ခေါင်းစဉ်က တော်တော်မိုက်တာပဲ သိတယ်။ ဥပမာ တစ်ခုရှိသေးတယ်။ ဆောင်းပါးသို့သော် blocklist ၏ IP အပိုင်းကိုသာ ထိုနေရာတွင် ထည့်သွင်းစဉ်းစားသည်။ ဒိုမိန်းများလည်း ထည့်ပါမည်။

တရားရုံးများနှင့် RKN တို့သည် ညာဘက်နှင့် ဘယ်ဘက်အရာအားလုံးကို ပိတ်ဆို့ထားပြီး၊ ဝန်ဆောင်မှုပေးသူများသည် Revizorro မှထုတ်ပေးသော ဒဏ်ကြေးများအောက်တွင် မကျရောက်စေရန် ပြင်းပြင်းထန်ထန် ကြိုးပမ်းနေခြင်းကြောင့်၊ ပိတ်ဆို့ခြင်းမှ ဆက်စပ်ဆုံးရှုံးမှုသည် အလွန်ကြီးမားပါသည်။ "တရားဝင်ပိတ်ဆို့ထားသော" ဆိုက်များကြားတွင် အသုံးဝင်သည့်အရာများစွာရှိသည် (မင်္ဂလာပါ rutracker)

ကျွန်ုပ်သည် RKN ၏တရားစီရင်ပိုင်ခွင့်ပြင်ပတွင်နေထိုင်သော်လည်း၊ ကျွန်ုပ်၏မိဘများ၊ ဆွေမျိုးများနှင့်သူငယ်ချင်းများသည်အိမ်တွင်ကျန်ရစ်ခဲ့သည်။ ထို့ကြောင့် အိုင်တီနှင့်ဝေးနေသူများအတွက် လွယ်ကူသောနည်းလမ်းဖြင့် ပိတ်ဆို့ခြင်းများကို ကျော်လွှားနိုင်စေရန်၊ ဖြစ်နိုင်ရင် ၎င်းတို့၏ပါဝင်မှုလုံးဝမရှိဘဲ လုပ်ဆောင်ရန် ဆုံးဖြတ်ခဲ့သည်။

ဤမှတ်စုတွင်၊ အခြေခံကွန်ရက်အရာများကို အဆင့်ဆင့်ဖော်ပြမည်မဟုတ်သော်လည်း ဤအစီအစဉ်ကို အကောင်အထည်ဖော်နိုင်ပုံ၏ ယေဘူယျအခြေခံမူများကို ဖော်ပြပါမည်။ ထို့ကြောင့် ကွန်ရက်သည် ယေဘူယျနှင့် အထူးသဖြင့် Linux တွင် မည်သို့အလုပ်လုပ်သည်ကို အသိပညာရှိရန် လိုအပ်ပါသည်။

သော့ခတ်အမျိုးအစားများ

ဦးစွာ၊ ပိတ်ဆို့နေသည့်အရာများကို ကျွန်ုပ်တို့၏မှတ်ဉာဏ်ကို ပြန်လည်ဆန်းသစ်ကြပါစို့။

RKN မှ unloaded XML တွင်သော့ခလောက်များစွာရှိသည်-

• IP
• Домен
• URL ကို

ရိုးရှင်းစေရန်အတွက်၊ ၎င်းတို့ကို IP နှင့် domain နှစ်ခုသို့ လျှော့ချမည်ဖြစ်ပြီး၊ URL ဖြင့် ပိတ်ဆို့ခြင်းမှ ဒိုမိန်းကို ရိုးရှင်းစွာ ဖယ်ရှားလိုက်မည် (အတိအကျပြောရလျှင် ၎င်းတို့သည် ကျွန်ုပ်တို့အတွက် လုပ်ဆောင်ထားပြီးဖြစ်သည်)။

လူကောင်းများမှ Roskomsvoboda အံ့သြဖွယ်သဘောပေါက် API ကိုကျွန်ုပ်တို့ လိုအပ်သောအရာကို ရရှိနိုင်သည် ။

• အိုင်ပီ: https://api.reserve-rbl.ru/api/v2/ips/json
• ဒိုမိန်းများ- https://api.reserve-rbl.ru/api/v2/domains/json

ပိတ်ဆို့ထားသော ဆိုက်များသို့ ဝင်ရောက်ခွင့်

ဒါကိုလုပ်ဖို့၊ အကန့်အသတ်မဲ့အသွားအလာနဲ့ ဖြစ်နိုင်ရင် နိုင်ငံခြား VPS သေးသေးလေးတွေ လိုအပ်ပါတယ် - 3-5 ဒေါ်လာနဲ့ ဒါတွေ အများကြီးရှိတယ်။ ping သည် အလွန်မကြီးစေရန်အတွက် အနီးနားပြည်ပတွင် ယူဆောင်သွားရန်လိုအပ်သည်၊ သို့သော် အင်တာနက်နှင့် ပထဝီဝင်သည် အမြဲတမ်း မတိုက်ဆိုင်ကြောင်း ထည့်သွင်းစဉ်းစားပါ။ 5 ဒေါ်လာအတွက် SLA မရှိသောကြောင့်၊ အမှားအယွင်းခံနိုင်ရည်ရှိရန်အတွက် မတူညီသောဝန်ဆောင်မှုပေးသူများထံမှ 2+ အပိုင်းကို ယူခြင်းက ပိုကောင်းပါတယ်။

