ការដំឡើង BGP ដើម្បីចៀសវាងការទប់ស្កាត់ ឬ "តើខ្ញុំឈប់ខ្លាច និងធ្លាក់ក្នុងអន្លង់ស្នេហ៍ជាមួយ RKN"

ជាការប្រសើរណាស់, អំពី "ស្រឡាញ់" គឺជាការបំផ្លើសមួយ។ ផ្ទុយទៅវិញ «អាចរួមរស់ជាមួយ»។

ដូចដែលអ្នកទាំងអស់គ្នាដឹងហើយថា ចាប់តាំងពីថ្ងៃទី 16 ខែមេសា ឆ្នាំ 2018 មក Roskomnadzor បាននិងកំពុងរារាំងការចូលប្រើធនធាននៅលើអ៊ីនធឺណិតដោយបន្ថែមទៅលើ "ការចុះឈ្មោះបង្រួបបង្រួមនៃឈ្មោះដែន លិបិក្រមទំព័រនៃគេហទំព័រនៅលើអ៊ីនធឺណិត និងអាសយដ្ឋានបណ្តាញដែលអនុញ្ញាតឱ្យកំណត់អត្តសញ្ញាណគេហទំព័រ។ នៅលើអ៊ីនធឺណិត "ដែលមានព័ត៌មានការចែកចាយដែលត្រូវបានហាមឃាត់នៅក្នុងសហព័ន្ធរុស្ស៊ី" (នៅក្នុងអត្ថបទ - គ្រាន់តែជាការចុះឈ្មោះ) ដោយ /10 ពេលខ្លះ។ ជាលទ្ធផលប្រជាពលរដ្ឋនៃសហព័ន្ធរុស្ស៊ីនិងអាជីវកម្មកំពុងរងទុក្ខដោយបាត់បង់សិទ្ធិទទួលបានធនធានស្របច្បាប់ទាំងស្រុងដែលពួកគេត្រូវការ។

បន្ទាប់ពីខ្ញុំបាននិយាយនៅក្នុងមតិយោបល់ទៅកាន់អត្ថបទមួយនៅលើ Habre ថាខ្ញុំត្រៀមខ្លួនជាស្រេចដើម្បីជួយជនរងគ្រោះក្នុងការរៀបចំគម្រោងផ្លូវវាង មនុស្សជាច្រើនបានមករកខ្ញុំសុំជំនួយបែបនេះ។ នៅពេលដែលអ្វីៗដំណើរការសម្រាប់ពួកគេ ម្នាក់ក្នុងចំណោមពួកគេបានផ្តល់អនុសាសន៍ឱ្យពិពណ៌នាអំពីបច្ចេកទេសនៅក្នុងអត្ថបទមួយ។ បន្ទាប់​ពី​បាន​គិត​មួយ​ចំនួន ខ្ញុំ​បាន​សម្រេច​ចិត្ត​បំបែក​ភាព​ស្ងៀម​ស្ងាត់​របស់​ខ្ញុំ​នៅ​លើ​គេហទំព័រ ហើយ​ព្យាយាម​ម្តង​ដើម្បី​សរសេរ​អ្វី​មួយ​កម្រិត​មធ្យម​រវាង​គម្រោង​មួយ​និង​ការ​បង្ហោះ​តាម Facebook ពោល​គឺ។ habrapost ។ លទ្ធផលគឺនៅពីមុខអ្នក។

ការមិនទទួលខុសត្រូវ

ដោយសារវាមិនមែនជាច្បាប់ខ្លាំងណាស់ក្នុងការបោះពុម្ពវិធីដើម្បីរំលងការទប់ស្កាត់ការចូលប្រើព័ត៌មានដែលត្រូវបានហាមឃាត់នៅលើទឹកដីនៃសហព័ន្ធរុស្ស៊ី គោលបំណងនៃអត្ថបទនេះគឺដើម្បីនិយាយអំពីវិធីសាស្រ្តដែលអនុញ្ញាតឱ្យអ្នកធ្វើស្វ័យប្រវត្តិកម្មក្នុងការទទួលបានធនធានដែលត្រូវបានអនុញ្ញាតនៅលើ ទឹកដីនៃសហព័ន្ធរុស្ស៊ី ប៉ុន្តែដោយសារតែសកម្មភាពរបស់នរណាម្នាក់ មិនអាចចូលដំណើរការដោយផ្ទាល់តាមរយៈអ្នកផ្តល់សេវារបស់អ្នក។ ហើយការចូលប្រើធនធានផ្សេងទៀតដែលទទួលបានជាលទ្ធផលនៃសកម្មភាពពីអត្ថបទគឺជាផលរំខានដ៏អកុសល ហើយមិនមានគោលបំណងនៃអត្ថបទនោះទេ។

ដូចគ្នានេះផងដែរ ដោយសារខ្ញុំជាស្ថាបត្យករបណ្តាញជាចម្បងដោយវិជ្ជាជីវៈ វិជ្ជាជីវៈ និងផ្លូវជីវិត ការសរសេរកម្មវិធី និងលីនុចមិនមែនជាចំណុចខ្លាំងរបស់ខ្ញុំទេ។ ដូច្នេះ ជាការពិត ស្គ្រីបអាចត្រូវបានសរសេរបានប្រសើរជាង បញ្ហាសុវត្ថិភាពនៅក្នុង VPS អាចត្រូវបានដោះស្រាយឱ្យកាន់តែស៊ីជម្រៅ។ល។ សំណើរបស់អ្នកនឹងត្រូវបានទទួលយកដោយការដឹងគុណ ប្រសិនបើពួកគេមានព័ត៌មានលម្អិតគ្រប់គ្រាន់ - ខ្ញុំនឹងរីករាយក្នុងការបន្ថែមវាទៅក្នុងអត្ថបទនៃអត្ថបទ។

