ប្រធានបទ​នេះ​ត្រូវ​បាន​គេ​វាយ​ធ្វើ​បាប​ណាស់ ខ្ញុំ​ដឹង។ ជាឧទាហរណ៍មានដ៏អស្ចារ្យមួយ។ អត្ថបទប៉ុន្តែមានតែផ្នែក IP នៃបញ្ជីបិទប៉ុណ្ណោះដែលត្រូវបានចាត់ទុកថានៅទីនោះ។ យើងក៏នឹងបន្ថែមដែនផងដែរ។

ដោយសារតែការពិតដែលថាតុលាការនិង RKN រារាំងអ្វីៗទាំងអស់នៅខាងស្តាំនិងខាងឆ្វេងហើយអ្នកផ្តល់សេវាកំពុងព្យាយាមយ៉ាងខ្លាំងមិនឱ្យធ្លាក់នៅក្រោមការពិន័យដែលចេញដោយ Revizorro ការខាតបង់ដែលពាក់ព័ន្ធពីការទប់ស្កាត់គឺមានទំហំធំណាស់។ ហើយក្នុងចំណោមគេហទំព័រដែលត្រូវបានទប់ស្កាត់ "ដោយស្របច្បាប់" មានគេហទំព័រមានប្រយោជន៍ជាច្រើន (ជំរាបសួរ rutracker)

ខ្ញុំរស់នៅក្រៅយុត្តាធិការនៃ RKN ប៉ុន្តែឪពុកម្តាយ សាច់ញាតិ និងមិត្តភក្តិរបស់ខ្ញុំនៅតែនៅផ្ទះ។ ដូច្នេះវាត្រូវបានគេសម្រេចចិត្តបង្កើតវិធីងាយស្រួលសម្រាប់អ្នកដែលនៅឆ្ងាយពី IT ដើម្បីជៀសផុតពីការទប់ស្កាត់ ប្រសើរជាងដោយគ្មានការចូលរួមរបស់ពួកគេទាល់តែសោះ។

នៅក្នុងកំណត់ចំណាំនេះ ខ្ញុំនឹងមិនរៀបរាប់អំពីរឿងបណ្តាញមូលដ្ឋានជាជំហានៗទេ ប៉ុន្តែខ្ញុំនឹងរៀបរាប់អំពីគោលការណ៍ទូទៅនៃរបៀបដែលគ្រោងការណ៍នេះអាចត្រូវបានអនុវត្ត។ ដូច្នេះចំណេះដឹងអំពីរបៀបដែលបណ្តាញដំណើរការជាទូទៅ និងជាពិសេសនៅក្នុងលីនុចគឺត្រូវតែមាន។

ប្រភេទនៃសោ

ជាដំបូង សូមធ្វើឱ្យការចងចាំរបស់យើងឡើងវិញអំពីអ្វីដែលត្រូវបានរារាំង។

មានសោជាច្រើនប្រភេទនៅក្នុង XML ដែលមិនបានផ្ទុកពី RKN៖

• IP
• Домен
• URL

សម្រាប់ភាពសាមញ្ញ យើងនឹងកាត់បន្ថយវាទៅជាពីរ៖ IP និង domain ហើយយើងនឹងដក domain ចេញពីការទប់ស្កាត់ដោយ URL (ច្បាស់ជាងនេះទៅទៀត ពួកគេបានធ្វើវាសម្រាប់ពួកយើងរួចហើយ)។

មនុស្សល្អមកពី Roskomsvoboda បាន​ដឹង​ថា​អស្ចារ្យ​មួយ​ ការ APIតាមរយៈការដែលយើងអាចទទួលបានអ្វីដែលយើងត្រូវការ៖

• IP: https://api.reserve-rbl.ru/api/v2/ips/json
• ដែន៖ https://api.reserve-rbl.ru/api/v2/domains/json

ការចូលប្រើគេហទំព័រដែលត្រូវបានរារាំង

ដើម្បីធ្វើដូចនេះយើងត្រូវការ VPS បរទេសតូចៗមួយចំនួនដែលនិយមជាមួយចរាចរណ៍គ្មានដែនកំណត់ - មានច្រើននៃទាំងនេះសម្រាប់ 3-5 ដុល្លារ។ អ្នកត្រូវយកវានៅជិតបរទេស ដើម្បីកុំឱ្យ ping មិនធំខ្លាំង ប៉ុន្តែត្រូវគិតម្តងទៀតថា អ៊ីនធឺណែត និងភូមិសាស្ត្រមិនតែងតែស្របគ្នា។ ហើយដោយសារមិនមាន SLA សម្រាប់ 5 ដុល្លារ វាជាការប្រសើរជាងក្នុងការយក 2+ បំណែកពីអ្នកផ្តល់សេវាផ្សេងៗគ្នាសម្រាប់ការអត់ឱនចំពោះកំហុស។