ထို့နောက်၊ client router မှ VPS သို့ ကုဒ်ဝှက်ထားသော ဥမင်လိုဏ်ခေါင်းတစ်ခုကို သတ်မှတ်ရန် လိုအပ်သည်။ ကျွန်ုပ်သည် Wireguard ကို စနစ်ထည့်သွင်းရန် အမြန်ဆန်ဆုံးနှင့် အလွယ်ကူဆုံးအဖြစ် အသုံးပြုပါသည်။ ငါ့မှာ Linux ကိုအခြေခံတဲ့ client router တွေရှိတယ် (APU2 သို့မဟုတ် OpenWRT တွင် တစ်ခုခု)။ အချို့သော Mikrotik / Cisco တွင်၊ OpenVPN နှင့် GRE-over-IPSEC ကဲ့သို့သော ၎င်းတို့တွင် ရရှိနိုင်သော ပရိုတိုကောများကို သင်သုံးနိုင်သည်။

စိတ်ပါဝင်စားသော အသွားအလာများကို ဖော်ထုတ်ခြင်းနှင့် ပြန်လည်လမ်းညွှန်ခြင်း။

နိုင်ငံခြားတိုင်းပြည်များမှတဆင့် အင်တာနက်အသွားအလာအားလုံးကို သင်ပိတ်ထားနိုင်သည်။ သို့သော် ဖြစ်နိုင်ချေ အများစုမှာ၊ ဒေသဆိုင်ရာ အကြောင်းအရာများနှင့် လုပ်ဆောင်ခြင်း၏ အရှိန်သည် ၎င်းအတွက် များစွာ နစ်နာလိမ့်မည် ဖြစ်သည်။ ထို့အပြင်၊ VPS ရှိ bandwidth လိုအပ်ချက်များသည် ပို၍ မြင့်မားလိမ့်မည်။

ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် အသွားအလာများကို ပိတ်ဆို့ထားသောဆိုက်များသို့ တစ်နည်းနည်းဖြင့် ခွဲဝေပေးကာ ၎င်းအား ဥမင်လိုဏ်ခေါင်းသို့ ရွေးချယ်ပို့ဆောင်ရန် လိုအပ်ပါသည်။ "အပို" အသွားအလာအချို့သည် ထိုနေရာသို့ရောက်လျှင်ပင် ဥမင်လိုဏ်ခေါင်းမှတဆင့် အရာအားလုံးကို မောင်းနှင်ခြင်းထက် များစွာသာလွန်သေးသည်။

အသွားအလာကို စီမံခန့်ခွဲရန်၊ ကျွန်ုပ်တို့သည် BGP ပရိုတိုကောကို အသုံးပြုပြီး ကျွန်ုပ်တို့၏ VPS မှ သုံးစွဲသူများထံ လိုအပ်သော ကွန်ရက်များသို့ လမ်းကြောင်းများကို ကြေညာပါမည်။ BIRD ကို အသုံးအများဆုံးနှင့် အဆင်ပြေဆုံး BGP daemons များထဲမှ တစ်ခုအဖြစ် ယူကြပါစို့။

IP

IP ဖြင့် ပိတ်ဆို့ခြင်းဖြင့်၊ အရာအားလုံး ရှင်းနေသည်- ကျွန်ုပ်တို့သည် ပိတ်ဆို့ထားသော IP အားလုံးကို VPS ဖြင့် ကြေညာပါသည်။ ပြဿနာမှာ API ပြန်ပို့သည့်စာရင်းတွင် subnet 600 ခန့်ရှိပြီး အများစုမှာ /32 host များဖြစ်သည်။ ဤလမ်းကြောင်းအရေအတွက်သည် အားနည်းသော client router များကို ရှုပ်ထွေးစေနိုင်သည်။

ထို့ကြောင့်၊ စာရင်းကိုလုပ်ဆောင်သောအခါ၊ ၎င်းတွင် host 24 ခု သို့မဟုတ် ထို့ထက်ပိုပါက network / 2 အထိအကျဉ်းချုပ်ရန်ဆုံးဖြတ်ခဲ့သည်။ ထို့ကြောင့် လမ်းကြောင်း အရေအတွက် 100 သို့ လျှော့ချခဲ့သည်။ ဤအတွက် ဇာတ်ညွှန်းသည် လိုက်နာပါမည်။

ဒိုမိန်းများ

ပိုရှုပ်ထွေးပြီး နည်းလမ်းများစွာရှိပါတယ်။ ဥပမာအားဖြင့်၊ သင်သည် ဖောက်သည် router တစ်ခုစီတွင် ပွင့်လင်းမြင်သာသော Squid တစ်ခုကို တပ်ဆင်နိုင်ပြီး ၎င်းတွင် HTTP ကြားဖြတ်ရယူပြီး ပထမကိစ္စတွင် တောင်းဆိုထားသည့် URL နှင့် ဒုတိယတွင် SNI မှ ဒိုမိန်းကို ရယူရန်အတွက် TLS သို့ ဝင်ရောက်ကြည့်ရှုနိုင်သည်။

သို့သော် အသစ်အဆန်းဖြစ်နေသော TLS1.3 + eSNI အမျိုးအစားအားလုံးကြောင့် HTTPS ခွဲခြမ်းစိတ်ဖြာမှုသည် နေ့စဉ်နှင့်အမျှ နည်းပါးလာပါသည်။ ဟုတ်ကဲ့၊ နှင့် client ဘက်မှ အခြေခံအဆောက်အဦများ ပိုမိုရှုပ်ထွေးလာသည် - သင်သည် အနည်းဆုံး OpenWRT ကို အသုံးပြုရမည်ဖြစ်ပါသည်။

