BGP-ის დაყენება დაბლოკვის გვერდის ავლით, ან „როგორ შევწყვიტე შიში და შემიყვარდა RKN“

კარგი, "საყვარლის" შესახებ გადაჭარბებაა. უფრო სწორად, "შეძლო თანაცხოვრება".

როგორც მოგეხსენებათ, 16 წლის 2018 აპრილიდან Roskomnadzor ბლოკავს ინტერნეტ რესურსებზე წვდომას უკიდურესად ფართო შტრიხებით და ამატებს „დომენის სახელების ერთიან რეესტრს, საიტების გვერდების ინდექსებს ინტერნეტში და ქსელის მისამართებს, რომლებიც საშუალებას აძლევს საიტების იდენტიფიცირებას. ინტერნეტში“, რომელიც შეიცავს ინფორმაციას, რომლის გავრცელება აკრძალულია რუსეთის ფედერაციაში“ (ტექსტში - უბრალოდ რეესტრი) /10 ზოგჯერ. შედეგად, ზარალდებიან რუსეთის ფედერაციის მოქალაქეები და ბიზნესი, რომლებმაც დაკარგეს წვდომა მათთვის საჭირო სრულიად ლეგალურ რესურსებზე.

მას შემდეგ, რაც Habré-ზე ერთ-ერთი სტატიის კომენტარში ვთქვი, რომ მზად ვიყავი დავეხმარო მსხვერპლებს შემოვლითი სქემის დაყენებაში, რამდენიმე ადამიანი მოვიდა ჩემთან და ასეთი დახმარება მთხოვა. როდესაც ყველაფერი მუშაობდა მათთვის, ერთ-ერთმა მათგანმა რეკომენდაცია გაუწია ტექნიკის აღწერას სტატიაში. ცოტა ფიქრის შემდეგ გადავწყვიტე საიტზე დამერღვევინა სიჩუმე და ერთხელაც ვცადე რაღაც შუალედური დამეწერა პროექტსა და ფეისბუქ პოსტს შორის, ე.ი. ჰაბრაპოსტი. შედეგი თქვენს წინაშეა.

პასუხისმგებლობის შეზღუდვის განაცხადი

ვინაიდან არ არის ძალიან ლეგალური გამოქვეყნება რუსეთის ფედერაციის ტერიტორიაზე აკრძალულ ინფორმაციაზე წვდომის დაბლოკვის გვერდის ავლით, ამ სტატიის მიზანი იქნება ვისაუბროთ მეთოდზე, რომელიც საშუალებას მოგცემთ ავტომატიზირება მოახდინოთ რესურსებზე, რომლებიც დაშვებულია რუსეთის ფედერაციის ტერიტორიაზე, მაგრამ სხვისი ქმედებების გამო პირდაპირ არ არის ხელმისაწვდომი თქვენი პროვაიდერის მეშვეობით. ხოლო სტატიიდან ქმედებების შედეგად მიღებულ სხვა რესურსებზე წვდომა არის სამწუხარო გვერდითი მოვლენა და არავითარ შემთხვევაში არ არის სტატიის მიზანი.

ასევე, რადგან პროფესიით, მოწოდებითა და ცხოვრების გზაზე ძირითადად ქსელის არქიტექტორი ვარ, პროგრამირება და Linux არ არის ჩემი ძლიერი მხარე. ამიტომ, რა თქმა უნდა, სკრიპტები შეიძლება უკეთ დაიწეროს, VPS-ში უსაფრთხოების საკითხები უფრო ღრმად დამუშავდეს და ა.შ. თქვენი წინადადებები მიიღება მადლიერებით, თუ ისინი საკმარისად დეტალურია - სიამოვნებით დავამატებ მათ სტატიის ტექსტში.

TL; DR

ჩვენ ავტომატიზირებთ რესურსებზე წვდომას თქვენი არსებული გვირაბის მეშვეობით რეესტრის და BGP პროტოკოლის ასლის გამოყენებით. მიზანია გვირაბში დაბლოკილი რესურსებისადმი მიმართული ყველა ტრაფიკის ამოღება. მინიმალური განმარტებები, ძირითადად ნაბიჯ-ნაბიჯ ინსტრუქციები.

