🥇 ब्लॉकिंगला बायपास करण्यासाठी BGP कॉन्फिगर करणे किंवा “मी घाबरणे कसे थांबवले आणि RKN च्या प्रेमात पडलो”

बरं, ठीक आहे, "प्रेम" बद्दल अतिशयोक्ती आहे. त्याऐवजी, "सोबत राहण्यास सक्षम होते."

तुम्हा सर्वांना माहीत आहे की, 16 एप्रिल 2018 पासून, Roskomnadzor अतिशय व्यापक स्ट्रोकमध्ये इंटरनेटवरील संसाधनांचा प्रवेश अवरोधित करत आहे, "युनिफाइड रजिस्टर ऑफ डोमेन नेम्स, इंटरनेटवरील साइट्सचे पृष्ठ अनुक्रमणिका आणि नेटवर्क पत्ते जे साइट ओळखू देतात. इंटरनेटवर, "रशियन फेडरेशनमध्ये ज्याचे वितरण प्रतिबंधित आहे अशा माहितीसह" (मजकूरात - फक्त एक नोंदणी) /10 कधीकधी. परिणामी, रशियन फेडरेशनचे नागरिक आणि व्यवसाय त्रस्त आहेत, त्यांना आवश्यक असलेल्या पूर्णपणे कायदेशीर संसाधनांमध्ये प्रवेश गमावला आहे.

बायपास योजना सुरू करण्यासाठी मी पीडितांना मदत करण्यास तयार आहे असे हॅब्रेवरील एका लेखाच्या टिप्पण्यांमध्ये मी म्हटल्यानंतर, अनेक लोक माझ्याकडे अशी मदत मागण्यासाठी आले. जेव्हा सर्वकाही त्यांच्यासाठी कार्य करते, तेव्हा त्यापैकी एकाने एका लेखात तंत्राचे वर्णन करण्याची शिफारस केली. काही विचार केल्यानंतर, मी साइटवरील माझे मौन तोडण्याचा निर्णय घेतला आणि प्रकल्प आणि फेसबुक पोस्ट दरम्यान काहीतरी लिहिण्याचा प्रयत्न केला, म्हणजे. habrapost निकाल तुमच्या समोर आहे.

जबाबदारी नाकारणे

रशियन फेडरेशनच्या प्रदेशावर प्रतिबंधित माहितीवर प्रवेश अवरोधित करण्याचे मार्ग प्रकाशित करणे फारसे कायदेशीर नसल्यामुळे, या लेखाचा उद्देश अशा पद्धतीबद्दल बोलणे हा आहे जो आपल्याला परवानगी असलेल्या संसाधनांमध्ये स्वयंचलितपणे प्रवेश मिळविण्यास अनुमती देतो. रशियन फेडरेशनचा प्रदेश, परंतु इतर कोणाच्या तरी कृतीमुळे तुमच्या प्रदात्याद्वारे थेट प्रवेश करता येणार नाही. आणि लेखातील कृतींच्या परिणामी प्राप्त झालेल्या इतर संसाधनांमध्ये प्रवेश हा एक दुर्दैवी दुष्परिणाम आहे आणि कोणत्याही प्रकारे लेखाचा हेतू नाही.

तसेच, मी प्रामुख्याने व्यवसायाने नेटवर्क आर्किटेक्ट असल्याने, व्यवसाय आणि जीवन मार्ग, प्रोग्रामिंग आणि लिनक्स हे माझे मजबूत मुद्दे नाहीत. त्यामुळे, अर्थातच, स्क्रिप्ट अधिक चांगल्या प्रकारे लिहिल्या जाऊ शकतात, VPS मधील सुरक्षा समस्या अधिक सखोलपणे शोधल्या जाऊ शकतात इ. तुमच्या सूचना कृतज्ञतेने स्वीकारल्या जातील, जर ते पुरेसे तपशीलवार असतील - मला त्या लेखाच्या मजकुरात जोडण्यास आनंद होईल.

