די טעמע איז שיין געשלאגן, איך וויסן. פֿאַר בייַשפּיל, עס איז אַ גרויס אַרטיקל, אָבער בלויז די IP טייל פון די בלאָקליסט איז באַטראַכט דאָרט. מיר וועלן אויך לייגן דאָומיינז.

צוליב דעם וואס די געריכטן און די רקן בלאקירן אלעס רעכטס און לינקס, און די פארזארגערס פרובירן זיך נישט צו פאלן אונטער די קנסות וואס רעוויזאררא האט ארויסגעגעבן, זענען די צוגעבונדענע פארלוסטן פון בלאקירונג גאנץ גרויס. און צווישן די "לאָפאַלי" אפגעשטעלט זייטלעך עס זענען פילע נוציק אָנעס (העלא, רוטראַקער)

איך וואוין אויסער די דזשוריסדיקשאַן פון רקן, אָבער מיין עלטערן, קרובים און פריינט זענען געבליבן אין שטוב. אַזוי עס איז באַשלאָסן צו קומען אַרויף מיט אַן גרינג וועג פֿאַר מענטשן ווייַט פון עס צו בייפּאַס בלאַקינג, פּרעפעראַבלי אָן זייער אָנטייל אין אַלע.

אין דעם טאָן, איך וועל נישט באַשרייַבן די יקערדיק נעץ טינגז אין סטעפּס, אָבער איך וועל באַשרייַבן די אַלגעמיינע פּרינסאַפּאַלז פון ווי דעם סכעמע קענען זיין ימפּלאַמענאַד. אַזוי וויסן פון ווי די נעץ אַרבעט אין אַלגעמיין און אין לינוקס אין באַזונדער איז אַ מוזן האָבן.

טייפּס פון לאַקס

קודם לאמיר דערפרישן אונזער זכרון פון וואס מען בלאקירט.

עס זענען עטלעכע טייפּס פון לאַקס אין די אַנלאָודיד קסמל פֿון RKN:

• IP
• פעלד
• URL

פֿאַר פּאַשטעס, מיר וועלן רעדוצירן זיי צו צוויי: IP און פעלד, און מיר וועלן פשוט ציען די פעלד פון בלאַקינג דורך URL (מער גענוי, זיי האָבן שוין געטאן דאָס פֿאַר אונדז).

גוטע מענטשן פון ראָסקאָמסוואָבאָדאַ איינגעזען אַ ווונדערלעך אַפּי, דורך וואָס מיר קענען באַקומען וואָס מיר דאַרפֿן:

• IP: https://api.reserve-rbl.ru/api/v2/ips/json
• דאָומיינז: https://api.reserve-rbl.ru/api/v2/domains/json

אַקסעס צו אפגעשטעלט זייטלעך

צו טאָן דאָס, מיר דאַרפֿן עטלעכע קליין פרעמד וופּס, פּרעפעראַבלי מיט אַנלימאַטאַד פאַרקער - עס זענען פילע פון ​​​​זיי פֿאַר 3-5 באַקס. איר דאַרפֿן צו נעמען עס אין די לעבן אויסלאנד אַזוי אַז די פּינג איז נישט זייער גרויס, אָבער ווידער, נעמען אין חשבון אַז די אינטערנעט און געאָגראַפי טאָן ניט שטענדיק צונויפפאַלן. און זינט עס איז קיין SLA פֿאַר 5 באַקס, עס איז בעסער צו נעמען 2+ ברעקלעך פון פאַרשידענע פּראַוויידערז פֿאַר שולד טאָלעראַנץ.

ווייַטער, מיר דאַרפֿן צו שטעלן אַרויף אַ ינקריפּטיד טונעל פון די קליענט ראַוטער צו די וופּס. איך נוצן Wireguard ווי די פאַסטאַסט און יזיאַסט צו שטעלן אַרויף. איך אויך האָבן קליענט ראָוטערס באזירט אויף לינוקס (APU2 אָדער עפּעס אין OpenWRT). אין דעם פאַל פון עטלעכע מיקראָטיק / סיסקאָ, איר קענען נוצן די פּראָטאָקאָלס בנימצא אויף זיי ווי OpenVPN און GRE-over-IPSEC.