რა გჭირდებათ ამისთვის?

სამწუხაროდ, ეს პოსტი ყველასთვის არ არის. ამ ტექნიკის გამოსაყენებლად, თქვენ უნდა დააკავშიროთ რამდენიმე ელემენტი:

1. თქვენ უნდა გქონდეთ ლინუქსის სერვერი სადმე დაბლოკვის ველის მიღმა. ან თუნდაც ასეთი სერვერის არსებობის სურვილი - საბედნიეროდ ის ახლა ღირს 9 დოლარიდან წელიწადში, და შესაძლოა ნაკლებიც. მეთოდი ასევე შესაფერისია, თუ თქვენ გაქვთ ცალკე VPN გვირაბი, მაშინ სერვერი შეიძლება განთავსდეს დაბლოკვის ველის შიგნით.
2. თქვენი როუტერი საკმარისად ჭკვიანი უნდა იყოს, რომ შეძლოს
   • ნებისმიერი VPN კლიენტი, რომელიც მოგწონთ (მირჩევნია OpenVPN, მაგრამ ეს შეიძლება იყოს PPTP, L2TP, GRE+IPSec ან ნებისმიერი სხვა ვარიანტი, რომელიც ქმნის გვირაბის ინტერფეისს);
   • BGPv4 პროტოკოლი. რაც ნიშნავს, რომ SOHO-სთვის ეს შეიძლება იყოს Mikrotik ან ნებისმიერი როუტერი OpenWRT/LEDE/მსგავსი მორგებული პროგრამული უზრუნველყოფით, რომელიც საშუალებას გაძლევთ დააინსტალიროთ Quagga ან Bird. კომპიუტერის როუტერის გამოყენება ასევე არ არის აკრძალული. საწარმოს შემთხვევაში, მოძებნეთ BGP მხარდაჭერა თქვენი სასაზღვრო როუტერის დოკუმენტაციაში.
3. თქვენ უნდა გესმოდეთ Linux-ის გამოყენებისა და ქსელური ტექნოლოგიების, BGP პროტოკოლის ჩათვლით. ან სულაც მინდა ასეთი იდეის მიღება. ვინაიდან ამჯერად არ ვარ მზად უკიდეგანოობისთვის, თქვენ მოგიწევთ დამოუკიდებლად შეისწავლოთ თქვენთვის გაუგებარი ასპექტები. თუმცა, რა თქმა უნდა, კონკრეტულ კითხვებს კომენტარებში ვუპასუხებ და ნაკლებად სავარაუდოა, რომ მხოლოდ მე ვპასუხობ, ასე რომ ნუ მოგერიდებათ კითხვა.

რა არის გამოყენებული მაგალითში

• რეესტრის ასლი - დან https://github.com/zapret-info/z-i 
• VPS - Ubuntu 16.04
• მარშრუტიზაციის სერვისი - ჩიტი 1.6.3   
• როუტერი - Mikrotik hAP ac
• სამუშაო საქაღალდეები - ვინაიდან ჩვენ ვმუშაობთ როგორც root, ყველაფრის უმეტესი ნაწილი განთავსდება root-ის მთავარ საქაღალდეში. შესაბამისად:
  • /root/blacklist - სამუშაო საქაღალდე კომპილაციის სკრიპტით
  • /root/zi - რეესტრის ასლი github-დან
  • /etc/bird - სტანდარტული საქაღალდე ფრინველების სერვისის პარამეტრებისთვის
• VPS-ის გარე IP მისამართი მარშრუტიზაციის სერვერთან და გვირაბის დასრულების პუნქტთან არის 194.165.22.146, ASN 64998; როუტერის გარე IP მისამართი - 81.177.103.94, ASN 64999
• IP მისამართები გვირაბის შიგნით არის 172.30.1.1 და 172.30.1.2, შესაბამისად.

