ეს თემა საკმაოდ გაფუჭებულია, ვიცი. მაგალითად, არის დიდი სტატიის, მაგრამ იქ განიხილება მხოლოდ დაბლოკვის სიის IP ნაწილი. ჩვენ ასევე დავამატებთ დომენებს.

იმის გამო, რომ სასამართლოები და RKN ბლოკავს ყველაფერს მარჯვნივ და მარცხნივ, ხოლო პროვაიდერები ცდილობენ არ მოხვდნენ Revizorro-ს მიერ გაცემული ჯარიმების ქვეშ, დაბლოკვისგან დაკავშირებული ზარალი საკმაოდ დიდია. და "კანონიერად" დაბლოკილ საიტებს შორის არის ბევრი სასარგებლო (გამარჯობა, rutracker)

მე ვცხოვრობ RKN-ის იურისდიქციის გარეთ, მაგრამ ჩემი მშობლები, ნათესავები და მეგობრები სახლში დარჩნენ. ასე რომ, გადაწყდა, გამოეგონა მარტივი გზა IT-ისგან შორს მყოფი ადამიანებისთვის, რათა გვერდის ავლით დაბლოკვა, სასურველია საერთოდ მათი მონაწილეობის გარეშე.

ამ ჩანაწერში მე არ აღვწერ ქსელის ძირითად ნივთებს ეტაპობრივად, მაგრამ აღვწერ ზოგად პრინციპებს, თუ როგორ შეიძლება ამ სქემის განხორციელება. ასე რომ, ცოდნა იმის შესახებ, თუ როგორ მუშაობს ქსელი ზოგადად და კონკრეტულად Linux-ში, აუცილებელია.

საკეტების სახეები

პირველ რიგში, მოდით განვაახლოთ მეხსიერება იმის შესახებ, რაც დაბლოკილია.

RKN-დან ჩამოტვირთულ XML-ში არსებობს რამდენიმე ტიპის საკეტი:

• IP
• დომენის
• URL

სიმარტივისთვის, ჩვენ მათ ორამდე ვამცირებთ: IP-ს და დომენს, და უბრალოდ გამოვიყვანთ დომენს URL-ით დაბლოკვისგან (უფრო ზუსტად, მათ ეს უკვე გააკეთეს ჩვენთვის).

კარგი ხალხიდან როსკომსვობადა მიხვდა მშვენიერი API, რომლის მეშვეობითაც შეგვიძლია მივიღოთ ის, რაც გვჭირდება:

• IP: https://api.reserve-rbl.ru/api/v2/ips/json
• დომენები: https://api.reserve-rbl.ru/api/v2/domains/json

წვდომა დაბლოკილ საიტებზე

ამისათვის ჩვენ გვჭირდება რამდენიმე პატარა უცხოური VPS, სასურველია შეუზღუდავი ტრაფიკით - ასეთი ბევრია 3-5 დოლარად. თქვენ უნდა წაიღოთ იგი ახლო საზღვარგარეთ ისე, რომ პინგი არ იყოს ძალიან დიდი, მაგრამ კიდევ ერთხელ გაითვალისწინეთ, რომ ინტერნეტი და გეოგრაფია ყოველთვის არ ემთხვევა ერთმანეთს. და რადგან არ არსებობს SLA 5 დოლარად, უმჯობესია აიღოთ 2+ ცალი სხვადასხვა პროვაიდერებისგან შეცდომის ტოლერანტობისთვის.

შემდეგი, ჩვენ უნდა დავაყენოთ დაშიფრული გვირაბი კლიენტის როუტერიდან VPS-მდე. მე ვიყენებ Wireguard-ს, როგორც ყველაზე სწრაფად და მარტივად დასაყენებლად. ასევე მაქვს კლიენტის როუტერები Linux-ზე დაფუძნებული (APU2 ან რაღაც OpenWRT-ში). ზოგიერთი Mikrotik / Cisco-ს შემთხვევაში, შეგიძლიათ გამოიყენოთ მათზე არსებული პროტოკოლები, როგორიცაა OpenVPN და GRE-over-IPSEC.

