🥇 BGP लाई बाइपास अवरुद्ध गर्न कन्फिगर गर्दै, वा "कसरी म डराउन छोडें र RKN सँग प्रेममा परें"

ठीक छ, "प्रेम" को बारेमा एक अतिशयोक्ति हो। बरु, "सँगै बस्न सक्षम थियो।"

तपाईं सबैलाई थाहा छ, अप्रिल 16, 2018 देखि, Roskomnadzor ले "डोमेन नामहरूको एकीकृत दर्ता, इन्टरनेटमा साइटहरूको पृष्ठ अनुक्रमणिका र नेटवर्क ठेगानाहरू जसले साइटहरूलाई पहिचान गर्न अनुमति दिन्छ" मा थप्दै धेरै फराकिलो स्ट्रोकहरूमा इन्टरनेटमा स्रोतहरूमा पहुँच रोकेको छ। इन्टरनेटमा "जसको वितरण रूसी संघमा निषेध गरिएको जानकारी समावेश गर्दछ" (पाठमा - केवल एक दर्ता) कहिलेकाहीँ /10 द्वारा। नतिजाको रूपमा, रूसी संघका नागरिकहरू र व्यवसायहरू पीडित छन्, उनीहरूलाई आवश्यक पर्ने पूर्ण कानुनी स्रोतहरूमा पहुँच गुमाएका छन्।

मैले बाइपास योजना स्थापना गर्न पीडितहरूलाई मद्दत गर्न तयार छु भनी हब्रेको एउटा लेखको टिप्पणीमा भनेपछि, धेरै मानिसहरू मसँग त्यस्ता मद्दतको लागि आए। जब सबै कुरा तिनीहरूको लागि काम गरे, तिनीहरूमध्ये एकले लेखमा प्रविधिको वर्णन गर्न सिफारिस गर्नुभयो। केहि सोच पछि, मैले साइट मा मेरो मौन तोड्ने निर्णय गरें र एक पटक को लागी एक परियोजना र फेसबुक पोस्ट को बीच मध्यवर्ती केहि लेख्न को लागी प्रयास गर्नुहोस्, अर्थात्। habrapost। नतिजा तपाईको अगाडि छ ।

त्याग

रूसी संघको इलाकामा प्रतिबन्धित जानकारीको पहुँचलाई बाइपास गर्ने तरिकाहरू प्रकाशित गर्न धेरै कानूनी नभएको कारणले, यस लेखको उद्देश्य एक विधिको बारेमा कुरा गर्नु हो जसले तपाईंलाई अनुमति दिइएको स्रोतहरूमा पहुँच प्राप्त गर्न स्वचालित रूपमा अनुमति दिन्छ। रूसी संघको क्षेत्र, तर अरू कसैको कार्यको कारणले तपाइँको प्रदायक मार्फत प्रत्यक्ष पहुँच योग्य छैन। र लेखबाट कार्यहरूको परिणाम स्वरूप प्राप्त अन्य स्रोतहरूमा पहुँच एक दुर्भाग्यपूर्ण साइड इफेक्ट हो र कुनै पनि हिसाबले लेखको उद्देश्य होइन।

साथै, म मुख्य रूपमा पेशा, पेशा र जीवन मार्ग द्वारा नेटवर्क आर्किटेक्ट हुँ, प्रोग्रामिंग र लिनक्स मेरो बलियो बिन्दुहरू होइनन्। त्यसकारण, पक्कै पनि, स्क्रिप्टहरू राम्रोसँग लेख्न सकिन्छ, VPS मा सुरक्षा मुद्दाहरू अझ गहिरो रूपमा काम गर्न सकिन्छ, आदि। तपाईंको सुझावहरू कृतज्ञताका साथ स्वीकार गरिनेछ, यदि तिनीहरू पर्याप्त रूपमा विस्तृत छन् - म तिनीहरूलाई लेखको पाठमा थप्न पाउँदा खुसी हुनेछु।

TL; ड

हामी रजिस्ट्री र BGP प्रोटोकलको प्रतिलिपि प्रयोग गरेर तपाईंको अवस्थित सुरुङ मार्फत स्रोतहरूमा पहुँच स्वचालित गर्छौं। लक्ष्य भनेको सुरुङमा अवरुद्ध स्रोतहरूमा सम्बोधन गरिएका सबै ट्राफिकहरू हटाउनु हो। न्यूनतम स्पष्टीकरणहरू, प्रायः चरण-दर-चरण निर्देशनहरू।

तपाईलाई यसको लागि के चाहिन्छ?

