🥇Configuring BGP to bypass blocking, ຫຼື “ຂ້ອຍເຊົາຢ້ານ ແລະຕົກຫລຸມຮັກກັບ RKN ໄດ້ແນວໃດ”

ດີ, ບໍ່ເປັນຫຍັງ, ກ່ຽວກັບ "ຮັກ" ແມ່ນການເວົ້າເກີນຈິງ. ແທນທີ່ຈະ, "ສາມາດຢູ່ຮ່ວມກັນ."

ດັ່ງທີ່ທ່ານຮູ້, ຕັ້ງແຕ່ວັນທີ 16 ເດືອນເມສາປີ 2018, Roskomnadzor ໄດ້ສະກັດກັ້ນການເຂົ້າເຖິງຊັບພະຍາກອນໃນອິນເຕີເນັດໃນຂອບເຂດທີ່ກວ້າງຂວາງ, ເພີ່ມ "ການລົງທະບຽນຊື່ໂດເມນ, ດັດສະນີຫນ້າຂອງສະຖານທີ່ໃນອິນເຕີເນັດແລະເຄືອຂ່າຍທີ່ອະນຸຍາດໃຫ້ກໍານົດສະຖານທີ່. ໃນອິນເຕີເນັດ,” ປະກອບດ້ວຍຂໍ້ມູນຂ່າວສານການແຈກຢາຍທີ່ຖືກຫ້າມໃນສະຫະພັນລັດເຊຍ” (ໃນຂໍ້ຄວາມ - ພຽງແຕ່ລົງທະບຽນ) ໂດຍ /10 ບາງຄັ້ງ. ດັ່ງນັ້ນ, ພົນລະເມືອງຂອງສະຫະພັນລັດເຊຍແລະທຸລະກິດໄດ້ຮັບຄວາມທຸກທໍລະມານ, ໄດ້ສູນເສຍການເຂົ້າເຖິງຊັບພະຍາກອນທາງດ້ານກົດຫມາຍຢ່າງສົມບູນທີ່ພວກເຂົາຕ້ອງການ.

ຫຼັງຈາກທີ່ຂ້າພະເຈົ້າໄດ້ກ່າວໃນຄໍາເຫັນກັບຫນຶ່ງໃນບົດຄວາມກ່ຽວກັບ Habre ວ່າຂ້າພະເຈົ້າພ້ອມທີ່ຈະຊ່ວຍເຫຼືອຜູ້ຖືກເຄາະຮ້າຍໃນການສ້າງຕັ້ງໂຄງການ bypass, ປະຊາຊົນຈໍານວນຫຼາຍມາຫາຂ້າພະເຈົ້າຂໍການຊ່ວຍເຫຼືອດັ່ງກ່າວ. ໃນເວລາທີ່ທຸກສິ່ງທຸກຢ່າງເຮັດວຽກສໍາລັບພວກເຂົາ, ຫນຶ່ງໃນນັ້ນແນະນໍາໃຫ້ອະທິບາຍເຕັກນິກໃນບົດຄວາມ. ຫຼັງຈາກຄວາມຄິດບາງຢ່າງ, ຂ້າພະເຈົ້າໄດ້ຕັດສິນໃຈທໍາລາຍຄວາມງຽບຂອງຂ້ອຍຢູ່ໃນເວັບໄຊທ໌ແລະພະຍາຍາມຫນຶ່ງຄັ້ງເພື່ອຂຽນບາງສິ່ງບາງຢ່າງລະຫວ່າງໂຄງການແລະການຕອບເຟສບຸກ, i.e. habrapost. ຜົນໄດ້ຮັບແມ່ນຢູ່ທາງຫນ້າຂອງທ່ານ.

ຂໍ້ສັງເກດ

ເນື່ອງຈາກວ່າມັນບໍ່ຖືກກົດຫມາຍຫຼາຍທີ່ຈະເຜີຍແຜ່ວິທີການຂ້າມການຂັດຂວາງການເຂົ້າເຖິງຂໍ້ມູນທີ່ຖືກຫ້າມໃນອານາເຂດຂອງສະຫະພັນລັດເຊຍ, ຈຸດປະສົງຂອງບົດຄວາມນີ້ຈະເວົ້າກ່ຽວກັບວິທີການທີ່ຊ່ວຍໃຫ້ທ່ານສາມາດອັດຕະໂນມັດການເຂົ້າເຖິງຊັບພະຍາກອນທີ່ອະນຸຍາດໃຫ້ຢູ່ໃນ. ອານາເຂດຂອງສະຫະພັນລັດເຊຍ, ແຕ່ເນື່ອງຈາກການດໍາເນີນການຂອງຜູ້ອື່ນແມ່ນບໍ່ສາມາດເຂົ້າເຖິງໂດຍກົງໂດຍຜ່ານຜູ້ໃຫ້ບໍລິການຂອງທ່ານ. ແລະການເຂົ້າເຖິງຊັບພະຍາກອນອື່ນໆທີ່ໄດ້ຮັບເປັນຜົນມາຈາກການກະທໍາຈາກບົດຄວາມແມ່ນເປັນຜົນຂ້າງຄຽງທີ່ໂຊກບໍ່ດີແລະບໍ່ມີຈຸດປະສົງຂອງບົດຄວາມ.

ນອກຈາກນີ້, ເນື່ອງຈາກວ່າຂ້າພະເຈົ້າຕົ້ນຕໍແມ່ນສະຖາປະນິກເຄືອຂ່າຍໂດຍປະກອບອາຊີບ, ອາຊີບແລະເສັ້ນທາງຊີວິດ, ການຂຽນໂປຼແກຼມແລະ Linux ບໍ່ແມ່ນຈຸດທີ່ເຂັ້ມແຂງຂອງຂ້ອຍ. ດັ່ງນັ້ນ, ແນ່ນອນ, scripts ສາມາດຖືກຂຽນໄດ້ດີກວ່າ, ບັນຫາຄວາມປອດໄພໃນ VPS ສາມາດເຮັດວຽກໄດ້ເລິກເຊິ່ງກວ່າ, ແລະອື່ນໆ. ຄໍາແນະນໍາຂອງເຈົ້າຈະຖືກຍອມຮັບດ້ວຍຄວາມກະຕັນຍູ, ຖ້າພວກເຂົາມີລາຍລະອຽດພຽງພໍ - ຂ້ອຍຈະຍິນດີທີ່ຈະເພີ່ມມັນໃສ່ຂໍ້ຄວາມຂອງບົດຄວາມ.