បន្ទាប់យើងត្រូវរៀបចំផ្លូវរូងក្រោមដីដែលបានអ៊ិនគ្រីបពីរ៉ោតទ័រអតិថិជនទៅ VPS ។ ខ្ញុំប្រើ Wireguard ជាការដំឡើងលឿនបំផុត និងងាយស្រួលបំផុត។ ខ្ញុំក៏មានរ៉ោតទ័រអតិថិជនផ្អែកលើលីនុច (APU2 ឬអ្វីមួយនៅក្នុង OpenWRT) ។ ក្នុងករណី Mikrotik / Cisco មួយចំនួន អ្នកអាចប្រើពិធីការដែលមាននៅលើពួកវាដូចជា OpenVPN និង GRE-over-IPSEC ។

ការកំណត់អត្តសញ្ញាណ និងការបញ្ជូនបន្តនៃចរាចរណ៍ចំណាប់អារម្មណ៍

ជា​ការ​ពិត​ណាស់ អ្នក​អាច​បិទ​ចរាចរណ៍​អ៊ីនធឺណិត​ទាំង​អស់​តាម​រយៈ​បរទេស។ ប៉ុន្តែ ភាគច្រើនទំនងជាល្បឿននៃការធ្វើការជាមួយមាតិកាក្នុងស្រុកនឹងរងទុក្ខយ៉ាងខ្លាំងពីបញ្ហានេះ។ លើសពីនេះ តម្រូវការកម្រិតបញ្ជូននៅលើ VPS នឹងខ្ពស់ជាងច្រើន។

ដូច្នេះ យើងនឹងត្រូវបែងចែកចរាចរណ៍ទៅកាន់គេហទំព័រដែលត្រូវបានរារាំង ហើយជ្រើសរើសវាទៅផ្លូវរូងក្រោមដីដោយជ្រើសរើស។ ទោះបីជាចរាចរណ៍ "បន្ថែម" ខ្លះទៅដល់ទីនោះក៏ដោយ វានៅតែប្រសើរជាងការបើកបរគ្រប់យ៉ាងតាមរូងក្រោមដី។

ដើម្បីគ្រប់គ្រងចរាចរណ៍ យើងនឹងប្រើពិធីការ BGP និងប្រកាសផ្លូវទៅកាន់បណ្តាញចាំបាច់ពី VPS របស់យើងទៅកាន់អតិថិជន។ ចូរយក BIRD ជាដេមិន BGP ដែលមានមុខងារ និងងាយស្រួលបំផុតមួយ។

IP

ជាមួយនឹងការទប់ស្កាត់ដោយ IP អ្វីគ្រប់យ៉ាងគឺច្បាស់: យើងគ្រាន់តែប្រកាស IPs ដែលត្រូវបានទប់ស្កាត់ទាំងអស់ជាមួយ VPS ។ បញ្ហាគឺថាមានបណ្តាញរងប្រហែល 600 ពាន់នៅក្នុងបញ្ជីដែល API ត្រលប់មកវិញ ហើយភាគច្រើននៃពួកគេគឺជា /32 hosts ។ ចំនួនផ្លូវនេះអាចច្រឡំរ៉ោតទ័រម៉ាស៊ីនភ្ញៀវខ្សោយ។

ដូច្នេះនៅពេលដំណើរការបញ្ជីវាត្រូវបានសម្រេចចិត្តសង្ខេបរហូតដល់បណ្តាញ / 24 ប្រសិនបើវាមានម៉ាស៊ីន 2 ឬច្រើន។ ដូច្នេះចំនួនផ្លូវត្រូវបានកាត់បន្ថយមកត្រឹម ~ 100 ពាន់។ ស្គ្រីបសម្រាប់រឿងនេះនឹងធ្វើតាម។

ដែន

វាកាន់តែស្មុគស្មាញ ហើយមានវិធីជាច្រើន។ ឧទាហរណ៍ អ្នកអាចដំឡើង Squid ថ្លានៅលើរ៉ោតទ័រម៉ាស៊ីនភ្ញៀវនីមួយៗ ហើយធ្វើការស្ទាក់ចាប់ HTTP នៅទីនោះ ហើយចូលទៅចាប់ដៃ TLS ដើម្បីទទួលបាន URL ដែលបានស្នើសុំនៅក្នុងករណីទីមួយ និងដែនពី SNI នៅក្នុងទីពីរ។

ប៉ុន្តែដោយសារតែគ្រប់ប្រភេទនៃ TLS1.3 + eSNI ដែលទើបនឹងកើតថ្មី ការវិភាគ HTTPS កាន់តែតិចទៅៗជារៀងរាល់ថ្ងៃ។ បាទ/ចាស ហើយហេដ្ឋារចនាសម្ព័ន្ធនៅខាងអតិថិជនកាន់តែស្មុគស្មាញ - អ្នកនឹងត្រូវប្រើយ៉ាងហោចណាស់ OpenWRT ។

ដូច្នេះហើយ ខ្ញុំបានសម្រេចចិត្តយកផ្លូវនៃការស្ទាក់ចាប់ការឆ្លើយតបទៅនឹងសំណើ DNS ។ នៅទីនេះផងដែរ DNS-over-TLS / HTTPS ណាមួយចាប់ផ្តើមដាក់ពីលើក្បាលរបស់អ្នក ប៉ុន្តែយើងអាច (សម្រាប់ពេលនេះ) គ្រប់គ្រងផ្នែកនេះនៅលើម៉ាស៊ីនភ្ញៀវ - បិទវា ឬប្រើម៉ាស៊ីនមេផ្ទាល់ខ្លួនរបស់អ្នកសម្រាប់ DoT / DoH ។

តើធ្វើដូចម្តេចដើម្បីរារាំង DNS?

