push 正しいマスクと目的の IP アドレスを使用してください。

第二幕

現在、私たちはインターネットに面した「ネットワーク」上に、利己的な目的に使用できるマシンを持っています。 つまり、トラフィックの一部をリダイレクトします。

そこで、新しいタスクが必要になります。ホワイト IP を持つ VPS ポートの XNUMX つに到着するトラフィックをオフにして、このトラフィックが新しく接続された仮想ネットワークに送信され、そこから応答が返されるようにする必要があります。

解決策: もちろん iptables！ 彼と一緒に練習するこのような素晴らしい機会が他にいつあるだろうか？

ネットワークのデバッグは非常に特殊な手順であるため、必要な構成は XNUMX 時間、XNUMX の悪口と少しの神経の消耗で非常に早く見つかります。

まず、カーネルでトラフィックのリダイレクトを有効にする必要があります。 これはと呼ばれるものです ipv4.ip_forward また、有効にする方法は OS とネットワーク マネージャーによって若干異なります。

次に、VPS 上のポートを選択し、そこに送信されるすべてのトラフィックを仮想サブネットにラップする必要があります。 これは、たとえば次のように行うことができます。

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8080 -j DNAT --to-destination 10.8.0.2:8080

ここでは、外部インターフェイスのポート 8080 に着信するすべての TCP トラフィックを、IP 10.8.0.2 と同じポート 8080 を持つマシンにリダイレクトします。

仕事の詳細を知りたい人向け netfilter, iptables ルーティング全般については、必ず考慮する必要があります。 それ または それ.

したがって、パケットは仮想サブネットに飛び、そこに留まります。 より正確には、ソックス プロキシからの応答は、Dante を搭載したマシン上のデフォルト ゲートウェイを経由して戻り、受信者はそれをドロップします。これは、ネットワークでは、ある IP にリクエストを送信し、別の IP から応答を受信することは一般的ではないためです。 したがって、私たちは創造し続ける必要があります。

したがって、プロキシからのすべてのパケットを仮想サブネットに戻し、ホワイト IP を持つ VPS に向けてリダイレクトする必要があります。 ここでは状況は少し悪くなります。 iptables ルーティング前に宛先アドレスを修正すると、十分ではなくなります (PREROUTING)、その場合、パッケージはインターネットに送信されず、それを修正しないと、パッケージはインターネットに送信されます。 default gateway。 したがって、次のことを行う必要があります: チェーンを覚えておいてください。 mangle、パケットをマークするために iptables そして、それらをカスタム ルーティング テーブルにラップして、送信先の場所に送信します。

否や言うほどない：

iptables -t mangle -A OUTPUT -p tcp --sport 8080 -j MARK --set-mark 0x80
ip rule add fwmark 0x80 table 80
ip route add default via 10.8.0.1 dev tun0 table 80

送信トラフィックを取得し、プロキシが置かれているポート (この場合は 8080) から送信されるすべてのトラフィックをマークし、マークされたすべてのトラフィックを番号 80 のルーティング テーブルにリダイレクトします (一般に、番号は何にも依存しません。単に必要なだけです) to) を追加し、このテーブルに含まれるすべてのパケットが VPN サブネットに送信される単一のルールを追加します。

素晴らしい！ ここで、パケットは VPS に向かって戻ってきて、そこで消滅します。 なぜなら、VPS はそれらをどうすればよいのかわからないからです。 したがって、面倒でなければ、仮想サブネットから到着するすべてのトラフィックをインターネットにリダイレクトするだけで済みます。

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 172.42.1.10

ここでは、マスク 10.8.0.0 を持つ 255.255.255.000 サブネットから到着するすべてのものは、ソース NAT でラップされ、インターネットに向けられるデフォルトのインターフェイスに送られます。 この機能はポートを透過的に転送する場合、つまり VPS の受信ポートがプロキシのポートと一致する場合にのみ機能することに注意することが重要です。 そうしないと、もう少し苦しまなければなりません。