რა თქმა უნდა, შეგიძლიათ გამოიყენოთ ნებისმიერი სხვა მარშრუტიზატორი, ოპერაციული სისტემები და პროგრამული პროდუქტები, გადაწყვეტის მორგება მათი ლოგიკით.

მოკლედ - ამოხსნის ლოგიკა

1. მოსამზადებელი ქმედებები
   1. VPS-ის მიღება
   2. გვირაბის აწევა როუტერიდან VPS-მდე
2. ჩვენ ვიღებთ და რეგულარულად ვაახლებთ რეესტრის ასლს
3. მარშრუტიზაციის სერვისის ინსტალაცია და კონფიგურაცია
4. ჩვენ ვქმნით სტატიკური მარშრუტების სიას მარშრუტიზაციის სერვისისთვის რეესტრის საფუძველზე
5. ჩვენ ვუკავშირდებით როუტერს სერვისს და ვაკონფიგურირებთ მთელი ტრაფიკის გაგზავნას გვირაბში.

რეალური გამოსავალი

მოსამზადებელი ქმედებები

ინტერნეტში არის მრავალი სერვისი, რომელიც გთავაზობთ VPS-ს უკიდურესად გონივრულ ფასებში. ჯერ-ჯერობით ვიპოვე და ვიყენებ ოფციას 9$/წელიწადში, მაგრამ ძალიანაც რომ არ შეწუხდეთ, ყველა კუთხეში 1E/თვეში ბევრი ვარიანტია. VPS–ის არჩევის საკითხი ამ სტატიის ფარგლებს სცილდება, ასე რომ, თუ ვინმეს არ ესმის ამის შესახებ რაიმე, ჰკითხეთ კომენტარებში.

თუ თქვენ იყენებთ VPS-ს არა მხოლოდ მარშრუტიზაციის სერვისისთვის, არამედ მასზე გვირაბის შესაწყვეტად, თქვენ უნდა აამაღლოთ ეს გვირაბი და, თითქმის რა თქმა უნდა, დააკონფიგურიროთ NAT მისთვის. ინტერნეტში ამ მოქმედებების შესახებ ინსტრუქციების დიდი რაოდენობაა, მათ აქ არ გავიმეორებ. ასეთი გვირაბის მთავარი მოთხოვნა არის ის, რომ მან უნდა შექმნას ცალკე ინტერფეისი თქვენს როუტერზე, რომელიც მხარს უჭერს გვირაბს VPS-ისკენ. ყველაზე ხშირად გამოყენებული VPN ტექნოლოგიები აკმაყოფილებს ამ მოთხოვნას - მაგალითად, OpenVPN tun რეჟიმში არის სრულყოფილი.

რეესტრის ასლის მიღება

როგორც ჯაბრაილმა თქვა: „ვინც ხელს გვიშლის, დაგვეხმარება“. ვინაიდან RKN ქმნის აკრძალული რესურსების რეესტრს, ცოდვა იქნება არ გამოვიყენოთ ეს რეესტრი ჩვენი პრობლემის მოსაგვარებლად. ჩვენ მივიღებთ რეესტრის ასლს github-ისგან.

ჩვენ მივდივართ თქვენს Linux სერვერზე, ვხვდებით root კონტექსტში (სუდო სუ -) და დააინსტალირეთ git, თუ ის უკვე არ არის დაინსტალირებული.

apt install git

გადადით თქვენს მთავარ დირექტორიაში და ამოიღეთ რეესტრის ასლი.

cd ~ && git clone --depth=1 https://github.com/zapret-info/z-i 

ჩვენ დავაყენეთ cron განახლება (მე ამას ვაკეთებ 20 წუთში ერთხელ, მაგრამ თქვენ შეგიძლიათ აირჩიოთ თქვენთვის საინტერესო ნებისმიერი ინტერვალი). ამისათვის ჩვენ ვიწყებთ crontab -e და დაამატეთ მას შემდეგი ხაზი:

*/20 * * * * cd ~/z-i && git pull && git gc

ჩვენ ვუკავშირდებით კაკს, რომელიც შექმნის ფაილებს მარშრუტიზაციის სერვისისთვის რეესტრის განახლების შემდეგ. ამისათვის შექმენით ფაილი /root/zi/.git/hooks/post-merge შემდეგი შინაარსით:

#!/usr/bin/env bash
changed_files="$(git diff-tree -r --name-only --no-commit-id ORIG_HEAD HEAD)"
check_run() {
    echo "$changed_files" | grep --quiet "$1" && eval "$2"
}
check_run dump.csv "/root/blacklist/makebgp"

და არ დაგავიწყდეთ გახადოთ იგი შესრულებადი

chmod +x /root/z-i/.git/hooks/post-merge

ჩვენ შევქმნით makebgp სკრიპტს, რომელსაც hook ეხება ცოტა მოგვიანებით.

მარშრუტიზაციის სერვისის ინსტალაცია და კონფიგურაცია

დააინსტალირეთ ჩიტი. სამწუხაროდ, ფრინველის ვერსია, რომელიც ამჟამად განთავსებულია Ubuntu-ს საცავებში, სიახლის მიხედვით შედარებულია Archeopteryx განავალთან, ამიტომ ჯერ სისტემაში უნდა დავამატოთ პროგრამული უზრუნველყოფის შემქმნელების ოფიციალური PPA.

add-apt-repository ppa:cz.nic-labs/bird
apt update
apt install bird

ამის შემდეგ, ჩვენ დაუყოვნებლივ გამორთავთ ფრინველს IPv6-ისთვის - ეს არ დაგვჭირდება ამ ინსტალაციაში.

systemctl stop bird6
systemctl disable bird6

ქვემოთ მოცემულია მინიმალისტური ფრინველების სერვისის კონფიგურაციის ფაილი (/etc/bird/bird.conf), რაც ჩვენთვის სავსებით საკმარისია (და კიდევ ერთხელ შეგახსენებთ, რომ არავინ კრძალავს იდეის შემუშავებას და მორგებას საკუთარი საჭიროებისთვის)

log syslog all;
router id 172.30.1.1;

protocol kernel {
        scan time 60;
        import none;
#       export all;   # Actually insert routes into the kernel routing table
}

protocol device {
        scan time 60;
}

protocol direct {
        interface "venet*", "tun*"; # Restrict network interfaces it works with
}

protocol static static_bgp {
        import all;
        include "pfxlist.txt";
        #include "iplist.txt";
}

protocol bgp OurRouter {
        description "Our Router";
        neighbor 81.177.103.94 as 64999;
        import none;
        export where proto = "static_bgp";
        local as 64998;
        passive off;
        multihop;
}

როუტერის ID - როუტერის იდენტიფიკატორი, რომელიც ვიზუალურად ჰგავს IPv4 მისამართს, მაგრამ არ არის ერთი. ჩვენს შემთხვევაში, ეს შეიძლება იყოს ნებისმიერი 32-ბიტიანი ნომერი IPv4 მისამართის ფორმატში, მაგრამ კარგი ფორმაა ზუსტად მიუთითოთ თქვენი მოწყობილობის IPv4 მისამართი (ამ შემთხვევაში, VPS).

პირდაპირი პროტოკოლი განსაზღვრავს რომელი ინტერფეისები იმუშავებს მარშრუტიზაციის პროცესთან. მაგალითში მოცემულია რამდენიმე მაგალითის სახელები, შეგიძლიათ დაამატოთ სხვა. თქვენ შეგიძლიათ უბრალოდ წაშალოთ ხაზი; ამ შემთხვევაში, სერვერი მოუსმენს ყველა ხელმისაწვდომ ინტერფეისს IPv4 მისამართით.