दुर्भाग्यवश, यो पोस्ट सबैको लागि होइन। यो प्रविधि प्रयोग गर्न, तपाईंले धेरै तत्वहरू सँगै राख्न आवश्यक छ:

तपाइँसँग अवरुद्ध क्षेत्र बाहिर कतै लिनक्स सर्भर हुनुपर्छ। वा कम्तिमा यस्तो सर्भर हुने इच्छा - सौभाग्य देखि यो अब $ 9/वर्ष बाट खर्च हुन्छ, र सम्भवतः कम। विधि पनि उपयुक्त छ यदि तपाईंसँग छुट्टै VPN टनेल छ भने, सर्भर अवरुद्ध क्षेत्र भित्र अवस्थित हुन सक्छ।
तपाईंको राउटर सक्षम हुन पर्याप्त स्मार्ट हुनुपर्छ
- तपाईंलाई मनपर्ने कुनै पनि VPN क्लाइन्ट (म OpenVPN रुचाउँछु, तर यो PPTP, L2TP, GRE + IPSec वा टनेल इन्टरफेस सिर्जना गर्ने अन्य विकल्प हुन सक्छ);
- BGPv4 प्रोटोकल। जसको मतलब SOHO को लागि यो Mikrotik वा OpenWRT/LEDE/ समान कस्टम फर्मवेयर भएको कुनै राउटर हुन सक्छ जसले तपाईंलाई Quagga वा Bird स्थापना गर्न अनुमति दिन्छ। पीसी राउटर प्रयोग गर्न पनि निषेधित छैन। उद्यमको मामलामा, तपाईंको सीमा राउटरको कागजातमा BGP समर्थन खोज्नुहोस्।
तपाईंसँग BGP प्रोटोकल सहित लिनक्स प्रयोग र नेटवर्किङ प्रविधिहरूको बुझाइ हुनुपर्छ। वा कमसेकम यस्तो विचार प्राप्त गर्न चाहनुहुन्छ। यस पटक म विशालतालाई अँगाल्न तयार नभएकोले, तपाईंले आफैंले बुझ्न नसकिने केही पक्षहरू अध्ययन गर्नुपर्नेछ। यद्यपि, म पक्कै पनि टिप्पणीहरूमा विशिष्ट प्रश्नहरूको जवाफ दिनेछु र म एक मात्र जवाफ दिने सम्भावना छैन, त्यसैले सोध्न नहिचकिचाउनुहोस्।

उदाहरणमा के प्रयोग गरिएको छ

दर्ताको प्रतिलिपि - बाट https://github.com/zapret-info/z-i
VPS - Ubuntu 16.04
रुटिङ सेवा - चरा 1.6.3
राउटर - Mikrotik hAP ac
काम गर्ने फोल्डरहरू - हामी रूटको रूपमा काम गर्दैछौं, धेरै जसो सबै रूटको गृह फोल्डरमा अवस्थित हुनेछ। क्रमशः
- /root/blacklist - संकलन लिपिको साथ काम गर्ने फोल्डर
- /root/zi - github बाट रजिस्ट्रीको प्रतिलिपि
- /etc/bird - पक्षी सेवा सेटिङहरूको लागि मानक फोल्डर
रूटिङ सर्भर र टनेल टर्मिनेशन पोइन्ट भएको VPS को बाह्य IP ठेगाना 194.165.22.146, ASN 64998; राउटरको बाह्य IP ठेगाना - 81.177.103.94, ASN 64999
सुरुङ भित्र IP ठेगानाहरू क्रमशः 172.30.1.1 र 172.30.1.2 छन्।

निस्सन्देह, तपाईं कुनै पनि अन्य राउटरहरू, अपरेटिङ सिस्टमहरू र सफ्टवेयर उत्पादनहरू प्रयोग गर्न सक्नुहुन्छ, तिनीहरूको तर्कको समाधान समायोजन गर्दै।