នៅទីនេះផងដែរ អាចមានវិធីសាស្រ្តជាច្រើន។

• ការស្ទាក់ចាប់ចរាចរ DNS តាមរយៈ PCAP ឬ NFLOG
  វិធីសាស្រ្តទាំងពីរនៃការស្ទាក់ចាប់នេះត្រូវបានអនុវត្តនៅក្នុងឧបករណ៍ប្រើប្រាស់ ស៊ីដម៉ាត. ប៉ុន្តែ​វា​មិន​ត្រូវ​បាន​គាំទ្រ​ជា​យូរ​មក​ហើយ​ហើយ​មុខងារ​គឺ​មាន​លក្ខណៈ​ដើម​បំផុត ដូច្នេះ​អ្នក​នៅ​តែ​ត្រូវ​សរសេរ​ខ្សែ​សម្រាប់​វា។
• ការវិភាគកំណត់ហេតុម៉ាស៊ីនមេ DNS
  ជាអកុសល អ្នកបង្កើតឡើងវិញដែលស្គាល់ខ្ញុំមិនអាចកត់ត្រាការឆ្លើយតបបានទេ ប៉ុន្តែមានតែសំណើប៉ុណ្ណោះ។ ជាគោលការណ៍ នេះគឺឡូជីខល ព្រោះមិនដូចសំណើ ចម្លើយមានរចនាសម្ព័ន្ធស្មុគស្មាញ ហើយវាពិបាកក្នុងការសរសេរវាជាទម្រង់អត្ថបទ។
• DNSTap
  ជាសំណាងល្អ ពួកគេជាច្រើនបានគាំទ្រ DNSTap រួចហើយសម្រាប់គោលបំណងនេះ។

តើ DNSTap ជាអ្វី?

វាគឺជាពិធីការម៉ាស៊ីនភ្ញៀវ-ម៉ាស៊ីនមេ ដែលផ្អែកលើប្រូតូកូល ប៊ូហ្វេ និងស្ទ្រីមស៊ុមសម្រាប់ផ្ទេរពីម៉ាស៊ីនមេ DNS ទៅកាន់អ្នកប្រមូលសំណួរ និងការឆ្លើយតប DNS ដែលមានរចនាសម្ព័ន្ធ។ សំខាន់ម៉ាស៊ីនមេ DNS បញ្ជូនសំណួរ និងទិន្នន័យមេតាឆ្លើយតប (ប្រភេទនៃសារ អតិថិជន/ម៉ាស៊ីនមេ IP ។

វាជាការសំខាន់ដែលត្រូវយល់ថានៅក្នុងគំរូ DNSTap ម៉ាស៊ីនមេ DNS ដើរតួជាអតិថិជន ហើយអ្នកប្រមូលដើរតួជាម៉ាស៊ីនមេ។ នោះគឺម៉ាស៊ីនមេ DNS ភ្ជាប់ទៅអ្នកប្រមូល និងមិនផ្ទុយមកវិញ។

សព្វថ្ងៃនេះ DNSTap ត្រូវបានគាំទ្រនៅក្នុងម៉ាស៊ីនមេ DNS ដ៏ពេញនិយមទាំងអស់។ ប៉ុន្តែជាឧទាហរណ៍ BIND នៅក្នុងការចែកចាយជាច្រើន (ដូចជា Ubuntu LTS) ជាញឹកញាប់ត្រូវបានបង្កើតឡើងសម្រាប់ហេតុផលមួយចំនួនដោយគ្មានការគាំទ្ររបស់វា។ ដូច្នេះ ចូរយើងកុំធុញទ្រាន់នឹងការផ្គុំឡើងវិញ ប៉ុន្តែត្រូវប្រើឧបករណ៍បង្កើតឡើងវិញដែលស្រាលជាងមុន និងលឿនជាងមុន - Unbound ។

តើធ្វើដូចម្តេចដើម្បីចាប់ DNSTap?

មាន ខ្លះ បរិមាណ។ ឧបករណ៍ប្រើប្រាស់ CLI សម្រាប់ធ្វើការជាមួយស្ទ្រីមនៃព្រឹត្តិការណ៍ DNSTap ប៉ុន្តែវាមិនសមរម្យសម្រាប់ការដោះស្រាយបញ្ហារបស់យើងទេ។ ដូច្នេះហើយ ខ្ញុំបានសម្រេចចិត្តបង្កើតកង់ផ្ទាល់ខ្លួនរបស់ខ្ញុំ ដែលនឹងធ្វើអ្វីគ្រប់យ៉ាងដែលចាំបាច់៖ dnstap-bgp