პროტოკოლის სტატიკური არის ჩვენი მაგია, რომელიც ატვირთავს პრეფიქსების და IP მისამართების სიებს (რა თქმა უნდა, რეალურად არის /32 პრეფიქსები) ფაილებიდან შემდგომი განცხადებისთვის. საიდან მოდის ეს სიები, ქვემოთ იქნება განხილული. გთხოვთ გაითვალისწინოთ, რომ IP მისამართების ჩატვირთვა კომენტირებულია ნაგულისხმევად, ამის მიზეზი არის ატვირთვის დიდი მოცულობა. შედარებისთვის, წერის დროს პრეფიქსების სიაში არის 78 სტრიქონი, ხოლო IP მისამართების სიაში 85898. გირჩევთ დაიწყოთ და გამართოთ მხოლოდ პრეფიქსების სიაში და ჩართოთ თუ არა IP ჩატვირთვა მომავალი თქვენზეა გადასაწყვეტი როუტერის ექსპერიმენტის შემდეგ. ყველა მათგანს არ შეუძლია ადვილად შეითვისოს მარშრუტიზაციის ცხრილში 85 ათასი ჩანაწერი.

პროტოკოლი bgp, ფაქტობრივად, აყენებს bgp peering თქვენს როუტერს. IP მისამართი არის როუტერის გარე ინტერფეისის მისამართი (ან გვირაბის ინტერფეისის მისამართი როუტერის მხარეს), 64998 და 64999 არის ავტონომიური სისტემების ნომრები. ამ შემთხვევაში, მათი მინიჭება შესაძლებელია ნებისმიერი 16-ბიტიანი ნომრის სახით, მაგრამ კარგი პრაქტიკაა AS ნომრების გამოყენება RFC6996 - 64512-65534 ჩათვლით განსაზღვრული პირადი დიაპაზონიდან (არსებობს ფორმატი 32-ბიტიანი ASN-ებისთვის, მაგრამ ჩვენს შემთხვევაში ეს ნამდვილად ზედმეტია). აღწერილი კონფიგურაცია იყენებს eBGP peering-ს, რომელშიც მარშრუტიზაციის სერვისისა და როუტერის ავტონომიური სისტემების ნომრები განსხვავებული უნდა იყოს.

როგორც ხედავთ, სერვისმა უნდა იცოდეს როუტერის IP მისამართი, ასე რომ, თუ თქვენ გაქვთ დინამიური ან მარშრუტირებადი პირადი (RFC1918) ან გაზიარებული (RFC6598) მისამართი, თქვენ არ გაქვთ შესაძლებლობა გაზარდოთ პიერინგი გარედან. ინტერფეისი, მაგრამ სერვისი კვლავ იმუშავებს გვირაბის შიგნით.

ასევე სავსებით ნათელია, რომ ერთი სერვისიდან შეგიძლიათ მიაწოდოთ მარშრუტები რამდენიმე სხვადასხვა მარშრუტიზატორს - უბრალოდ დააკოპირეთ მათთვის პარამეტრები პროტოკოლის bgp განყოფილების კოპირებით და მეზობლის IP მისამართის შეცვლით. სწორედ ამიტომ მაგალითში ნაჩვენებია გვირაბის გარეთ ყურების პარამეტრები, როგორც ყველაზე უნივერსალური. მათი გვირაბში ამოღება მარტივია, შესაბამისად პარამეტრებში IP მისამართების შეცვლით.

რეესტრის დამუშავება მარშრუტიზაციის სერვისისთვის

ახლა ჩვენ გვჭირდება, ფაქტობრივად, შევქმნათ პრეფიქსების და IP მისამართების სიები, რომლებიც ნახსენები იყო წინა ეტაპზე პროტოკოლის სტატიკაში. ამისათვის ჩვენ ვიღებთ რეესტრის ფაილს და ვქმნით მისგან საჭირო ფაილებს შემდეგი სკრიპტის გამოყენებით, განთავსებული /root/შავი სია/makebgp

#!/bin/bash
cut -d";" -f1 /root/z-i/dump.csv| tr '|' 'n' |  tr -d ' ' > /root/blacklist/tmpaddr.txt
cat /root/blacklist/tmpaddr.txt | grep / | sed 's_.*_route & reject;_' > /etc/bird/pfxlist.txt
cat /root/blacklist/tmpaddr.txt | sort | uniq | grep -Eo "([0-9]{1,3}[.]){3}[0-9]{1,3}" | sed 's_.*_route &/32 reject;_' > /etc/bird/iplist.txt
/etc/init.d/bird reload
logger 'bgp list compiled'

არ დაგავიწყდეთ, გახადოთ იგი შესრულებადი

chmod +x /root/blacklist/makebgp

ახლა შეგიძლიათ ხელით გაუშვათ და დააკვირდეთ ფაილების გარეგნობას /etc/bird-ში.