ထို့ကြောင့်၊ DNS မေးမြန်းမှုများကို ကြားဖြတ်တုံ့ပြန်မှုများကို ကြားဖြတ်လုပ်ဆောင်ရန် ဆုံးဖြတ်ခဲ့သည်။ ဤနေရာတွင်လည်း DNS-over-TLS/HTTPS သည် သင့်ခေါင်းပေါ်တွင် ပျံဝဲလာသည်၊ သို့သော် ကျွန်ုပ်တို့သည် ဤအပိုင်းကို client ပေါ်တွင် ထိန်းချုပ်နိုင်သည် - ၎င်းကို ပိတ်ပစ်သည် သို့မဟုတ် DoT / DoH အတွက် သင့်ကိုယ်ပိုင်ဆာဗာကို အသုံးပြုပါ။

DNS ကိုဘယ်လိုကြားဖြတ်မလဲ။

ဤနေရာတွင်လည်း ချဉ်းကပ်မှုများစွာ ရှိနိုင်ပါသည်။

• PCAP သို့မဟုတ် NFLOG မှတဆင့် DNS အသွားအလာကို ကြားဖြတ်တားဆီးခြင်း။
  ဤကြားဖြတ်ခြင်းနည်းလမ်းနှစ်ခုလုံးကို utility တွင်အကောင်အထည်ဖော်သည်။ sidmat. ဒါပေမယ့် အဲဒါကို အချိန်အကြာကြီး ပံ့ပိုးမပေးထားဘဲ လုပ်ဆောင်ချက်က အလွန်ကို အခြေခံကျတဲ့အတွက် အဲဒါအတွက် ကြိုးတစ်ချောင်းကို ရေးဖို့ လိုအပ်ပါသေးတယ်။
• DNS server မှတ်တမ်းများကို လေ့လာခြင်း။
  ကံမကောင်းစွာပဲ၊ ကျွန်ုပ်သိသော recursors များသည် တုံ့ပြန်မှုများကို မှတ်တမ်းမတင်နိုင်သော်လည်း တောင်းဆိုမှုများသာဖြစ်သည်။ မူအရ၊ တောင်းဆိုချက်များနှင့်မတူဘဲ၊ အဖြေများသည် ရှုပ်ထွေးသောဖွဲ့စည်းပုံရှိပြီး ၎င်းတို့ကို စာသားပုံစံဖြင့် ရေးသားရန် ခက်ခဲသောကြောင့်၊ ၎င်းသည် ယုတ္တိကျပါသည်။
• DNSTap
  ကံကောင်းထောက်မစွာ၊ ၎င်းတို့ထဲမှ အများအပြားသည် ဤရည်ရွယ်ချက်အတွက် DNSTap ကို ထောက်ခံပြီးဖြစ်သည်။

DNSTap ဆိုတာဘာလဲ။

၎င်းသည် DNS ဆာဗာတစ်ခုမှ တည်ဆောက်ထားသော DNS မေးမြန်းချက်များနှင့် တုံ့ပြန်မှုများကို စုဆောင်းသူထံ လွှဲပြောင်းရန်အတွက် Protocol Buffers နှင့် Frame Stream များအပေါ် အခြေခံထားသော client-server protocol တစ်ခုဖြစ်သည်။ အခြေခံအားဖြင့်၊ DNS server သည် query နှင့် response metadata ( message အမျိုးအစား၊ client/server IP စသည်

DNSTap ပါရာဒိုင်းတွင်၊ DNS ဆာဗာသည် client တစ်ခုအဖြစ် လုပ်ဆောင်ပြီး စုဆောင်းသူသည် ဆာဗာအဖြစ် လုပ်ဆောင်ကြောင်း နားလည်ရန် အရေးကြီးပါသည်။ ဆိုလိုသည်မှာ၊ DNS ဆာဗာသည် စုဆောင်းသူထံသို့ ချိတ်ဆက်ပြီး အပြန်အလှန်မဟုတ်ပေ။

ယနေ့ DNSTap ကို နာမည်ကြီး DNS ဆာဗာများအားလုံးတွင် ပံ့ပိုးထားပါသည်။ သို့သော်၊ ဥပမာအားဖြင့်၊ ဖြန့်ဝေမှုများစွာတွင် BIND ( Ubuntu LTS ကဲ့သို့) သည် ၎င်း၏ပံ့ပိုးမှုမပါဘဲ အကြောင်းပြချက်တစ်ခုခုကြောင့် တည်ဆောက်လေ့ရှိသည်။ ထို့ကြောင့် ပြန်လည်စုပုံခြင်းအတွက် စိတ်မ၀င်စားရအောင်၊ ပေါ့ပါးပြီး ပိုမိုမြန်ဆန်သော recursor - Unbound ကိုယူပါ။

DNSTap ကို ဘယ်လိုဖမ်းမလဲ။

ရှိပါတယ် အချို့ количество DNSTap ဖြစ်ရပ်များစီးကြောင်းနှင့်အလုပ်လုပ်ရန်အတွက် CLI အသုံးဝင်မှုများ၊ သို့သော် ၎င်းတို့သည် ကျွန်ုပ်တို့၏ပြဿနာကိုဖြေရှင်းရန်အတွက် မသင့်လျော်ပါ။ ထို့ကြောင့် လိုအပ်သမျှ ဆောင်ရွက်ပေးမည့် ကိုယ်ပိုင်စက်ဘီးကို တီထွင်ရန် ဆုံးဖြတ်ခဲ့သည်။ dnstap-bgp

