Tēma ir diezgan sagrauta, es zinu. Piemēram, ir lieliska raksts, bet tur tiek apskatīta tikai bloķēšanas saraksta IP daļa. Mēs pievienosim arī domēnus.

Sakarā ar to, ka tiesas un RKN bloķē visu pa labi un pa kreisi, un pakalpojumu sniedzēji cenšas nepakļauties Revizorro noteiktajām soda naudām, ar to saistītie zaudējumi no bloķēšanas ir diezgan lieli. Un starp "likumīgi" bloķētajām vietnēm ir daudz noderīgu (sveiki, rutracker)

Es dzīvoju ārpus RKN jurisdikcijas, bet mani vecāki, radi un draugi palika mājās. Tāpēc tika nolemts izdomāt vienkāršu veidu, kā cilvēkiem, kas ir tālu no IT, apiet bloķēšanu, vēlams vispār bez viņu līdzdalības.

Šajā piezīmē es neaprakstīšu tīkla pamata lietas pa soļiem, bet aprakstīšu vispārīgos principus, kā šo shēmu var ieviest. Tāpēc zināšanas par to, kā tīkls darbojas kopumā un jo īpaši Linux, ir obligātas.

Slēdzeņu veidi

Vispirms atsvaidzināsim atmiņu par to, kas tiek bloķēts.

No RKN izlādētajā XML ir vairāki bloķēšanas veidi:

IP
Domēna vārds
URL

Vienkāršības labad mēs tos samazināsim līdz diviem: IP un domēns, un mēs vienkārši izņemsim domēnu no bloķēšanas, izmantojot URL (precīzāk, viņi to jau ir izdarījuši mūsu vietā).

labi cilvēki no Roskomsvoboda sapratu brīnišķīgu API, caur kuru mēs varam iegūt nepieciešamo:

Piekļuve bloķētām vietnēm

Lai to izdarītu, mums ir nepieciešams neliels ārzemju VPS, vēlams ar neierobežotu trafiku - tādu ir daudz par 3-5 dolāriem. Jāņem tuvējās ārzemēs, lai ping nebūtu ļoti liels, bet atkal jāņem vērā, ka internets un ģeogrāfija ne vienmēr sakrīt. Un tā kā nav SLA par 5 dolāriem, labāk ir ņemt 2+ gabalus no dažādiem pakalpojumu sniedzējiem, lai nodrošinātu kļūdu toleranci.

Tālāk mums ir jāiestata šifrēts tunelis no klienta maršrutētāja uz VPS. Es izmantoju Wireguard kā visātrāk un vienkāršāk iestatāmo. Man ir arī klientu maršrutētāji, kuru pamatā ir Linux (APU2 vai kaut kas OpenWRT). Dažu Mikrotik / Cisco gadījumā varat izmantot tajos pieejamos protokolus, piemēram, OpenVPN un GRE-over-IPSEC.

Interesējošās satiksmes identificēšana un novirzīšana

Jūs, protams, varat izslēgt visu interneta trafiku caur ārvalstīm. Bet, visticamāk, no tā ļoti cietīs darba ātrums ar vietējo saturu. Turklāt VPS joslas platuma prasības būs daudz augstākas.

Tāpēc mums būs kaut kādā veidā jāpiešķir satiksme bloķētajām vietnēm un selektīvi jānovirza uz tuneli. Pat ja daļa "papildu" satiksmes tur nonāk, tas joprojām ir daudz labāk, nekā braukt visu caur tuneli.

Lai pārvaldītu trafiku, mēs izmantosim BGP protokolu un izziņosim maršrutus uz nepieciešamajiem tīkliem no mūsu VPS klientiem. Ņemsim BIRD kā vienu no funkcionālākajiem un ērtākajiem BGP dēmoniem.

IP

Izmantojot IP bloķēšanu, viss ir skaidrs: mēs vienkārši paziņojam par visiem bloķētajiem IP, izmantojot VPS. Problēma ir tā, ka sarakstā, ko atgriež API, ir aptuveni 600 tūkstoši apakštīklu, un lielākā daļa no tiem ir /32 saimniekdatori. Šis maršrutu skaits var sajaukt vājus klientu maršrutētājus.