სავარაუდოდ, bird არ მუშაობს თქვენთვის ამ მომენტში, რადგან წინა ეტაპზე თქვენ სთხოვეთ მას მოეძებნა ფაილები, რომლებიც ჯერ არ არსებობდა. ამიტომ, ჩვენ გავუშვით და ვამოწმებთ, რომ დაიწყო:

systemctl start bird
birdc show route

მეორე ბრძანების გამომავალმა უნდა აჩვენოს დაახლოებით 80 ჩანაწერი (ეს ჯერჯერობით, მაგრამ როდესაც თქვენ დააყენებთ, ყველაფერი დამოკიდებული იქნება RKN-ის გულმოდგინებაზე ქსელების დაბლოკვისას) დაახლოებით ასეთი:

54.160.0.0/12      unreachable [static_bgp 2018-04-19] * (200)

გუნდი

birdc show protocol

აჩვენებს პროტოკოლების სტატუსს სერვისში. სანამ არ დააკონფიგურირებთ როუტერს (იხილეთ შემდეგი პუნქტი), OurRouter პროტოკოლი იქნება დაწყების მდგომარეობაში (Connect ან Active ფაზა) და წარმატებული კავშირის შემდეგ გადავა ზევით მდგომარეობაში (ჩამოყალიბებული ფაზა). მაგალითად, ჩემს სისტემაში ამ ბრძანების გამომავალი ასე გამოიყურება:

BIRD 1.6.3 ready.
name     proto    table    state  since       info
kernel1  Kernel   master   up     2018-04-19
device1  Device   master   up     2018-04-19
static_bgp Static   master   up     2018-04-19
direct1  Direct   master   up     2018-04-19
RXXXXXx1 BGP      master   up     13:10:22    Established
RXXXXXx2 BGP      master   up     2018-04-24  Established
RXXXXXx3 BGP      master   start  2018-04-22  Connect       Socket: Connection timed out
RXXXXXx4 BGP      master   up     2018-04-24  Established
RXXXXXx5 BGP      master   start  2018-04-24  Passive

როუტერის დაკავშირება

ამ ფეხსაცმლის წაკითხვით ალბათ ყველას დაიღალა, მაგრამ გული გაუჩერეთ - დასასრული ახლოვდება. უფრო მეტიც, ამ განყოფილებაში მე ვერ მივცემ ეტაპობრივ ინსტრუქციას - ეს განსხვავებული იქნება თითოეული მწარმოებლისთვის.

თუმცა, შემიძლია გაჩვენოთ რამდენიმე მაგალითი. მთავარი ლოგიკა არის BGP peering-ის ამაღლება და ყველა მიღებულ პრეფიქსზე nexthop-ის მინიჭება, რაც მიუთითებს ჩვენს გვირაბზე (თუ გვჭირდება ტრაფიკის გაგზავნა p2p ინტერფეისით) ან nexthop IP მისამართის, თუ ტრაფიკი გადავა Ethernet-ზე).