छोटकरीमा - समाधान को तर्क

तयारी कार्यहरू
1. VPS प्राप्त गर्दै
2. राउटरबाट VPS मा सुरुङ उठाउँदै
हामीले रजिस्ट्रीको प्रतिलिपि प्राप्त र नियमित रूपमा अद्यावधिक गर्छौं
रूटिङ सेवा स्थापना र कन्फिगर गर्दै
हामी रजिस्ट्रीमा आधारित राउटिंग सेवाको लागि स्थिर मार्गहरूको सूची सिर्जना गर्छौं
हामी राउटरलाई सेवामा जडान गर्छौं र सुरुङ मार्फत सबै ट्राफिक पठाउने कन्फिगर गर्छौं।

वास्तविक समाधान

तयारी कार्यहरू

इन्टरनेटमा धेरै सेवाहरू छन् जसले अत्यन्त उचित मूल्यहरूमा VPS प्रदान गर्दछ। अहिलेसम्म मैले $ 9/वर्षको लागि विकल्प फेला पारेको छु र प्रयोग गरिरहेको छु, तर यदि तपाइँ धेरै परेशान गर्नुहुन्न भने पनि, प्रत्येक कुनामा 1E/महिनाका लागि धेरै विकल्पहरू छन्। VPS छनौट गर्ने प्रश्न यस लेखको दायराभन्दा बाहिर छ, त्यसैले यदि कसैले यस बारे केही बुझ्दैन भने, टिप्पणीहरूमा सोध्नुहोस्।

यदि तपाइँ रुटिङ सेवाको लागि मात्र होइन, तर यसमा सुरुङ बन्द गर्न VPS प्रयोग गर्नुहुन्छ भने, तपाइँले यो सुरुङ उठाउनु पर्छ र, लगभग निश्चित रूपमा, यसको लागि NAT कन्फिगर गर्नुहोस्। इन्टरनेटमा यी कार्यहरूमा धेरै संख्यामा निर्देशनहरू छन्, म तिनीहरूलाई यहाँ दोहोर्याउने छैन। यस्तो सुरुङको लागि मुख्य आवश्यकता यो हो कि यसले तपाइँको राउटरमा VPS तर्फ सुरुङलाई समर्थन गर्ने छुट्टै इन्टरफेस सिर्जना गर्नुपर्छ। धेरै जसो प्रयोग गरिएको VPN प्रविधिहरूले यो आवश्यकता पूरा गर्दछ - उदाहरणका लागि, ट्यून मोडमा OpenVPN उत्तम छ।

दर्ताको प्रतिलिपि प्राप्त गर्दै

जबराइलले भने, "जसले हामीलाई बाधा पुर्‍याउँछ उसले हामीलाई मद्दत गर्नेछ।" RKN ले प्रतिबन्धित स्रोतहरूको एक दर्ता सिर्जना गरिरहेको हुनाले, हाम्रो समस्या समाधान गर्न यो दर्ता प्रयोग नगर्नु पाप हुनेछ। हामीले github बाट रजिस्ट्रीको प्रतिलिपि प्राप्त गर्नेछौं।

हामी तपाईको लिनक्स सर्भरमा जान्छौं, मूल सन्दर्भमा जान्छौं (sudo su -) र git स्थापना गर्नुहोस् यदि यो पहिले नै स्थापित छैन।

apt install git

तपाईंको गृह डाइरेक्टरीमा जानुहोस् र रजिस्ट्रीको प्रतिलिपि निकाल्नुहोस्।

cd ~ && git clone --depth=1 https://github.com/zapret-info/z-i

हामीले क्रोन अपडेट सेट अप गर्यौं (म यसलाई हरेक २० मिनेटमा एकपटक गर्छु, तर तपाईंले आफ्नो रुचि भएको कुनै अन्तराल रोज्न सक्नुहुन्छ)। यो गर्नको लागि हामी सुरु गर्छौं crontab -e र यसमा निम्न लाइन थप्नुहोस्:

*/20 * * * * cd ~/z-i && git pull && git gc

हामी एक हुक जडान गर्छौं जसले रजिस्ट्री अद्यावधिक गरेपछि रूटिङ सेवाको लागि फाइलहरू सिर्जना गर्नेछ। यो गर्नको लागि, एउटा फाइल सिर्जना गर्नुहोस् /root/zi/.git/hooks/post-merge निम्न सामग्री संग:

#!/usr/bin/env bash
changed_files="$(git diff-tree -r --name-only --no-commit-id ORIG_HEAD HEAD)"
check_run() {
    echo "$changed_files" | grep --quiet "$1" && eval "$2"
}
check_run dump.csv "/root/blacklist/makebgp"

र यसलाई कार्यान्वयनयोग्य बनाउन नबिर्सनुहोस्

chmod +x /root/z-i/.git/hooks/post-merge

हामी makebgp स्क्रिप्ट सिर्जना गर्नेछौं जुन हुकले केहि समय पछि बुझाउँछ।

रूटिङ सेवा स्थापना र कन्फिगर गर्दै

पक्षी स्थापना गर्नुहोस्। दुर्भाग्यवश, हाल उबुन्टु रिपोजिटरीहरूमा पोष्ट गरिएको बर्डको संस्करण आर्कियोप्टेरिक्स मलसँग ताजापनमा तुलनात्मक छ, त्यसैले हामीले पहिले प्रणालीमा सफ्टवेयर विकासकर्ताहरूको आधिकारिक पीपीए थप्न आवश्यक छ।

add-apt-repository ppa:cz.nic-labs/bird
apt update
apt install bird

यस पछि, हामी तुरुन्तै IPv6 को लागि बर्ड असक्षम गर्छौं - हामीलाई यो स्थापनामा आवश्यक पर्दैन।

systemctl stop bird6
systemctl disable bird6

तल एक न्यूनतम पक्षी सेवा कन्फिगरेसन फाइल छ (/etc/bird/bird.conf), जुन हाम्रो लागि पर्याप्त छ (र म तपाईंलाई एक पटक फेरि सम्झाउँछु कि कसैले पनि तपाईंको आफ्नै आवश्यकताहरू अनुरूप विचार विकास गर्न र ट्युनिङ गर्न निषेध गर्दैन)

log syslog all;
router id 172.30.1.1;

protocol kernel {
        scan time 60;
        import none;
#       export all;   # Actually insert routes into the kernel routing table
}

protocol device {
        scan time 60;
}

protocol direct {
        interface "venet*", "tun*"; # Restrict network interfaces it works with
}

protocol static static_bgp {
        import all;
        include "pfxlist.txt";
        #include "iplist.txt";
}

protocol bgp OurRouter {
        description "Our Router";
        neighbor 81.177.103.94 as 64999;
        import none;
        export where proto = "static_bgp";
        local as 64998;
        passive off;
        multihop;
}

राउटर आईडी - राउटर पहिचानकर्ता, जुन नेत्रहीन रूपमा IPv4 ठेगाना जस्तो देखिन्छ, तर एउटा होइन। हाम्रो मामला मा, यो IPv32 ठेगाना ढाँचामा कुनै पनि 4-बिट नम्बर हुन सक्छ, तर यो तपाईंको उपकरणको IPv4 ठेगाना (यस अवस्थामा, VPS) ठ्याक्कै संकेत गर्न राम्रो फारम हो।

प्रोटोकल प्रत्यक्ष परिभाषित गर्दछ कुन इन्टरफेसले राउटिंग प्रक्रियासँग काम गर्नेछ। उदाहरणले केही उदाहरण नामहरू दिन्छ, तपाईं अरू थप्न सक्नुहुन्छ। तपाईं केवल लाइन मेटाउन सक्नुहुन्छ; यस अवस्थामा, सर्भरले IPv4 ठेगानाको साथ सबै उपलब्ध इन्टरफेसहरू सुन्नेछ।

प्रोटोकल स्ट्याटिक हाम्रो जादु हो जसले उपसर्गहरू र IP ठेगानाहरूको सूचीहरू लोड गर्दछ (जुन वास्तवमा /32 उपसर्गहरू हुन्, अवश्य पनि) पछिको घोषणाको लागि फाइलहरूबाट। यी सूचीहरू कहाँबाट आउँछन् तल छलफल गरिनेछ। कृपया ध्यान दिनुहोस् कि IP ठेगानाहरू लोड गर्दा पूर्वनिर्धारित रूपमा टिप्पणी गरिएको छ, यसको कारण अपलोडको ठूलो मात्रा हो। तुलनाको लागि, लेखनको समयमा, उपसर्गहरूको सूचीमा 78 लाइनहरू छन्, र IP ठेगानाहरूको सूचीमा 85898। म दृढतापूर्वक उपसर्गहरूको सूचीमा मात्र सुरु र डिबग गर्न सिफारिस गर्छु, र IP लोडिङ सक्षम गर्ने वा नगर्ने। तपाईंको राउटरको साथ प्रयोग गरिसकेपछि निर्णय गर्ने भविष्य तपाईंमा निर्भर छ। तिनीहरूमध्ये प्रत्येकले रूटिङ तालिकामा 85 हजार प्रविष्टिहरू सजिलै पचाउन सक्दैनन्।