ინტერესთა ტრაფიკის იდენტიფიცირება და გადამისამართება

თქვენ, რა თქმა უნდა, შეგიძლიათ გამორთოთ მთელი ინტერნეტ ტრაფიკი უცხო ქვეყნებში. მაგრამ, სავარაუდოდ, ადგილობრივ კონტენტთან მუშაობის სიჩქარე დიდად დაზარალდება. გარდა ამისა, VPS-ზე გამტარუნარიანობის მოთხოვნები გაცილებით მაღალი იქნება.

ამიტომ, ჩვენ დაგვჭირდება როგორმე გამოვყოთ ტრაფიკი დაბლოკილ საიტებზე და შერჩევით მივმართოთ გვირაბში. მაშინაც კი, თუ ზოგიერთი "დამატებითი" ტრაფიკი იქ მოხვდება, ეს მაინც ბევრად უკეთესია, ვიდრე ყველაფრის გატარება გვირაბში.

ტრაფიკის სამართავად, ჩვენ გამოვიყენებთ BGP პროტოკოლს და გამოვაცხადებთ მარშრუტებს საჭირო ქსელებისკენ ჩვენი VPS-დან კლიენტებამდე. ავიღოთ BIRD, როგორც ერთ-ერთი ყველაზე ფუნქციონალური და მოსახერხებელი BGP დემონი.

IP

IP-ით დაბლოკვით, ყველაფერი ნათელია: ჩვენ უბრალოდ ვაცხადებთ ყველა დაბლოკილ IP-ს VPS-ით. პრობლემა ის არის, რომ სიაში არის დაახლოებით 600 ათასი ქვექსელი, რომელსაც API აბრუნებს და მათი დიდი უმრავლესობა არის /32 ჰოსტი. მარშრუტების ამ რაოდენობამ შეიძლება დააბნიოს კლიენტის სუსტი მარშრუტიზატორები.

ამიტომ, სიის დამუშავებისას, გადაწყდა ქსელის / 24-მდე შეჯამება, თუ მას აქვს 2 ან მეტი ჰოსტი. ამრიგად, მარშრუტების რაოდენობა ~100 ათასამდე შემცირდა. ამის სცენარი მოჰყვება.

Domains

ეს უფრო რთულია და რამდენიმე გზა არსებობს. მაგალითად, თქვენ შეგიძლიათ დააინსტალიროთ გამჭვირვალე Squid თითოეულ კლიენტის როუტერზე და ჩაატაროთ HTTP ჩარევა და გადახედოთ TLS ხელჩასაჭიმს, რათა მიიღოთ მოთხოვნილი URL პირველ შემთხვევაში და დომენი SNI-დან მეორეში.

მაგრამ ყველა სახის ახალი TLS1.3 + eSNI-ის გამო, HTTPS ანალიზი სულ უფრო და უფრო ნაკლებად რეალური ხდება ყოველდღე. დიახ, და კლიენტის მხრიდან ინფრასტრუქტურა უფრო რთული ხდება - თქვენ უნდა გამოიყენოთ მინიმუმ OpenWRT.

ამიტომ, მე გადავწყვიტე ავიღო DNS მოთხოვნებზე პასუხების აღკვეთის გზა. აქაც, ნებისმიერი DNS-over-TLS / HTTPS იწყებს თქვენს თავზე ტრიალს, მაგრამ ჩვენ შეგვიძლია (ამჟამად) გავაკონტროლოთ ეს ნაწილი კლიენტზე - ან გამორთოთ იგი ან გამოვიყენოთ თქვენი საკუთარი სერვერი DoT/DoH-სთვის.

როგორ ჩავჭრათ DNS?

აქაც შეიძლება იყოს რამდენიმე მიდგომა.