အလုပ် အယ်လဂိုရီသမ်-

• စတင်သောအခါ၊ ၎င်းသည် စာသားဖိုင်တစ်ခုမှ ဒိုမိန်းစာရင်းကို ဖွင့်ပြီး ၎င်းတို့ကို ပြောင်းပြန်လှန်ခြင်း (habr.com -> com.habr)၊ ပျက်နေသော လိုင်းများ၊ ထပ်တူများနှင့် ဒိုမိန်းခွဲများ မပါဝင်ပါ (ဆိုလိုသည်မှာ စာရင်းတွင် habr.com နှင့် www.habr.com ပါလျှင်၊ ၎င်းသည် ပထမတစ်ခုသာ တင်လိမ့်မည်) နှင့် ဤစာရင်းကို အမြန်ရှာဖွေရန်အတွက် ရှေ့ဆက်သစ်ပင်ကို တည်ဆောက်ပါ။
• DNSTap ဆာဗာအဖြစ် လုပ်ဆောင်ခြင်းဖြင့် ၎င်းသည် DNS ဆာဗာတစ်ခုမှ ချိတ်ဆက်မှုကို စောင့်မျှော်နေပါသည်။ မူအရ၊ ၎င်းသည် UNIX နှင့် TCP socket နှစ်ခုလုံးကို ပံ့ပိုးပေးသည်၊ သို့သော် ကျွန်ုပ်သိသော DNS ဆာဗာများသည် UNIX socket များကိုသာ အသုံးပြုနိုင်သည်။
• ဝင်လာသော DNSTap ပက်ကေ့ဂျ်များကို Protobuf တည်ဆောက်ပုံတွင် ပထမဦးစွာ ဖယ်ထုတ်ထားပြီး၊ ထို့နောက် Protobuf အကွက်များထဲမှ တစ်ခုတွင်ရှိသော binary DNS မက်ဆေ့ဂျ်ကိုယ်တိုင်ကို DNS RR မှတ်တမ်းအဆင့်သို့ ခွဲခြမ်းစိတ်ဖြာထားသည်။
• တောင်းဆိုထားသောအိမ်ရှင် (သို့မဟုတ် ၎င်း၏ပင်မဒိုမိန်း) သည် ဒေါင်းလုဒ်လုပ်ထားသောစာရင်းတွင် ရှိ၊ မရှိ စစ်ဆေးထားသည်၊ မဟုတ်ပါက၊ တုံ့ပြန်မှုကို လျစ်လျူရှုထားသည်
• တုံ့ပြန်မှုမှ A/AAAA/CNAME RR များကိုသာ ရွေးချယ်ပြီး သက်ဆိုင်ရာ IPv4/IPv6 လိပ်စာများကို ၎င်းတို့ထံမှ ထုတ်ယူပါသည်။
• IP လိပ်စာများကို configureable TTL ဖြင့် သိမ်းဆည်းထားပြီး configure BGP လုပ်ဖော်ကိုင်ဖက်များအားလုံးထံ ကြော်ငြာထားသည်။
• ကက်ရှ်လုပ်ပြီးသား IP ကို ​​ညွှန်ပြသည့် တုံ့ပြန်ချက်ကို လက်ခံရရှိသောအခါ၊ ၎င်း၏ TTL ကို မွမ်းမံထားသည်။
• TTL သက်တမ်းကုန်ပြီးနောက်၊ ထည့်သွင်းမှုကို ကက်ရှ်နှင့် BGP ကြေညာချက်များမှ ဖယ်ရှားသည်။

အပိုလုပ်ဆောင်ချက်-

• SIGHUP မှ ဒိုမိန်းများစာရင်းကို ပြန်လည်ဖတ်ရှုခြင်း။
• ကက်ရှ်ကို အခြားဖြစ်ရပ်များနှင့် ထပ်တူပြုထားခြင်းဖြစ်သည်။ dnstap-bgp HTTP/JSON မှတဆင့်
• ပြန်လည်စတင်ပြီးနောက် ၎င်း၏အကြောင်းအရာများကို ပြန်လည်ရယူရန် ဒစ်ခ်ရှိ ( BoltDB ဒေတာဘေ့စ်တွင်) ကက်ရှ်ကို မိတ္တူပွားပါ။
• မတူညီသော network namespace သို့ပြောင်းခြင်းအတွက် ပံ့ပိုးမှု (ဘာကြောင့် လိုအပ်သည်ကို အောက်တွင်ဖော်ပြထားသည်)
• IPv6 ပံ့ပိုးမှု

ကန့်သတ်:

• IDN ဒိုမိန်းများကို မပံ့ပိုးရသေးပါ။
• BGP ဆက်တင်အနည်းငယ်

စုဆောင်းခဲ့တယ်။ RPM နှင့် DEB လွယ်ကူသောတပ်ဆင်မှုအတွက် packages များ။ မကြာသေးမီက OS အားလုံးကို systemd ဖြင့် လုပ်ဆောင်သင့်သည်။ သူတို့မှာ မှီခိုမှုမရှိဘူး။

အစီအစဉ်

ဒီတော့ အစိတ်အပိုင်းတွေအားလုံးကို စုစည်းပြီး စလိုက်ရအောင်။ ရလဒ်အနေဖြင့်၊ ကျွန်ုပ်တို့သည် ဤကွန်ရက် topology ကဲ့သို့သော အရာတစ်ခုကို ရရှိသင့်သည်-