TL; កុង

យើងធ្វើឱ្យការចូលប្រើប្រាស់ធនធានដោយស្វ័យប្រវត្តិតាមរយៈផ្លូវរូងក្រោមដីដែលមានស្រាប់របស់អ្នកដោយប្រើច្បាប់ចម្លងនៃបញ្ជីឈ្មោះ និងពិធីការ BGP ។ គោលដៅគឺដើម្បីលុបចរាចរណ៍ទាំងអស់ដែលបានដោះស្រាយចំពោះធនធានដែលបានរារាំងទៅក្នុងផ្លូវរូងក្រោមដី។ ការពន្យល់អប្បបរមា ដែលភាគច្រើនជាការណែនាំជាជំហានៗ។

តើអ្នកត្រូវការអ្វីសម្រាប់ការនេះ?

ជាអកុសល ការបង្ហោះនេះមិនមែនសម្រាប់មនុស្សគ្រប់គ្នាទេ។ ដើម្បីប្រើបច្ចេកទេសនេះ អ្នកនឹងត្រូវដាក់ធាតុជាច្រើនបញ្ចូលគ្នា៖

1. អ្នកត្រូវតែមានម៉ាស៊ីនមេលីនុចនៅកន្លែងណាមួយនៅខាងក្រៅកន្លែងទប់ស្កាត់។ ឬយ៉ាងហោចណាស់បំណងប្រាថ្នាចង់មានម៉ាស៊ីនមេបែបនេះ - សំណាងល្អឥឡូវនេះវាមានតម្លៃចាប់ពី 9 ដុល្លារក្នុងមួយឆ្នាំ ហើយប្រហែលជាតិចជាងនេះ។ វិធីសាស្ត្រក៏សមរម្យផងដែរ ប្រសិនបើអ្នកមានផ្លូវរូងក្រោមដី VPN ដាច់ដោយឡែក នោះម៉ាស៊ីនមេអាចមានទីតាំងនៅខាងក្នុងកន្លែងទប់ស្កាត់។
2. រ៉ោតទ័ររបស់អ្នកគួរតែឆ្លាតវៃគ្រប់គ្រាន់ដើម្បីអាច
   • ម៉ាស៊ីនភ្ញៀវ VPN ណាមួយដែលអ្នកចូលចិត្ត (ខ្ញុំចូលចិត្ត OpenVPN ប៉ុន្តែវាអាចជា PPTP, L2TP, GRE+IPSec ឬជម្រើសផ្សេងទៀតដែលបង្កើតចំណុចប្រទាក់ផ្លូវរូងក្រោមដី);
   • ពិធីការ BGPv4 ។ ដែលមានន័យថាសម្រាប់ SOHO វាអាចជា Mikrotik ឬរ៉ោតទ័រណាមួយដែលមាន OpenWRT/LEDE/កម្មវិធីបង្កប់ផ្ទាល់ខ្លួនស្រដៀងគ្នា ដែលអនុញ្ញាតឱ្យអ្នកដំឡើង Quagga ឬ Bird ។ ការប្រើរ៉ោតទ័រកុំព្យូទ័រក៏មិនត្រូវបានហាមឃាត់ដែរ។ ក្នុងករណីសហគ្រាស រកមើលការគាំទ្រ BGP នៅក្នុងឯកសារសម្រាប់រ៉ោតទ័រព្រំដែនរបស់អ្នក។
3. អ្នកគួរតែមានការយល់ដឹងអំពីការប្រើប្រាស់លីនុច និងបច្ចេកវិទ្យាបណ្តាញ រួមទាំងពិធីការ BGP ផងដែរ។ ឬយ៉ាងហោចណាស់ចង់ទទួលបានគំនិតបែបនេះ។ ដោយសារខ្ញុំមិនទាន់ត្រៀមខ្លួនដើម្បីទទួលយកភាពធំធេងនៅពេលនេះ អ្នកនឹងត្រូវសិក្សាពីទិដ្ឋភាពមួយចំនួនដែលមិនអាចយល់បានចំពោះអ្នកដោយខ្លួនឯង។ ទោះជាយ៉ាងណាក៏ដោយ ខ្ញុំនឹងឆ្លើយសំណួរជាក់លាក់នៅក្នុងមតិយោបល់ ហើយខ្ញុំទំនងជាមិនឆ្លើយតែមួយទេ ដូច្នេះកុំស្ទាក់ស្ទើរក្នុងការសួរ។

អ្វីដែលត្រូវប្រើក្នុងឧទាហរណ៍

• ច្បាប់ចម្លងនៃការចុះឈ្មោះ - ពី https://github.com/zapret-info/z-i 
• VPS - អ៊ូប៊ុនទូ 16.04
• សេវាបញ្ជូនត- បក្សី ២   
• រ៉ោតទ័រ - Mikrotik hAP ac
• ថតឯកសារ - ដោយសារយើងកំពុងធ្វើការជា root អ្វីៗភាគច្រើននឹងមានទីតាំងនៅក្នុងថតឯកសារដើមរបស់ root ។ រៀងគ្នា៖
  • /root/blacklist - ថតឯកសារធ្វើការជាមួយស្គ្រីបចងក្រង
  • /root/zi - ច្បាប់ចម្លងនៃបញ្ជីឈ្មោះពី github
  • /etc/bird - ថតស្តង់ដារសម្រាប់ការកំណត់សេវាកម្មបក្សី
• អាសយដ្ឋាន IP ខាងក្រៅរបស់ VPS ជាមួយម៉ាស៊ីនមេនាំផ្លូវ និងចំណុចបញ្ចប់ផ្លូវរូងក្រោមដីគឺ 194.165.22.146, ASN 64998; អាសយដ្ឋាន IP ខាងក្រៅរបស់រ៉ោតទ័រ - 81.177.103.94, ASN 64999
• អាសយដ្ឋាន IP នៅខាងក្នុងផ្លូវរូងក្រោមដីគឺ 172.30.1.1 និង 172.30.1.2 រៀងគ្នា។