ក្បួនដោះស្រាយការងារ៖

• នៅពេលបើកដំណើរការ វាផ្ទុកបញ្ជីដែនពីឯកសារអត្ថបទ បញ្ច្រាសពួកវា (habr.com -> com.habr) មិនរាប់បញ្ចូលបន្ទាត់ដែលខូច ស្ទួន និងដែនរង (ឧ. ប្រសិនបើបញ្ជីមាន habr.com និង www.habr.com, វា​នឹង​ត្រូវ​បាន​ផ្ទុក​តែ​មួយ​ដំបូង​ប៉ុណ្ណោះ​) និង​បង្កើត​មែកធាង​បុព្វបទ​សម្រាប់​ការ​ស្វែង​រក​យ៉ាង​លឿន​តាម​រយៈ​បញ្ជី​នេះ​
• ដើរតួជាម៉ាស៊ីនមេ DNSTap វារង់ចាំការតភ្ជាប់ពីម៉ាស៊ីនមេ DNS ។ ជាគោលការណ៍ វាគាំទ្រទាំងរន្ធ UNIX និង TCP ប៉ុន្តែម៉ាស៊ីនមេ DNS ដែលខ្ញុំស្គាល់អាចប្រើតែរន្ធ UNIX ប៉ុណ្ណោះ។
• កញ្ចប់ DNSTap ចូលត្រូវបានបំប្លែងទៅជារចនាសម្ព័ន្ធ Protobuf ហើយបន្ទាប់មកសារ DNS គោលពីរដែលមានទីតាំងនៅក្នុងវាល Protobuf មួយត្រូវបានញែកទៅជាកម្រិតនៃកំណត់ត្រា DNS RR
• វាត្រូវបានពិនិត្យថាតើម៉ាស៊ីនដែលបានស្នើសុំ (ឬដែនមេរបស់វា) ស្ថិតនៅក្នុងបញ្ជីដែលបានផ្ទុក ឬអត់ ការឆ្លើយតបនឹងមិនត្រូវបានអើពើ
• មានតែ A/AAAA/CNAME RRs ប៉ុណ្ណោះដែលត្រូវបានជ្រើសរើសពីការឆ្លើយតប ហើយអាសយដ្ឋាន IPv4/IPv6 ដែលត្រូវគ្នាត្រូវបានស្រង់ចេញពីពួកវា
• អាសយដ្ឋាន IP ត្រូវបានទុកក្នុងឃ្លាំងសម្ងាត់ជាមួយ TTL ដែលអាចកំណត់រចនាសម្ព័ន្ធបាន ហើយត្រូវបានផ្សព្វផ្សាយទៅមិត្តរួម BGP ដែលបានកំណត់រចនាសម្ព័ន្ធទាំងអស់
• នៅពេលទទួលបានការឆ្លើយតបដែលចង្អុលទៅ IP ដែលបានរក្សាទុករួចហើយ TTL របស់វាត្រូវបានធ្វើបច្ចុប្បន្នភាព
• បន្ទាប់ពី TTL ផុតកំណត់ ធាតុត្រូវបានដកចេញពីឃ្លាំងសម្ងាត់ និងពីការប្រកាស BGP

មុខងារបន្ថែម៖

• ការអានបញ្ជីដែនឡើងវិញដោយ SIGHUP
• ការរក្សាឃ្លាំងសម្ងាត់ឱ្យស៊ីសង្វាក់គ្នាជាមួយវត្ថុផ្សេងៗ dnstap-bgp តាមរយៈ HTTP/JSON
• ស្ទួនឃ្លាំងសម្ងាត់នៅលើថាស (ក្នុងមូលដ្ឋានទិន្នន័យ BoltDB) ដើម្បីស្ដារមាតិការបស់វាឡើងវិញបន្ទាប់ពីការចាប់ផ្តើមឡើងវិញ
• ការ​គាំទ្រ​សម្រាប់​ការ​ផ្លាស់​ប្តូ​រ​ទៅ​ទំហំ​ឈ្មោះ​ប​ណ្តា​ញ​ផ្សេង​គ្នា (ហេតុ​អ្វី​បាន​ជា​វា​ត្រូវ​បាន​នឹង​ត្រូវ​បាន​ពិពណ៌នា​ខាងក្រោម​)
• ការគាំទ្រ IPv6

ដែនកំណត់:

• ដែន IDN មិន​ទាន់​ត្រូវ​បាន​គាំទ្រ​នៅ​ឡើយ​ទេ។
• ការកំណត់ BGP មួយចំនួន

ខ្ញុំបានប្រមូល RPM និង DEB កញ្ចប់សម្រាប់ការដំឡើងងាយស្រួល។ គួរតែដំណើរការលើ OS ថ្មីៗទាំងអស់ដែលមាន systemd។ ពួកគេមិនមានភាពអាស្រ័យណាមួយទេ។

គម្រោងនេះ

ដូច្នេះ ចូរ​យើង​ចាប់​ផ្តើ​ម​ផ្គុំ​សមាសធាតុ​ទាំង​អស់​ជាមួយ​គ្នា។ ជាលទ្ធផល យើងគួរតែទទួលបានអ្វីមួយដូចជា topology បណ្តាញនេះ៖