TL; DR

ພວກເຮົາເຂົ້າເຖິງຊັບພະຍາກອນໂດຍອັດຕະໂນມັດຜ່ານອຸໂມງທີ່ມີຢູ່ຂອງທ່ານໂດຍໃຊ້ສຳເນົາຂອງທະບຽນ ແລະໂປຣໂຕຄໍ BGP. ເປົ້າຫມາຍແມ່ນເພື່ອເອົາການຈະລາຈອນທັງຫມົດທີ່ແກ້ໄຂກັບຊັບພະຍາກອນທີ່ຖືກບລັອກເຂົ້າໄປໃນອຸໂມງ. ຄໍາອະທິບາຍຂັ້ນຕ່ໍາ, ສ່ວນຫຼາຍແມ່ນຄໍາແນະນໍາຂັ້ນຕອນ.

ທ່ານຕ້ອງການຫຍັງສໍາລັບການນີ້?

ແຕ່ຫນ້າເສຍດາຍ, ຂໍ້ຄວາມນີ້ບໍ່ແມ່ນສໍາລັບທຸກຄົນ. ເພື່ອໃຊ້ເຕັກນິກນີ້, ທ່ານ ຈຳ ເປັນຕ້ອງເອົາອົງປະກອບຫຼາຍຢ່າງເຂົ້າກັນ:

ທ່ານຕ້ອງມີເຊີບເວີ linux ຢູ່ບ່ອນໃດບ່ອນໜຶ່ງຢູ່ນອກບ່ອນບລັອກ. ຫຼືຢ່າງຫນ້ອຍຄວາມປາຖະຫນາທີ່ຈະມີເຄື່ອງແມ່ຂ່າຍດັ່ງກ່າວ - ໂຊກດີດຽວນີ້ມັນມີລາຄາຈາກ 9 ໂດລາຕໍ່ປີ, ແລະອາດຈະຫນ້ອຍລົງ. ວິທີການດັ່ງກ່າວຍັງເຫມາະສົມຖ້າທ່ານມີອຸໂມງ VPN ແຍກຕ່າງຫາກ, ຫຼັງຈາກນັ້ນເຄື່ອງແມ່ຂ່າຍສາມາດຕັ້ງຢູ່ພາຍໃນພາກສະຫນາມສະກັດ.
router ຂອງທ່ານຄວນ smart ພຽງພໍທີ່ຈະສາມາດ
- ລູກຄ້າ VPN ທີ່ທ່ານຕ້ອງການ (ຂ້ອຍມັກ OpenVPN, ແຕ່ມັນສາມາດເປັນ PPTP, L2TP, GRE+IPSec ຫຼືທາງເລືອກອື່ນທີ່ສ້າງການໂຕ້ຕອບ tunnel);
- ໂປຣໂຕຄໍ BGPv4. ຊຶ່ງຫມາຍຄວາມວ່າສໍາລັບ SOHO ມັນອາດຈະເປັນ Mikrotik ຫຼື router ໃດໆທີ່ມີ OpenWRT / LED / ເຟີມແວທີ່ກໍາຫນົດເອງທີ່ຄ້າຍຄືກັນທີ່ອະນຸຍາດໃຫ້ທ່ານສາມາດຕິດຕັ້ງ Quagga ຫຼື Bird. ການນໍາໃຊ້ router PC ແມ່ນບໍ່ຫ້າມ. ໃນກໍລະນີຂອງວິສາຫະກິດ, ຊອກຫາການສະຫນັບສະຫນູນ BGP ໃນເອກະສານສໍາລັບ router ຊາຍແດນຂອງທ່ານ.
ທ່ານຄວນມີຄວາມເຂົ້າໃຈກ່ຽວກັບການນໍາໃຊ້ Linux ແລະເຕັກໂນໂລຢີເຄືອຂ່າຍ, ລວມທັງໂປໂຕຄອນ BGP. ຫຼືຢ່າງໜ້ອຍກໍ່ຢາກໄດ້ຄວາມຄິດດັ່ງກ່າວ. ເນື່ອງຈາກຂ້ອຍບໍ່ພ້ອມທີ່ຈະຮັບເອົາຄວາມຍິ່ງໃຫຍ່ໃນເວລານີ້, ເຈົ້າຈະຕ້ອງສຶກສາບາງດ້ານທີ່ບໍ່ສາມາດເຂົ້າໃຈໄດ້ກັບເຈົ້າເອງ. ຢ່າງໃດກໍຕາມ, ແນ່ນອນ, ຂ້ອຍຈະຕອບຄໍາຖາມສະເພາະໃນຄໍາເຫັນແລະຂ້ອຍຄົງຈະບໍ່ເປັນຄໍາຕອບດຽວ, ດັ່ງນັ້ນຢ່າລັງເລທີ່ຈະຖາມ.

ສິ່ງທີ່ຖືກນໍາໃຊ້ໃນຕົວຢ່າງ

ສໍາເນົາຂອງທະບຽນ - ຈາກ https://github.com/zapret-info/z-i
VPS - Ubuntu 16.04
ການບໍລິການເສັ້ນທາງ - ນົກ 1.6.3
ເຣົາເຕີ - Mikrotik hAP ac
ໂຟນເດີທີ່ເຮັດວຽກ - ນັບຕັ້ງແຕ່ພວກເຮົາກໍາລັງເຮັດວຽກເປັນຮາກ, ທຸກສິ່ງທຸກຢ່າງຈະຕັ້ງຢູ່ໃນໂຟເດີຫນ້າທໍາອິດຂອງຮາກ. ຕາມລໍາດັບ:
- /root/blacklist - ໂຟນເດີທີ່ເຮັດວຽກກັບສະຄິບການລວບລວມ
- /root/zi - ສໍາເນົາຂອງທະບຽນຈາກ github
- /etc/bird - ໂຟນເດີມາດຕະຖານສໍາລັບການຕັ້ງຄ່າການບໍລິການນົກ
ທີ່ຢູ່ IP ພາຍນອກຂອງ VPS ກັບເຄື່ອງແມ່ຂ່າຍເສັ້ນທາງແລະຈຸດສິ້ນສຸດຂອງອຸໂມງແມ່ນ 194.165.22.146, ASN 64998; ທີ່ຢູ່ IP ພາຍນອກຂອງເຣົາເຕີ - 81.177.103.94, ASN 64999
ທີ່ຢູ່ IP ພາຍໃນອຸໂມງແມ່ນ 172.30.1.1 ແລະ 172.30.1.2, ຕາມລໍາດັບ.