ជាការពិតណាស់ អ្នកអាចប្រើរ៉ោតទ័រ ប្រព័ន្ធប្រតិបត្តិការ និងផលិតផលសូហ្វវែរផ្សេងៗ ដោយកែសម្រួលដំណោះស្រាយទៅតាមតក្កវិជ្ជារបស់វា។

ដោយសង្ខេប - តក្កវិជ្ជានៃដំណោះស្រាយ

1. សកម្មភាពត្រៀម
   1. ទទួលបាន VPS
   2. ការលើកផ្លូវរូងក្រោមដីពីរ៉ោតទ័រទៅ VPS
2. យើងទទួល និងធ្វើបច្ចុប្បន្នភាពជាទៀងទាត់នូវច្បាប់ចម្លងនៃបញ្ជីឈ្មោះ
3. ការដំឡើង និងកំណត់រចនាសម្ព័ន្ធសេវានាំផ្លូវ
4. យើងបង្កើតបញ្ជីផ្លូវឋិតិវន្តសម្រាប់សេវាកម្មកំណត់ផ្លូវដោយផ្អែកលើបញ្ជីឈ្មោះ
5. យើងភ្ជាប់រ៉ោតទ័រទៅនឹងសេវាកម្ម ហើយកំណត់រចនាសម្ព័ន្ធបញ្ជូនចរាចរទាំងអស់តាមរយៈផ្លូវរូងក្រោមដី។

ដំណោះស្រាយជាក់ស្តែង

សកម្មភាពត្រៀម

មានសេវាកម្មជាច្រើននៅលើអ៊ីនធឺណិតដែលផ្តល់ VPS សម្រាប់តម្លៃសមរម្យបំផុត។ រហូតមកដល់ពេលនេះ ខ្ញុំបានរកឃើញ និងកំពុងប្រើជម្រើសសម្រាប់ $9/ឆ្នាំ ប៉ុន្តែទោះបីជាអ្នកមិនរំខានច្រើនពេកក៏ដោយ មានជម្រើសជាច្រើនសម្រាប់ 1E/ខែ នៅគ្រប់ជ្រុងទាំងអស់។ សំណួរនៃការជ្រើសរើស VPS គឺហួសពីវិសាលភាពនៃអត្ថបទនេះ ដូច្នេះប្រសិនបើនរណាម្នាក់មិនយល់អំពីរឿងនេះ សូមសួរនៅក្នុងមតិយោបល់។

ប្រសិនបើអ្នកប្រើ VPS មិនត្រឹមតែសម្រាប់សេវានាំផ្លូវប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងដើម្បីបញ្ចប់ផ្លូវរូងក្រោមដីនៅលើវា អ្នកត្រូវបង្កើនផ្លូវរូងក្រោមដីនេះហើយ ស្ទើរតែប្រាកដណាស់ កំណត់រចនាសម្ព័ន្ធ NAT សម្រាប់វា។ មានការណែនាំមួយចំនួនធំអំពីសកម្មភាពទាំងនេះនៅលើអ៊ីនធឺណិត ខ្ញុំនឹងមិននិយាយឡើងវិញនៅទីនេះទេ។ តម្រូវការចម្បងសម្រាប់ផ្លូវរូងក្រោមដីបែបនេះគឺថាវាត្រូវតែបង្កើតចំណុចប្រទាក់ដាច់ដោយឡែកនៅលើរ៉ោតទ័ររបស់អ្នកដែលគាំទ្រផ្លូវរូងក្រោមដីឆ្ពោះទៅ VPS ។ បច្ចេកវិទ្យា VPN ដែលបានប្រើភាគច្រើនបំពេញតម្រូវការនេះ - ឧទាហរណ៍ OpenVPN នៅក្នុងរបៀប tun គឺល្អឥតខ្ចោះ។

ទទួលបានច្បាប់ចម្លងនៃបញ្ជីឈ្មោះ

ដូចដែល Jabrail បាននិយាយថា "អ្នកណាដែលរារាំងយើងនឹងជួយយើង" ។ ដោយសារ RKN កំពុងបង្កើតការចុះបញ្ជីធនធានហាមឃាត់ វានឹងជាអំពើបាបដែលមិនប្រើការចុះឈ្មោះនេះដើម្បីដោះស្រាយបញ្ហារបស់យើង។ យើងនឹងទទួលបានច្បាប់ចម្លងនៃបញ្ជីឈ្មោះពី github ។

យើងទៅម៉ាស៊ីនមេលីនុចរបស់អ្នក ធ្លាក់ចូលទៅក្នុងបរិបទឫស (sudo su -) ហើយដំឡើង git ប្រសិនបើវាមិនត្រូវបានដំឡើងរួចហើយ។

apt install git

ចូលទៅកាន់ថតផ្ទះរបស់អ្នក ហើយទាញយកច្បាប់ចម្លងនៃបញ្ជីឈ្មោះ។

cd ~ && git clone --depth=1 https://github.com/zapret-info/z-i 

យើងរៀបចំការអាប់ដេត cron (ខ្ញុំធ្វើវាម្តងរៀងរាល់ 20 នាទីម្តង ប៉ុន្តែអ្នកអាចជ្រើសរើសចន្លោះពេលណាមួយដែលអ្នកចាប់អារម្មណ៍)។ ដើម្បីធ្វើដូចនេះយើងបើកដំណើរការ crontab -e ហើយបន្ថែមបន្ទាត់ខាងក្រោមទៅវា៖