प्रोटोकल bgp, वास्तवमा, तपाइँको राउटर संग bgp peering सेट अप गर्दछ। IP ठेगाना राउटरको बाह्य इन्टरफेसको ठेगाना हो (वा राउटर साइडमा टनेल इन्टरफेसको ठेगाना), 64998 र 64999 स्वायत्त प्रणालीहरूको संख्याहरू हुन्। यस अवस्थामा, तिनीहरू कुनै पनि 16-बिट नम्बरहरूको रूपमा तोक्न सकिन्छ, तर RFC6996 - 64512-65534 समावेशी द्वारा परिभाषित निजी दायराबाट AS नम्बरहरू प्रयोग गर्नु राम्रो अभ्यास हो (त्यहाँ 32-bit ASNs को लागि ढाँचा छ, तर हाम्रो मामला मा यो निश्चित रूपमा overkill छ)। वर्णन गरिएको कन्फिगरेसनले eBGP पियरिङ प्रयोग गर्दछ, जसमा राउटिङ सेवा र राउटरको स्वायत्त प्रणालीहरूको संख्या फरक हुनुपर्छ।

तपाईंले देख्न सक्नुहुने रूपमा, सेवालाई राउटरको IP ठेगाना थाहा हुन आवश्यक छ, त्यसैले यदि तपाईंसँग गतिशील वा गैर-रूटेबल निजी (RFC1918) वा साझा (RFC6598) ठेगाना छ भने, तपाईंसँग बाह्यमा पियरिङ बढाउने विकल्प छैन। इन्टरफेस, तर सेवा अझै पनि सुरुङ भित्र काम गर्नेछ।

यो पनि स्पष्ट छ कि एक सेवाबाट तपाईले धेरै फरक राउटरहरूलाई मार्गहरू प्रदान गर्न सक्नुहुन्छ - केवल प्रोटोकल bgp सेक्सन प्रतिलिपि गरेर र छिमेकीको IP ठेगाना परिवर्तन गरेर तिनीहरूको लागि सेटिङहरू नक्कल गर्नुहोस्। त्यसैले उदाहरणले सुरुङ बाहिर पियरिङका लागि सेटिङहरू देखाउँछ, सबैभन्दा विश्वव्यापी रूपमा। तदनुसार सेटिङहरूमा IP ठेगानाहरू परिवर्तन गरेर तिनीहरूलाई सुरुङमा हटाउन सजिलो छ।

राउटिंग सेवाको लागि रजिस्ट्री प्रशोधन गर्दै

अब हामीलाई वास्तवमा, उपसर्गहरू र IP ठेगानाहरूको सूची सिर्जना गर्न आवश्यक छ, जुन अघिल्लो चरणमा प्रोटोकल स्ट्याटिकमा उल्लेख गरिएको थियो। यो गर्नको लागि, हामी रजिस्ट्री फाइल लिन्छौं र निम्न स्क्रिप्ट प्रयोग गरी आवश्यक फाइलहरू बनाउँछौं, यसमा राखिएको छ। /root/blacklist/makebgp

#!/bin/bash
cut -d";" -f1 /root/z-i/dump.csv| tr '|' 'n' |  tr -d ' ' > /root/blacklist/tmpaddr.txt
cat /root/blacklist/tmpaddr.txt | grep / | sed 's_.*_route & reject;_' > /etc/bird/pfxlist.txt
cat /root/blacklist/tmpaddr.txt | sort | uniq | grep -Eo "([0-9]{1,3}[.]){3}[0-9]{1,3}" | sed 's_.*_route &/32 reject;_' > /etc/bird/iplist.txt
/etc/init.d/bird reload
logger 'bgp list compiled'