TL; डॉ

आम्ही रेजिस्ट्री आणि BGP प्रोटोकॉलची एक प्रत वापरून तुमच्या विद्यमान बोगद्याद्वारे संसाधनांमध्ये प्रवेश स्वयंचलित करतो. बोगद्यामध्ये अवरोधित संसाधनांना संबोधित केलेली सर्व रहदारी काढून टाकणे हे उद्दिष्ट आहे. किमान स्पष्टीकरण, मुख्यतः चरण-दर-चरण सूचना.

यासाठी तुम्हाला काय हवे आहे?

दुर्दैवाने, हे पोस्ट प्रत्येकासाठी नाही. हे तंत्र वापरण्यासाठी, आपल्याला अनेक घटक एकत्र ठेवणे आवश्यक आहे:

तुमच्याकडे ब्लॉकिंग फील्डच्या बाहेर कुठेतरी लिनक्स सर्व्हर असणे आवश्यक आहे. किंवा किमान असा सर्व्हर असण्याची इच्छा - सुदैवाने आता त्याची किंमत $9/वर्ष आणि शक्यतो कमी आहे. जर तुमच्याकडे वेगळा व्हीपीएन बोगदा असेल तर ही पद्धत देखील योग्य आहे, नंतर सर्व्हर ब्लॉकिंग फील्डमध्ये स्थित असू शकतो.
तुमचा राउटर सक्षम होण्यासाठी पुरेसा स्मार्ट असावा
- तुम्हाला आवडणारा कोणताही VPN क्लायंट (मी OpenVPN ला प्राधान्य देतो, परंतु ते PPTP, L2TP, GRE+IPSec किंवा टनेल इंटरफेस तयार करणारा कोणताही पर्याय असू शकतो);
- BGPv4 प्रोटोकॉल. याचा अर्थ असा की SOHO साठी ते Mikrotik किंवा OpenWRT/LEDE/तत्सम सानुकूल फर्मवेअर असलेले कोणतेही राउटर असू शकते जे तुम्हाला Quagga किंवा Bird इंस्टॉल करण्याची परवानगी देते. पीसी राउटर वापरणे देखील प्रतिबंधित नाही. एंटरप्राइझच्या बाबतीत, तुमच्या बॉर्डर राउटरसाठी कागदपत्रांमध्ये BGP समर्थन शोधा.
तुम्हाला BGP प्रोटोकॉलसह Linux वापर आणि नेटवर्किंग तंत्रज्ञानाची माहिती असणे आवश्यक आहे. किंवा निदान अशी कल्पना तरी यावी असे वाटते. या वेळी मी विशालतेचा स्वीकार करण्यास तयार नसल्यामुळे, तुम्हाला स्वतःहून अनाकलनीय असलेल्या काही पैलूंचा अभ्यास करावा लागेल. तथापि, मी अर्थातच, टिप्पण्यांमधील विशिष्ट प्रश्नांची उत्तरे देईन आणि उत्तर देणारा मी एकटा असण्याची शक्यता नाही, म्हणून विचारण्यास अजिबात संकोच करू नका.

उदाहरणात काय वापरले आहे

रजिस्टरची एक प्रत - पासून https://github.com/zapret-info/z-i
VPS - उबंटू 16.04
राउटिंग सेवा - पक्षी 1.6.3
राउटर - Mikrotik hAP ac
कार्यरत फोल्डर्स - आम्ही रूट म्हणून काम करत असल्याने, बहुतेक सर्व गोष्टी रूटच्या होम फोल्डरमध्ये असतील. अनुक्रमे:
- /root/blacklist - संकलन स्क्रिप्टसह कार्यरत फोल्डर
- /root/zi - github वरून रेजिस्ट्रीची प्रत
- /etc/bird - पक्षी सेवा सेटिंग्जसाठी मानक फोल्डर
रूटिंग सर्व्हर आणि टनेल टर्मिनेशन पॉइंटसह VPS चा बाह्य IP पत्ता 194.165.22.146, ASN 64998 आहे; राउटरचा बाह्य IP पत्ता - 81.177.103.94, ASN 64999
बोगद्यातील IP पत्ते अनुक्रमे 172.30.1.1 आणि 172.30.1.2 आहेत.

नक्कीच, आपण इतर कोणतेही राउटर, ऑपरेटिंग सिस्टम आणि सॉफ्टवेअर उत्पादने वापरू शकता, त्यांच्या तर्कानुसार समाधान समायोजित करू शकता.