לעגיטימאַציע און רידערעקשאַן פון פאַרקער פון אינטערעס

איר קענען, פון קורס, קער אַוועק אַלע אינטערנעט פאַרקער דורך פרעמד לענדער. אָבער, רובֿ מסתּמא, די גיכקייַט פון ארבעטן מיט היגע אינהאַלט וועט לייַדן זייער פון דעם. פּלוס, די באַנדווידט רעקווירעמענץ אויף VPS וועט זיין פיל העכער.

דעריבער, מיר דאַרפֿן צו עפעס אַלאַקייט פאַרקער צו אפגעשטעלט זייטלעך און סאַלעקטיוולי דירעקט עס צו דעם טונעל. אפילו אויב טייל פון די "עקסטרע" פאַרקער קומט דאָרט, עס איז נאָך פיל בעסער ווי פאָר אַלץ דורך דעם טונעל.

צו פירן פאַרקער, מיר וועלן נוצן די BGP פּראָטאָקאָל און מעלדן רוץ צו די נייטיק נעטוואָרקס פֿון אונדזער וופּס צו קלייאַנץ. לאָמיר נעמען BIRD ווי איינער פון די מערסט פאַנגקשאַנאַל און באַקוועם BGP דעמאָנס.

IP

מיט בלאַקינג דורך IP, אַלץ איז קלאָר: מיר פשוט מעלדן אַלע אפגעשטעלט IPs מיט VPS. דער פּראָבלעם איז אַז עס זענען וועגן 600 טויזנט סובנעץ אין דער רשימה וואָס די API קערט, און די וואַסט מערהייַט פון זיי זענען /32 מחנות. די נומער פון רוץ קענען צעמישן שוואַך קליענט ראָוטערס.

דעריבער, ווען פּראַסעסינג די רשימה, עס איז באַשלאָסן צו סאַמערייז אַרויף צו די נעץ / 24 אויב עס האט 2 אָדער מער מחנות. אזוי, די נומער פון רוץ איז רידוסט צו ~ 100 טויזנט. דער שריפט פֿאַר דעם וועט נאָכפאָלגן.

דאָומיינז

עס איז מער קאָמפּליצירט און עס זענען עטלעכע וועגן. פֿאַר בייַשפּיל, איר קענען ינסטאַלירן אַ טראַנספּעראַנט סקוויד אויף יעדער קליענט ראַוטער און טאָן הטטפּ ינטערסעפּשאַן דאָרט און פּיפּס אין די TLS כאַנדשייק צו באַקומען די געבעטן URL אין דער ערשטער פאַל און די פעלד פון SNI אין די רגע.

אָבער רעכט צו אַלע סאָרץ פון נייַ-פאַנגגאַלד TLS1.3 + eSNI, HTTPS אַנאַליסיס ווערט ווייניקער און ווייניקער פאַקטיש יעדער טאָג. יאָ, און די ינפראַסטראַקטשער אויף די קליענט זייַט איז שיין מער קאָמפּליצירט - איר וועט האָבן צו נוצן לפּחות OpenWRT.

דעריבער, איך באַשלאָסן צו נעמען דעם וועג פון ינטערסעפּטינג רעספּאָנסעס צו דנס ריקוועס. דאָ אויך, קיין DNS-over-TLS / HTTPS הייבט צו כאַווער איבער דיין קאָפּ, אָבער מיר קענען (דערווייל) קאָנטראָלירן דעם טייל אויף דעם קליענט - אָדער דיסייבאַל עס אָדער נוצן דיין אייגענע סערווער פֿאַר דאָט / דאָה.

ווי צו ינטערסעפּט DNS?

אויך דאָ, עס קען זיין עטלעכע אַפּראָוטשיז.

• ינטערסעפּשאַן פון דנס פאַרקער דורך PCAP אָדער NFLOG
  ביידע די מעטהאָדס פון ינטערסעפּשאַן זענען ימפּלאַמענאַד אין די נוצן סידמאַט. אבער עס איז נישט געשטיצט פֿאַר אַ לאַנג צייַט און די פאַנגקשאַנאַליטי איז זייער פּרימיטיוו, אַזוי איר נאָך דאַרפֿן צו שרייַבן אַ כאַרניס פֿאַר עס.
• אַנאַליסיס פון דנס סערווער לאָגס
  צום באַדויערן, די רעקורסאָרס באקאנט צו מיר זענען נישט ביכולת צו קלאָץ רעספּאָנסעס, אָבער בלויז ריקוועס. אין פּרינציפּ, דאָס איז לאַדזשיקאַל, ווייַל, ניט ענלעך ריקוועס, ענטפֿערס האָבן אַ קאָמפּלעקס סטרוקטור און עס איז שווער צו שרייַבן זיי אין טעקסט פאָרעם.
• DNSTap
  צומ גליק, פילע פון ​​זיי שוין שטיצן DNSTap פֿאַר דעם צוועק.