यसलाई कार्यान्वयनयोग्य बनाउन नबिर्सनुहोस्

chmod +x /root/blacklist/makebgp

अब तपाइँ यसलाई म्यानुअल रूपमा चलाउन सक्नुहुन्छ र /etc/bird मा फाइलहरूको उपस्थिति अवलोकन गर्न सक्नुहुन्छ।

सम्भवतः, यस क्षणमा चराले तपाईंको लागि काम गरिरहेको छैन, किनभने अघिल्लो चरणमा तपाईंले यसलाई अहिलेसम्म अवस्थित नभएका फाइलहरू खोज्न भन्नुभएको थियो। त्यसकारण, हामी यसलाई सुरु गर्छौं र जाँच गर्छौं कि यो सुरु भएको छ:

systemctl start bird
birdc show route

दोस्रो आदेशको आउटपुटले लगभग 80 रेकर्डहरू देखाउनुपर्दछ (यो अहिलेको लागि हो, तर जब तपाइँ यसलाई सेट अप गर्नुहुन्छ, सबै कुरा नेटवर्क ब्लक गर्ने RKN को जोसिलोपनमा निर्भर हुनेछ) केहि यस्तो:

54.160.0.0/12      unreachable [static_bgp 2018-04-19] * (200)

टोली

birdc show protocol

सेवा भित्र प्रोटोकल को स्थिति देखाउनेछ। तपाईंले राउटर कन्फिगर नगरेसम्म (अर्को बिन्दु हेर्नुहोस्), OurRouter प्रोटोकल स्टार्ट स्टेट (जडान वा सक्रिय चरण) मा हुनेछ, र सफल जडान पछि यो माथिको अवस्था (स्थापित चरण) मा जान्छ। उदाहरण को लागी, मेरो प्रणाली मा यो आदेश को आउटपुट यस्तो देखिन्छ:

BIRD 1.6.3 ready.
name     proto    table    state  since       info
kernel1  Kernel   master   up     2018-04-19
device1  Device   master   up     2018-04-19
static_bgp Static   master   up     2018-04-19
direct1  Direct   master   up     2018-04-19
RXXXXXx1 BGP      master   up     13:10:22    Established
RXXXXXx2 BGP      master   up     2018-04-24  Established
RXXXXXx3 BGP      master   start  2018-04-22  Connect       Socket: Connection timed out
RXXXXXx4 BGP      master   up     2018-04-24  Established
RXXXXXx5 BGP      master   start  2018-04-24  Passive

राउटर जडान गर्दै

सबैजना सायद यो फुटक्लोथ पढेर थकित छन्, तर मन राख्नुहोस् - अन्त्य नजिक छ। यसबाहेक, यस खण्डमा म चरण-दर-चरण निर्देशनहरू दिन सक्षम हुने छैन - यो प्रत्येक निर्माताको लागि फरक हुनेछ।

यद्यपि, म तपाईंलाई केही उदाहरणहरू देखाउन सक्छु। मुख्य तर्क भनेको BGP पियरिङ बढाउनु हो र नेक्स्टहपलाई सबै प्राप्त उपसर्गहरूमा तोक्नु हो, हाम्रो सुरुङ (यदि हामीले p2p इन्टरफेस मार्फत ट्राफिक पठाउन आवश्यक छ भने) वा ट्राफिक इथरनेटमा जान्छ भने नेक्स्टहप आईपी ठेगानालाई औंल्याउँदै)।

उदाहरण को लागी, RouterOS मा Mikrotik मा यो निम्नानुसार हल गरिएको छ

/routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=172.30.1.2
/routing bgp peer add in-filter=dynamic-in multihop=yes name=VPS remote-address=194.165.22.146 remote-as=64998 ttl=default
/routing filter add action=accept chain=dynamic-in protocol=bgp comment="Set nexthop" set-in-nexthop=172.30.1.1

र Cisco IOS मा - यो जस्तै

router bgp 64999
  neighbor 194.165.22.146 remote-as 64998
  neighbor 194.165.22.146 route-map BGP_NEXT_HOP in
  neighbor 194.165.22.146 ebgp-multihop 250
!
route-map BGP_NEXT_HOP permit 10
  set ip next-hop 172.30.1.1