थोडक्यात - समाधानाचे तर्क

तयारी कृती
1. VPS मिळवत आहे
2. राउटरपासून VPS पर्यंत बोगदा वाढवणे
आम्ही रेजिस्ट्रीची प्रत प्राप्त करतो आणि नियमितपणे अद्यतनित करतो
राउटिंग सेवा स्थापित करणे आणि कॉन्फिगर करणे
आम्ही रेजिस्ट्रीच्या आधारावर रूटिंग सेवेसाठी स्थिर मार्गांची सूची तयार करतो
आम्ही राउटरला सेवेशी कनेक्ट करतो आणि बोगद्याद्वारे सर्व रहदारी पाठविण्याचे कॉन्फिगर करतो.

प्रत्यक्ष उपाय

तयारी कृती

इंटरनेटवर अशा अनेक सेवा आहेत ज्या अत्यंत वाजवी किमतीत VPS प्रदान करतात. आत्तापर्यंत मला $9/वर्षासाठी पर्याय सापडला आहे आणि वापरत आहे, परंतु तुम्हाला जास्त त्रास होत नसला तरीही, प्रत्येक कोपऱ्यावर 1E/महिना साठी बरेच पर्याय आहेत. VPS निवडण्याचा प्रश्न या लेखाच्या व्याप्तीच्या पलीकडे आहे, म्हणून जर एखाद्याला याबद्दल काही समजत नसेल तर टिप्पण्यांमध्ये विचारा.

जर तुम्ही केवळ राउटिंग सेवेसाठीच नाही तर त्यावरील बोगदा बंद करण्यासाठी व्हीपीएस वापरत असाल, तर तुम्हाला हा बोगदा वाढवावा लागेल आणि जवळजवळ निश्चितपणे त्यासाठी NAT कॉन्फिगर करावे लागेल. इंटरनेटवर या क्रियांवर मोठ्या संख्येने सूचना आहेत, मी त्यांची येथे पुनरावृत्ती करणार नाही. अशा बोगद्यासाठी मुख्य आवश्यकता अशी आहे की त्याने आपल्या राउटरवर एक वेगळा इंटरफेस तयार केला पाहिजे जो VPS च्या दिशेने बोगद्याला सपोर्ट करतो. सर्वाधिक वापरलेले VPN तंत्रज्ञान ही आवश्यकता पूर्ण करतात - उदाहरणार्थ, ट्यून मोडमधील OpenVPN परिपूर्ण आहे.

नोंदणीची प्रत मिळवणे

जब्राईलने म्हटल्याप्रमाणे, "जो आम्हाला अडथळा आणतो तो आम्हाला मदत करेल." RKN प्रतिबंधित स्त्रोतांचे एक रजिस्टर तयार करत असल्याने, आमच्या समस्येचे निराकरण करण्यासाठी या रजिस्टरचा वापर न करणे हे पाप असेल. आम्हाला github वरून रेजिस्ट्रीची एक प्रत मिळेल.

आम्ही तुमच्या लिनक्स सर्व्हरवर जातो, रूट संदर्भात पडतो (sudo su -) आणि git आधीपासून स्थापित नसल्यास स्थापित करा.

apt install git

तुमच्या होम डिरेक्टरीवर जा आणि रेजिस्ट्रीची एक प्रत काढा.

cd ~ && git clone --depth=1 https://github.com/zapret-info/z-i

आम्ही एक क्रॉन अपडेट सेट करतो (मी ते प्रत्येक 20 मिनिटांनी एकदा करतो, परंतु आपण आपल्या आवडीचे कोणतेही अंतर निवडू शकता). हे करण्यासाठी आम्ही लाँच करतो crontab -e आणि त्यात खालील ओळ जोडा:

*/20 * * * * cd ~/z-i && git pull && git gc

आम्ही एक हुक कनेक्ट करतो जो रेजिस्ट्री अद्यतनित केल्यानंतर राउटिंग सेवेसाठी फायली तयार करेल. हे करण्यासाठी, एक फाइल तयार करा /root/zi/.git/hooks/post-merge खालील सामग्रीसह:

#!/usr/bin/env bash
changed_files="$(git diff-tree -r --name-only --no-commit-id ORIG_HEAD HEAD)"
check_run() {
    echo "$changed_files" | grep --quiet "$1" && eval "$2"
}
check_run dump.csv "/root/blacklist/makebgp"

आणि ते एक्झिक्युटेबल करायला विसरू नका

chmod +x /root/z-i/.git/hooks/post-merge

आम्ही मेकबीजीपी स्क्रिप्ट तयार करू ज्याचा हुक थोड्या वेळाने संदर्भित करते.