მაგალითად, Mikrotik-ზე RouterOS-ში ეს წყდება შემდეგნაირად

/routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=172.30.1.2
/routing bgp peer add in-filter=dynamic-in multihop=yes name=VPS remote-address=194.165.22.146 remote-as=64998 ttl=default
/routing filter add action=accept chain=dynamic-in protocol=bgp comment="Set nexthop" set-in-nexthop=172.30.1.1

ხოლო Cisco IOS-ში - ასე

router bgp 64999
  neighbor 194.165.22.146 remote-as 64998
  neighbor 194.165.22.146 route-map BGP_NEXT_HOP in
  neighbor 194.165.22.146 ebgp-multihop 250
!
route-map BGP_NEXT_HOP permit 10
  set ip next-hop 172.30.1.1

თუ ერთი და იგივე გვირაბი გამოიყენება როგორც BGP პიერინგისთვის, ასევე სასარგებლო ტრაფიკის გადასაცემად, საჭირო არ არის nexthop-ის დაყენება; ის სწორად დაყენდება პროტოკოლის გამოყენებით. მაგრამ თუ ხელით დააყენებთ, ეს არც გააუარესებს.

სხვა პლატფორმებზე, თქვენ თავად მოგიწევთ კონფიგურაციის გარკვევა, მაგრამ თუ რაიმე სირთულე გაქვთ, დაწერეთ კომენტარებში, ვეცდები დაგეხმაროთ.

მას შემდეგ, რაც თქვენი BGP სესია დაიწყო, დიდი ქსელების მარშრუტები ჩამოვიდა და დაინსტალირდება ცხრილში, ტრაფიკი მიედინება მათგან მისამართებზე და ბედნიერება ახლოსაა, შეგიძლიათ დაბრუნდეთ ფრინველების სერვისში და სცადოთ გააუქმოთ ჩანაწერი, რომელიც აკავშირებს IP მისამართების სია, შეასრულეთ ამის შემდეგ

systemctl reload bird

და ნახეთ, როგორ გადაიტანა თქვენმა როუტერმა ეს 85 ათასი მარშრუტი. მოემზადეთ გამორთვისთვის და იფიქრეთ რა უნდა გააკეთოთ :)

საერთო ჯამში

წმინდა თეორიულად, ზემოთ აღწერილი ნაბიჯების დასრულების შემდეგ, თქვენ ახლა გაქვთ სერვისი, რომელიც ავტომატურად გადამისამართებს ტრაფიკს რუსეთის ფედერაციაში აკრძალულ IP მისამართებზე ფილტრაციის სისტემის გასვლის შემდეგ.

ეს, რა თქმა უნდა, შეიძლება გაუმჯობესდეს. მაგალითად, საკმაოდ მარტივია IP მისამართების სიის შეჯამება perl ან python გადაწყვეტილებების გამოყენებით. მარტივი Perl სკრიპტი, რომელიც ამას აკეთებს Net::CIDR::Lite-ის გამოყენებით, აქცევს 85 ათას პრეფიქსს 60-ად (და არა ათასად), მაგრამ, რა თქმა უნდა, მოიცავს მისამართების ბევრად უფრო დიდ დიაპაზონს, ვიდრე დაბლოკილია.

ვინაიდან სერვისი მუშაობს ISO/OSI მოდელის მესამე დონეზე, ის არ გიხსნით საიტის/გვერდის დაბლოკვას, თუ ის არასწორ მისამართზე გადაიჭრება, როგორც ეს რეესტრშია ჩაწერილი. მაგრამ რეესტრთან ერთად github-დან ჩამოდის ფაილი nxdomain.txt, რომელიც სკრიპტის რამდენიმე მოსმით ადვილად იქცევა მისამართების წყაროდ, მაგალითად, SwitchyOmega მოდული Chrome-ისთვის.

ასევე აუცილებელია აღვნიშნოთ, რომ გამოსავალი მოითხოვს დამატებით დახვეწას, თუ თქვენ არ ხართ მხოლოდ ინტერნეტის მომხმარებელი, არამედ გამოაქვეყნეთ გარკვეული რესურსები საკუთარ თავზე (მაგალითად, ვებსაიტი ან ფოსტის სერვერი მუშაობს ამ კავშირზე). როუტერის საშუალებების გამოყენებით, აუცილებელია ამ სერვისიდან გამავალი ტრაფიკის მკაცრად დაკავშირება თქვენს საჯარო მისამართთან, წინააღმდეგ შემთხვევაში თქვენ დაკარგავთ კავშირს იმ რესურსებთან, რომლებიც დაფარულია როუტერის მიერ მიღებული პრეფიქსების სიით.