यदि एउटै सुरुङ BGP पियरिङ र उपयोगी ट्राफिक प्रसारणको लागि दुवै प्रयोग गरिन्छ भने, यो नेक्स्टहप सेट गर्न आवश्यक छैन; यो प्रोटोकल प्रयोग गरेर सही रूपमा सेट गरिनेछ। तर यदि तपाईंले यसलाई म्यानुअल रूपमा सेट गर्नुभयो भने, यसले यसलाई खराब पनि गर्दैन।

अन्य प्लेटफर्महरूमा, तपाईंले कन्फिगरेसन आफैं पत्ता लगाउनु पर्छ, तर यदि तपाईंलाई कुनै कठिनाइ छ भने, टिप्पणीहरूमा लेख्नुहोस्, म मद्दत गर्ने प्रयास गर्नेछु।

तपाईंको BGP सत्र सुरु भएपछि, ठूला नेटवर्कहरूमा मार्गहरू आइपुगेका छन् र तालिकामा स्थापना गरिएका छन्, तिनीहरूबाट ठेगानाहरूमा ट्राफिक प्रवाह भएको छ र आनन्द नजिक छ, तपाईं पक्षी सेवामा फर्कन सक्नुहुन्छ र त्यहाँ जडान गर्ने प्रविष्टिलाई अनकमेन्ट गर्ने प्रयास गर्न सक्नुहुन्छ। IP ठेगानाहरूको सूची, त्यस पछि कार्यान्वयन गर्नुहोस्

systemctl reload bird

र हेर्नुहोस् कसरी तपाईंको राउटरले यी ८५ हजार मार्गहरू स्थानान्तरण गर्यो। अनप्लग गर्न तयार हुनुहोस् र यसको साथ के गर्ने बारे सोच्नुहोस् :)

कुल

विशुद्ध सैद्धान्तिक रूपमा, माथि वर्णन गरिएका चरणहरू पूरा गरेपछि, तपाईंसँग अब एक सेवा छ जसले स्वचालित रूपमा ट्राफिकलाई रूसी संघमा प्रतिबन्धित आईपी ठेगानाहरूमा रिडिरेक्ट गर्छ फिल्टरिङ प्रणाली पछि।

निस्सन्देह, यसलाई सुधार गर्न सकिन्छ। उदाहरणका लागि, पर्ल वा पाइथन समाधानहरू प्रयोग गरेर IP ठेगानाहरूको सूची संक्षेप गर्न यो एकदम सजिलो छ। Net::CIDR::Lite ले ८५ हजार उपसर्गहरूलाई ६० (हजार होइन) मा परिणत गर्छ, तर निस्सन्देह, ब्लक गरिएको भन्दा धेरै ठूला ठेगानाहरू समावेश गर्दछ।

सेवा ISO/OSI मोडेलको तेस्रो स्तरमा सञ्चालन भएको हुनाले, यदि यसले रजिस्ट्रीमा रेकर्ड गरिएको गलत ठेगानामा समाधान गर्छ भने यसले तपाइँलाई साइट/पृष्ठ ब्लक गर्नबाट बचाउने छैन। तर रजिस्ट्रीसँगै, फाइल nxdomain.txt github बाट आउँछ, जुन स्क्रिप्टको केही स्ट्रोकहरूसँग सजिलैसँग ठेगानाहरूको स्रोतमा परिणत हुन्छ, उदाहरणका लागि, Chrome मा SwitchyOmega प्लगइन।

यो पनि उल्लेख गर्न आवश्यक छ कि समाधानलाई थप परिष्करणको आवश्यकता छ यदि तपाईं इन्टरनेट प्रयोगकर्ता मात्र हुनुहुन्न भने, तर केहि स्रोतहरू पनि प्रकाशित गर्नुहोस् (उदाहरणका लागि, वेबसाइट वा मेल सर्भर यस जडानमा चल्छ)। राउटरको माध्यमहरू प्रयोग गरेर, यो सेवाबाट बाहिर जाने ट्राफिकलाई तपाईंको सार्वजनिक ठेगानामा कडाइका साथ बाँध्न आवश्यक छ, अन्यथा तपाईंले ती स्रोतहरूसँग जडान गुमाउनुहुनेछ जुन राउटरद्वारा प्राप्त उपसर्गहरूको सूचीमा समावेश छन्।

यदि तपाइँसँग कुनै प्रश्नहरू छन् भने, सोध्नुहोस्, म जवाफ दिन तयार छु।

UPD। धन्यवाद navion и TerAnYu डाउनलोड भोल्युमहरू कम गर्न अनुमति दिने git को प्यारामिटरहरूको लागि।