राउटिंग सेवा स्थापित करणे आणि कॉन्फिगर करणे

पक्षी स्थापित करा. दुर्दैवाने, सध्या उबंटू रेपॉजिटरीजमध्ये पोस्ट केलेली पक्ष्यांची आवृत्ती आर्किओप्टेरिक्सच्या विष्ठेशी तुलना करता येते, म्हणून आम्हाला प्रथम सॉफ्टवेअर डेव्हलपरचे अधिकृत पीपीए सिस्टममध्ये जोडणे आवश्यक आहे.

add-apt-repository ppa:cz.nic-labs/bird
apt update
apt install bird

यानंतर, आम्ही IPv6 साठी पक्षी ताबडतोब अक्षम करतो - आम्हाला या स्थापनेत त्याची आवश्यकता नाही.

systemctl stop bird6
systemctl disable bird6

खाली एक किमानपक्षी सेवा कॉन्फिगरेशन फाइल आहे (/etc/bird/bird.conf), जे आमच्यासाठी पुरेसे आहे (आणि मी तुम्हाला पुन्हा एकदा आठवण करून देतो की तुमच्या स्वतःच्या गरजेनुसार कल्पना विकसित करण्यास आणि ट्यून करण्यास कोणीही मनाई करत नाही)

log syslog all;
router id 172.30.1.1;

protocol kernel {
        scan time 60;
        import none;
#       export all;   # Actually insert routes into the kernel routing table
}

protocol device {
        scan time 60;
}

protocol direct {
        interface "venet*", "tun*"; # Restrict network interfaces it works with
}

protocol static static_bgp {
        import all;
        include "pfxlist.txt";
        #include "iplist.txt";
}

protocol bgp OurRouter {
        description "Our Router";
        neighbor 81.177.103.94 as 64999;
        import none;
        export where proto = "static_bgp";
        local as 64998;
        passive off;
        multihop;
}

राउटर आयडी - राउटर आयडेंटिफायर, जो दृष्यदृष्ट्या IPv4 पत्त्यासारखा दिसतो, परंतु एक नाही. आमच्या बाबतीत, तो IPv32 अॅड्रेस फॉरमॅटमध्‍ये कोणताही 4-बिट नंबर असू शकतो, परंतु तुमच्या डिव्‍हाइसचा IPv4 अॅड्रेस (या बाबतीत, VPS) तंतोतंत सूचित करण्‍याचा हा चांगला प्रकार आहे.

प्रोटोकॉल डायरेक्ट राउटिंग प्रक्रियेसह कोणते इंटरफेस कार्य करतील हे परिभाषित करते. उदाहरण काही उदाहरणांची नावे देते, तुम्ही इतरांना जोडू शकता. आपण फक्त ओळ हटवू शकता; या प्रकरणात, सर्व्हर IPv4 पत्त्यासह सर्व उपलब्ध इंटरफेस ऐकेल.

प्रोटोकॉल स्टॅटिक ही आमची जादू आहे जी त्यानंतरच्या घोषणेसाठी फायलींमधून उपसर्ग आणि IP पत्ते (जे प्रत्यक्षात /32 उपसर्ग आहेत) लोड करते. या याद्या कुठून येतात यावर खाली चर्चा केली जाईल. कृपया लक्षात घ्या की आयपी पत्ते लोड करणे डीफॉल्टनुसार टिप्पणी केलेले आहे, याचे कारण अपलोडिंगचे मोठे प्रमाण आहे. तुलनेसाठी, लेखनाच्या वेळी, उपसर्गांच्या सूचीमध्ये 78 ओळी आहेत आणि IP पत्त्यांच्या सूचीमध्ये 85898 आहेत. मी जोरदार शिफारस करतो की केवळ उपसर्गांच्या सूचीवरच प्रारंभ आणि डीबग करणे, आणि मध्ये IP लोडिंग सक्षम करायचे की नाही. तुमच्या राउटरचा प्रयोग केल्यानंतर भविष्य तुमच्यावर अवलंबून आहे. त्यातील प्रत्येकाला राउटिंग टेबलमधील ८५ हजार नोंदी सहज पचनी पडत नाहीत.