• DNS ტრაფიკის ჩარევა PCAP ან NFLOG-ის საშუალებით
  ჩარევის ორივე მეთოდი დანერგილია კომუნალურში სიდმატ. მაგრამ ის დიდი ხანია არ არის მხარდაჭერილი და ფუნქციონირება ძალიან პრიმიტიულია, ასე რომ თქვენ ჯერ კიდევ გჭირდებათ ამისთვის აღკაზმულობა.
• DNS სერვერის ჟურნალების ანალიზი
  სამწუხაროდ, ჩემთვის ცნობილ რეკურსორებს არ შეუძლიათ პასუხების აღრიცხვა, არამედ მხოლოდ მოთხოვნების აღრიცხვა. პრინციპში, ეს ლოგიკურია, ვინაიდან, მოთხოვნებისგან განსხვავებით, პასუხებს აქვთ რთული სტრუქტურა და რთულია მათი ტექსტის სახით დაწერა.
• DNSTap
  საბედნიეროდ, ბევრი მათგანი უკვე მხარს უჭერს DNSTap ამ მიზნით.

რა არის DNSTap?

ეს არის კლიენტ-სერვერის პროტოკოლი, რომელიც დაფუძნებულია პროტოკოლის ბუფერებსა და ფრეიმ სტრიმებზე, DNS სერვერიდან სტრუქტურირებული DNS მოთხოვნებისა და პასუხების შემგროვებელზე გადასატანად. არსებითად, DNS სერვერი გადასცემს მოთხოვნისა და პასუხების მეტამონაცემებს (შეტყობინებების ტიპი, კლიენტი/სერვერის IP და ა.შ.) და ასევე სრულ DNS შეტყობინებებს (ორობითი) ფორმით, რომელშიც ის მუშაობს მათთან ქსელში.

მნიშვნელოვანია გვესმოდეს, რომ DNSTap პარადიგმაში, DNS სერვერი მოქმედებს როგორც კლიენტი, ხოლო კოლექციონერი მოქმედებს როგორც სერვერი. ანუ DNS სერვერი უერთდება კოლექტორს და არა პირიქით.

დღეს DNSTap მხარდაჭერილია ყველა პოპულარულ DNS სერვერზე. მაგრამ, მაგალითად, BIND ბევრ დისტრიბუციაში (როგორიცაა Ubuntu LTS) ხშირად აგებულია რაიმე მიზეზით მისი მხარდაჭერის გარეშე. ასე რომ, ნუ შევიწუხებთ ხელახლა აწყობას, მაგრამ ავიღოთ უფრო მსუბუქი და სწრაფი რეკურსორი - Unbound.

როგორ დავიჭიროთ DNSTap?

არსებობს ზოგიერთი ნომერი CLI უტილიტები DNSTap მოვლენების ნაკადთან მუშაობისთვის, მაგრამ ისინი არ არის შესაფერისი ჩვენი პრობლემის გადასაჭრელად. ამიტომ, მე გადავწყვიტე გამომეგონა ჩემი ველოსიპედი, რომელიც ყველაფერს გააკეთებს, რაც საჭიროა: dnstap-bgp

მუშაობის ალგორითმი:

• გაშვებისას ის იტვირთება დომენების სიას ტექსტური ფაილიდან, აბრუნებს მათ (habr.com -> com.habr), გამორიცხავს გატეხილ ხაზებს, დუბლიკატებს და ქვედომენებს (მაგ., თუ ​​სია შეიცავს habr.com და www.habr.com, ის ჩაიტვირთება მხოლოდ პირველი) და აშენებს პრეფიქსის ხეს ამ სიის სწრაფი ძიებისთვის
• მოქმედებს როგორც DNSTap სერვერი, ის ელოდება კავშირს DNS სერვერიდან. პრინციპში, ის მხარს უჭერს როგორც UNIX, ასევე TCP სოკეტებს, მაგრამ DNS სერვერებს, რომლებსაც ვიცი, შეუძლიათ მხოლოდ UNIX სოკეტების გამოყენება.
• შემომავალი DNSTap პაკეტები ჯერ დესერიალიზდება Protobuf სტრუქტურაში, შემდეგ კი თავად ბინარული DNS შეტყობინება, რომელიც მდებარეობს Protobuf-ის ერთ-ერთ ველში, ანალიზდება DNS RR ჩანაწერების დონეზე.
• მოწმდება არის თუ არა მოთხოვნილი ჰოსტი (ან მისი მთავარი დომენი) ჩატვირთულ სიაში, თუ არა, პასუხი იგნორირებულია.
• პასუხიდან არჩეულია მხოლოდ A/AAAA/CNAME RR და მათგან ამოღებულია შესაბამისი IPv4/IPv6 მისამართები
• IP მისამართები ქეშირებულია კონფიგურირებადი TTL-ით და რეკლამირებულია ყველა კონფიგურირებული BGP თანატოლისთვის
• პასუხის მიღებისას, რომელიც მიუთითებს უკვე ქეშებულ IP-ზე, მისი TTL განახლდება
• TTL ვადის ამოწურვის შემდეგ, ჩანაწერი ამოღებულია ქეშიდან და BGP განცხადებებიდან

დამატებითი ფუნქციონირება:

• დომენების სიის ხელახლა წაკითხვა SIGHUP-ის მიერ
• ქეშის შენარჩუნება სხვა ინსტანციებთან სინქრონში dnstap-bgp HTTP/JSON-ის საშუალებით
• დააკოპირეთ ქეში დისკზე (BoltDB მონაცემთა ბაზაში), რათა აღადგინოთ მისი შინაარსი გადატვირთვის შემდეგ
• სხვა ქსელის სახელთა სივრცეში გადართვის მხარდაჭერა (რატომ არის ეს საჭირო ქვემოთ იქნება აღწერილი)
• IPv6 მხარდაჭერა

შეზღუდვები:

• IDN დომენები ჯერ არ არის მხარდაჭერილი
• რამდენიმე BGP პარამეტრი

შევაგროვე RPM და DEB პაკეტები მარტივი ინსტალაციისთვის. უნდა იმუშაოს ყველა შედარებით უახლეს OS-ზე systemd-ით. მათ არ აქვთ რაიმე დამოკიდებულება.

სქემა

ასე რომ, დავიწყოთ ყველა კომპონენტის ერთად შეკრება. შედეგად, ჩვენ უნდა მივიღოთ მსგავსი ქსელის ტოპოლოგია:

მუშაობის ლოგიკა, ვფიქრობ, ნათელია დიაგრამიდან:

• კლიენტს აქვს ჩვენი სერვერი კონფიგურირებული როგორც DNS და DNS მოთხოვნები ასევე უნდა გადავიდეს VPN-ზე. ეს აუცილებელია იმისათვის, რომ პროვაიდერმა ვერ გამოიყენოს DNS ჩარევა დაბლოკვისთვის.
• საიტის გახსნისას კლიენტი აგზავნის DNS შეკითხვას, როგორიცაა „რა არის xxx.org-ის IP-ები“
• unbound აგვარებს xxx.org-ს (ან იღებს მას ქეშიდან) და უგზავნის პასუხს კლიენტს: „xxx.org-ს აქვს ასეთი და ასეთი IP“, დუბლირებს მას პარალელურად DNSTap-ის საშუალებით.
• dnstap-bgp აცხადებს ამ მისამართებს ქ BIRD BGP-ის საშუალებით, თუ დომენი დაბლოკილ სიაშია
• BIRD რეკლამირებს მარშრუტს ამ IP-ებისკენ next-hop self კლიენტის როუტერი
• შემდეგი პაკეტები კლიენტიდან ამ IP-ებამდე გადის გვირაბში

სერვერზე, დაბლოკილ საიტებზე მარშრუტებისთვის, ვიყენებ ცალკე ცხრილს BIRD-ის შიგნით და ის არანაირად არ კვეთს OS-ს.