តក្កវិជ្ជានៃការងារ ខ្ញុំគិតថាច្បាស់ពីដ្យាក្រាម៖

• ម៉ាស៊ីនភ្ញៀវមានម៉ាស៊ីនមេរបស់យើងដែលបានកំណត់រចនាសម្ព័ន្ធជា DNS ហើយសំណួរ DNS ក៏ត្រូវតែឆ្លងកាត់ VPN ផងដែរ។ នេះគឺចាំបាច់ដើម្បីឱ្យអ្នកផ្តល់សេវាមិនអាចប្រើការស្ទាក់ចាប់ DNS ដើម្បីទប់ស្កាត់។
• នៅពេលបើកគេហទំព័រ អតិថិជនផ្ញើសំណួរ DNS ដូចជា "អ្វីជា IPs របស់ xxx.org"
• unbound ដោះស្រាយ xxx.org (ឬយកវាចេញពីឃ្លាំងសម្ងាត់) ហើយផ្ញើការឆ្លើយតបទៅអតិថិជន “xxx.org មាន IP បែបនេះ” ដោយចម្លងវាស្របគ្នាតាមរយៈ DNSTap
• dnstap-bgp ប្រកាសអាសយដ្ឋានទាំងនេះនៅក្នុង ប៊ី តាមរយៈ BGP ប្រសិនបើដែនស្ថិតនៅក្នុងបញ្ជីបិទ
• ប៊ី ផ្សព្វផ្សាយផ្លូវទៅកាន់ IP ទាំងនេះជាមួយ next-hop self រ៉ោតទ័រម៉ាស៊ីនភ្ញៀវ
• កញ្ចប់ជាបន្តបន្ទាប់ពីអតិថិជនទៅ IP ទាំងនេះឆ្លងកាត់ផ្លូវរូងក្រោមដី

នៅលើម៉ាស៊ីនមេ សម្រាប់ផ្លូវទៅកាន់គេហទំព័រដែលត្រូវបានរារាំង ខ្ញុំប្រើតារាងដាច់ដោយឡែកមួយនៅខាងក្នុង BIRD ហើយវាមិនប្រសព្វជាមួយ OS តាមមធ្យោបាយណាមួយឡើយ។

គ្រោងការណ៍នេះមានគុណវិបត្តិមួយ៖ កញ្ចប់ SYN ដំបូងពីអតិថិជន ដែលទំនងជានឹងមានពេលវេលាដើម្បីចាកចេញតាមរយៈអ្នកផ្តល់សេវាក្នុងស្រុក។ ផ្លូវមិនត្រូវបានប្រកាសភ្លាមៗទេ។ ហើយនៅទីនេះជម្រើសគឺអាចធ្វើទៅបានអាស្រ័យលើរបៀបដែលអ្នកផ្តល់សេវាធ្វើការទប់ស្កាត់។ ប្រសិន​បើ​គាត់​គ្រាន់​តែ​ធ្វើ​ចរាចរណ៍​មិន​មាន​បញ្ហា​នោះ​ទេ។ ហើយប្រសិនបើគាត់ប្តូរទិសវាទៅ DPI ខ្លះនោះ (តាមទ្រឹស្តី) ផលប៉ះពាល់ពិសេសអាចធ្វើទៅបាន។

វាក៏អាចទៅរួចដែរដែលអតិថិជនមិនគោរពអព្ភូតហេតុ DNS TTL ដែលអាចបណ្តាលឱ្យម៉ាស៊ីនភ្ញៀវប្រើធាតុជាប់គាំងមួយចំនួនពីឃ្លាំងសម្ងាត់ដែលរលួយរបស់វាជំនួសឱ្យការសួរ Unbound ។

នៅក្នុងការអនុវត្ត មិនថាទីមួយ ឬទីពីរបង្កបញ្ហាសម្រាប់ខ្ញុំទេ ប៉ុន្តែចម្ងាយរបស់អ្នកអាចប្រែប្រួល។

ការលៃតម្រូវម៉ាស៊ីនមេ

ដើម្បីភាពងាយស្រួលនៃការរមៀលខ្ញុំបានសរសេរ តួនាទីរបស់ Ansible. វាអាចកំណត់រចនាសម្ព័ន្ធទាំងម៉ាស៊ីនមេ និងម៉ាស៊ីនភ្ញៀវដោយផ្អែកលើលីនុច (ត្រូវបានរចនាឡើងសម្រាប់ការចែកចាយដែលមានមូលដ្ឋានលើ deb) ។ ការកំណត់ទាំងអស់គឺច្បាស់ណាស់ ហើយត្រូវបានកំណត់នៅក្នុង inventory.yml. តួនាទីនេះត្រូវបានកាត់ចេញពីសៀវភៅលេងដ៏ធំរបស់ខ្ញុំ ដូច្នេះវាអាចមានកំហុស - ទាញសំណើ សូមស្វាគមន៍ 🙂