ແນ່ນອນ, ທ່ານສາມາດນໍາໃຊ້ routers ອື່ນໆ, ລະບົບປະຕິບັດການແລະຜະລິດຕະພັນຊອບແວ, ປັບການແກ້ໄຂຕາມເຫດຜົນຂອງພວກເຂົາ.

ໂດຍຫຍໍ້ - ຕາມເຫດຜົນຂອງການແກ້ໄຂ

ການກະກຽມການກະກຽມ
1. ໄດ້ຮັບ VPS
2. ການລ້ຽງອຸໂມງຈາກ router ໄປຫາ VPS
ພວກເຮົາໄດ້ຮັບ ແລະປັບປຸງສຳເນົາຂອງທະບຽນເປັນປະຈຳ
ການຕິດຕັ້ງແລະກໍາຫນົດຄ່າບໍລິການເສັ້ນທາງ
ພວກເຮົາສ້າງບັນຊີລາຍຊື່ຂອງເສັ້ນທາງຄົງທີ່ສໍາລັບການບໍລິການເສັ້ນທາງໂດຍອີງໃສ່ທະບຽນ
ພວກເຮົາເຊື່ອມຕໍ່ router ກັບການບໍລິການແລະ configure ການສົ່ງການຈະລາຈອນທັງຫມົດໂດຍຜ່ານອຸໂມງ.

ການແກ້ໄຂຕົວຈິງ

ການກະກຽມການກະກຽມ

ມີຫຼາຍບໍລິການໃນອິນເຕີເນັດທີ່ສະຫນອງ VPS ສໍາລັບລາຄາທີ່ເຫມາະສົມທີ່ສຸດ. ມາຮອດປະຈຸ, ຂ້າພະເຈົ້າໄດ້ພົບເຫັນແລະກໍາລັງໃຊ້ທາງເລືອກສໍາລັບ $ 9 / ປີ, ແຕ່ເຖິງແມ່ນວ່າທ່ານບໍ່ລົບກວນຫຼາຍ, ມີຫຼາຍທາງເລືອກສໍາລັບ 1E / ເດືອນໃນທຸກແຈ. ຄໍາຖາມຂອງການເລືອກ VPS ແມ່ນຢູ່ໄກເກີນຂອບເຂດຂອງບົດຄວາມນີ້, ດັ່ງນັ້ນຖ້າຜູ້ໃດຜູ້ຫນຶ່ງບໍ່ເຂົ້າໃຈບາງສິ່ງບາງຢ່າງກ່ຽວກັບເລື່ອງນີ້, ໃຫ້ຖາມໃນຄໍາເຫັນ.

ຖ້າທ່ານໃຊ້ VPS ບໍ່ພຽງແຕ່ສໍາລັບການບໍລິການເສັ້ນທາງ, ແຕ່ຍັງເພື່ອຢຸດອຸໂມງກ່ຽວກັບມັນ, ທ່ານຈໍາເປັນຕ້ອງຍົກອຸໂມງນີ້ແລະ, ເກືອບແນ່ນອນ, ກໍານົດ NAT ສໍາລັບມັນ. ມີຄໍາແນະນໍາຈໍານວນຫລາຍກ່ຽວກັບການປະຕິບັດເຫຼົ່ານີ້ຢູ່ໃນອິນເຕີເນັດ, ຂ້ອຍຈະບໍ່ເຮັດຊ້ໍາມັນຢູ່ທີ່ນີ້. ຄວາມຕ້ອງການຕົ້ນຕໍສໍາລັບອຸໂມງດັ່ງກ່າວແມ່ນວ່າມັນຕ້ອງສ້າງການໂຕ້ຕອບແຍກຕ່າງຫາກໃນ router ຂອງທ່ານທີ່ສະຫນັບສະຫນູນອຸໂມງໄປສູ່ VPS. ເຕັກໂນໂລຢີ VPN ທີ່ໃຊ້ຫຼາຍທີ່ສຸດຕອບສະຫນອງຄວາມຕ້ອງການນີ້ - ຕົວຢ່າງ, OpenVPN ໃນຮູບແບບ tun ແມ່ນສົມບູນແບບ.

ໄດ້ຮັບສໍາເນົາຂອງທະບຽນ

ດັ່ງທີ່ Jabrail ເວົ້າວ່າ, "ຜູ້ທີ່ຂັດຂວາງພວກເຮົາຈະຊ່ວຍພວກເຮົາ." ເນື່ອງຈາກ RKN ກໍາລັງສ້າງທະບຽນຊັບພະຍາກອນທີ່ຕ້ອງຫ້າມ, ມັນຈະເປັນບາບທີ່ຈະບໍ່ໃຊ້ທະບຽນນີ້ເພື່ອແກ້ໄຂບັນຫາຂອງພວກເຮົາ. ພວກເຮົາຈະໄດ້ຮັບສໍາເນົາຂອງທະບຽນຈາກ github.