ამ სქემას აქვს ნაკლი: კლიენტისგან პირველ SYN პაკეტს, სავარაუდოდ, ექნება დრო, რომ დატოვოს შიდა პროვაიდერის მეშვეობით. მარშრუტი დაუყოვნებლივ არ არის გამოცხადებული. და აქ ვარიანტები შესაძლებელია იმისდა მიხედვით, თუ როგორ აკეთებს პროვაიდერი დაბლოკვას. თუ ის უბრალოდ ჩამოაგდებს მოძრაობას, მაშინ პრობლემა არ არის. და თუ ის გადამისამართებს ზოგიერთ DPI-ზე, მაშინ (თეორიულად) შესაძლებელია სპეციალური ეფექტები.

ასევე შესაძლებელია, რომ კლიენტებმა არ სცენ პატივს DNS TTL სასწაულებს, რამაც შეიძლება გამოიწვიოს კლიენტმა გამოიყენოს გარკვეული შემორჩენილი ჩანაწერები მისი დამპალი ქეშიდან, Unbound-ის მოთხოვნის ნაცვლად.

პრაქტიკაში არც პირველს და არც მეორეს არ შეუქმნია პრობლემა, მაგრამ თქვენი გარბენი შეიძლება განსხვავდებოდეს.

სერვერის დაყენება

გადახვევის გასაადვილებლად დავწერე როლი ანსიბლისთვის. მას შეუძლია Linux-ზე დაფუძნებული სერვერების და კლიენტების კონფიგურაცია (განკუთვნილია deb-ზე დაფუძნებული დისტრიბუციებისთვის). ყველა პარამეტრი საკმაოდ აშკარაა და დაყენებულია ინვენტარი.yml. ეს როლი ამოღებულია ჩემი დიდი სათამაშო წიგნიდან, ამიტომ შეიძლება შეიცავდეს შეცდომებს - გაიყვანეთ მოთხოვნა მოგესალმებით 🙂

მოდით გავიაროთ ძირითადი კომპონენტები.

BGP

ორი BGP დემონის გაშვებას ერთსა და იმავე ჰოსტზე აქვს ფუნდამენტური პრობლემა: BIRD-ს არ სურს BGP peering-ის დაყენება ლოკალჰოსტთან (ან რომელიმე ლოკალურ ინტერფეისთან). სიტყვიდან საერთოდ. გუგლინგმა და დაგზავნის სიების კითხვამ არ უშველა, ისინი ამტკიცებენ, რომ ეს არის დიზაინით. ალბათ არის რაღაც გზა, მაგრამ ვერ ვიპოვე.

შეგიძლიათ სცადოთ სხვა BGP დემონი, მაგრამ მე მომწონს BIRD და ის ყველგან გამოიყენება ჩემს მიერ, არ მინდა ობიექტთა წარმოება.

ამიტომ, მე დავმალე dnstap-bgp ქსელის სახელთა სივრცის შიგნით, რომელიც დაკავშირებულია root-თან veth ინტერფეისის საშუალებით: ის ჰგავს მილს, რომლის ბოლოები გამოკვეთილია სხვადასხვა სახელების სივრცეში. თითოეულ ამ ბოლოზე ჩვენ ვამაგრებთ კერძო p2p IP მისამართებს, რომლებიც არ სცილდებიან ჰოსტს, ასე რომ, ისინი შეიძლება იყოს ნებისმიერი. ეს არის იგივე მექანიზმი, რომელიც გამოიყენება შიგნით პროცესებზე წვდომისთვის ყველას უყვარს დოკერი და სხვა კონტეინერები.