ចូរយើងឆ្លងកាត់សមាសធាតុសំខាន់ៗ។

ប៊ី។ ជី។ ភី

ការដំណើរការដេមិន BGP ពីរនៅលើម៉ាស៊ីនដូចគ្នាមានបញ្ហាជាមូលដ្ឋាន: BIRD មិនចង់ដំឡើង BGP peering ជាមួយ localhost (ឬចំណុចប្រទាក់មូលដ្ឋានណាមួយ) ។ ពីពាក្យទាំងស្រុង។ Googling និងការអានបញ្ជីសំបុត្ររួមមិនបានជួយទេ ពួកគេអះអាងថានេះគឺដោយសារការរចនា។ ប្រហែល​ជា​មាន​វិធី​ខ្លះ ប៉ុន្តែ​ខ្ញុំ​រក​មិន​ឃើញ។

អ្នកអាចសាកល្បងដេមិន BGP មួយផ្សេងទៀត ប៉ុន្តែខ្ញុំចូលចិត្ត BIRD ហើយវាត្រូវបានប្រើគ្រប់ទីកន្លែងដោយខ្ញុំ ខ្ញុំមិនចង់បង្កើតអង្គភាពទេ។

ដូច្នេះហើយ ខ្ញុំបានលាក់ dnstap-bgp នៅខាងក្នុង network namespace ដែលត្រូវបានភ្ជាប់ទៅ root តាមរយៈ veth interface៖ វាដូចជាបំពង់មួយ ចុងបញ្ចប់ដែលជាប់នៅក្នុង namespaces ផ្សេងៗ។ នៅចុងនីមួយៗ យើងព្យួរអាសយដ្ឋាន IP ឯកជន p2p ដែលមិនហួសពីម៉ាស៊ីន ដូច្នេះពួកវាអាចជាអ្វីក៏បាន។ នេះគឺជាយន្តការដូចគ្នាដែលប្រើដើម្បីចូលដំណើរការខាងក្នុង ស្រឡាញ់ដោយទាំងអស់។ Docker និងធុងផ្សេងទៀត។

សម្រាប់រឿងនេះវាត្រូវបានសរសេរ ស្គ្រីប ហើយមុខងារដែលបានពិពណ៌នាខាងលើរួចហើយសម្រាប់ការអូសខ្លួនអ្នកដោយសក់ទៅកន្លែងឈ្មោះផ្សេងទៀតត្រូវបានបន្ថែមទៅ dnstap-bgp ។ ដោយសារតែនេះ វាត្រូវតែដំណើរការជា root ឬចេញទៅកាន់ CAP_SYS_ADMIN binary តាមរយៈពាក្យបញ្ជា setcap ។

ឧទាហរណ៍ស្គ្រីបសម្រាប់បង្កើត namespace

#!/bin/bash

NS="dtap"

IP="/sbin/ip"
IPNS="$IP netns exec $NS $IP"

IF_R="veth-$NS-r"
IF_NS="veth-$NS-ns"

IP_R="192.168.149.1"
IP_NS="192.168.149.2"

/bin/systemctl stop dnstap-bgp || true

$IP netns del $NS > /dev/null 2>&1
$IP netns add $NS

$IP link add $IF_R type veth peer name $IF_NS
$IP link set $IF_NS netns $NS

$IP addr add $IP_R remote $IP_NS dev $IF_R
$IP link set $IF_R up

$IPNS addr add $IP_NS remote $IP_R dev $IF_NS
$IPNS link set $IF_NS up

/bin/systemctl start dnstap-bgp

dnstap-bgp.conf

namespace = "dtap"
domains = "/var/cache/rkn_domains.txt"
ttl = "168h"

[dnstap]
listen = "/tmp/dnstap.sock"
perm = "0666"

[bgp]
as = 65000
routerid = "192.168.149.2"

peers = [
    "192.168.149.1",
]

bird.conf

router id 192.168.1.1;

table rkn;

# Clients
protocol bgp bgp_client1 {
    table rkn;
    local as 65000;
    neighbor 192.168.1.2 as 65000;
    direct;
    bfd on;
    next hop self;
    graceful restart;
    graceful restart time 60;
    export all;
    import none;
}

# DNSTap-BGP
protocol bgp bgp_dnstap {
    table rkn;
    local as 65000;
    neighbor 192.168.149.2 as 65000;
    direct;
    passive on;
    rr client;
    import all;
    export none;
}

# Static routes list
protocol static static_rkn {
    table rkn;
    include "rkn_routes.list";
    import all;
    export none;
}

rkn_routes.list

route 3.226.79.85/32 via "ens3";
route 18.236.189.0/24 via "ens3";
route 3.224.21.0/24 via "ens3";
...