အလုပ်၏ ယုတ္တိဗေဒသည် ပုံကြမ်းမှ ရှင်းသည်ဟု ထင်ပါသည်။

• ဖောက်သည်သည် ကျွန်ုပ်တို့၏ဆာဗာကို DNS အဖြစ်သတ်မှတ်ထားပြီး၊ DNS မေးမြန်းမှုများသည်လည်း VPN ကိုကျော်သွားရပါမည်။ ပိတ်ဆို့ရန် ဝန်ဆောင်မှုပေးသူသည် DNS ကြားဖြတ်အသုံးမပြုနိုင်စေရန် ၎င်းသည် လိုအပ်ပါသည်။
• ဆိုက်ကိုဖွင့်သောအခါ၊ client သည် "xxx.org ၏ IPs များဘာတွေလဲ" ကဲ့သို့သော DNS query တစ်ခုကို ပေးပို့သည်။
• အကန့်အသတ်မရှိ xxx.org ကိုဖြေရှင်းပေးသည် (သို့မဟုတ်၎င်းကို cache မှယူသည်) နှင့် "xxx.org တွင်ထိုကဲ့သို့သော IP ရှိသည်" ဖောက်သည်ထံသို့တုံ့ပြန်ချက်တစ်ခုပေးပို့ပြီး DNSTap မှတဆင့်၎င်းကိုအပြိုင်ပွားခြင်း
• dnstap-bgp ဤလိပ်စာများကိုကြေငြာပါ။ ငှက် ဒိုမိန်းသည် ပိတ်ဆို့ထားသောစာရင်းတွင် ရှိနေပါက BGP မှတဆင့်
• ငှက် ဤ IP များထံ လမ်းကြောင်းတစ်ခုကို ကြော်ငြာသည်။ next-hop self client router
• client မှ ဤ IP များဆီသို့ နောက်ဆက်တွဲ packet များသည် tunnel မှတဆင့်သွားပါသည်။

ဆာဗာတွင်၊ ပိတ်ဆို့ထားသောဆိုက်များဆီသို့ လမ်းကြောင်းများအတွက်၊ ကျွန်ုပ်သည် BIRD အတွင်းရှိ သီးခြားဇယားကို အသုံးပြုထားပြီး ၎င်းသည် OS နှင့် မည်သို့မျှမထိပေ။

ဤအစီအစဥ်တွင် အားနည်းချက်တစ်ခုရှိသည်- အများအားဖြင့် ဖောက်သည်ထံမှ ပထမဆုံး SYN ပက်ကတ်သည် ပြည်တွင်းဝန်ဆောင်မှုပေးသူမှတစ်ဆင့် ထွက်ခွာရန် အချိန်ရှိမည်ဖြစ်သည်။ လမ်းကြောင်းကို ချက်ခြင်းမကြေညာဘူး။ ဝန်ဆောင်မှုပေးသူက ပိတ်ဆို့ခြင်းကို မည်သို့လုပ်ဆောင်သည်ပေါ်မူတည်၍ ဤနေရာတွင် ရွေးချယ်စရာများ ဖြစ်နိုင်သည်။ သူသာ ယာဉ်ကြောပိတ်ရင် ပြဿနာမရှိပါဘူး။ ၎င်းကို အချို့သော DPI သို့ ပြန်ညွှန်းပါက၊ (သီအိုရီအရ) အထူးအကျိုးသက်ရောက်မှုများ ဖြစ်နိုင်သည်။

client သည် Unbound ကိုမေးမည့်အစား ၎င်း၏ ပုပ်နေသော cache ထဲမှ အချို့သော ဟောင်းနွမ်းနေသော entry များကို အသုံးပြုစေသည့် DNS TTL အံ့ဖွယ်အမှုများကို မလေးစားခြင်းကြောင့်လည်း ဖြစ်နိုင်သည်။

လက်တွေ့တွင်၊ ပထမနှင့် ဒုတိယသည် ကျွန်ုပ်အတွက် ပြဿနာမဖြစ်စေသော်လည်း သင်၏ ခရီးအကွာအဝေးသည် ကွဲပြားနိုင်သည်။

Server Tuning

လှိမ့်ရလွယ်ကူစေရန်၊ Ansible အတွက် အခန်းကဏ္ဍ. ၎င်းသည် Linux ကိုအခြေခံ၍ ဆာဗာများနှင့် ဖောက်သည်များ နှစ်မျိုးလုံးကို စီစဉ်သတ်မှတ်နိုင်သည် ( deb-based ဖြန့်ဝေမှုများအတွက် ဒီဇိုင်းထုတ်ထားသည်)။ ဆက်တင်များအားလုံးသည် အတော်လေး သိသာထင်ရှားပြီး ထည့်သွင်းထားသည်။ inventory.yml. ဤအခန်းကဏ္ဍကို ကျွန်ုပ်၏ ကြီးမားသော ပြဇာတ်စာအုပ်မှ ဖြတ်တောက်ထားသောကြောင့် ၎င်းတွင် အမှားအယွင်းများ ပါဝင်နိုင်သည်- တောင်းဆိုမှုများကိုဆွဲထုတ် ကြိုဆိုပါတယ် 🙂

အဓိက အစိတ်အပိုင်းတွေကို ကြည့်ရအောင်။

BGP

တစ်ခုတည်းသော host တွင် BGP daemons နှစ်ခုကိုလုပ်ဆောင်ခြင်းသည် အခြေခံပြဿနာတစ်ခုဖြစ်သည်- BIRD သည် localhost (သို့မဟုတ် မည်သည့်ဒေသခံအင်တာဖေ့စ်ကိုမဆို) ဖြင့် BGP ချိတ်ဆက်ခြင်းကို မသတ်မှတ်လိုပါ။ နှုတ်ကပတ်တော်ကနေ လုံး၀။ Googling နှင့် mailing-lists များကိုဖတ်ခြင်းတို့သည် အထောက်အကူမဖြစ်ဘဲ၊ ဤအရာသည် ဒီဇိုင်းအားဖြင့်ဖြစ်သည်ဟု ဆိုကြသည်။ နည်းလမ်းအချို့ရှိကောင်းရှိနိုင်သော်လည်း ကျွန်ုပ်မတွေ့ခဲ့ပါ။