ამისთვის ეწერა სკრიპტი და dnstap-bgp-ს დაემატა უკვე ზემოთ აღწერილი ფუნქციონალობა თმით გადასატანად სხვა სახელების სივრცეში. ამის გამო, ის უნდა იყოს გაშვებული როგორც root ან გაიცეს CAP_SYS_ADMIN ორობითში setcap ბრძანების მეშვეობით.

სკრიპტის მაგალითი სახელთა სივრცის შესაქმნელად

#!/bin/bash

NS="dtap"

IP="/sbin/ip"
IPNS="$IP netns exec $NS $IP"

IF_R="veth-$NS-r"
IF_NS="veth-$NS-ns"

IP_R="192.168.149.1"
IP_NS="192.168.149.2"

/bin/systemctl stop dnstap-bgp || true

$IP netns del $NS > /dev/null 2>&1
$IP netns add $NS

$IP link add $IF_R type veth peer name $IF_NS
$IP link set $IF_NS netns $NS

$IP addr add $IP_R remote $IP_NS dev $IF_R
$IP link set $IF_R up

$IPNS addr add $IP_NS remote $IP_R dev $IF_NS
$IPNS link set $IF_NS up

/bin/systemctl start dnstap-bgp

dnstap-bgp.conf

namespace = "dtap"
domains = "/var/cache/rkn_domains.txt"
ttl = "168h"

[dnstap]
listen = "/tmp/dnstap.sock"
perm = "0666"

[bgp]
as = 65000
routerid = "192.168.149.2"

peers = [
    "192.168.149.1",
]

ჩიტი.კონფ

router id 192.168.1.1;

table rkn;

# Clients
protocol bgp bgp_client1 {
    table rkn;
    local as 65000;
    neighbor 192.168.1.2 as 65000;
    direct;
    bfd on;
    next hop self;
    graceful restart;
    graceful restart time 60;
    export all;
    import none;
}

# DNSTap-BGP
protocol bgp bgp_dnstap {
    table rkn;
    local as 65000;
    neighbor 192.168.149.2 as 65000;
    direct;
    passive on;
    rr client;
    import all;
    export none;
}

# Static routes list
protocol static static_rkn {
    table rkn;
    include "rkn_routes.list";
    import all;
    export none;
}

rkn_routes.list

route 3.226.79.85/32 via "ens3";
route 18.236.189.0/24 via "ens3";
route 3.224.21.0/24 via "ens3";
...

DNS

ნაგულისხმევად, Ubuntu-ში Unbound ორობითი არის დამაგრებული AppArmor პროფილით, რომელიც კრძალავს მას ყველა სახის DNSTap სოკეტთან დაკავშირებას. შეგიძლიათ ან წაშალოთ ეს პროფილი, ან გამორთოთ:

# cd /etc/apparmor.d/disable && ln -s ../usr.sbin.unbound .
# apparmor_parser -R /etc/apparmor.d/usr.sbin.unbound

ეს ალბათ უნდა დაემატოს სათამაშო წიგნს. იდეალურია, რა თქმა უნდა, პროფილის გამოსწორება და საჭირო უფლებების გაცემა, მაგრამ ძალიან ზარმაცი ვიყავი.

შეუზღუდავი.conf

server:
    chroot: ""
    port: 53
    interface: 0.0.0.0
    root-hints: "/var/lib/unbound/named.root"
    auto-trust-anchor-file: "/var/lib/unbound/root.key"
    access-control: 192.168.0.0/16 allow

remote-control:
    control-enable: yes
    control-use-cert: no

dnstap:
    dnstap-enable: yes
    dnstap-socket-path: "/tmp/dnstap.sock"
    dnstap-send-identity: no
    dnstap-send-version: no

    dnstap-log-client-response-messages: yes

სიების ჩამოტვირთვა და დამუშავება

სკრიპტი IP მისამართების სიის ჩამოსატვირთად და დასამუშავებლად
ჩამოტვირთავს სიას, აჯამებს პრეფიქსს pfx. In არ დაამატო и ნუ_შეაჯამებ შეგიძლიათ უთხრათ IP-ებს და ქსელებს, რომ გამოტოვონ ან არ შეაჯამონ. მჭირდებოდა. ჩემი VPS-ის ქვექსელი იყო ბლოკ სიაში 🙂