प्रोटोकॉल bgp, खरं तर, तुमच्या राउटरसह bgp पीअरिंग सेट करते. आयपी अॅड्रेस हा राउटरच्या बाह्य इंटरफेसचा पत्ता आहे (किंवा राउटरच्या बाजूला असलेल्या टनेल इंटरफेसचा पत्ता), 64998 आणि 64999 हे स्वायत्त सिस्टीमचे क्रमांक आहेत. या प्रकरणात, ते कोणत्याही 16-बिट क्रमांकांच्या स्वरूपात नियुक्त केले जाऊ शकतात, परंतु RFC6996 - 64512-65534 समावेश असलेल्या खाजगी श्रेणीतून AS क्रमांक वापरणे चांगले आहे (32-बिट ASN साठी एक स्वरूप आहे, परंतु आमच्या बाबतीत हे निश्चितपणे ओव्हरकिल आहे). वर्णन केलेले कॉन्फिगरेशन ईबीजीपी पीअरिंग वापरते, ज्यामध्ये राउटिंग सेवा आणि राउटरच्या स्वायत्त प्रणालींची संख्या भिन्न असणे आवश्यक आहे.

तुम्ही बघू शकता, सेवेला राउटरचा IP पत्ता माहित असणे आवश्यक आहे, त्यामुळे तुमच्याकडे डायनॅमिक किंवा नॉन-रूटेबल प्रायव्हेट (RFC1918) किंवा शेअर केलेला (RFC6598) पत्ता असल्यास, तुमच्याकडे बाह्य वर पीअरिंग वाढवण्याचा पर्याय नाही. इंटरफेस, परंतु सेवा अद्याप बोगद्याच्या आत कार्य करेल.

हे देखील अगदी स्पष्ट आहे की एका सेवेतून तुम्ही अनेक वेगवेगळ्या राउटरला मार्ग प्रदान करू शकता - फक्त प्रोटोकॉल bgp विभाग कॉपी करून आणि शेजाऱ्याचा IP पत्ता बदलून त्यांच्यासाठी सेटिंग्ज डुप्लिकेट करा. म्हणूनच उदाहरण सर्वात सार्वत्रिक म्हणून, बोगद्याच्या बाहेर पीअरिंगसाठी सेटिंग्ज दर्शविते. त्यानुसार सेटिंग्जमध्ये IP पत्ते बदलून त्यांना बोगद्यात काढणे सोपे आहे.

राउटिंग सेवेसाठी नोंदणीवर प्रक्रिया करत आहे

आता आम्हाला, खरं तर, उपसर्ग आणि IP पत्त्यांच्या याद्या तयार करण्याची आवश्यकता आहे, ज्याचा उल्लेख मागील टप्प्यावर प्रोटोकॉल स्टॅटिकमध्ये केला होता. हे करण्यासाठी, आम्ही रेजिस्ट्री फाइल घेतो आणि त्यात ठेवलेल्या खालील स्क्रिप्टचा वापर करून आम्हाला आवश्यक असलेल्या फाइल्स बनवतो. /root/blacklist/makebgp

#!/bin/bash
cut -d";" -f1 /root/z-i/dump.csv| tr '|' 'n' |  tr -d ' ' > /root/blacklist/tmpaddr.txt
cat /root/blacklist/tmpaddr.txt | grep / | sed 's_.*_route & reject;_' > /etc/bird/pfxlist.txt
cat /root/blacklist/tmpaddr.txt | sort | uniq | grep -Eo "([0-9]{1,3}[.]){3}[0-9]{1,3}" | sed 's_.*_route &/32 reject;_' > /etc/bird/iplist.txt
/etc/init.d/bird reload
logger 'bgp list compiled'

ते एक्झिक्युटेबल बनवायला विसरू नका

chmod +x /root/blacklist/makebgp

आता तुम्ही ते स्वहस्ते चालवू शकता आणि /etc/bird मधील फाइल्सचे स्वरूप पाहू शकता.