*/20 * * * * cd ~/z-i && git pull && git gc

យើងភ្ជាប់ទំពក់ដែលនឹងបង្កើតឯកសារសម្រាប់សេវានាំផ្លូវបន្ទាប់ពីធ្វើបច្ចុប្បន្នភាពបញ្ជីឈ្មោះ។ ដើម្បីធ្វើដូចនេះបង្កើតឯកសារ /root/zi/.git/hooks/post-merge ជាមួយនឹងខ្លឹមសារដូចខាងក្រោម៖

#!/usr/bin/env bash
changed_files="$(git diff-tree -r --name-only --no-commit-id ORIG_HEAD HEAD)"
check_run() {
    echo "$changed_files" | grep --quiet "$1" && eval "$2"
}
check_run dump.csv "/root/blacklist/makebgp"

ហើយកុំភ្លេចធ្វើឱ្យវាអាចប្រតិបត្តិបាន។

chmod +x /root/z-i/.git/hooks/post-merge

យើងនឹងបង្កើតស្គ្រីប makebgp ដែលទំពក់សំដៅលើបន្តិចក្រោយមក។

ការដំឡើង និងកំណត់រចនាសម្ព័ន្ធសេវានាំផ្លូវ

ដំឡើងបក្សី។ ជាអកុសលកំណែរបស់បក្សីដែលបានបង្ហោះនាពេលបច្ចុប្បន្ននៅក្នុងឃ្លាំងអ៊ូប៊ុនទូគឺអាចប្រៀបធៀបបានក្នុងភាពស្រស់ស្រាយទៅនឹងលាមក Archeopteryx ដូច្នេះដំបូងយើងត្រូវបន្ថែម PPA ផ្លូវការរបស់អ្នកអភិវឌ្ឍន៍កម្មវិធីទៅក្នុងប្រព័ន្ធ។

add-apt-repository ppa:cz.nic-labs/bird
apt update
apt install bird

បន្ទាប់ពីនេះយើងបិទបក្សីសម្រាប់ IPv6 ភ្លាមៗ - យើងនឹងមិនត្រូវការវានៅក្នុងការដំឡើងនេះទេ។

systemctl stop bird6
systemctl disable bird6

ខាងក្រោមនេះគឺជាឯកសារកំណត់រចនាសម្ព័ន្ធសេវាកម្មបក្សីតិចតួចបំផុត (/etc/bird/bird.conf) ដែលវាគ្រប់គ្រាន់ហើយសម្រាប់យើង (ហើយខ្ញុំសូមរំលឹកអ្នកម្តងទៀតថា គ្មាននរណាម្នាក់ហាមឃាត់ការអភិវឌ្ឈន៍ និងកែសម្រួលគំនិតឱ្យសមនឹងតម្រូវការរបស់អ្នកទេ)

log syslog all;
router id 172.30.1.1;

protocol kernel {
        scan time 60;
        import none;
#       export all;   # Actually insert routes into the kernel routing table
}

protocol device {
        scan time 60;
}

protocol direct {
        interface "venet*", "tun*"; # Restrict network interfaces it works with
}

protocol static static_bgp {
        import all;
        include "pfxlist.txt";
        #include "iplist.txt";
}

protocol bgp OurRouter {
        description "Our Router";
        neighbor 81.177.103.94 as 64999;
        import none;
        export where proto = "static_bgp";
        local as 64998;
        passive off;
        multihop;
}

លេខសម្គាល់រ៉ោតទ័រ - ឧបករណ៍កំណត់អត្តសញ្ញាណរ៉ោតទ័រ ដែលមើលទៅហាក់ដូចជាអាសយដ្ឋាន IPv4 ប៉ុន្តែមិនមែនតែមួយទេ។ ក្នុងករណីរបស់យើង វាអាចជាលេខ 32 ប៊ីតណាមួយក្នុងទម្រង់អាសយដ្ឋាន IPv4 ប៉ុន្តែវាជាទម្រង់ដ៏ល្អដើម្បីចង្អុលបង្ហាញអាសយដ្ឋាន IPv4 នៃឧបករណ៍របស់អ្នកយ៉ាងពិតប្រាកដ (ក្នុងករណីនេះ VPS) ។

protocol កំណត់ដោយផ្ទាល់នូវចំណុចប្រទាក់ណាមួយដែលនឹងដំណើរការជាមួយដំណើរការនាំផ្លូវ។ ឧទាហរណ៍​ផ្តល់​ឈ្មោះ​ឧទាហរណ៍​ពីរ​បី អ្នក​អាច​បន្ថែម​អ្នក​ផ្សេង​ទៀត។ អ្នកអាចលុបបន្ទាត់បានយ៉ាងសាមញ្ញ ក្នុងករណីនេះ ម៉ាស៊ីនមេនឹងស្តាប់ចំណុចប្រទាក់ដែលមានទាំងអស់ជាមួយនឹងអាសយដ្ឋាន IPv4 ។