וואָס איז DNSTap?

עס איז אַ קליענט-סערווער פּראָטאָקאָל באזירט אויף פּראָטאָקאָל באַפערס און ראַם סטרעאַמס פֿאַר טראַנספערינג פון אַ דנס סערווער צו אַ זאַמלער פון סטראַקטשערד דנס פֿראגן און רעספּאָנסעס. יסענשאַלי, די דנס סערווער טראַנסמיץ אָנפֿרעג און ענטפער מעטאַדאַטאַ (טיפּ פון אָנזאָג, קליענט / סערווער IP, אאז"ו ו) פּלוס גאַנץ דנס אַרטיקלען אין די (ביינערי) פאָרעם אין וואָס עס אַרבעט מיט זיי איבער די נעץ.

עס איז וויכטיק צו פֿאַרשטיין אַז אין די DNSTap פּאַראַדיגם, די דנס סערווער אַקט ווי אַ קליענט און דער זאַמלער אַקט ווי אַ סערווער. אַז איז, די דנס סערווער קאַנעקץ צו די קאַלעקטער, און נישט וויצע ווערסאַ.

הייַנט DNSTap איז געשטיצט אין אַלע פאָלקס דנס סערווערס. אָבער, פֿאַר בייַשפּיל, BIND אין פילע דיסטריביושאַנז (ווי Ubuntu LTS) איז אָפט געבויט פֿאַר עטלעכע סיבה אָן שטיצן. אַזוי לאָזן אונדז נישט אַרן מיט ריאַסעמבאַלינג, אָבער נעמען אַ לייטער און פאַסטער רעקורסאָר - ונבאַונד.

ווי צו כאַפּן DNSTap?

עס יז פאַראַן עטלעכע נומער CLI יוטילאַטיז פֿאַר ארבעטן מיט אַ טייַך פון DNSTap events, אָבער זיי זענען נישט פּאַסיק פֿאַר סאַלווינג אונדזער פּראָבלעם. דעריבער, איך באַשלאָסן צו אויסטראַכטן מיין אייגן וועלאָסיפּעד וואָס וועט טאָן אַלץ וואָס איז נייטיק: דנסטאַפּ-בגפּ

אַרבעט אַלגערידאַם:

• ווען לאָנטשט, עס לאָודז אַ רשימה פון דאָומיינז פון אַ טעקסט טעקע, ינווערץ זיי (habr.com -> com.habr), יקסקלודז צעבראכן שורות, דופּליקאַטן און סובדאָמאַינס (ד"ה אויב די רשימה כּולל habr.com און www.habr.com, עס וועט זיין לאָודיד בלויז דער ערשטער) און בויען אַ פּרעפיקס בוים פֿאַר שנעל זוכן דורך דעם רשימה
• אַקטינג ווי אַ DNSTap סערווער, עס ווייץ פֿאַר אַ קשר פון אַ דנס סערווער. אין פּרינציפּ, עס שטיצט ביידע יוניקס און טקפּ סאַקאַץ, אָבער די דנס סערווערס איך וויסן קענען בלויז נוצן יוניקס סאַקאַץ
• ינקאַמינג DNSTap פּאַקיץ זענען ערשטער דעסעריאַליזעד אין אַ פּראָטאָבוף סטרוקטור, און דערנאָך די ביינערי דנס אָנזאָג זיך, ליגן אין איינער פון די פּראָטאָבוף פעלדער, איז פּאַרסט צו די מדרגה פון דנס רר רעקאָרדס
• עס איז אָפּגעשטעלט צי דער געבעטן באַלעבאָס (אָדער זיין פאָטער פעלד) איז אין די לאָודיד רשימה, אויב נישט, דער ענטפער איז איגנאָרירט
• בלויז A / AAAA / CNAME RR ס זענען אויסגעקליבן פון די ענטפער און די קאָראַספּאַנדינג IPv4 / IPv6 אַדרעסעס זענען יקסטראַקטיד פון זיי
• IP אַדרעסעס זענען קאַשט מיט קאַנפיגיעראַבאַל TTL און אַדווערטייזד צו אַלע קאַנפיגיערד BGP פּירז
• ווען איר באַקומען אַ ענטפער צו אַ שוין קאַשט IP, די TTL איז דערהייַנטיקט
• נאָך די TTL יקספּייערז, די פּאָזיציע איז אַוועקגענומען פון די קאַש און פון BGP מודעות