बहुधा, या क्षणी पक्षी आपल्यासाठी कार्य करत नाही, कारण मागील टप्प्यावर आपण अद्याप अस्तित्वात नसलेल्या फायली शोधण्यास सांगितले होते. म्हणून, आम्ही ते लाँच करतो आणि ते सुरू झाले आहे का ते तपासा:

systemctl start bird
birdc show route

दुसर्‍या कमांडच्या आउटपुटमध्ये सुमारे 80 रेकॉर्ड्स दिसल्या पाहिजेत (हे आत्तासाठी आहे, परंतु जेव्हा तुम्ही ते सेट कराल तेव्हा सर्वकाही ब्लॉकिंग नेटवर्कमध्ये RKN च्या आवेशावर अवलंबून असेल) असे काहीतरी:

54.160.0.0/12      unreachable [static_bgp 2018-04-19] * (200)

संघ

birdc show protocol

सेवेतील प्रोटोकॉलची स्थिती दर्शवेल. जोपर्यंत तुम्ही राउटर कॉन्फिगर करत नाही तोपर्यंत (पुढील पॉइंट पहा), OurRouter प्रोटोकॉल स्टार्ट स्टेट (कनेक्ट किंवा अॅक्टिव्ह फेज) मध्ये असेल आणि यशस्वी कनेक्शननंतर ते वरच्या स्थितीत (स्थापित टप्पा) जाईल. उदाहरणार्थ, माझ्या सिस्टमवर या कमांडचे आउटपुट असे दिसते:

BIRD 1.6.3 ready.
name     proto    table    state  since       info
kernel1  Kernel   master   up     2018-04-19
device1  Device   master   up     2018-04-19
static_bgp Static   master   up     2018-04-19
direct1  Direct   master   up     2018-04-19
RXXXXXx1 BGP      master   up     13:10:22    Established
RXXXXXx2 BGP      master   up     2018-04-24  Established
RXXXXXx3 BGP      master   start  2018-04-22  Connect       Socket: Connection timed out
RXXXXXx4 BGP      master   up     2018-04-24  Established
RXXXXXx5 BGP      master   start  2018-04-24  Passive

राउटर कनेक्ट करत आहे

प्रत्येकजण कदाचित हा फूटक्लोथ वाचून कंटाळला असेल, परंतु मनापासून घ्या - शेवट जवळ आहे. शिवाय, या विभागात मी चरण-दर-चरण सूचना देऊ शकणार नाही - ते प्रत्येक निर्मात्यासाठी भिन्न असेल.

तथापि, मी तुम्हाला काही उदाहरणे दाखवू शकतो. BGP पीअरिंग वाढवणे आणि आमच्या बोगद्याकडे (आम्हाला p2p इंटरफेसद्वारे रहदारी पाठवायची असल्यास) किंवा ट्रॅफिक इथरनेटवर गेल्यास नेक्स्टहॉप आयपी पत्त्याकडे निर्देश करून सर्व प्राप्त उपसर्गांना नेक्स्टहॉप नियुक्त करणे हे मुख्य तर्क आहे.

उदाहरणार्थ, RouterOS मधील Mikrotik वर हे खालीलप्रमाणे सोडवले जाते

/routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=172.30.1.2
/routing bgp peer add in-filter=dynamic-in multihop=yes name=VPS remote-address=194.165.22.146 remote-as=64998 ttl=default
/routing filter add action=accept chain=dynamic-in protocol=bgp comment="Set nexthop" set-in-nexthop=172.30.1.1

आणि Cisco IOS मध्ये - यासारखे

router bgp 64999
  neighbor 194.165.22.146 remote-as 64998
  neighbor 194.165.22.146 route-map BGP_NEXT_HOP in
  neighbor 194.165.22.146 ebgp-multihop 250
!
route-map BGP_NEXT_HOP permit 10
  set ip next-hop 172.30.1.1

जर एकच बोगदा BGP पीअरिंगसाठी आणि उपयुक्त रहदारी प्रसारित करण्यासाठी वापरला असेल, तर नेक्स्टहॉप सेट करणे आवश्यक नाही; तो प्रोटोकॉल वापरून योग्यरित्या सेट केला जाईल. परंतु आपण ते व्यक्तिचलितपणे सेट केल्यास, ते आणखी वाईट होणार नाही.