ពិធីការឋិតិវន្តគឺជាវេទមន្តរបស់យើងដែលផ្ទុកបញ្ជីបុព្វបទ និងអាសយដ្ឋាន IP (ដែលជាការពិតជាបុព្វបទ /32 ជាការពិតណាស់) ពីឯកសារសម្រាប់ការប្រកាសជាបន្តបន្ទាប់។ តើបញ្ជីទាំងនេះមកពីណា នឹងត្រូវបានពិភាក្សាខាងក្រោម។ សូមចំណាំថាការផ្ទុកអាសយដ្ឋាន IP ត្រូវបានបញ្ចេញមតិតាមលំនាំដើម ហេតុផលសម្រាប់ការផ្ទុកឡើងគឺបរិមាណច្រើន។ សម្រាប់ការប្រៀបធៀប នៅពេលសរសេរ មាន 78 បន្ទាត់នៅក្នុងបញ្ជីបុព្វបទ និង 85898 នៅក្នុងបញ្ជីអាសយដ្ឋាន IP ។ ខ្ញុំសូមផ្តល់អនុសាសន៍ឱ្យចាប់ផ្តើម និងបំបាត់កំហុសតែនៅក្នុងបញ្ជីបុព្វបទប៉ុណ្ណោះ ហើយថាតើត្រូវបើកដំណើរការផ្ទុក IP ឬអត់។ អនាគតគឺអាស្រ័យលើអ្នកក្នុងការសម្រេចចិត្ត បន្ទាប់ពីបានសាកល្បងជាមួយរ៉ោតទ័ររបស់អ្នក។ មិនមែនពួកគេម្នាក់ៗអាចរំលាយបានយ៉ាងងាយស្រួល 85 ពាន់ធាតុនៅក្នុងតារាងនាំផ្លូវនោះទេ។

តាមពិត ប្រូតូកូល bgp បង្កើត bgp peering ជាមួយរ៉ោតទ័ររបស់អ្នក។ អាសយដ្ឋាន IP គឺជាអាសយដ្ឋាននៃចំណុចប្រទាក់ខាងក្រៅនៃរ៉ោតទ័រ (ឬអាសយដ្ឋាននៃចំណុចប្រទាក់ផ្លូវរូងក្រោមដីនៅផ្នែកខាងរ៉ោតទ័រ) 64998 និង 64999 គឺជាលេខនៃប្រព័ន្ធស្វយ័ត។ ក្នុងករណីនេះ ពួកគេអាចត្រូវបានកំណត់ជាទម្រង់លេខ 16 ប៊ីត ប៉ុន្តែវាជាការអនុវត្តល្អក្នុងការប្រើលេខ AS ពីជួរឯកជនដែលកំណត់ដោយ RFC6996 - 64512-65534 រួមបញ្ចូល (មានទម្រង់សម្រាប់ ASNs 32 ប៊ីត។ ប៉ុន្តែ​ក្នុង​ករណី​របស់​យើង​នេះ​គឺ​ពិត​ជា​លើស​ទម្ងន់​)។ ការកំណត់រចនាសម្ព័ន្ធដែលបានពិពណ៌នាប្រើប្រាស់ eBGP peering ដែលក្នុងនោះលេខនៃប្រព័ន្ធស្វយ័តនៃសេវានាំផ្លូវ និងរ៉ោតទ័រត្រូវតែខុសគ្នា។

ដូចដែលអ្នកអាចឃើញ សេវាកម្មត្រូវដឹងពីអាសយដ្ឋាន IP របស់រ៉ោតទ័រ ដូច្នេះប្រសិនបើអ្នកមានអាសយដ្ឋានឯកជន (RFC1918) ឬចែករំលែក (RFC6598) ថាមវន្ត ឬមិនអាចកំណត់បាន នោះអ្នកមិនមានជម្រើសក្នុងការបង្កើនការប្រៀបធៀបពីខាងក្រៅនោះទេ។ ចំណុចប្រទាក់ ប៉ុន្តែសេវាកម្មនឹងនៅតែដំណើរការនៅខាងក្នុងផ្លូវរូងក្រោមដី។

វាក៏ច្បាស់ដែរថា ពីសេវាកម្មមួយ អ្នកអាចផ្តល់ផ្លូវទៅកាន់រ៉ោតទ័រផ្សេងៗជាច្រើន - គ្រាន់តែចម្លងការកំណត់សម្រាប់ពួកវាដោយចម្លងផ្នែក bgp ពិធីការ និងផ្លាស់ប្តូរអាសយដ្ឋាន IP របស់អ្នកជិតខាង។ នោះហើយជាមូលហេតុដែលឧទាហរណ៍បង្ហាញការកំណត់សម្រាប់ការមើលឃើញនៅខាងក្រៅផ្លូវរូងក្រោមដីដែលជាសកលបំផុត។ វាងាយស្រួលក្នុងការយកពួកវាចូលទៅក្នុងផ្លូវរូងក្រោមដីដោយផ្លាស់ប្តូរអាសយដ្ឋាន IP នៅក្នុងការកំណត់ស្របតាម។

កំពុងដំណើរការបញ្ជីឈ្មោះសម្រាប់សេវានាំផ្លូវ

ឥឡូវនេះយើងត្រូវការការពិតដើម្បីបង្កើតបញ្ជីបុព្វបទ និងអាសយដ្ឋាន IP ដែលត្រូវបានលើកឡើងនៅក្នុងពិធីការឋិតិវន្តនៅដំណាក់កាលមុន។ ដើម្បីធ្វើដូចនេះយើងយកឯកសារចុះបញ្ជីហើយបង្កើតឯកសារដែលយើងត្រូវការពីវាដោយប្រើស្គ្រីបខាងក្រោមដាក់ក្នុង /root/blacklist/makebgp