どこかですべてが機能し始めるはずです。 あとは少しだけ残っています。すべての設定が正しいことを確認することを忘れないでください。 iptables и route 再起動後も続行されませんでした。 のために iptables のような特別なファイルがあります /etc/iptables/rules.v4(Ubuntu の場合) ただし、ルートの場合はすべてが少し複雑になります。 私は彼らを押し込んだ up/down OpenVPN スクリプト。もっと適切に実行できたはずだと思います。

アプリケーションからのトラフィックをプロキシでラップする

したがって、目的の国で認証を行うプロキシがあり、静的ホワイト IP アドレス経由でアクセスできます。 残っているのは、それを使用して、Spotify からのトラフィックをそこにリダイレクトすることだけです。 ただし、微妙な点があります。前述したように、Spotify のプロキシのログインパスワードは機能しないため、それを回避する方法を探します。

まず、覚えておきましょう プロキシー。 素晴らしいものですが、値段は宇宙船と同じくらい (40 ドル) です。 このお金でまたプレミアムを購入して終わりです。 したがって、Mac 上でさらに無料でオープンなアナログを探します (はい、Mac で音楽を聴きたいのです)。 ツール全体を見てみましょう。 近い。 そして喜んで彼をつつきに行きます。

しかし、その喜びも長くは続かず、MacOS でデバッグ モードとカスタム カーネル拡張機能を有効にし、簡単な設定をファイルし、このツールには Spotify とまったく同じ問題があることを理解する必要があることが判明したためです。つまり、 Socks-proxy のログインパスワード。

ここら辺のどこかで、慌ててプレミアムを購入する時期が来ています...しかし、そうではありません! オープンソースなので修正を依頼してみましょう。 やろう チケット。 そしてそれに応えて、唯一のメンテナーが MacBook をもう持っていないのに、修正ではなくひどいことになったという悲痛な話を受け取りました。

私たちはまた動揺するでしょう。 しかしその後、私たちは青春時代と C を思い出し、Dante でデバッグ モードをオンにし、数百キロバイトのログを調べて、 RFC1927 SOCKS5 プロトコルについては、Xcode を見て問題を見つけてみましょう。 クライアントが認証のために提供するメソッド コードのリスト内の XNUMX 文字を修正するだけで十分であり、すべてが時計仕掛けのように動作し始めます。 私たちは喜んで、リリースバイナリを収集し、そうします プルリクエスト そして日没に向かって次のポイントへ向かいます。

自動化する

Proximac が機能したら、それを悪者扱いして忘れる必要があります。 これに適した初期化システムが XNUMX つあります。これは MacOS にあります。 打ち上げ.

すぐに見つかります マニュアル そして私たちはそれが全くそうではないことを理解しています systemd そしてこれはほぼスクープです xml。 凝った設定や次のようなコマンドは必要ありません status, restart, daemon-reload。 ハードコアタイプのみ start-stop, list-grep, unload-load そしてさらに多くの奇妙なこと。 私たちが書いているこれらすべてを克服する plist、読み込み中。 動作しません。 私たちは悪魔をデバッグする方法を研究し、それをデバッグし、そこに何があるのか​​を理解します ENV 偶数 PATH 私たちは通常のものを納品しなかった、と私たちは主張し、それを持ち込んだのです（追加 /sbin и /usr/local/bin）そして最後に、自動起動と安定した動作に満足しています。

息を吐く

結果はどうなりましたか? XNUMX週間の冒険、心に大切で求められることをすべて行うサービスからのひざまずく動物園。 疑わしい技術分野の知識、オープンソースの知識、そして「やった！」という思いから生まれる笑顔。

追伸：これは資本家のボイコットや、試合の節約やまったくの狡猾さに対する呼びかけではなく、一般的には期待されていない研究開発の可能性を示しているだけです。

出所： habr.com