ພວກເຮົາໄປຫາເຄື່ອງແມ່ຂ່າຍຂອງ Linux ຂອງທ່ານ, ເຂົ້າໄປໃນສະພາບການຮາກ (sudo su —) ແລະຕິດຕັ້ງ git ຖ້າມັນບໍ່ໄດ້ຕິດຕັ້ງແລ້ວ.

apt install git

ໄປທີ່ໄດເລກະທໍລີເຮືອນຂອງທ່ານແລະດຶງສໍາເນົາຂອງທະບຽນ.

cd ~ && git clone --depth=1 https://github.com/zapret-info/z-i

ພວກເຮົາຕັ້ງຄ່າການປັບປຸງ cron (ຂ້ອຍເຮັດມັນຫນຶ່ງຄັ້ງໃນທຸກໆ 20 ນາທີ, ແຕ່ທ່ານສາມາດເລືອກຊ່ວງເວລາທີ່ທ່ານສົນໃຈ). ເພື່ອເຮັດສິ່ງນີ້, ພວກເຮົາເປີດຕົວ crontab-e ແລະເພີ່ມແຖວຕໍ່ໄປນີ້ໃສ່ມັນ:

*/20 * * * * cd ~/z-i && git pull && git gc

ພວກເຮົາເຊື່ອມຕໍ່ hook ທີ່ຈະສ້າງໄຟລ໌ສໍາລັບການບໍລິການ routing ຫຼັງຈາກການປັບປຸງການລົງທະບຽນ. ເພື່ອເຮັດສິ່ງນີ້, ສ້າງໄຟລ໌ /root/zi/.git/hooks/post-merge ໂດຍມີເນື້ອໃນດັ່ງຕໍ່ໄປນີ້:

#!/usr/bin/env bash
changed_files="$(git diff-tree -r --name-only --no-commit-id ORIG_HEAD HEAD)"
check_run() {
    echo "$changed_files" | grep --quiet "$1" && eval "$2"
}
check_run dump.csv "/root/blacklist/makebgp"

ແລະຢ່າລືມເຮັດໃຫ້ມັນສາມາດປະຕິບັດໄດ້

chmod +x /root/z-i/.git/hooks/post-merge

ພວກເຮົາຈະສ້າງ script makebgp ທີ່ hook ຫມາຍເຖິງເລັກນ້ອຍຕໍ່ມາ.

ການຕິດຕັ້ງແລະກໍາຫນົດຄ່າບໍລິການເສັ້ນທາງ

ຕິດຕັ້ງນົກ. ແຕ່ຫນ້າເສຍດາຍ, ສະບັບຂອງນົກທີ່ຈັດພີມມາຢູ່ໃນບ່ອນເກັບມ້ຽນ Ubuntu ແມ່ນມີຄວາມສົດຊື່ນກັບອາຈົມ Archeopteryx, ດັ່ງນັ້ນພວກເຮົາຈໍາເປັນຕ້ອງເພີ່ມ PPA ຢ່າງເປັນທາງການຂອງນັກພັດທະນາຊອບແວເຂົ້າໃນລະບົບ.

add-apt-repository ppa:cz.nic-labs/bird
apt update
apt install bird

ຫຼັງຈາກນີ້, ພວກເຮົາທັນທີປິດການໃຊ້ງານນົກສໍາລັບ IPv6 - ພວກເຮົາຈະບໍ່ຕ້ອງການມັນໃນການຕິດຕັ້ງນີ້.

systemctl stop bird6
systemctl disable bird6

ຂ້າງລຸ່ມນີ້ແມ່ນໄຟລ໌ການຕັ້ງຄ່າການບໍລິການນົກທີ່ນ້ອຍທີ່ສຸດ (/etc/bird/bird.conf), ເຊິ່ງຂ້ອນຂ້າງພຽງພໍສໍາລັບພວກເຮົາ (ແລະຂ້າພະເຈົ້າເຕືອນທ່ານອີກເທື່ອຫນຶ່ງວ່າບໍ່ມີໃຜຫ້າມການພັດທະນາແລະປັບແນວຄວາມຄິດໃຫ້ເຫມາະສົມກັບຄວາມຕ້ອງການຂອງທ່ານເອງ)

log syslog all;
router id 172.30.1.1;

protocol kernel {
        scan time 60;
        import none;
#       export all;   # Actually insert routes into the kernel routing table
}

protocol device {
        scan time 60;
}

protocol direct {
        interface "venet*", "tun*"; # Restrict network interfaces it works with
}

protocol static static_bgp {
        import all;
        include "pfxlist.txt";
        #include "iplist.txt";
}

protocol bgp OurRouter {
        description "Our Router";
        neighbor 81.177.103.94 as 64999;
        import none;
        export where proto = "static_bgp";
        local as 64998;
        passive off;
        multihop;
}

router id - router identifier, ເຊິ່ງເບິ່ງຄືກັບທີ່ຢູ່ IPv4, ແຕ່ບໍ່ແມ່ນອັນດຽວ. ໃນກໍລະນີຂອງພວກເຮົາ, ມັນສາມາດເປັນຕົວເລກ 32-bit ໃນຮູບແບບທີ່ຢູ່ IPv4, ແຕ່ມັນເປັນຮູບແບບທີ່ດີທີ່ຈະຊີ້ບອກທີ່ຢູ່ IPv4 ຂອງອຸປະກອນຂອງທ່ານ (ໃນກໍລະນີນີ້, VPS).

ໂປຣໂຕຄໍກຳນົດໂດຍກົງວ່າອິນເຕີເຟດໃດຈະເຮັດວຽກກັບຂະບວນການກຳນົດເສັ້ນທາງ. ຕົວຢ່າງໃຫ້ຄູ່ຜົວເມຍຂອງຕົວຢ່າງ, ທ່ານສາມາດເພີ່ມຄົນອື່ນ. ທ່ານສາມາດລຶບສາຍໄດ້ງ່າຍໆ; ໃນກໍລະນີນີ້, ເຊີບເວີຈະຟັງທຸກການໂຕ້ຕອບທີ່ມີຢູ່ກັບທີ່ຢູ່ IPv4.