Tāpēc, apstrādājot sarakstu, tika nolemts apkopot līdz tīklam / 24, ja tajā ir 2 vai vairāk saimniekdatoru. Līdz ar to maršrutu skaits tika samazināts līdz ~100 tūkst. Skripts tam sekos.

Domains

Tas ir sarežģītāk, un ir vairāki veidi. Piemēram, jūs varat instalēt caurspīdīgu Squid katrā klienta maršrutētājā un veikt HTTP pārtveršanu un ieskatīties TLS rokasspiedienā, lai pirmajā gadījumā iegūtu pieprasīto URL un otrajā gadījumā domēnu no SNI.

Bet visu veidu jaunizveidoto TLS1.3 + eSNI dēļ HTTPS analīze katru dienu kļūst arvien mazāk reāla. Jā, un infrastruktūra klienta pusē kļūst sarežģītāka – būs jāizmanto vismaz OpenWRT.

Tāpēc es nolēmu pārtvert atbildes uz DNS vaicājumiem. Arī šeit jebkurš DNS-over-TLS / HTTPS sāk virzīties virs jūsu galvas, taču mēs varam (pagaidām) kontrolēt šo klienta daļu - vai nu to atspējot, vai izmantot savu serveri DoT / DoH.

Kā pārtvert DNS?

Arī šeit var būt vairākas pieejas.

DNS trafika pārtveršana, izmantojot PCAP vai NFLOG
Abas šīs pārtveršanas metodes ir ieviestas utilītprogrammā sidmat. Bet tas nav atbalstīts ilgu laiku un funkcionalitāte ir ļoti primitīva, tāpēc jums joprojām ir jāraksta uzkabe.
DNS servera žurnālu analīze
Diemžēl man zināmie rekursori nespēj reģistrēt atbildes, bet tikai pieprasījumus. Principā tas ir loģiski, jo atšķirībā no pieprasījumiem atbildēm ir sarežģīta struktūra un ir grūti tās uzrakstīt teksta formā.
DNSTap
Par laimi, daudzi no viņiem jau atbalsta DNSTap šim nolūkam.

Kas ir DNSTap?

Tas ir klienta-servera protokols, kura pamatā ir protokolu buferi un kadru straumes, lai pārsūtītu no DNS servera uz strukturētu DNS vaicājumu un atbilžu savācēju. Būtībā DNS serveris tīklā pārsūta vaicājumu un atbilžu metadatus (ziņojuma veidu, klienta/servera IP utt.), kā arī pilnīgus DNS ziņojumus (binārajā) formā, kādā tas darbojas ar tiem.

Ir svarīgi saprast, ka DNSTap paradigmā DNS serveris darbojas kā klients un savācējs darbojas kā serveris. Tas nozīmē, ka DNS serveris izveido savienojumu ar kolektoru, nevis otrādi.

Mūsdienās DNSTap tiek atbalstīts visos populārajos DNS serveros. Bet, piemēram, BIND daudzos izplatījumos (piemēram, Ubuntu LTS) kādu iemeslu dēļ bieži tiek veidots bez tā atbalsta. Tāpēc neuzbāzīsimies ar atkārtotu montāžu, bet ņemsim vieglāku un ātrāku rekursoru - Bez saistīšanas.

Kā noķert DNSTap?

Ir daži numurs CLI utilītas darbam ar DNSTap notikumu straumi, taču tās nav piemērotas mūsu problēmas risināšanai. Tāpēc es nolēmu izgudrot savu velosipēdu, kas darīs visu nepieciešamo: dnsap-bgp

Darba algoritms:

Palaižot, tas ielādē domēnu sarakstu no teksta faila, apvērš tos (habr.com -> com.habr), izslēdz lauztās līnijas, dublikātus un apakšdomēnus (t.i., ja sarakstā ir habr.com un www.habr.com, tas tiks ielādēts tikai pirmais) un izveido prefiksu koku ātrai meklēšanai šajā sarakstā
Darbojoties kā DNSTap serveris, tas gaida savienojumu no DNS servera. Principā tas atbalsta gan UNIX, gan TCP ligzdas, bet man zināmie DNS serveri var izmantot tikai UNIX ligzdas
Ienākošās DNSTap paketes vispirms tiek deserializētas Protobuf struktūrā, un pēc tam pats binārais DNS ziņojums, kas atrodas vienā no Protobuf laukiem, tiek parsēts DNS RR ierakstu līmenī.
Tiek pārbaudīts, vai pieprasītais resursdators (vai tā vecākais domēns) ir ielādētajā sarakstā, ja nē, atbilde tiek ignorēta
No atbildes tiek atlasīti tikai A/AAAA/CNAME RR, un no tiem tiek izvilktas atbilstošās IPv4/IPv6 adreses.
IP adreses tiek saglabātas kešatmiņā ar konfigurējamu TTL un tiek reklamētas visiem konfigurētajiem BGP partneriem
Saņemot atbildi, kas norāda uz jau kešatmiņā saglabātu IP, tā TTL tiek atjaunināts
Pēc TTL termiņa beigām ieraksts tiek noņemts no kešatmiņas un no BGP paziņojumiem

Papildu funkcionalitāte:

SIGHUP atkārtoti izlasa domēnu sarakstu
Kešatmiņas sinhronizēšana ar citiem gadījumiem dnsap-bgp izmantojot HTTP/JSON
Dublējiet kešatmiņu diskā (BoltDB datu bāzē), lai pēc restartēšanas atjaunotu tās saturu
Atbalsts pārslēgšanai uz citu tīkla nosaukumvietu (kāpēc tas ir nepieciešams, tiks aprakstīts tālāk)
IPv6 atbalsts

Ierobežojumi:

IDN domēni vēl netiek atbalstīti
Daži BGP iestatījumi

Es savācu RPM un DEB paketes ērtai uzstādīšanai. Jāstrādā visās salīdzinoši jaunākajās OS ar systemd. viņiem nav nekādu atkarību.

Shēma

Tātad, sāksim montēt visas sastāvdaļas kopā. Rezultātā mums vajadzētu iegūt kaut ko līdzīgu šai tīkla topoloģijai:

Darba loģika, manuprāt, ir skaidra no diagrammas:

Klientam mūsu serveris ir konfigurēts kā DNS, un arī DNS vaicājumiem ir jāiet pāri VPN. Tas ir nepieciešams, lai pakalpojumu sniedzējs nevarētu izmantot DNS pārtveršanu bloķēšanai.
Atverot vietni, klients nosūta DNS vaicājumu, piemēram, "kas ir xxx.org IP"
Nav saistību atrisina xxx.org (vai paņem to no kešatmiņas) un nosūta klientam atbildi “xxx.org ir tāds un tāds IP”, paralēli dublējot to caur DNSTap
dnsap-bgp paziņo šīs adreses BIRD izmantojot BGP, ja domēns ir bloķēto sarakstā
BIRD reklamē maršrutu uz šīm IP ar next-hop self klienta maršrutētājs
Turpmākās paketes no klienta uz šīm IP iet caur tuneli

Serverī maršrutiem uz bloķētām vietnēm izmantoju atsevišķu tabulu iekšā BIRD un tā nekādā veidā nekrustojas ar OS.

Šai shēmai ir trūkums: pirmajai SYN paketei no klienta, visticamāk, būs laiks iziet caur vietējo pakalpojumu sniedzēju. maršruts netiek paziņots uzreiz. Un šeit ir iespējamas iespējas atkarībā no tā, kā pakalpojumu sniedzējs veic bloķēšanu. Ja viņš vienkārši samazina satiksmi, tad problēmu nav. Un ja viņš to novirza uz kādu DPI, tad (teorētiski) ir iespējami specefekti.

Iespējams arī, ka klienti neievēro DNS TTL brīnumus, kas var likt klientam izmantot dažus novecojušus ierakstus no tās sapuvušās kešatmiņas, nevis jautāt Unbound.