נאָך פאַנגקשאַנאַליטי:

• רירידינג די רשימה פון דאָומיינז דורך SIGHUP
• האַלטן די קאַש אין סינק מיט אנדערע ינסטאַנסיז דנסטאַפּ-בגפּ דורך הטטפּ / דזשסאָן
• דופּליקאַט די קאַש אויף דיסק (אין די BoltDB דאַטאַבייס) צו ומקערן די אינהאַלט נאָך אַ ריסטאַרט
• שטיצן פֿאַר סוויטשינג צו אַ אַנדערש נעץ נאָמען (וואָס דאָס איז דארף וועט זיין דיסקרייבד אונטן)
• IPv6 שטיצן

לימיטיישאַנז:

• IDN דאָומיינז זענען נישט געשטיצט נאָך
• עטלעכע BGP סעטטינגס

איך געזאמלט RPM און DEB פּאַקאַדזשאַז פֿאַר גרינג ינסטאַלירונג. זאָל אַרבעטן אויף אַלע לעפיערעך פריש אָסעס מיט סיסטעמ. זיי טאָן ניט האָבן קיין דיפּענדאַנסיז.

סכעמע

אַזוי, לאָזן 'ס אָנהייבן אַסעמבאַלינג אַלע די קאַמפּאָונאַנץ צוזאַמען. ווי אַ רעזולטאַט, מיר זאָל באַקומען עפּעס ווי דעם נעץ טאָפּאָלאָגי:

די לאָגיק פון אַרבעט, איך טראַכטן, איז קלאָר פון די דיאַגראַמע:

• דער קליענט האט אונדזער סערווער קאַנפיגיערד ווי דנס, און דנס קוויריז מוזן אויך גיין איבער די וופּן. דאָס איז נייטיק אַזוי אַז דער שפּייַזער קען נישט נוצן דנס ינטערסעפּשאַן צו פאַרשפּאַרן.
• ווען עפן דעם פּלאַץ, דער קליענט סענדז אַ דנס אָנפֿרעג ווי "וואָס זענען די IPs פון xxx.org"
• ונבאָונד סאַלווז xxx.org (אָדער נעמט עס פון די קאַש) און סענדז אַ ענטפער צו דעם קליענט "xxx.org האט אַזאַ און אַזאַ IP", דופּליקאַט עס פּאַראַלעל דורך DNSTap
• דנסטאַפּ-בגפּ אַנאַונסיז די אַדרעסעס אין פויגל דורך BGP אויב די פעלד איז אויף די אפגעשטעלט רשימה
• פויגל אַדווערטייזיז אַ מאַרשרוט צו די IPs מיט next-hop self קליענט ראַוטער
• סאַבסאַקוואַנט פּאַקיץ פון דעם קליענט צו די IPs גיין דורך דעם טונעל

אויף די סערווער, פֿאַר רוץ צו אפגעשטעלט זייטלעך, איך נוצן אַ באַזונדער טיש ין BIRD און עס טוט נישט ינטערסעקט מיט די אַס אין קיין וועג.

דער סכעמע האט אַ שטערונג: דער ערשטער SYN פּאַקאַט פון דעם קליענט, רובֿ מסתּמא, וועט האָבן צייט צו לאָזן דורך די דינער שפּייַזער. דער מאַרשרוט איז נישט מודיע מיד. און דאָ אָפּציעס זענען מעגלעך דיפּענדינג אויף ווי דער שפּייַזער טוט די בלאַקינג. אויב ער נאָר טראפנס פאַרקער, עס איז קיין פּראָבלעם. און אויב ער רידערעקץ עס צו עטלעכע דפּי, דעמאָלט (טעאָרעטיש) ספּעציעל יפעקץ זענען מעגלעך.

עס איז אויך מעגלעך אַז קלייאַנץ טאָן ניט רעספּעקט די DNS TTL מיראַקאַלז, וואָס קענען אָנמאַכן דעם קליענט צו נוצן עטלעכע אַלט - געבאַקן איינסן פֿון זיין פּאַסקודנע קאַש אַנשטאָט פון אַסקינג אַנבאַונד.