#!/bin/bash
cut -d";" -f1 /root/z-i/dump.csv| tr '|' 'n' |  tr -d ' ' > /root/blacklist/tmpaddr.txt
cat /root/blacklist/tmpaddr.txt | grep / | sed 's_.*_route & reject;_' > /etc/bird/pfxlist.txt
cat /root/blacklist/tmpaddr.txt | sort | uniq | grep -Eo "([0-9]{1,3}[.]){3}[0-9]{1,3}" | sed 's_.*_route &/32 reject;_' > /etc/bird/iplist.txt
/etc/init.d/bird reload
logger 'bgp list compiled'

កុំភ្លេចធ្វើឱ្យវាអាចប្រតិបត្តិបាន។

chmod +x /root/blacklist/makebgp

ឥឡូវនេះ អ្នកអាចដំណើរការវាដោយដៃ ហើយសង្កេតមើលរូបរាងនៃឯកសារនៅក្នុង /etc/bird ។

ភាគច្រើនទំនងជា បក្សីមិនដំណើរការសម្រាប់អ្នកនៅពេលនេះទេ ពីព្រោះនៅដំណាក់កាលមុន អ្នកបានស្នើឱ្យវារកមើលឯកសារដែលមិនទាន់មាន។ ដូច្នេះ យើងបើកដំណើរការវា ហើយពិនិត្យមើលថាវាបានចាប់ផ្តើម៖

systemctl start bird
birdc show route

លទ្ធផលនៃពាក្យបញ្ជាទីពីរគួរតែបង្ហាញប្រហែល 80 កំណត់ត្រា (នេះគឺសម្រាប់ពេលនេះ ប៉ុន្តែនៅពេលអ្នករៀបចំវា អ្វីគ្រប់យ៉ាងនឹងអាស្រ័យលើភាពឧស្សាហ៍ព្យាយាមរបស់ RKN ក្នុងការទប់ស្កាត់បណ្តាញ) អ្វីមួយដូចនេះ៖

54.160.0.0/12      unreachable [static_bgp 2018-04-19] * (200)

ក្រុមការងារ

birdc show protocol

នឹងបង្ហាញស្ថានភាពនៃពិធីការនៅក្នុងសេវាកម្ម។ រហូតទាល់តែអ្នកបានកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ (សូមមើលចំណុចបន្ទាប់) ពិធីការ OurRouter នឹងស្ថិតក្នុងស្ថានភាពចាប់ផ្តើម (តភ្ជាប់ ឬដំណាក់កាលសកម្ម) ហើយបន្ទាប់ពីការតភ្ជាប់ជោគជ័យ វានឹងទៅកាន់ស្ថានភាពឡើង (ដំណាក់កាលដែលបានបង្កើត)។ ឧទាហរណ៍ នៅលើប្រព័ន្ធរបស់ខ្ញុំ លទ្ធផលនៃពាក្យបញ្ជានេះមើលទៅដូចនេះ៖

BIRD 1.6.3 ready.
name     proto    table    state  since       info
kernel1  Kernel   master   up     2018-04-19
device1  Device   master   up     2018-04-19
static_bgp Static   master   up     2018-04-19
direct1  Direct   master   up     2018-04-19
RXXXXXx1 BGP      master   up     13:10:22    Established
RXXXXXx2 BGP      master   up     2018-04-24  Established
RXXXXXx3 BGP      master   start  2018-04-22  Connect       Socket: Connection timed out
RXXXXXx4 BGP      master   up     2018-04-24  Established
RXXXXXx5 BGP      master   start  2018-04-24  Passive

ការភ្ជាប់រ៉ោតទ័រ

អ្នក​រាល់​គ្នា​ប្រហែល​ជា​ធុញ​ទ្រាន់​នឹង​ការ​អាន​ក្រណាត់​ជើង​នេះ ប៉ុន្តែ​សូម​យក​ចិត្ត​ទុក​ដាក់ - ទីបញ្ចប់​គឺ​ជិត​ដល់​ហើយ។ លើសពីនេះទៅទៀតនៅក្នុងផ្នែកនេះខ្ញុំនឹងមិនអាចផ្តល់ការណែនាំជាជំហាន ៗ បានទេ - វានឹងខុសគ្នាសម្រាប់អ្នកផលិតនីមួយៗ។

ទោះយ៉ាងណាក៏ដោយ ខ្ញុំអាចបង្ហាញអ្នកនូវឧទាហរណ៍មួយចំនួន។ តក្កវិជ្ជាចម្បងគឺត្រូវលើក BGP peering និងកំណត់ nexthop ទៅបុព្វបទដែលបានទទួលទាំងអស់ ដោយចង្អុលទៅផ្លូវរូងក្រោមដីរបស់យើង (ប្រសិនបើយើងត្រូវការបញ្ជូនចរាចរតាមរយៈ p2p interface) ឬអាសយដ្ឋាន IP របស់ nexthop ប្រសិនបើចរាចរនឹងទៅកាន់ ethernet)។

ឧទាហរណ៍នៅលើ Mikrotik នៅក្នុង RouterOS វាត្រូវបានដោះស្រាយដូចខាងក្រោម

/routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=172.30.1.2
/routing bgp peer add in-filter=dynamic-in multihop=yes name=VPS remote-address=194.165.22.146 remote-as=64998 ttl=default
/routing filter add action=accept chain=dynamic-in protocol=bgp comment="Set nexthop" set-in-nexthop=172.30.1.1

និងនៅក្នុង Cisco IOS - ដូចនេះ

router bgp 64999
  neighbor 194.165.22.146 remote-as 64998
  neighbor 194.165.22.146 route-map BGP_NEXT_HOP in
  neighbor 194.165.22.146 ebgp-multihop 250
!
route-map BGP_NEXT_HOP permit 10
  set ip next-hop 172.30.1.1