သင်သည် အခြားသော BGP daemon ကို စမ်းသုံးကြည့်နိုင်သည်၊ သို့သော် ကျွန်ုပ်သည် BIRD ကို နှစ်သက်ပြီး ၎င်းကို နေရာတိုင်းတွင် အသုံးပြုနေသည်၊ အရာများကို မထုတ်လုပ်ချင်ပါ။

ထို့ကြောင့်၊ veth interface မှတဆင့် root နှင့်ချိတ်ဆက်ထားသည့် dnstap-bgp ကို ကွန်ရက် namespace တွင် ဝှက်ထားသည်- ၎င်းသည် ပိုက်တစ်ခုကဲ့သို့ဖြစ်ပြီး၊ ကွဲပြားသော namespace များတွင် ကပ်နေသော စွန်းများကို ဝှက်ထားသည်။ ဤအစွန်းတစ်ခုစီတွင်၊ host ထက်မကျော်လွန်သောပုဂ္ဂလိက p2p IP လိပ်စာများကို ချိတ်ဆွဲထားသောကြောင့် ၎င်းတို့သည် ဘာမဆိုဖြစ်နိုင်သည်။ ၎င်းသည် အတွင်းမှ လုပ်ငန်းစဉ်များကို ဝင်ရောက်ရန် အသုံးပြုသည့် တူညီသော ယန္တရားဖြစ်သည်။ အားလုံးကချစ်ကြတယ်။ Docker နှင့် အခြားကွန်တိန်နာများ။

ဒီအတွက် ရေးထားတာပါ။ ဇာတ်ညွှန်း အထက်တွင်ဖော်ပြထားသော လုပ်ဆောင်ချက်ကို အခြား namespace သို့ သင့်ကိုယ်သင် ဆံပင်ဖြင့် ဆွဲယူခြင်းအတွက် dnstap-bgp တွင် ထည့်သွင်းထားပါသည်။ ထို့အတွက်ကြောင့်၊ ၎င်းကို setcap command မှတစ်ဆင့် CAP_SYS_ADMIN binary သို့ root အဖြစ် run ရပါမည်။

namespace ဖန်တီးရန်အတွက် နမူနာ script

#!/bin/bash

NS="dtap"

IP="/sbin/ip"
IPNS="$IP netns exec $NS $IP"

IF_R="veth-$NS-r"
IF_NS="veth-$NS-ns"

IP_R="192.168.149.1"
IP_NS="192.168.149.2"

/bin/systemctl stop dnstap-bgp || true

$IP netns del $NS > /dev/null 2>&1
$IP netns add $NS

$IP link add $IF_R type veth peer name $IF_NS
$IP link set $IF_NS netns $NS

$IP addr add $IP_R remote $IP_NS dev $IF_R
$IP link set $IF_R up

$IPNS addr add $IP_NS remote $IP_R dev $IF_NS
$IPNS link set $IF_NS up

/bin/systemctl start dnstap-bgp

dnstap-bgp.conf

namespace = "dtap"
domains = "/var/cache/rkn_domains.txt"
ttl = "168h"

[dnstap]
listen = "/tmp/dnstap.sock"
perm = "0666"

[bgp]
as = 65000
routerid = "192.168.149.2"

peers = [
    "192.168.149.1",
]

bird.conf

router id 192.168.1.1;

table rkn;

# Clients
protocol bgp bgp_client1 {
    table rkn;
    local as 65000;
    neighbor 192.168.1.2 as 65000;
    direct;
    bfd on;
    next hop self;
    graceful restart;
    graceful restart time 60;
    export all;
    import none;
}

# DNSTap-BGP
protocol bgp bgp_dnstap {
    table rkn;
    local as 65000;
    neighbor 192.168.149.2 as 65000;
    direct;
    passive on;
    rr client;
    import all;
    export none;
}

# Static routes list
protocol static static_rkn {
    table rkn;
    include "rkn_routes.list";
    import all;
    export none;
}

rkn_routes.list

route 3.226.79.85/32 via "ens3";
route 18.236.189.0/24 via "ens3";
route 3.224.21.0/24 via "ens3";
...

DNS ကို

ပုံမှန်အားဖြင့်၊ Ubuntu တွင်၊ Unbound binary ကို DNSTap socket အမျိုးအစားအားလုံးကို ချိတ်ဆက်ခြင်းမှ တားမြစ်သည့် AppArmor ပရိုဖိုင်ဖြင့် ချုပ်ထားသည်။ သင်သည် ဤပရိုဖိုင်ကို ဖျက်နိုင်သည် သို့မဟုတ် ၎င်းကို ပိတ်နိုင်သည်-