protocol static ແມ່ນ magic ຂອງພວກເຮົາທີ່ໂຫລດລາຍຊື່ຂອງຄໍານໍາຫນ້າແລະທີ່ຢູ່ IP (ຊຶ່ງໃນຕົວຈິງແມ່ນ / 32 prefixes, ແນ່ນອນ) ຈາກໄຟລ໌ສໍາລັບການປະກາດຕໍ່ມາ. ບັນຊີລາຍຊື່ເຫຼົ່ານີ້ມາຈາກໃສ, ຈະໄດ້ຮັບການປຶກສາຫາລືຂ້າງລຸ່ມນີ້. ກະລຸນາຮັບຊາບວ່າການໂຫຼດທີ່ຢູ່ IP ຈະຖືກສະແດງຄວາມຄິດເຫັນໂດຍຄ່າເລີ່ມຕົ້ນ, ເຫດຜົນສໍາລັບການໂຫຼດນີ້ແມ່ນປະລິມານຂະຫນາດໃຫຍ່ຂອງການອັບໂຫລດ. ສໍາລັບການປຽບທຽບ, ໃນເວລາຂຽນ, ມີ 78 ແຖວໃນບັນຊີລາຍຊື່ຂອງຄໍານໍາຫນ້າ, ແລະ 85898 ໃນບັນຊີລາຍຊື່ຂອງທີ່ຢູ່ IP, ຂ້າພະເຈົ້າຂໍແນະນໍາໃຫ້ເລີ່ມຕົ້ນແລະ debugging ພຽງແຕ່ຢູ່ໃນບັນຊີລາຍຊື່ຂອງຄໍານໍາຫນ້າ, ແລະບໍ່ວ່າຈະເປັນການເປີດໃຊ້ການໂຫຼດ IP ໃນ. ອະນາຄົດແມ່ນຂຶ້ນກັບທ່ານໃນການຕັດສິນໃຈຫຼັງຈາກການທົດລອງກັບ router ຂອງທ່ານ. ບໍ່ແມ່ນທຸກໆອັນສາມາດຍ່ອຍໄດ້ງ່າຍ 85 ພັນລາຍການໃນຕາຕະລາງເສັ້ນທາງ.

ໃນຄວາມເປັນຈິງ, ໂປໂຕຄອນ bgp ຕັ້ງຄ່າ bgp peering ກັບ router ຂອງທ່ານ. ທີ່ຢູ່ IP ແມ່ນທີ່ຢູ່ຂອງການໂຕ້ຕອບພາຍນອກຂອງ router (ຫຼືທີ່ຢູ່ຂອງການໂຕ້ຕອບ tunnel ຢູ່ຂ້າງ router), 64998 ແລະ 64999 ແມ່ນຕົວເລກຂອງລະບົບອັດຕະໂນມັດ. ໃນກໍລະນີນີ້, ພວກເຂົາສາມາດຖືກມອບຫມາຍໃນຮູບແບບຂອງຕົວເລກ 16-bit, ແຕ່ມັນເປັນການປະຕິບັດທີ່ດີທີ່ຈະໃຊ້ຕົວເລກ AS ຈາກຂອບເຂດສ່ວນຕົວທີ່ກໍານົດໂດຍ RFC6996 - 64512-65534 ລວມ (ມີຮູບແບບສໍາລັບ ASNs 32-bit, ແຕ່ໃນກໍລະນີຂອງພວກເຮົານີ້ແມ່ນແນ່ນອນ overkill). ການຕັ້ງຄ່າທີ່ອະທິບາຍໄວ້ໃຊ້ eBGP peering, ເຊິ່ງຕົວເລກຂອງລະບົບອັດຕະໂນມັດຂອງບໍລິການເສັ້ນທາງ ແລະ router ຈະຕ້ອງແຕກຕ່າງກັນ.

ດັ່ງທີ່ເຈົ້າສາມາດເຫັນໄດ້, ການບໍລິການຕ້ອງການຮູ້ທີ່ຢູ່ IP ຂອງ router, ດັ່ງນັ້ນຖ້າທ່ານມີທີ່ຢູ່ສ່ວນຕົວແບບເຄື່ອນໄຫວຫຼືບໍ່ມີເສັ້ນທາງ (RFC1918) ຫຼືແບ່ງປັນ (RFC6598), ທ່ານບໍ່ມີທາງເລືອກທີ່ຈະຍົກສູງບົດບາດພາຍນອກ. ການໂຕ້ຕອບ, ແຕ່ການບໍລິການຈະຍັງເຮັດວຽກຢູ່ໃນອຸໂມງ.

ມັນຍັງເປັນທີ່ຊັດເຈນວ່າຈາກການບໍລິການຫນຶ່ງທ່ານສາມາດສະຫນອງເສັ້ນທາງໄປຫາ routers ທີ່ແຕກຕ່າງກັນຫຼາຍ - ພຽງແຕ່ເຮັດຊ້ໍາການຕັ້ງຄ່າໃຫ້ພວກເຂົາໂດຍການຄັດລອກສ່ວນ bgp ໂປໂຕຄອນແລະປ່ຽນທີ່ຢູ່ IP ຂອງເພື່ອນບ້ານ. ນັ້ນແມ່ນເຫດຜົນທີ່ວ່າຕົວຢ່າງສະແດງໃຫ້ເຫັນການຕັ້ງຄ່າສໍາລັບການ peering ຢູ່ນອກອຸໂມງ, ເປັນທົ່ວໄປທີ່ສຸດ. ມັນງ່າຍທີ່ຈະເອົາພວກມັນເຂົ້າໄປໃນອຸໂມງໂດຍການປ່ຽນທີ່ຢູ່ IP ໃນການຕັ້ງຄ່າຕາມຄວາມເຫມາະສົມ.

ກຳລັງປະມວນຜົນການລົງທະບຽນສຳລັບບໍລິການກຳນົດເສັ້ນທາງ

ໃນປັດຈຸບັນພວກເຮົາຕ້ອງການ, ໃນຄວາມເປັນຈິງ, ເພື່ອສ້າງບັນຊີລາຍຊື່ຂອງຄໍານໍາຫນ້າແລະທີ່ຢູ່ IP, ເຊິ່ງໄດ້ກ່າວເຖິງໃນໂປໂຕຄອນຄົງທີ່ໃນຂັ້ນຕອນທີ່ຜ່ານມາ. ເພື່ອເຮັດສິ່ງນີ້, ພວກເຮົາເອົາໄຟລ໌ລົງທະບຽນແລະສ້າງໄຟລ໌ທີ່ພວກເຮົາຕ້ອງການຈາກມັນໂດຍໃຊ້ script ຕໍ່ໄປນີ້, ໃສ່ໃນ. /root/blacklist/makebgp

#!/bin/bash
cut -d";" -f1 /root/z-i/dump.csv| tr '|' 'n' |  tr -d ' ' > /root/blacklist/tmpaddr.txt
cat /root/blacklist/tmpaddr.txt | grep / | sed 's_.*_route & reject;_' > /etc/bird/pfxlist.txt
cat /root/blacklist/tmpaddr.txt | sort | uniq | grep -Eo "([0-9]{1,3}[.]){3}[0-9]{1,3}" | sed 's_.*_route &/32 reject;_' > /etc/bird/iplist.txt
/etc/init.d/bird reload
logger 'bgp list compiled'

ຢ່າລືມເຮັດໃຫ້ມັນສາມາດປະຕິບັດໄດ້

chmod +x /root/blacklist/makebgp

ໃນປັດຈຸບັນທ່ານສາມາດດໍາເນີນການດ້ວຍຕົນເອງແລະສັງເກດເຫັນຮູບລັກສະນະຂອງໄຟລ໌ໃນ /etc/bird.