ប្រសិនបើផ្លូវរូងក្រោមដីដូចគ្នាត្រូវបានប្រើទាំងសម្រាប់ BGP peering និងសម្រាប់ការបញ្ជូនចរាចរដែលមានប្រយោជន៍ វាមិនចាំបាច់ក្នុងការកំណត់ Nexthop ទេ វានឹងត្រូវបានកំណត់យ៉ាងត្រឹមត្រូវដោយប្រើពិធីការ។ ប៉ុន្តែ​ប្រសិន​បើ​អ្នក​កំណត់​វា​ដោយ​ដៃ វា​នឹង​មិន​ធ្វើ​ឱ្យ​វា​កាន់​តែ​អាក្រក់​នោះ​ទេ។

នៅលើវេទិកាផ្សេងទៀត អ្នកនឹងត្រូវស្វែងយល់ពីការកំណត់ដោយខ្លួនឯង ប៉ុន្តែប្រសិនបើអ្នកមានការលំបាកណាមួយ សរសេរនៅក្នុងមតិយោបល់ ខ្ញុំនឹងព្យាយាមជួយ។

បន្ទាប់ពីវគ្គ BGP របស់អ្នកបានចាប់ផ្តើម ផ្លូវទៅកាន់បណ្តាញធំៗបានមកដល់ ហើយត្រូវបានដំឡើងនៅក្នុងតារាង ចរាចរណ៍បានហូរទៅកាន់អាសយដ្ឋានពីពួកគេ ហើយសុភមង្គលគឺនៅជិត អ្នកអាចត្រឡប់ទៅសេវាបក្សីវិញ ហើយព្យាយាមមិនបញ្ចេញមតិអំពីធាតុនៅទីនោះដែលភ្ជាប់ បញ្ជីអាសយដ្ឋាន IP ប្រតិបត្តិបន្ទាប់ពីនោះ។

systemctl reload bird

ហើយមើលពីរបៀបដែលរ៉ោតទ័ររបស់អ្នកផ្ទេរផ្លូវទាំង 85 ពាន់។ ត្រៀម​ខ្លួន​ដើម្បី​ដក​ខ្សែ ហើយ​គិត​ថា​ត្រូវ​ធ្វើ​យ៉ាង​ណា​ជាមួយ​វា :)

សរុប

តាមទ្រឹស្ដីសុទ្ធសាធ បន្ទាប់ពីបញ្ចប់ជំហានដែលបានពិពណ៌នាខាងលើ ឥឡូវនេះ អ្នកមានសេវាកម្មដែលប្តូរទិសចរាចរណ៍ដោយស្វ័យប្រវត្តិទៅកាន់អាសយដ្ឋាន IP ដែលត្រូវបានហាមឃាត់នៅក្នុងសហព័ន្ធរុស្ស៊ី ឆ្លងកាត់ប្រព័ន្ធត្រង។

ពិតណាស់ វាអាចត្រូវបានកែលម្អ។ ឧទាហរណ៍ វាងាយស្រួលណាស់ក្នុងការសង្ខេបបញ្ជីអាសយដ្ឋាន IP ដោយប្រើដំណោះស្រាយ perl ឬ python ។ ស្គ្រីប Perl សាមញ្ញដែលធ្វើដូចនេះដោយប្រើ Net::CIDR::Lite ប្រែ 85 ពាន់បុព្វបទទៅជា 60 (មិនមែនពាន់) ប៉ុន្តែជាការពិតណាស់ គ្របដណ្តប់ជួរអាសយដ្ឋានធំជាងត្រូវបានរារាំង។

ដោយសារសេវាកម្មដំណើរការនៅកម្រិតទីបីនៃគំរូ ISO/OSI វានឹងមិនរក្សាទុកអ្នកពីការទប់ស្កាត់គេហទំព័រ/ទំព័រទេ ប្រសិនបើវាដោះស្រាយអាសយដ្ឋានខុសដូចដែលបានកត់ត្រាក្នុងបញ្ជីឈ្មោះ។ ប៉ុន្តែរួមជាមួយបញ្ជីឈ្មោះ ឯកសារ nxdomain.txt មកដល់ពី github ដែលស្គ្រីបពីរបីដងបានយ៉ាងងាយស្រួលប្រែទៅជាប្រភពនៃអាសយដ្ឋានឧទាហរណ៍ កម្មវិធីជំនួយ SwitchyOmega នៅក្នុង Chrome ។

វាក៏ចាំបាច់ផងដែរក្នុងការនិយាយថាដំណោះស្រាយតម្រូវឱ្យមានការកែលម្អបន្ថែម ប្រសិនបើអ្នកមិនគ្រាន់តែជាអ្នកប្រើប្រាស់អ៊ីនធឺណិតប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងបោះពុម្ពធនធានមួយចំនួនដោយខ្លួនឯង (ឧទាហរណ៍ គេហទំព័រ ឬម៉ាស៊ីនមេដំណើរការលើការតភ្ជាប់នេះ)។ ដោយប្រើមធ្យោបាយរបស់រ៉ោតទ័រ វាចាំបាច់ក្នុងការចងយ៉ាងតឹងរ៉ឹងនូវចរាចរណ៍ចេញពីសេវាកម្មនេះទៅអាសយដ្ឋានសាធារណៈរបស់អ្នក បើមិនដូច្នេះទេអ្នកនឹងបាត់បង់ការតភ្ជាប់ជាមួយធនធានទាំងនោះដែលត្រូវបានគ្របដណ្តប់ដោយបញ្ជីបុព្វបទដែលទទួលបានដោយរ៉ោតទ័រ។