სასაცილო ის არის, რომ RosKomSvoboda API ბლოკავს მოთხოვნებს ნაგულისხმევი Python მომხმარებლის აგენტით. როგორც ჩანს, სკრიპტმა ეს გაიგო. ამიტომ ვცვლით ოგნელს.

ჯერჯერობით, ის მუშაობს მხოლოდ IPv4-ით. IPv6-ის წილი მცირეა, მაგრამ მისი გამოსწორება ადვილი იქნება. თუ თქვენ არ უნდა გამოიყენოთ bird6 ასევე.

rkn.py

#!/usr/bin/python3

import json, urllib.request, ipaddress as ipa

url = 'https://api.reserve-rbl.ru/api/v2/ips/json'
pfx = '24'

dont_summarize = {
    # ipa.IPv4Network('1.1.1.0/24'),
}

dont_add = {
    # ipa.IPv4Address('1.1.1.1'),
}

req = urllib.request.Request(
    url,
    data=None, 
    headers={
        'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.47 Safari/537.36'
    }
)

f = urllib.request.urlopen(req)
ips = json.loads(f.read().decode('utf-8'))

prefix32 = ipa.IPv4Address('255.255.255.255')

r = {}
for i in ips:
    ip = ipa.ip_network(i)
    if not isinstance(ip, ipa.IPv4Network):
        continue

    addr = ip.network_address

    if addr in dont_add:
        continue

    m = ip.netmask
    if m != prefix32:
        r[m] = [addr, 1]
        continue

    sn = ipa.IPv4Network(str(addr) + '/' + pfx, strict=False)

    if sn in dont_summarize:
        tgt = addr
    else:
        tgt = sn

    if not sn in r:
        r[tgt] = [addr, 1]
    else:
        r[tgt][1] += 1

o = []
for n, v in r.items():
    if v[1] == 1:
        o.append(str(v[0]) + '/32')
    else:
        o.append(n)

for k in o:
    print(k)

სკრიპტი განახლებისთვის
გვირგვინზე დღეში ერთხელ დავრბივარ, იქნებ ღირდეს ყოველ 4 საათში მისი გაყვანა. ეს, ჩემი აზრით, არის განახლების პერიოდი, რომელსაც RKN მოითხოვს პროვაიდერებისგან. გარდა ამისა, მათ აქვთ სხვა სუპერ გადაუდებელი ბლოკირება, რომელიც შეიძლება უფრო სწრაფად მოვიდეს.

აკეთებს შემდეგს:

• აწარმოებს პირველ სკრიპტს და განაახლებს მარშრუტების სიას (rkn_routes.list) ფრინველისთვის
• გადატვირთეთ BIRD
• განაახლებს და ასუფთავებს დომენების სიას dnstap-bgp
• გადატვირთეთ dnstap-bgp

rkn_update.sh

#!/bin/bash

ROUTES="/etc/bird/rkn_routes.list"
DOMAINS="/var/cache/rkn_domains.txt"