ສ່ວນຫຼາຍອາດຈະ, ນົກບໍ່ໄດ້ເຮັດວຽກສໍາລັບທ່ານໃນເວລານີ້, ເພາະວ່າໃນຂັ້ນຕອນທີ່ຜ່ານມາທ່ານໄດ້ຂໍໃຫ້ມັນຊອກຫາໄຟລ໌ທີ່ຍັງບໍ່ທັນມີ. ດັ່ງນັ້ນ, ພວກເຮົາເປີດຕົວມັນແລະກວດເບິ່ງວ່າມັນໄດ້ເລີ່ມຕົ້ນ:

systemctl start bird
birdc show route

ຜົນຜະລິດຂອງຄໍາສັ່ງທີສອງຄວນຈະສະແດງໃຫ້ເຫັນປະມານ 80 ບັນທຶກ (ນີ້ແມ່ນສໍາລັບໃນປັດຈຸບັນ, ແຕ່ເມື່ອທ່ານຕັ້ງມັນ, ທຸກສິ່ງທຸກຢ່າງຈະຂຶ້ນກັບຄວາມກະຕືລືລົ້ນຂອງ RKN ໃນເຄືອຂ່າຍສະກັດ) ບາງສິ່ງບາງຢ່າງເຊັ່ນນີ້:

54.160.0.0/12      unreachable [static_bgp 2018-04-19] * (200)

ທີມງານ

birdc show protocol

ຈະສະແດງສະຖານະຂອງໂປໂຕຄອນພາຍໃນບໍລິການ. ຈົນກວ່າທ່ານຈະຕັ້ງຄ່າ router (ເບິ່ງຈຸດຕໍ່ໄປ), ໂປຣໂຕຄໍ OurRouter ຈະຢູ່ໃນສະຖານະເລີ່ມຕົ້ນ (Connect or Active phase), ແລະຫຼັງຈາກການເຊື່ອມຕໍ່ສຳເລັດແລ້ວ ມັນຈະໄປເຖິງສະຖານະຂຶ້ນ (ໄລຍະທີ່ຕັ້ງຂຶ້ນ). ຕົວຢ່າງ, ໃນລະບົບຂອງຂ້ອຍ, ຜົນຜະລິດຂອງຄໍາສັ່ງນີ້ເບິ່ງຄືວ່າ:

BIRD 1.6.3 ready.
name     proto    table    state  since       info
kernel1  Kernel   master   up     2018-04-19
device1  Device   master   up     2018-04-19
static_bgp Static   master   up     2018-04-19
direct1  Direct   master   up     2018-04-19
RXXXXXx1 BGP      master   up     13:10:22    Established
RXXXXXx2 BGP      master   up     2018-04-24  Established
RXXXXXx3 BGP      master   start  2018-04-22  Connect       Socket: Connection timed out
RXXXXXx4 BGP      master   up     2018-04-24  Established
RXXXXXx5 BGP      master   start  2018-04-24  Passive

ການເຊື່ອມຕໍ່ router

ທຸກຄົນຄົງຈະເມື່ອຍກັບການອ່ານຜ້າຕີນນີ້, ແຕ່ຈົ່ງເອົາໃຈໃສ່ — ທີ່ສຸດແມ່ນຢູ່ໃກ້ແລ້ວ. ຍິ່ງໄປກວ່ານັ້ນ, ໃນພາກນີ້ຂ້ອຍຈະບໍ່ສາມາດໃຫ້ຄໍາແນະນໍາເທື່ອລະຂັ້ນຕອນ - ມັນຈະແຕກຕ່າງກັນສໍາລັບຜູ້ຜະລິດແຕ່ລະຄົນ.

ຢ່າງໃດກໍຕາມ, ຂ້າພະເຈົ້າສາມາດສະແດງໃຫ້ທ່ານເຫັນສອງສາມຕົວຢ່າງ. ເຫດຜົນຕົ້ນຕໍແມ່ນການຍົກສູງ BGP peering ແລະມອບຫມາຍ nexthop ກັບຄໍານໍາຫນ້າທີ່ໄດ້ຮັບທັງຫມົດ, ຊີ້ໄປຫາອຸໂມງຂອງພວກເຮົາ (ຖ້າພວກເຮົາຕ້ອງການສົ່ງການຈະລາຈອນຜ່ານທາງເຊື່ອມຕໍ່ p2p) ຫຼືທີ່ຢູ່ IP ຂອງ nexthop ຖ້າການຈະລາຈອນຈະໄປຫາ ethernet).

ຕົວຢ່າງ, ໃນ Mikrotik ໃນ RouterOS, ນີ້ແມ່ນການແກ້ໄຂດັ່ງຕໍ່ໄປນີ້

/routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=172.30.1.2
/routing bgp peer add in-filter=dynamic-in multihop=yes name=VPS remote-address=194.165.22.146 remote-as=64998 ttl=default
/routing filter add action=accept chain=dynamic-in protocol=bgp comment="Set nexthop" set-in-nexthop=172.30.1.1

ແລະໃນ Cisco IOS - ແບບນີ້

router bgp 64999
  neighbor 194.165.22.146 remote-as 64998
  neighbor 194.165.22.146 route-map BGP_NEXT_HOP in
  neighbor 194.165.22.146 ebgp-multihop 250
!
route-map BGP_NEXT_HOP permit 10
  set ip next-hop 172.30.1.1

ຖ້າອຸໂມງດຽວກັນຖືກນໍາໃຊ້ທັງສອງສໍາລັບການ peering BGP ແລະສໍາລັບການສົ່ງການຈະລາຈອນທີ່ເປັນປະໂຫຍດ, ມັນບໍ່ຈໍາເປັນຕ້ອງຕັ້ງ nexthop; ມັນຈະຖືກກໍານົດຢ່າງຖືກຕ້ອງໂດຍໃຊ້ໂປໂຕຄອນ. ແຕ່ຖ້າທ່ານຕັ້ງມັນດ້ວຍຕົນເອງ, ມັນຈະບໍ່ເຮັດໃຫ້ມັນຮ້າຍແຮງກວ່າເກົ່າ.