इतर प्लॅटफॉर्मवर, तुम्हाला स्वतः कॉन्फिगरेशन शोधावे लागेल, परंतु तुम्हाला काही अडचण असल्यास, टिप्पण्यांमध्ये लिहा, मी मदत करण्याचा प्रयत्न करेन.

तुमचे बीजीपी सत्र सुरू झाल्यानंतर, मोठ्या नेटवर्कचे मार्ग आले आहेत आणि ते टेबलमध्ये स्थापित केले आहेत, ट्रॅफिक त्यांच्या पत्त्यांपर्यंत पोहोचले आहे आणि आनंद जवळ आला आहे, तुम्ही पक्षी सेवेकडे परत येऊ शकता आणि तेथे प्रवेश रद्द करण्याचा प्रयत्न करू शकता जे त्यांना जोडते. IP पत्त्यांची यादी, त्यानंतर कार्यान्वित करा

systemctl reload bird

आणि तुमच्या राउटरने हे ८५ हजार मार्ग कसे हस्तांतरित केले ते पहा. अनप्लग करण्यास तयार रहा आणि त्याचे काय करायचे याचा विचार करा :)

एकूण

पूर्णपणे सैद्धांतिकदृष्ट्या, वर वर्णन केलेल्या चरणांची पूर्तता केल्यानंतर, तुमच्याकडे आता एक सेवा आहे जी फिल्टरिंग सिस्टमच्या आधी रशियन फेडरेशनमध्ये प्रतिबंधित केलेल्या IP पत्त्यांवर रहदारी स्वयंचलितपणे पुनर्निर्देशित करते.

त्यात अर्थातच सुधारणा होऊ शकते. उदाहरणार्थ, पर्ल किंवा पायथन सोल्यूशन्स वापरून आयपी पत्त्यांची सूची सारांशित करणे खूप सोपे आहे. Net::CIDR::Lite वापरून हे करत असलेली एक साधी पर्ल स्क्रिप्ट 85 हजार उपसर्ग 60 (हजार नाही) मध्ये बदलते, परंतु, अर्थातच, ब्लॉक केलेल्या पत्त्यांपेक्षा खूप मोठी श्रेणी व्यापते.

सेवा ISO/OSI मॉडेलच्या तिसर्‍या स्तरावर कार्य करत असल्याने, नोंदणीमध्ये नोंदवल्याप्रमाणे चुकीच्या पत्त्यावर निराकरण झाल्यास साइट/पृष्ठ अवरोधित करण्यापासून ती तुम्हाला वाचवणार नाही. परंतु नोंदणीसह, nxdomain.txt ही फाइल github वरून येते, जी स्क्रिप्टच्या काही स्ट्रोकसह सहजपणे पत्त्यांचे स्त्रोत बनते, उदाहरणार्थ, Chrome मधील SwitchyOmega प्लगइन.

आपण केवळ इंटरनेट वापरकर्ता नसल्यास, समाधानासाठी अतिरिक्त परिष्करण आवश्यक आहे हे देखील नमूद करणे आवश्यक आहे, परंतु आपण स्वतः काही संसाधने देखील प्रकाशित करा (उदाहरणार्थ, वेबसाइट किंवा मेल सर्व्हर या कनेक्शनवर चालते). राउटरच्या साधनांचा वापर करून, या सेवेतून जाणार्‍या रहदारीला तुमच्या सार्वजनिक पत्त्यावर काटेकोरपणे बंधनकारक करणे आवश्यक आहे, अन्यथा राउटरद्वारे प्राप्त झालेल्या उपसर्गांच्या सूचीमध्ये समाविष्ट असलेल्या संसाधनांशी तुमची कनेक्टिव्हिटी गमवाल.