# cd /etc/apparmor.d/disable && ln -s ../usr.sbin.unbound .
# apparmor_parser -R /etc/apparmor.d/usr.sbin.unbound

၎င်းကို playbook တွင်ထည့်သင့်သည်။ ပရိုဖိုင်ကိုပြင်ပြီး လိုအပ်သောအခွင့်အရေးများကို ထုတ်ပေးရန် စံပြဖြစ်ပေသည်၊ သို့သော် ကျွန်ုပ်သည် အလွန်ပျင်းရိပါသည်။

unbound.conf

server:
    chroot: ""
    port: 53
    interface: 0.0.0.0
    root-hints: "/var/lib/unbound/named.root"
    auto-trust-anchor-file: "/var/lib/unbound/root.key"
    access-control: 192.168.0.0/16 allow

remote-control:
    control-enable: yes
    control-use-cert: no

dnstap:
    dnstap-enable: yes
    dnstap-socket-path: "/tmp/dnstap.sock"
    dnstap-send-identity: no
    dnstap-send-version: no

    dnstap-log-client-response-messages: yes

စာရင်းများကို ဒေါင်းလုဒ်လုပ်ခြင်းနှင့် လုပ်ဆောင်ခြင်း။

IP လိပ်စာများစာရင်းကို ဒေါင်းလုဒ်လုပ်ခြင်းနှင့် လုပ်ဆောင်ခြင်းအတွက် Script
၎င်းသည် စာရင်းကို ဒေါင်းလုဒ်လုပ်ကာ ရှေ့ဆက်စာအထိ ပေါင်းပါသည်။ pfx။ အဆိုပါ မထည့်ပါနှင့် и Dont_အကျဉ်းချုပ် IP များနှင့် ကွန်ရက်များကို ကျော်ရန် သို့မဟုတ် အကျဉ်းချုပ် မပြောနိုင်ပါ။ ငါလိုအပ်တယ်။ ကျွန်ုပ်၏ VPS ၏ subnet သည် blocklist တွင်ရှိသည် 🙂

ရယ်စရာကောင်းတာက RosKomSvoboda API သည် မူရင်း Python အသုံးပြုသူ အေးဂျင့်ဖြင့် တောင်းဆိုမှုများကို ပိတ်ဆို့ထားသည်။ ဇာတ်ညွှန်း- kiddy ရသွားပုံရသည်။ ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် ၎င်းကို Ognelis သို့ ပြောင်းသည်။

ယခုအချိန်အထိ ၎င်းသည် IPv4 ဖြင့်သာ အလုပ်လုပ်ပါသည်။ IPv6 ၏ဝေစုသည် သေးငယ်သော်လည်း ပြင်ဆင်ရန် လွယ်ကူပါလိမ့်မည်။ bird6 ကိုသုံးစရာမလိုရင်

rkn.py

#!/usr/bin/python3

import json, urllib.request, ipaddress as ipa

url = 'https://api.reserve-rbl.ru/api/v2/ips/json'
pfx = '24'

dont_summarize = {
    # ipa.IPv4Network('1.1.1.0/24'),
}

dont_add = {
    # ipa.IPv4Address('1.1.1.1'),
}

req = urllib.request.Request(
    url,
    data=None, 
    headers={
        'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.47 Safari/537.36'
    }
)

f = urllib.request.urlopen(req)
ips = json.loads(f.read().decode('utf-8'))

prefix32 = ipa.IPv4Address('255.255.255.255')

r = {}
for i in ips:
    ip = ipa.ip_network(i)
    if not isinstance(ip, ipa.IPv4Network):
        continue

    addr = ip.network_address

    if addr in dont_add:
        continue

    m = ip.netmask
    if m != prefix32:
        r[m] = [addr, 1]
        continue

    sn = ipa.IPv4Network(str(addr) + '/' + pfx, strict=False)

    if sn in dont_summarize:
        tgt = addr
    else:
        tgt = sn

    if not sn in r:
        r[tgt] = [addr, 1]
    else:
        r[tgt][1] += 1

o = []
for n, v in r.items():
    if v[1] == 1:
        o.append(str(v[0]) + '/32')
    else:
        o.append(n)

for k in o:
    print(k)

အပ်ဒိတ်လုပ်ရန် ဇာတ်ညွှန်း
သရဖူကို တစ်နေ့ တစ်ကြိမ် ပြေးတယ်၊ ၄ နာရီတိုင်း ဆွဲရတာ တန်တယ်။ ကျွန်ုပ်၏အမြင်အရ၊ ဤသည်မှာ RKN သည် ဝန်ဆောင်မှုပေးသူများထံမှ လိုအပ်သော သက်တမ်းတိုးကာလဖြစ်သည်။ ထို့အပြင် ၎င်းတို့တွင် ပိုမိုမြန်ဆန်စွာရောက်ရှိနိုင်သည့် အခြားသော အထူးအရေးပေါ်ပိတ်ဆို့ခြင်းအချို့လည်း ရှိသည်။

အောက်ပါတို့ကို လုပ်ဆောင်သည်-

• ပထမဆုံး script ကို run ပြီး လမ်းကြောင်းများစာရင်းကို အပ်ဒိတ်လုပ်သည် (rkn_routes.list) BIRD အတွက်
• BIRD ကို ပြန်လည်စတင်ပါ။
• dnstap-bgp အတွက် ဒိုမိန်းများစာရင်းကို အပ်ဒိတ်လုပ်ပြီး ရှင်းပေးသည်။
• dnstap-bgp ကို ပြန်လည်စတင်ပါ။

rkn_update.sh

#!/bin/bash

ROUTES="/etc/bird/rkn_routes.list"
DOMAINS="/var/cache/rkn_domains.txt"