ប្រសិនបើអ្នកមានសំណួរណាមួយ, សួរ, ខ្ញុំត្រៀមខ្លួនជាស្រេចដើម្បីឆ្លើយ។

UPD សូមអរគុណ នាវាចរណ៍ и TerAnYu សម្រាប់ប៉ារ៉ាម៉ែត្រសម្រាប់ git ដែលអនុញ្ញាតឱ្យកាត់បន្ថយបរិមាណទាញយក។

UPD2. មិត្តរួមការងារ វាហាក់ដូចជាខ្ញុំបានធ្វើខុសដោយមិនបានបន្ថែមការណែនាំសម្រាប់ការដំឡើងផ្លូវរូងក្រោមដីរវាង VPS និងរ៉ោតទ័រទៅក្នុងអត្ថបទ។ សំណួរជាច្រើនត្រូវបានលើកឡើងដោយរឿងនេះ។
ក្នុងករណី ខ្ញុំនឹងកត់សម្គាល់ម្តងទៀតថា មុនពេលចាប់ផ្តើមការណែនាំនេះ អ្នកបានកំណត់រចនាសម្ព័ន្ធផ្លូវរូងក្នុងដី VPN រួចហើយនៅក្នុងទិសដៅដែលអ្នកត្រូវការ និងបានពិនិត្យមុខងាររបស់វា (ឧទាហរណ៍ ដោយការបង្វែរចរាចរនៅទីនោះតាមលំនាំដើម ឬជាលក្ខណៈឋិតិវន្ត)។ ប្រសិនបើអ្នកមិនទាន់បានបញ្ចប់ដំណាក់កាលនេះទេ វាមិនមានន័យច្រើនក្នុងការធ្វើតាមជំហានក្នុងអត្ថបទនោះទេ។ ខ្ញុំមិនទាន់មានអត្ថបទផ្ទាល់ខ្លួនរបស់ខ្ញុំនៅលើវានៅឡើយទេ ប៉ុន្តែប្រសិនបើអ្នក google "ដំឡើងម៉ាស៊ីនមេ OpenVPN" រួមជាមួយនឹងឈ្មោះនៃប្រព័ន្ធប្រតិបត្តិការដែលបានដំឡើងនៅលើ VPS និង "ដំឡើងម៉ាស៊ីនភ្ញៀវ OpenVPN" ជាមួយនឹងឈ្មោះរ៉ោតទ័ររបស់អ្នក អ្នកទំនងជានឹងរកឃើញអត្ថបទមួយចំនួនលើប្រធានបទនេះ រួមទាំងនៅលើ Habre ផងដែរ។

UPD3 មិនលះបង់ ខ្ញុំបានសរសេរកូដដែលប្រែ dump.csv ទៅជាឯកសារលទ្ធផលសម្រាប់ bird ជាមួយនឹងការសង្ខេបជាជម្រើសនៃអាសយដ្ឋាន IP ។ ដូច្នេះផ្នែក "ដំណើរការបញ្ជីឈ្មោះសម្រាប់សេវាកម្មនាំផ្លូវ" អាចត្រូវបានជំនួសដោយហៅកម្មវិធីរបស់វា។ https://habr.com/post/354282/#comment_10782712

UPD4 ។ ការងារបន្តិចបន្តួចលើកំហុស (ខ្ញុំមិនបានបន្ថែមវាទៅក្នុងអត្ថបទទេ)៖
1) ជំនួសវិញ។ systemctl ផ្ទុកបក្សីឡើងវិញ វាសមហេតុផលក្នុងការប្រើពាក្យបញ្ជា birdc កំណត់រចនាសម្ព័ន្ធ.
2) នៅក្នុងរ៉ោតទ័រ Mikrotik ជំនួសឱ្យការផ្លាស់ប្តូរ Nexthop ទៅ IP នៃផ្នែកទីពីរនៃផ្លូវរូងក្រោមដី /routing filter add action=accept chain=dynamic-in protocol=bgp comment=»កំណត់ nexthop» set-in-nexthop=172.30.1.1 វាសមហេតុផលក្នុងការបញ្ជាក់ផ្លូវដោយផ្ទាល់ទៅកាន់ចំណុចប្រទាក់ផ្លូវរូងក្រោមដីដោយគ្មានអាសយដ្ឋាន /routing filter add action=accept chain=dynamic-in protocol=bgp comment=»កំណត់ nexthop» set-in-nexthop-direct=<ឈ្មោះចំណុចប្រទាក់>

UPD5 ។ សេវាកម្មថ្មីមួយបានបង្ហាញខ្លួន https://antifilter.downloadពីកន្លែងដែលអ្នកអាចយកបញ្ជីអាសយដ្ឋាន IP ដែលត្រៀមរួចជាស្រេច។ ធ្វើបច្ចុប្បន្នភាពរៀងរាល់កន្លះម៉ោង។ នៅផ្នែកខាងអតិថិជន អ្វីដែលនៅសេសសល់គឺត្រូវរៀបចំកំណត់ត្រាជាមួយនឹង "ផ្លូវ... បដិសេធ" ដែលត្រូវគ្នា។
ហើយនៅចំណុចនេះ ប្រហែលជាវាគ្រប់គ្រាន់ហើយក្នុងការអោបជីដូនរបស់អ្នក ហើយធ្វើបច្ចុប្បន្នភាពអត្ថបទ។

UPD6. កំណែដែលបានកែប្រែនៃអត្ថបទសម្រាប់អ្នកដែលមិនចង់ដោះស្រាយវា ប៉ុន្តែចង់ចាប់ផ្តើម - នៅទីនេះ.

ប្រភព: www.habr.com