אין פיר, ניט דער ערשטער אדער די רגע געפֿירט פּראָבלעמס פֿאַר מיר, אָבער דיין מיילידזש קען בייַטן.

סערווירער טונינג

פֿאַר יז פון ראָולינג, איך געשריבן ראָלע פֿאַר Ansible. עס קענען קאַנפיגיער ביידע סערווערס און קלייאַנץ באזירט אויף לינוקס (דיזיינד פֿאַר דעב-באזירט דיסטריביושאַנז). אַלע סעטטינגס זענען גאַנץ קלאָר ווי דער טאָג און זענען שטעלן אין inventory.yml. די ראָלע איז שנייַדן פֿון מיין גרויס פּלייַבאָאָק, אַזוי עס קען אַנטהאַלטן ערראָרס - ציען ריקוועס באַגריסונג 🙂

זאל ס גיין דורך די הויפּט קאַמפּאָונאַנץ.

BGP

פליסנדיק צוויי BGP דעמאָנס אויף דער זעלביקער באַלעבאָס האט אַ פונדאַמענטאַל פּראָבלעם: BIRD טוט נישט וועלן צו שטעלן BGP פּירינג מיט די לאָקאַלהאָסט (אָדער קיין היגע צובינד). פון די וואָרט בכלל. גאָאָגלינג און לייענען מיילינג רשימות האט נישט געהאָלפֿן, זיי פאָדערן אַז דאָס איז דורך פּלאַן. אפשר איז דא א וועג, אבער איך האב עס נישט געפונען.

איר קענען פּרובירן אן אנדער BGP דיימאַן, אָבער איך ווי BIRD און עס איז געניצט אומעטום דורך מיר, איך טאָן נישט וועלן צו פּראָדוצירן ענטיטיז.

דערפֿאַר האָב איך באַהאַלטן dnstap-bgp אין די נעץ נאָמען ספּייס, וואָס איז פארבונדן צו דער וואָרצל דורך די וועטה צובינד: עס איז ווי אַ רער, די ענדס פון וואָס שטעקן אויס אין פאַרשידענע נאַמעספּאַסעס. אויף יעדער פון די ענדס, מיר הענגען פּריוואַט פּ 2 פּ IP אַדרעסעס וואָס טאָן ניט גיין ווייַטער פון דער באַלעבאָס, אַזוי זיי קענען זיין עפּעס. דאָס איז דער זעלביקער מעקאַניזאַם געניצט צו אַקסעס פּראַסעסאַז ין ליב געהאט דורך אַלע דאָקקער און אנדערע קאַנטיינערז.

פֿאַר דעם עס איז געווען געשריבן שריפט און די פאַנגקשאַנאַליטי שוין דיסקרייבד אויבן פֿאַר שלעפּן זיך מיט די האָר צו אן אנדער נאָמען פּלאַץ איז צוגעגעבן צו dnstap-bgp. ווייַל פון דעם, עס מוזן זיין לויפן ווי וואָרצל אָדער ארויס צו די CAP_SYS_ADMIN ביינערי דורך די סעטקאַפּ באַפֿעל.

בייַשפּיל שריפט פֿאַר קריייטינג נאַמעספּאַסע

#!/bin/bash

NS="dtap"

IP="/sbin/ip"
IPNS="$IP netns exec $NS $IP"

IF_R="veth-$NS-r"
IF_NS="veth-$NS-ns"

IP_R="192.168.149.1"
IP_NS="192.168.149.2"

/bin/systemctl stop dnstap-bgp || true

$IP netns del $NS > /dev/null 2>&1
$IP netns add $NS

$IP link add $IF_R type veth peer name $IF_NS
$IP link set $IF_NS netns $NS

$IP addr add $IP_R remote $IP_NS dev $IF_R
$IP link set $IF_R up

$IPNS addr add $IP_NS remote $IP_R dev $IF_NS
$IPNS link set $IF_NS up

/bin/systemctl start dnstap-bgp

dnstap-bgp.conf

namespace = "dtap"
domains = "/var/cache/rkn_domains.txt"
ttl = "168h"

[dnstap]
listen = "/tmp/dnstap.sock"
perm = "0666"

[bgp]
as = 65000
routerid = "192.168.149.2"

peers = [
    "192.168.149.1",
]

bird.conf

router id 192.168.1.1;

table rkn;