Praksē ne pirmais, ne otrais man problēmas nesagādāja, bet jūsu nobraukums var atšķirties.

Servera noskaņošana

Lai atvieglotu ripināšanu, es uzrakstīju lomu Ansible. Tas var konfigurēt gan serverus, gan klientus, pamatojoties uz Linux (paredzēts uz deb balstītiem izplatījumiem). Visi iestatījumi ir diezgan skaidri un ir iestatīti inventārs.yml. Šī loma ir izgriezta no manas lielās rokasgrāmatas, tāpēc tajā var būt kļūdas. vilkšanas pieprasījumi laipni lūdzam 🙂

Apskatīsim galvenās sastāvdaļas.

BGP

Divu BGP dēmonu darbināšanai vienā un tajā pašā resursdatorā ir būtiska problēma: BIRD nevēlas iestatīt BGP peering ar localhost (vai jebkuru vietējo saskarni). No vārda vispār. Googlēšana un adresātu sarakstu lasīšana nepalīdzēja, viņi apgalvo, ka tas ir izstrādāts. Varbūt ir kāds veids, bet es to neatradu.

Jūs varat izmēģināt citu BGP dēmonu, bet man patīk BIRD, un es to izmantoju visur, es nevēlos radīt entītijas.

Tāpēc es paslēpu dnsap-bgp tīkla nosaukumvietā, kas ir savienota ar sakni caur veth interfeisu: tā ir kā caurule, kuras gali izceļas dažādās nosaukumvietās. Katrā no šiem galiem mēs piekarinām privātas p2p IP adreses, kas nepārsniedz resursdatoru, tāpēc tās var būt jebkas. Tas ir tas pats mehānisms, ko izmanto, lai piekļūtu iekšējiem procesiem visu mīlēja Docker un citi konteineri.

Par to tika rakstīts skripts un dnsap-bgp tika pievienota jau iepriekš aprakstītā funkcionalitāte aiz mata vilkšanai citā nosaukumvietā. Šī iemesla dēļ tas ir jāpalaiž kā root vai jāizdod binārajam failam CAP_SYS_ADMIN, izmantojot komandu setcap.

Skripta piemērs nosaukumvietas izveidei

#!/bin/bash

NS="dtap"

IP="/sbin/ip"
IPNS="$IP netns exec $NS $IP"

IF_R="veth-$NS-r"
IF_NS="veth-$NS-ns"

IP_R="192.168.149.1"
IP_NS="192.168.149.2"

/bin/systemctl stop dnstap-bgp || true

$IP netns del $NS > /dev/null 2>&1
$IP netns add $NS

$IP link add $IF_R type veth peer name $IF_NS
$IP link set $IF_NS netns $NS

$IP addr add $IP_R remote $IP_NS dev $IF_R
$IP link set $IF_R up

$IPNS addr add $IP_NS remote $IP_R dev $IF_NS
$IPNS link set $IF_NS up

/bin/systemctl start dnstap-bgp

dnstap-bgp.conf

namespace = "dtap"
domains = "/var/cache/rkn_domains.txt"
ttl = "168h"

[dnstap]
listen = "/tmp/dnstap.sock"
perm = "0666"

[bgp]
as = 65000
routerid = "192.168.149.2"

peers = [
    "192.168.149.1",
]

putns.conf

router id 192.168.1.1;

table rkn;

# Clients
protocol bgp bgp_client1 {
    table rkn;
    local as 65000;
    neighbor 192.168.1.2 as 65000;
    direct;
    bfd on;
    next hop self;
    graceful restart;
    graceful restart time 60;
    export all;
    import none;
}

# DNSTap-BGP
protocol bgp bgp_dnstap {
    table rkn;
    local as 65000;
    neighbor 192.168.149.2 as 65000;
    direct;
    passive on;
    rr client;
    import all;
    export none;
}

# Static routes list
protocol static static_rkn {
    table rkn;
    include "rkn_routes.list";
    import all;
    export none;
}

rkn_routes.list

route 3.226.79.85/32 via "ens3";
route 18.236.189.0/24 via "ens3";
route 3.224.21.0/24 via "ens3";
...