तुम्हाला काही प्रश्न असतील तर विचारा, मी उत्तर द्यायला तयार आहे.

UPD. धन्यवाद navion и TerAnYu git च्या पॅरामीटर्ससाठी जे डाउनलोड व्हॉल्यूम कमी करण्यास परवानगी देतात.

UPD2. सहकाऱ्यांनो, लेखात VPS आणि राउटर दरम्यान बोगदा सेट करण्याच्या सूचना न जोडून मी चूक केली असे दिसते. यावरून अनेक प्रश्न उपस्थित होत आहेत.
फक्त बाबतीत, मी पुन्हा एकदा लक्षात घेईन की हे मार्गदर्शिका सुरू करण्यापूर्वी, तुम्ही तुम्हाला आवश्यक असलेल्या दिशेने एक VPN बोगदा आधीच कॉन्फिगर केला आहे आणि त्याची कार्यक्षमता तपासली आहे (उदाहरणार्थ, तेथे डीफॉल्ट किंवा स्थिरपणे रहदारी वळवून). तुम्ही हा टप्पा अजून पूर्ण केला नसेल, तर लेखातील पायऱ्या फॉलो करण्यात फारसा अर्थ नाही. माझ्याकडे अद्याप यावर माझा स्वतःचा मजकूर नाही, परंतु जर तुम्ही व्हीपीएसवर स्थापित ऑपरेटिंग सिस्टमच्या नावासह "ओपनव्हीपीएन सर्व्हर सेट अप करत आहे" आणि तुमच्या राउटरच्या नावासह "ओपनव्हीपीएन क्लायंट सेट अप करत आहे" , तुम्हाला या विषयावरील अनेक लेख सापडतील, ज्यात Habré वर देखील समावेश आहे.

UPD3. अशक्त मी एक कोड लिहिला आहे जो dump.csv ला आयपी पत्त्यांच्या वैकल्पिक सारांशासह पक्ष्यांसाठी परिणामी फाइलमध्ये बदलतो. म्हणून, "राउटिंग सेवेसाठी नोंदणीवर प्रक्रिया करणे" हा विभाग त्याच्या प्रोग्रामला कॉल करून बदलला जाऊ शकतो. https://habr.com/post/354282/#comment_10782712

UPD4. त्रुटींवर थोडे काम (मी त्यांना मजकूरात जोडले नाही):
1) त्याऐवजी systemctl रीलोड पक्षी कमांड वापरण्यात अर्थ आहे birdc कॉन्फिगर.
2) मिक्रोटिक राउटरमध्ये, नेक्स्टहॉपला बोगद्याच्या दुसऱ्या बाजूच्या आयपीमध्ये बदलण्याऐवजी /राउटिंग फिल्टर अॅड अॅक्शन = accept chain=dynamic-in protocol=bgp comment=»Set nexthop» set-in-nexthop=172.30.1.1 पत्त्याशिवाय थेट बोगद्याच्या इंटरफेसचा मार्ग निर्दिष्ट करण्यात अर्थ आहे /राउटिंग फिल्टर अॅड अॅक्शन = accept chain=dynamic-in protocol=bgp comment=»Set nexthop» set-in-nexthop-direct=<interface name>

UPD5. एक नवीन सेवा आली आहे https://antifilter.download, जिथून तुम्ही आयपी पत्त्यांच्या रेडीमेड याद्या घेऊ शकता. दर अर्ध्या तासाने अपडेट केले जाते. क्लायंटच्या बाजूने, फक्त संबंधित “मार्ग... नकार” सह रेकॉर्ड फ्रेम करणे बाकी आहे.
आणि या टप्प्यावर, कदाचित, आपल्या आजीला रॅग करणे आणि लेख अद्यतनित करणे पुरेसे आहे.

UPD6. ज्यांना हे शोधून काढायचे नाही, पण सुरुवात करायची आहे त्यांच्यासाठी लेखाची सुधारित आवृत्ती - येथे.

स्त्रोत: www.habr.com

ब्लॉकिंगला बायपास करण्यासाठी BGP सेट करणे किंवा "मी घाबरणे कसे थांबवले आणि RKN च्या प्रेमात पडलो"