ឈ្មោះ DNS

តាមលំនាំដើម នៅក្នុងអ៊ូប៊ុនទូ ប្រព័ន្ធគោលពីរ Unbound ត្រូវបានតោងដោយទម្រង់ AppArmor ដែលហាមឃាត់វាពីការភ្ជាប់ទៅគ្រប់ប្រភេទនៃរន្ធ DNSTap ។ អ្នកអាចលុបទម្រង់នេះ ឬបិទវា៖

# cd /etc/apparmor.d/disable && ln -s ../usr.sbin.unbound .
# apparmor_parser -R /etc/apparmor.d/usr.sbin.unbound

នេះប្រហែលជាត្រូវបន្ថែមទៅសៀវភៅលេង។ ជាការពិតណាស់ វាជាការល្អក្នុងការកែទម្រង់ និងចេញសិទ្ធិចាំបាច់ ប៉ុន្តែខ្ញុំខ្ជិលពេក។

unbound.conf

server:
    chroot: ""
    port: 53
    interface: 0.0.0.0
    root-hints: "/var/lib/unbound/named.root"
    auto-trust-anchor-file: "/var/lib/unbound/root.key"
    access-control: 192.168.0.0/16 allow

remote-control:
    control-enable: yes
    control-use-cert: no

dnstap:
    dnstap-enable: yes
    dnstap-socket-path: "/tmp/dnstap.sock"
    dnstap-send-identity: no
    dnstap-send-version: no

    dnstap-log-client-response-messages: yes

កំពុងទាញយក និងដំណើរការបញ្ជី

ស្គ្រីបសម្រាប់ការទាញយក និងដំណើរការបញ្ជីអាសយដ្ឋាន IP
វាទាញយកបញ្ជី សរុបទៅបុព្វបទ pfx។ នេះ dont_add и dont_សង្ខេប អ្នកអាចប្រាប់ IP និងបណ្តាញឱ្យរំលង ឬមិនសង្ខេប។ ខ្ញុំត្រូវការវា។ បណ្តាញរងនៃ VPS របស់ខ្ញុំគឺនៅក្នុងបញ្ជីបិទ🙂

រឿងគួរឱ្យអស់សំណើចគឺថា RosKomSvoboda API រារាំងសំណើជាមួយភ្នាក់ងារអ្នកប្រើប្រាស់ Python លំនាំដើម។ មើល​ទៅ​ដូច​ជា script-kiddy ទទួល​បាន​វា។ ដូច្នេះយើងប្តូរវាទៅជា Ognelis ។

រហូតមកដល់ពេលនេះ វាដំណើរការតែជាមួយ IPv4 ប៉ុណ្ណោះ។ ចំណែកនៃ IPv6 គឺតូចប៉ុន្តែវានឹងងាយស្រួលក្នុងការជួសជុល។ លុះត្រាតែអ្នកត្រូវប្រើ bird6 ផងដែរ។

rkn.py

#!/usr/bin/python3

import json, urllib.request, ipaddress as ipa

url = 'https://api.reserve-rbl.ru/api/v2/ips/json'
pfx = '24'

dont_summarize = {
    # ipa.IPv4Network('1.1.1.0/24'),
}

dont_add = {
    # ipa.IPv4Address('1.1.1.1'),
}

req = urllib.request.Request(
    url,
    data=None, 
    headers={
        'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.47 Safari/537.36'
    }
)

f = urllib.request.urlopen(req)
ips = json.loads(f.read().decode('utf-8'))

prefix32 = ipa.IPv4Address('255.255.255.255')

r = {}
for i in ips:
    ip = ipa.ip_network(i)
    if not isinstance(ip, ipa.IPv4Network):
        continue

    addr = ip.network_address

    if addr in dont_add:
        continue

    m = ip.netmask
    if m != prefix32:
        r[m] = [addr, 1]
        continue

    sn = ipa.IPv4Network(str(addr) + '/' + pfx, strict=False)

    if sn in dont_summarize:
        tgt = addr
    else:
        tgt = sn

    if not sn in r:
        r[tgt] = [addr, 1]
    else:
        r[tgt][1] += 1

o = []
for n, v in r.items():
    if v[1] == 1:
        o.append(str(v[0]) + '/32')
    else:
        o.append(n)

for k in o:
    print(k)

ស្គ្រីបដើម្បីធ្វើបច្ចុប្បន្នភាព
ខ្ញុំដំណើរការវានៅលើមកុដម្តងក្នុងមួយថ្ងៃ ប្រហែលជាវាមានតម្លៃទាញវារៀងរាល់ 4 ម៉ោងម្តង។ តាមគំនិតរបស់ខ្ញុំ នេះគឺជារយៈពេលបន្តដែល RKN ទាមទារពីអ្នកផ្តល់សេវា។ លើសពីនេះ ពួកគេមានការទប់ស្កាត់បន្ទាន់មួយចំនួនទៀត ដែលអាចនឹងមកដល់លឿនជាងមុន។

ធ្វើដូចខាងក្រោមៈ

• ដំណើរការស្គ្រីបដំបូង និងធ្វើបច្ចុប្បន្នភាពបញ្ជីផ្លូវ (rkn_routes.list) សម្រាប់ BIRD
• ផ្ទុក BIRD ឡើងវិញ
• ធ្វើបច្ចុប្បន្នភាព និងសម្អាតបញ្ជីដែនសម្រាប់ dnstap-bgp
• ផ្ទុក dnstap-bgp ឡើងវិញ

rkn_update.sh

#!/bin/bash

ROUTES="/etc/bird/rkn_routes.list"
DOMAINS="/var/cache/rkn_domains.txt"