DNS

Pēc noklusējuma Ubuntu nesaistīto bināro failu ierobežo AppArmor profils, kas aizliedz tam izveidot savienojumu ar visa veida DNSTap ligzdām. Varat dzēst šo profilu vai atspējot to:

# cd /etc/apparmor.d/disable && ln -s ../usr.sbin.unbound .
# apparmor_parser -R /etc/apparmor.d/usr.sbin.unbound

Tas droši vien būtu jāpievieno rokasgrāmatai. Ideāli, protams, izlabot profilu un izsniegt nepieciešamās tiesības, bet man bija slinkums.

unbound.conf

server:
    chroot: ""
    port: 53
    interface: 0.0.0.0
    root-hints: "/var/lib/unbound/named.root"
    auto-trust-anchor-file: "/var/lib/unbound/root.key"
    access-control: 192.168.0.0/16 allow

remote-control:
    control-enable: yes
    control-use-cert: no

dnstap:
    dnstap-enable: yes
    dnstap-socket-path: "/tmp/dnstap.sock"
    dnstap-send-identity: no
    dnstap-send-version: no

    dnstap-log-client-response-messages: yes

Sarakstu lejupielāde un apstrāde

Skripts IP adrešu saraksta lejupielādei un apstrādei
Tas lejupielādē sarakstu, apkopo prefiksu pfx. Uz nepievienot и dont_summarize varat norādīt IP un tīklus, lai tie izlaistu vai neveic kopsavilkumu. Man to vajadzēja. mana VPS apakštīkls bija bloķēšanas sarakstā 🙂

Smieklīgākais ir tas, ka RosKomSvoboda API bloķē pieprasījumus ar noklusējuma Python lietotāja aģentu. Šķiet, ka skripts to saprata. Tāpēc mainām uz Ognelis.

Līdz šim tas darbojas tikai ar IPv4. IPv6 daļa ir neliela, taču to būs viegli salabot. Ja vien nav jāizmanto arī bird6.

rkn.py

#!/usr/bin/python3

import json, urllib.request, ipaddress as ipa

url = 'https://api.reserve-rbl.ru/api/v2/ips/json'
pfx = '24'

dont_summarize = {
    # ipa.IPv4Network('1.1.1.0/24'),
}

dont_add = {
    # ipa.IPv4Address('1.1.1.1'),
}

req = urllib.request.Request(
    url,
    data=None, 
    headers={
        'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.47 Safari/537.36'
    }
)

f = urllib.request.urlopen(req)
ips = json.loads(f.read().decode('utf-8'))

prefix32 = ipa.IPv4Address('255.255.255.255')

r = {}
for i in ips:
    ip = ipa.ip_network(i)
    if not isinstance(ip, ipa.IPv4Network):
        continue

    addr = ip.network_address

    if addr in dont_add:
        continue

    m = ip.netmask
    if m != prefix32:
        r[m] = [addr, 1]
        continue

    sn = ipa.IPv4Network(str(addr) + '/' + pfx, strict=False)

    if sn in dont_summarize:
        tgt = addr
    else:
        tgt = sn

    if not sn in r:
        r[tgt] = [addr, 1]
    else:
        r[tgt][1] += 1

o = []
for n, v in r.items():
    if v[1] == 1:
        o.append(str(v[0]) + '/32')
    else:
        o.append(n)

for k in o:
    print(k)

Atjaunināmais skripts
Es to palaistu uz vainaga reizi dienā, varbūt ir vērts to vilkt ik pēc 4 stundām. šis, manuprāt, ir atjaunošanas periods, ko RKN pieprasa no pakalpojumu sniedzējiem. Turklāt tiem ir kāda cita īpaši steidzama bloķēšana, kas var notikt ātrāk.