თუ თქვენ გაქვთ რაიმე შეკითხვები, ჰკითხეთ, მე მზად ვარ გიპასუხოთ.

UPD. Გმადლობთ ნავიონი и TerAnYu git-ის პარამეტრებისთვის, რომლებიც საშუალებას გაძლევთ შეამციროთ ჩამოტვირთვის მოცულობა.

UPD2. კოლეგებო, როგორც ჩანს, შეცდომა დავუშვი, რომ სტატიაში არ დავამატე ინსტრუქციები VPS-სა და როუტერს შორის გვირაბის დასაყენებლად. ამის გამო უამრავი კითხვა ჩნდება.
ყოველი შემთხვევისთვის, კიდევ ერთხელ აღვნიშნავ, რომ ამ სახელმძღვანელოს დაწყებამდე, თქვენ უკვე დააკონფიგურირეთ VPN გვირაბი თქვენთვის საჭირო მიმართულებით და შეამოწმეთ მისი ფუნქციონირება (მაგალითად, იქ ტრაფიკის ჩართვით ნაგულისხმევად ან სტატიკურად). თუ ეს ეტაპი ჯერ არ დაგისრულებიათ, სტატიაში მოცემული ნაბიჯების შესრულებას აზრი არ აქვს. მე ჯერ არ მაქვს ჩემი საკუთარი ტექსტი ამის შესახებ, მაგრამ თუ Google-ში "დააყენეთ OpenVPN სერვერი" VPS-ზე დაინსტალირებული ოპერაციული სისტემის სახელთან ერთად და "OpenVPN კლიენტის დაყენება" თქვენი როუტერის სახელით. , დიდი ალბათობით იპოვით უამრავ სტატიას ამ თემაზე, მათ შორის Habré-ზე.

UPD3. შეუწირავი მე დავწერე კოდი, რომელიც აქცევს dump.csv-ს ფრინველისთვის მიღებულ ფაილად IP მისამართების სურვილისამებრ შეჯამებით. ამიტომ, განყოფილება "რეესტრის დამუშავება მარშრუტიზაციის სერვისისთვის" შეიძლება შეიცვალოს მისი პროგრამის დარეკვით. https://habr.com/post/354282/#comment_10782712

UPD4. მცირე მუშაობა შეცდომებზე (მე არ დავამატე ისინი ტექსტში):
1) ნაცვლად systemctl გადატვირთვის ჩიტი აზრი აქვს ბრძანების გამოყენებას birdc კონფიგურაცია.
2) Mikrotik როუტერში, ნაცვლად იმისა, რომ შეცვალოთ nexthop გვირაბის მეორე მხარის IP-ზე /მარშრუტიზაციის ფილტრი დამატება action=accept chain=dynamic-in protocol=bgp comment=»Set nexthop» set-in-nexthop=172.30.1.1 აზრი აქვს მარშრუტის მითითებას პირდაპირ გვირაბის ინტერფეისამდე, მისამართის გარეშე /მარშრუტიზაციის ფილტრი დამატება action=accept chain=dynamic-in protocol=bgp comment=»nexthop-ის დაყენება» set-in-nexthop-direct=<ინტერფეისის სახელი>

UPD5. გამოჩნდა ახალი სერვისი https://antifilter.download, საიდანაც შეგიძლიათ აირჩიოთ IP მისამართების მზა სიები. განახლებულია ყოველ ნახევარ საათში. კლიენტის მხრიდან რჩება მხოლოდ ჩანაწერების ჩარჩოს შესაბამისი „მარშრუტი... უარყოფა“.
და ამ მომენტში, ალბათ, საკმარისია ბებიის გახეთქვა და სტატიის განახლება.

UPD6. სტატიის განახლებული ვერსია მათთვის, ვისაც არ სურს ამის გარკვევა, მაგრამ სურს დაიწყოს - აქ.

წყარო: www.habr.com