# Get & summarize routes
/opt/rkn.py | sed 's/(.*)/route 1 via "ens3";/' > $ROUTES.new

if [ $? -ne 0 ]; then
    rm -f $ROUTES.new
    echo "Unable to download RKN routes"
    exit 1
fi

if [ -e $ROUTES ]; then
    mv $ROUTES $ROUTES.old
fi

mv $ROUTES.new $ROUTES

/bin/systemctl try-reload-or-restart bird

# Get domains
curl -s https://api.reserve-rbl.ru/api/v2/domains/json -o - | jq -r '.[]' | sed 's/^*.//' | sort | uniq > $DOMAINS.new

if [ $? -ne 0 ]; then
    rm -f $DOMAINS.new
    echo "Unable to download RKN domains"
    exit 1
fi

if [ -e $DOMAINS ]; then
    mv $DOMAINS $DOMAINS.old
fi

mv $DOMAINS.new $DOMAINS

/bin/systemctl try-reload-or-restart dnstap-bgp

ពួកគេត្រូវបានសរសេរដោយគ្មានការគិតច្រើន ដូច្នេះប្រសិនបើអ្នកឃើញអ្វីមួយដែលអាចកែលម្អបាន ចូរទៅរកវា។

ការដំឡើងអតិថិជន

នៅទីនេះខ្ញុំនឹងផ្តល់ឧទាហរណ៍សម្រាប់រ៉ោតទ័រលីនុច ប៉ុន្តែក្នុងករណី Mikrotik / Cisco វាគួរតែកាន់តែងាយស្រួលជាង។

ដំបូងយើងរៀបចំ BIRD:

bird.conf

router id 192.168.1.2;
table rkn;

protocol device {
    scan time 10;
};

# Servers
protocol bgp bgp_server1 {
    table rkn;
    local as 65000;
    neighbor 192.168.1.1 as 65000;
    direct;
    bfd on;
    next hop self;
    graceful restart;
    graceful restart time 60;
    rr client;
    export none;
    import all;
}

protocol kernel {
    table rkn;
    kernel table 222;
    scan time 10;
    export all;
    import none;
}

ដូច្នេះ យើងនឹងធ្វើសមកាលកម្មផ្លូវដែលបានទទួលពី BGP ជាមួយនឹងតារាងនាំផ្លូវខឺណែលលេខ 222។

បន្ទាប់ពីនោះ វាគ្រប់គ្រាន់ហើយក្នុងការសួរខឺណែលមើលចាននេះមុននឹងមើលលំនាំដើមមួយ៖

# ip rule add from all pref 256 lookup 222
# ip rule
0:  from all lookup local
256:    from all lookup 222
32766:  from all lookup main
32767:  from all lookup default

អ្វីគ្រប់យ៉ាងវានៅសល់ដើម្បីកំណត់រចនាសម្ព័ន្ធ DHCP នៅលើរ៉ោតទ័រដើម្បីចែកចាយអាសយដ្ឋាន IP ផ្លូវរូងក្រោមដីរបស់ម៉ាស៊ីនមេជា DNS ហើយគ្រោងការណ៍គឺរួចរាល់។

កំហុស

ជាមួយនឹងក្បួនដោះស្រាយបច្ចុប្បន្នសម្រាប់បង្កើត និងដំណើរការបញ្ជីដែន វារួមបញ្ចូល ក្នុងចំណោមរបស់ផ្សេងទៀត youtube.com និង CDNs របស់វា។

ហើយនេះនាំឱ្យមានការពិតដែលថាវីដេអូទាំងអស់នឹងឆ្លងកាត់ VPN ដែលអាចស្ទះឆានែលទាំងមូល។ ប្រហែលជាវាមានតម្លៃក្នុងការចងក្រងបញ្ជីនៃ domains-exclusions ដ៏ពេញនិយមដែលរារាំង RKN សម្រាប់ពេលនេះ ពោះវៀនគឺស្តើង។ ហើយរំលងពួកវានៅពេលញែក។

សេចក្តីសន្និដ្ឋាន

វិធីសាស្រ្តដែលបានពិពណ៌នាអនុញ្ញាតឱ្យអ្នករំលងស្ទើរតែរាល់ការទប់ស្កាត់ដែលអ្នកផ្តល់សេវាអនុវត្តបច្ចុប្បន្ន។

ជាទូទៅ, dnstap-bgp អាចត្រូវបានប្រើសម្រាប់គោលបំណងផ្សេងទៀតដែលកម្រិតនៃការគ្រប់គ្រងចរាចរណ៍ត្រូវបានត្រូវការដោយផ្អែកលើឈ្មោះដែន។ សូមចងចាំថានៅក្នុងសម័យរបស់យើង គេហទំព័រមួយពាន់អាចព្យួរនៅលើអាសយដ្ឋាន IP ដូចគ្នា (ឧទាហរណ៍នៅខាងក្រោយ Cloudflare មួយចំនួន) ដូច្នេះវិធីសាស្ត្រនេះមានភាពត្រឹមត្រូវទាប។

ប៉ុន្តែ​សម្រាប់​តម្រូវ​ការ​នៃ​ការ​បិទ​សោ​គឺ​គ្រប់គ្រាន់​ហើយ។

ការបន្ថែម ការកែសម្រួល ទាញសំណើ - សូមស្វាគមន៍!

ប្រភព: www.habr.com