Veic šādas darbības:

Palaiž pirmo skriptu un atjaunina maršrutu sarakstu (rkn_routes.list) par PUTNU
Pārlādēt BIRD
Atjaunina un notīra dnsap-bgp domēnu sarakstu
Pārlādēt dnsap-bgp

rkn_update.sh

#!/bin/bash

ROUTES="/etc/bird/rkn_routes.list"
DOMAINS="/var/cache/rkn_domains.txt"

# Get & summarize routes
/opt/rkn.py | sed 's/(.*)/route 1 via "ens3";/' > $ROUTES.new

if [ $? -ne 0 ]; then
    rm -f $ROUTES.new
    echo "Unable to download RKN routes"
    exit 1
fi

if [ -e $ROUTES ]; then
    mv $ROUTES $ROUTES.old
fi

mv $ROUTES.new $ROUTES

/bin/systemctl try-reload-or-restart bird

# Get domains
curl -s https://api.reserve-rbl.ru/api/v2/domains/json -o - | jq -r '.[]' | sed 's/^*.//' | sort | uniq > $DOMAINS.new

if [ $? -ne 0 ]; then
    rm -f $DOMAINS.new
    echo "Unable to download RKN domains"
    exit 1
fi

if [ -e $DOMAINS ]; then
    mv $DOMAINS $DOMAINS.old
fi

mv $DOMAINS.new $DOMAINS

/bin/systemctl try-reload-or-restart dnstap-bgp

Tie tika rakstīti bez īpašas domāšanas, tāpēc, ja redzat kaut ko, ko var uzlabot - dodieties uz to.

Klienta iestatīšana

Šeit es sniegšu piemērus Linux maršrutētājiem, bet Mikrotik / Cisco gadījumā tam vajadzētu būt vēl vienkāršākam.

Pirmkārt, mēs iestatījām BIRD:

putns.conf

router id 192.168.1.2;
table rkn;

protocol device {
    scan time 10;
};

# Servers
protocol bgp bgp_server1 {
    table rkn;
    local as 65000;
    neighbor 192.168.1.1 as 65000;
    direct;
    bfd on;
    next hop self;
    graceful restart;
    graceful restart time 60;
    rr client;
    export none;
    import all;
}

protocol kernel {
    table rkn;
    kernel table 222;
    scan time 10;
    export all;
    import none;
}

Tādējādi mēs sinhronizēsim no BGP saņemtos maršrutus ar kodola maršrutēšanas tabulu ar numuru 222.

Pēc tam pietiek palūgt kodolam apskatīt šo plāksni, pirms skatāties uz noklusējuma:

# ip rule add from all pref 256 lookup 222
# ip rule
0:  from all lookup local
256:    from all lookup 222
32766:  from all lookup main
32767:  from all lookup default

Viss, atliek maršrutētājā konfigurēt DHCP, lai izplatītu servera tuneļa IP adresi kā DNS, un shēma ir gatava.

Ierobežojumi

Izmantojot pašreizējo domēnu saraksta ģenerēšanas un apstrādes algoritmu, tas cita starpā ietver youtube.com un tā CDN.

Un tas noved pie tā, ka visi videoklipi tiks pārraidīti caur VPN, kas var aizsprostot visu kanālu. Varbūt ir vērts sastādīt sarakstu ar populāriem domēniem-izņēmumiem, kas pagaidām bloķē RKN, iekšas ir plānas. Un izlaidiet tos parsēšanas laikā.

Secinājums

Aprakstītā metode ļauj apiet gandrīz jebkuru bloķēšanu, ko pakalpojumu sniedzēji pašlaik īsteno.

Principā, dnsap-bgp var izmantot jebkuram citam mērķim, kur ir nepieciešama noteikta līmeņa trafika kontrole, pamatojoties uz domēna nosaukumu. Vienkārši paturiet prātā, ka mūsu laikā tūkstoš vietņu var karāties vienā IP adresē (piemēram, aiz kāda Cloudflare), tāpēc šai metodei ir diezgan zema precizitāte.

Bet slēdzeņu apiešanas vajadzībām ar to pilnīgi pietiek.

Papildinājumi, labojumi, izvilkšanas pieprasījumi - laipni lūdzam!

Avots: www.habr.com

Apiet ILV bloķēšanu, izmantojot DNSTap un BGP