ໃນເວທີອື່ນໆ, ທ່ານຈະຕ້ອງຄິດໄລ່ການຕັ້ງຄ່າຕົວເອງ, ແຕ່ຖ້າທ່ານມີຄວາມຫຍຸ້ງຍາກໃດໆ, ຂຽນໃນຄໍາເຫັນ, ຂ້ອຍຈະພະຍາຍາມຊ່ວຍ.

ຫຼັງຈາກກອງປະຊຸມ BGP ຂອງທ່ານໄດ້ເລີ່ມຕົ້ນ, ເສັ້ນທາງໄປສູ່ເຄືອຂ່າຍຂະຫນາດໃຫຍ່ໄດ້ມາຮອດແລະຖືກຕິດຕັ້ງຢູ່ໃນຕາຕະລາງ, ການຈະລາຈອນໄດ້ໄຫລໄປຫາທີ່ຢູ່ຈາກພວກເຂົາແລະຄວາມສຸກແມ່ນໃກ້ຊິດ, ທ່ານສາມາດກັບຄືນໄປຫາບໍລິການນົກແລະພະຍາຍາມບໍ່ສະແດງຄໍາຄິດເຫັນການເຂົ້າທີ່ເຊື່ອມຕໍ່. ບັນຊີລາຍຊື່ຂອງທີ່ຢູ່ IP, ດໍາເນີນການຫຼັງຈາກນັ້ນ

systemctl reload bird

ແລະເບິ່ງວິທີທີ່ router ຂອງທ່ານໂອນ 85 ພັນເສັ້ນທາງເຫຼົ່ານີ້. ຈົ່ງກຽມພ້ອມທີ່ຈະຖອດປລັກແລະຄິດກ່ຽວກັບສິ່ງທີ່ຕ້ອງເຮັດກັບມັນ :)

ລວມ

ໃນທາງທິດສະດີຢ່າງບໍລິສຸດ, ຫຼັງຈາກສໍາເລັດຂັ້ນຕອນທີ່ໄດ້ກ່າວມາຂ້າງເທິງ, ທ່ານມີບໍລິການທີ່ປ່ຽນເສັ້ນທາງອັດຕະໂນມັດໄປຫາທີ່ຢູ່ IP ທີ່ຖືກຫ້າມໃນສະຫະພັນລັດເຊຍຜ່ານລະບົບການກັ່ນຕອງ.

ມັນສາມາດ, ແນ່ນອນ, ໄດ້ຮັບການປັບປຸງ. ຕົວຢ່າງ, ມັນຂ້ອນຂ້າງງ່າຍທີ່ຈະສະຫຼຸບບັນຊີລາຍຊື່ຂອງທີ່ຢູ່ IP ໂດຍໃຊ້ວິທີແກ້ໄຂ perl ຫຼື python. ສະຄຣິບ Perl ງ່າຍໆທີ່ເຮັດສິ່ງນີ້ໂດຍໃຊ້ Net::CIDR::Lite ປ່ຽນ 85 ພັນຄໍານໍາຫນ້າເປັນ 60 (ບໍ່ແມ່ນພັນ), ແຕ່, ແນ່ນອນ, ກວມເອົາທີ່ຢູ່ທີ່ໃຫຍ່ກວ່າຫຼາຍກ່ວາທີ່ຖືກບລັອກ.

ເນື່ອງຈາກການບໍລິການດໍາເນີນການຢູ່ໃນລະດັບທີສາມຂອງຮູບແບບ ISO / OSI, ມັນຈະບໍ່ຊ່ວຍປະຢັດທ່ານຈາກການຂັດຂວາງເວັບໄຊທ໌ / ຫນ້າຖ້າມັນແກ້ໄຂທີ່ຢູ່ທີ່ບໍ່ຖືກຕ້ອງຕາມທີ່ບັນທຶກໄວ້ໃນທະບຽນ. ແຕ່ຄຽງຄູ່ກັບການລົງທະບຽນ, ໄຟລ໌ nxdomain.txt ມາຮອດຈາກ github, ເຊິ່ງມີສອງສາມຈັງຫວະຂອງ script ໄດ້ຢ່າງງ່າຍດາຍກາຍເປັນແຫຼ່ງທີ່ຢູ່ສໍາລັບຕົວຢ່າງ, plugin SwitchyOmega ໃນ Chrome.

ມັນຍັງມີຄວາມຈໍາເປັນທີ່ຈະກ່າວເຖິງວ່າການແກ້ໄຂຮຽກຮ້ອງໃຫ້ມີການປັບປຸງເພີ່ມເຕີມຖ້າທ່ານບໍ່ພຽງແຕ່ເປັນຜູ້ໃຊ້ອິນເຕີເນັດເທົ່ານັ້ນ, ແຕ່ຍັງເຜີຍແຜ່ຊັບພະຍາກອນບາງຢ່າງດ້ວຍຕົວເອງ (ຕົວຢ່າງເຊັ່ນເວັບໄຊທ໌ຫຼືເຄື່ອງແມ່ຂ່າຍເມລທີ່ດໍາເນີນການໃນການເຊື່ອມຕໍ່ນີ້). ການນໍາໃຊ້ວິທີການຂອງ router, ມັນຈໍາເປັນຕ້ອງໄດ້ຜູກມັດຢ່າງເຂັ້ມງວດການຈະລາຈອນຂາອອກຈາກການບໍລິການນີ້ກັບທີ່ຢູ່ສາທາລະນະຂອງທ່ານ, ຖ້າບໍ່ດັ່ງນັ້ນທ່ານຈະສູນເສຍການເຊື່ອມຕໍ່ກັບຊັບພະຍາກອນເຫຼົ່ານັ້ນທີ່ຖືກປົກຄຸມດ້ວຍບັນຊີລາຍຊື່ຂອງຄໍານໍາຫນ້າທີ່ໄດ້ຮັບໂດຍ router.

ຖ້າທ່ານມີຄໍາຖາມໃດໆ, ຖາມ, ຂ້ອຍພ້ອມທີ່ຈະຕອບ.