# Get & summarize routes
/opt/rkn.py | sed 's/(.*)/route 1 via "ens3";/' > $ROUTES.new

if [ $? -ne 0 ]; then
    rm -f $ROUTES.new
    echo "Unable to download RKN routes"
    exit 1
fi

if [ -e $ROUTES ]; then
    mv $ROUTES $ROUTES.old
fi

mv $ROUTES.new $ROUTES

/bin/systemctl try-reload-or-restart bird

# Get domains
curl -s https://api.reserve-rbl.ru/api/v2/domains/json -o - | jq -r '.[]' | sed 's/^*.//' | sort | uniq > $DOMAINS.new

if [ $? -ne 0 ]; then
    rm -f $DOMAINS.new
    echo "Unable to download RKN domains"
    exit 1
fi

if [ -e $DOMAINS ]; then
    mv $DOMAINS $DOMAINS.old
fi

mv $DOMAINS.new $DOMAINS

/bin/systemctl try-reload-or-restart dnstap-bgp

ისინი დაიწერა დიდი ფიქრის გარეშე, ასე რომ, თუ ხედავთ რაიმეს, რომლის გაუმჯობესებაც შესაძლებელია - წადით.

კლიენტის დაყენება

აქ მოვიყვან მაგალითებს Linux როუტერებისთვის, მაგრამ Mikrotik / Cisco-ს შემთხვევაში ეს კიდევ უფრო ადვილი უნდა იყოს.

პირველი, ჩვენ დავაყენეთ BIRD:

ჩიტი.კონფ

router id 192.168.1.2;
table rkn;

protocol device {
    scan time 10;
};

# Servers
protocol bgp bgp_server1 {
    table rkn;
    local as 65000;
    neighbor 192.168.1.1 as 65000;
    direct;
    bfd on;
    next hop self;
    graceful restart;
    graceful restart time 60;
    rr client;
    export none;
    import all;
}

protocol kernel {
    table rkn;
    kernel table 222;
    scan time 10;
    export all;
    import none;
}

ამრიგად, BGP-დან მიღებულ მარშრუტებს სინქრონიზაციას მოვახდენთ ბირთვის მარშრუტიზაციის ცხრილთან ნომრით 222.

ამის შემდეგ, საკმარისია სთხოვოთ ბირთვს, გადახედოს ამ ფირფიტას, სანამ ნაგულისხმევს შეხედავთ:

# ip rule add from all pref 256 lookup 222
# ip rule
0:  from all lookup local
256:    from all lookup 222
32766:  from all lookup main
32767:  from all lookup default

ყველაფერი, რჩება DHCP-ის კონფიგურაცია როუტერზე სერვერის გვირაბის IP მისამართის DNS-ად განაწილებისთვის და სქემა მზად არის.

შეზღუდვები

დომენების სიის გენერირებისა და დამუშავების ამჟამინდელი ალგორითმით, იგი მოიცავს, სხვა საკითხებთან ერთად, youtube.com და მისი CDN-ები.

და ეს მივყავართ იმ ფაქტს, რომ ყველა ვიდეო გაივლის VPN-ით, რამაც შეიძლება დაბლოკოს მთელი არხი. ალბათ, ღირს პოპულარული დომენების სიის შედგენა-გამორიცხვები, რომლებიც ბლოკავს RKN-ს ამ დროისთვის, ნაწლავები თხელია. და გამოტოვეთ ისინი გარჩევისას.

დასკვნა

აღწერილი მეთოდი საშუალებას გაძლევთ გვერდის ავლით თითქმის ნებისმიერი დაბლოკვა, რომელსაც ამჟამად ახორციელებენ პროვაიდერები.

პრინციპში, dnstap-bgp შეიძლება გამოყენებულ იქნას ნებისმიერი სხვა მიზნით, სადაც საჭიროა ტრაფიკის კონტროლის გარკვეული დონე დომენის სახელიდან გამომდინარე. უბრალოდ გაითვალისწინეთ, რომ ჩვენს დროში ათას საიტს შეუძლია დაკიდოს ერთი და იგივე IP მისამართი (მაგალითად, ზოგიერთი Cloudflare-ის უკან), ამიტომ ამ მეთოდს საკმაოდ დაბალი სიზუსტე აქვს.

მაგრამ საკეტების გვერდის ავლით, ეს სავსებით საკმარისია.

დამატებები, რედაქტირებები, მოთხოვნები - მოგესალმებით!

წყარო: www.habr.com