# Get & summarize routes
/opt/rkn.py | sed 's/(.*)/route 1 via "ens3";/' > $ROUTES.new

if [ $? -ne 0 ]; then
    rm -f $ROUTES.new
    echo "Unable to download RKN routes"
    exit 1
fi

if [ -e $ROUTES ]; then
    mv $ROUTES $ROUTES.old
fi

mv $ROUTES.new $ROUTES

/bin/systemctl try-reload-or-restart bird

# Get domains
curl -s https://api.reserve-rbl.ru/api/v2/domains/json -o - | jq -r '.[]' | sed 's/^*.//' | sort | uniq > $DOMAINS.new

if [ $? -ne 0 ]; then
    rm -f $DOMAINS.new
    echo "Unable to download RKN domains"
    exit 1
fi

if [ -e $DOMAINS ]; then
    mv $DOMAINS $DOMAINS.old
fi

mv $DOMAINS.new $DOMAINS

/bin/systemctl try-reload-or-restart dnstap-bgp

သူတို့ဟာ အများကြီး တွေးတောမနေဘဲ ရေးထားတာမို့ တိုးတက်အောင် လုပ်လို့ရတဲ့ အရာတစ်ခုကို တွေ့ရင် သွားလိုက်ပါ။

Client စနစ်ထည့်သွင်းခြင်း။

ဤနေရာတွင် Linux routers များအတွက် ဥပမာများကို ပေးမည်ဖြစ်သော်လည်း Mikrotik / Cisco တွင်မူ ပိုမိုလွယ်ကူသင့်သည်။

ပထမဦးစွာ ကျွန်ုပ်တို့သည် BIRD ကို သတ်မှတ်သည်-

bird.conf

router id 192.168.1.2;
table rkn;

protocol device {
    scan time 10;
};

# Servers
protocol bgp bgp_server1 {
    table rkn;
    local as 65000;
    neighbor 192.168.1.1 as 65000;
    direct;
    bfd on;
    next hop self;
    graceful restart;
    graceful restart time 60;
    rr client;
    export none;
    import all;
}

protocol kernel {
    table rkn;
    kernel table 222;
    scan time 10;
    export all;
    import none;
}

ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် BGP မှရရှိသည့်လမ်းကြောင်းများကို kernel routing table နံပါတ် 222 ဖြင့် တပြိုင်တည်းလုပ်ဆောင်ပါမည်။

၎င်းနောက်၊ မူလပုံစံကိုမကြည့်ရှုမီ ဤပန်းကန်ပြားကိုကြည့်ရန် kernel အား တောင်းဆိုရန် လုံလောက်သည်-

# ip rule add from all pref 256 lookup 222
# ip rule
0:  from all lookup local
256:    from all lookup 222
32766:  from all lookup main
32767:  from all lookup default

အရာအားလုံး၊ ဆာဗာ၏ဥမင်လိုဏ်ခေါင်း IP လိပ်စာကို DNS အဖြစ်ဖြန့်ဝေရန် Router တွင် DHCP ကို ​​configure လုပ်ရန်ကျန်ရှိနေပြီး အစီအစဉ်သည် အဆင်သင့်ဖြစ်နေပါပြီ။

ချို့ယွင်းချက်

ဒိုမိန်းများစာရင်းကို ထုတ်လုပ်ခြင်းနှင့် လုပ်ဆောင်ခြင်းအတွက် လက်ရှိ algorithm ဖြင့် ၎င်းတွင် အခြားအရာများ ပါဝင်သည်။ youtube.com နှင့်၎င်း၏ CDN များ။

၎င်းသည် ဗီဒီယိုအားလုံးသည် ချန်နယ်တစ်ခုလုံးကို ပိတ်သွားစေနိုင်သည့် VPN မှတစ်ဆင့် ဖြတ်သန်းသွားလိမ့်မည်ဟူသောအချက်ကို ဖြစ်ပေါ်စေသည်။ RKN ကို ပိတ်ဆို့သည့် လူကြိုက်များသော ဒိုမိန်းများ-ချန်လှပ်ခြင်းများစာရင်းကို ပြုစုရကျိုးနပ်သည် ဖြစ်ကောင်းဖြစ်နိုင်သည် ။ ခွဲခြမ်းစိတ်ဖြာသည့်အခါ ၎င်းတို့ကို ကျော်သွားပါ။

ကောက်ချက်

ဖော်ပြထားသောနည်းလမ်းသည် ပံ့ပိုးပေးသူများ လက်ရှိကျင့်သုံးနေသည့် မည်သည့်ပိတ်ဆို့ခြင်းမဆိုကို ကျော်လွှားနိုင်စေပါသည်။

မူအရခုနှစ်, dnstap-bgp domain name ကိုအခြေခံ၍ လမ်းကြောင်းထိန်းချုပ်မှုအဆင့်အချို့လိုအပ်သည့်အခြားမည်သည့်ရည်ရွယ်ချက်အတွက်မဆိုအသုံးပြုနိုင်ပါသည်။ ကျွန်ုပ်တို့ခေတ်တွင်၊ ဆိုက်တစ်ထောင်သည် တူညီသော IP လိပ်စာ (ဥပမာ Cloudflare အချို့၏နောက်ကွယ်တွင်) ချိတ်ဆွဲထားနိုင်သောကြောင့် ဤနည်းလမ်းသည် တိကျမှုနည်းပါးပါသည်။

ဒါပေမယ့် သော့ခလောက်တွေကို ရှောင်ဖို့ လိုအပ်ချက်တွေအတွက်တော့ ဒါဟာ လုံလောက်ပါတယ်။

ထပ်လောင်းမှုများ၊ တည်းဖြတ်မှုများ၊ တောင်းဆိုချက်များကို ဆွဲထုတ်ပါ - ကြိုဆိုပါတယ်။

source: www.habr.com