UPD. ຂອບໃຈ ການເດີນເຮືອ и TerAnYu ສໍາລັບພາລາມິເຕີສໍາລັບ git ທີ່ອະນຸຍາດໃຫ້ຫຼຸດຜ່ອນປະລິມານການດາວໂຫຼດ.

UPD2. ເພື່ອນຮ່ວມງານ, ເບິ່ງຄືວ່າຂ້ອຍໄດ້ເຮັດຜິດພາດໂດຍການບໍ່ເພີ່ມຄໍາແນະນໍາສໍາລັບການຕັ້ງອຸໂມງລະຫວ່າງ VPS ແລະ router ກັບບົດຄວາມ. ຄໍາຖາມຈໍານວນຫຼາຍໄດ້ຖືກຍົກຂຶ້ນມາໂດຍນີ້.
ໃນກໍລະນີໃດກໍ່ຕາມ, ຂ້າພະເຈົ້າຈະສັງເກດເຫັນອີກເທື່ອຫນຶ່ງວ່າກ່ອນທີ່ຈະເລີ່ມຕົ້ນຄູ່ມືນີ້, ທ່ານໄດ້ກໍານົດຄ່າອຸໂມງ VPN ໃນທິດທາງທີ່ທ່ານຕ້ອງການແລະກວດເບິ່ງການເຮັດວຽກຂອງມັນ (ຕົວຢ່າງ, ໂດຍການປ່ຽນການຈະລາຈອນຢູ່ທີ່ນັ້ນໂດຍຄ່າເລີ່ມຕົ້ນຫຼືຄົງທີ່). ຖ້າທ່ານຍັງບໍ່ໄດ້ສໍາເລັດຂັ້ນຕອນນີ້, ມັນບໍ່ມີຄວາມຫມາຍຫຼາຍທີ່ຈະປະຕິບັດຕາມຂັ້ນຕອນໃນບົດຄວາມ. ຂ້ອຍຍັງບໍ່ມີຂໍ້ຄວາມຂອງຕົນເອງກ່ຽວກັບເລື່ອງນີ້, ແຕ່ຖ້າທ່ານ google "ຕັ້ງຄ່າເຄື່ອງແມ່ຂ່າຍ OpenVPN" ພ້ອມກັບຊື່ຂອງລະບົບປະຕິບັດການທີ່ຕິດຕັ້ງຢູ່ໃນ VPS, ແລະ "ຕັ້ງຄ່າລູກຄ້າ OpenVPN" ດ້ວຍຊື່ຂອງ router ຂອງທ່ານ. , ທ່ານຈະພົບເຫັນບົດຄວາມຈໍານວນຫນຶ່ງກ່ຽວກັບເລື່ອງນີ້, ລວມທັງໃນ Habre.

UPD3. ບໍ່ໄດ້ເສຍສະລະ ຂ້າພະເຈົ້າໄດ້ຂຽນລະຫັດທີ່ປ່ຽນ dump.csv ເຂົ້າໄປໃນໄຟລ໌ຜົນໄດ້ຮັບສໍາລັບນົກທີ່ມີການສະຫຼຸບທາງເລືອກຂອງທີ່ຢູ່ IP. ດັ່ງນັ້ນ, ພາກສ່ວນ "ການປຸງແຕ່ງການລົງທະບຽນສໍາລັບການບໍລິການເສັ້ນທາງ" ສາມາດຖືກແທນທີ່ໂດຍການໂທຫາໂຄງການຂອງມັນ. https://habr.com/post/354282/#comment_10782712

UPD4. ເຮັດວຽກເລັກນ້ອຍກ່ຽວກັບຄວາມຜິດພາດ (ຂ້ອຍບໍ່ໄດ້ເພີ່ມພວກມັນໃສ່ຂໍ້ຄວາມ):
1) ແທນ systemctl reload ນົກ ມັນເຮັດໃຫ້ຄວາມຮູ້ສຶກທີ່ຈະໃຊ້ຄໍາສັ່ງ birdc configure.
2) ໃນ router Mikrotik, ແທນທີ່ຈະປ່ຽນ nexthop ກັບ IP ຂອງສອງຂ້າງຂອງອຸໂມງ. /routing filter ເພີ່ມ action=accept chain=dynamic-in protocol=bgp comment=»Set nexthop» set-in-nexthop=172.30.1.1 ມັນເຮັດໃຫ້ຄວາມຮູ້ສຶກທີ່ຈະລະບຸເສັ້ນທາງໂດຍກົງກັບການໂຕ້ຕອບຂອງອຸໂມງ, ໂດຍບໍ່ມີທີ່ຢູ່ /routing filter ເພີ່ມ action=accept chain=dynamic-in protocol=bgp comment=»Set nexthop» set-in-nexthop-direct=<ຊື່ຕົວເຊື່ອມຕໍ່>

UPD5. ການບໍລິການໃຫມ່ໄດ້ປະກົດຂຶ້ນ https://antifilter.download, ຈາກບ່ອນທີ່ທ່ານສາມາດເລືອກເອົາເຖິງບັນຊີລາຍຊື່ທີ່ກຽມພ້ອມຂອງທີ່ຢູ່ IP. ອັບເດດທຸກໆເຄິ່ງຊົ່ວໂມງ. ໃນດ້ານລູກຄ້າ, ທັງຫມົດທີ່ຍັງເຫຼືອແມ່ນການສ້າງບັນທຶກທີ່ມີ "ເສັ້ນທາງ ... ປະຕິເສດ".
ແລະໃນຈຸດນີ້, ອາດຈະເປັນ, ມັນພຽງພໍທີ່ຈະ rag ແມ່ຕູ້ຂອງທ່ານແລະປັບປຸງບົດຄວາມ.

UPD6. ສະບັບປັບປຸງຂອງບົດຄວາມສໍາລັບຜູ້ທີ່ບໍ່ຕ້ອງການທີ່ຈະຄິດອອກ, ແຕ່ຕ້ອງການທີ່ຈະເລີ່ມຕົ້ນ - ທີ່ນີ້.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com

ການຕັ້ງຄ່າ BGP ເພື່ອຂ້າມການຂັດຂວາງ, ຫຼື "ຂ້ອຍຢຸດເຊົາຢ້ານແລະຕົກຢູ່ໃນຄວາມຮັກກັບ RKN"