UPD2। सहकर्मीहरू, लेखमा VPS र राउटर बीचको टनेल सेटअप गर्न निर्देशनहरू थपेर मैले गल्ती गरे जस्तो देखिन्छ। यसबाट धेरै प्रश्न उठेका छन् ।
केवल के अवस्थामा, म फेरि एक पटक नोट गर्नेछु कि यो गाइड सुरु गर्नु अघि, तपाईंले पहिले नै VPN टनेललाई आवश्यक दिशामा कन्फिगर गर्नुभएको छ र यसको कार्यक्षमता जाँच गर्नुभयो (उदाहरणका लागि, पूर्वनिर्धारित वा स्थिर रूपमा त्यहाँ ट्राफिक बदलेर)। यदि तपाईंले यो चरण अझै पूरा गर्नुभएको छैन भने, लेखमा भएका चरणहरू पछ्याउनको लागि यसले धेरै अर्थ राख्दैन। मसँग यसमा मेरो आफ्नै पाठ छैन, तर यदि तपाईंले VPS मा स्थापित अपरेटिङ सिस्टमको नामको साथ "ओपनभीपीएन सर्भर सेटअप" र तपाईंको राउटरको नामको साथ "ओपनभीपीएन क्लाइन्ट सेट अप गर्दै" गुगल गर्नुभयो भने। , तपाईंले सम्भवतः यस विषयमा धेरै लेखहरू फेला पार्नुहुनेछ, Habré मा।

UPD3। अकुशल मैले एउटा कोड लेखेको छु जसले डम्प. csv लाई IP ठेगानाहरूको वैकल्पिक सारांशको साथ चराको लागि परिणामस्वरूप फाइलमा परिणत गर्छ। तसर्थ, खण्ड "राउटिंग सेवाको लागि रजिस्ट्री प्रशोधन गर्दै" यसको कार्यक्रम कल गरेर प्रतिस्थापन गर्न सकिन्छ। https://habr.com/post/354282/#comment_10782712

UPD4। त्रुटिहरूमा सानो काम (मैले तिनीहरूलाई पाठमा थपेको छैन):
1) बरु systemctl पुन: लोड बर्ड यो आदेश प्रयोग गर्न अर्थ बनाउँछ birdc कन्फिगर.
2) Mikrotik राउटरमा, नेक्स्टहपलाई सुरुङको दोस्रो तर्फको IP मा परिवर्तन गर्नुको सट्टा /राउटिंग फिल्टर कार्य थप्नुहोस्=अक्सेप्ट चेन=डायनामिक-इन प्रोटोकल=bgp टिप्पणी=»सेट नेक्स्टहप» सेट-इन-नेक्स्टप=१७२.३०.१.१ यो कुनै ठेगाना बिना, टनेल इन्टरफेसमा सीधा मार्ग निर्दिष्ट गर्न अर्थ बनाउँछ /राउटिंग फिल्टर कार्य थप्नुहोस्=अक्सेप्ट चेन=डायनामिक-इन प्रोटोकल=bgp टिप्पणी=»सेट नेक्स्टहप» सेट-इन-नेक्सथप-डायरेक्ट=<इन्टरफेस नाम>

UPD5। नयाँ सेवा देखा परेको छ https://antifilter.download, जहाँबाट तपाईंले IP ठेगानाहरूको तयार-बनाइएको सूचीहरू लिन सक्नुहुन्छ। हरेक आधा घण्टा अद्यावधिक। ग्राहक पक्षमा, बाँकी रहेका सबै रेकर्डहरू सम्बन्धित "मार्ग... अस्वीकार" को साथ फ्रेम गर्न हो।
र यस बिन्दुमा, सायद, यो तपाइँको हजुरआमालाई रग गर्न र लेख अपडेट गर्न पर्याप्त छ।

UPD6। यो पत्ता लगाउन नचाहने, तर सुरु गर्न चाहनेहरूका लागि लेखको संशोधित संस्करण - यहाँ.

स्रोत: www.habr.com

BGP लाई बाइपास अवरुद्ध गर्न सेटअप गर्दै, वा "कसरी मैले डराउन छोडेँ र RKN सँग प्रेममा परें"