# Clients
protocol bgp bgp_client1 {
    table rkn;
    local as 65000;
    neighbor 192.168.1.2 as 65000;
    direct;
    bfd on;
    next hop self;
    graceful restart;
    graceful restart time 60;
    export all;
    import none;
}

# DNSTap-BGP
protocol bgp bgp_dnstap {
    table rkn;
    local as 65000;
    neighbor 192.168.149.2 as 65000;
    direct;
    passive on;
    rr client;
    import all;
    export none;
}

# Static routes list
protocol static static_rkn {
    table rkn;
    include "rkn_routes.list";
    import all;
    export none;
}

rkn_routes.list

route 3.226.79.85/32 via "ens3";
route 18.236.189.0/24 via "ens3";
route 3.224.21.0/24 via "ens3";
...

דנס

דורך פעליקייַט, אין ובונטו, די ונבאַונד ביינערי איז קלאַמפּט דורך די אַפּפּאַרמאָר פּראָפיל, וואָס פאַרווערן עס פון קאַנעקטינג צו אַלע סאָרץ פון DNSTap סאַקאַץ. איר קענט ויסמעקן דעם פּראָפיל אָדער דיסייבאַל עס:

# cd /etc/apparmor.d/disable && ln -s ../usr.sbin.unbound .
# apparmor_parser -R /etc/apparmor.d/usr.sbin.unbound

דאָס זאָל מיסטאָמע זיין מוסיף צו די פּלייַבאָאָק. עס איז ידעאַל, פון קורס, צו פאַרריכטן דעם פּראָפיל און אַרויסגעבן די נייטיק רעכט, אָבער איך איז געווען צו פויל.

unbound.conf

server:
    chroot: ""
    port: 53
    interface: 0.0.0.0
    root-hints: "/var/lib/unbound/named.root"
    auto-trust-anchor-file: "/var/lib/unbound/root.key"
    access-control: 192.168.0.0/16 allow

remote-control:
    control-enable: yes
    control-use-cert: no

dnstap:
    dnstap-enable: yes
    dnstap-socket-path: "/tmp/dnstap.sock"
    dnstap-send-identity: no
    dnstap-send-version: no

    dnstap-log-client-response-messages: yes

דאַונלאָודינג און פּראַסעסינג רשימות

שריפט פֿאַר דאַונלאָודינג און פּראַסעסינג אַ רשימה פון IP אַדרעסעס
עס דאַונלאָודז די רשימה, סאַמז אַרויף צו די פּרעפיקס pfx. די טאָן ניט_אַדד и טאָן ניט_סומערייז איר קענען זאָגן די IPs און נעטוואָרקס צו האָפּקען אָדער נישט סאַמערייז. איך דארף עס. די סובנעט פון מיין וופּס איז געווען אין די בלאַקליסט 🙂

די מאָדנע זאַך איז אַז די RosKomSvoboda API בלאַקס ריקוועס מיט די פעליקייַט פּיטהאָן באַניצער אַגענט. קוקט ווי דער שריפט-קידי האט עס. דעריבער, מיר טוישן עס צו Ognelis.

ביז איצט, עס אַרבעט בלויז מיט IPv4. די טיילן פון IPv6 איז קליין, אָבער עס וועט זיין גרינג צו פאַרריכטן. סייַדן איר האָבן צו נוצן bird6 אויך.

rkn.py

#!/usr/bin/python3

import json, urllib.request, ipaddress as ipa

url = 'https://api.reserve-rbl.ru/api/v2/ips/json'
pfx = '24'

dont_summarize = {
    # ipa.IPv4Network('1.1.1.0/24'),
}

dont_add = {
    # ipa.IPv4Address('1.1.1.1'),
}

req = urllib.request.Request(
    url,
    data=None, 
    headers={
        'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.47 Safari/537.36'
    }
)

f = urllib.request.urlopen(req)
ips = json.loads(f.read().decode('utf-8'))

prefix32 = ipa.IPv4Address('255.255.255.255')

r = {}
for i in ips:
    ip = ipa.ip_network(i)
    if not isinstance(ip, ipa.IPv4Network):
        continue

    addr = ip.network_address

    if addr in dont_add:
        continue

    m = ip.netmask
    if m != prefix32:
        r[m] = [addr, 1]
        continue

    sn = ipa.IPv4Network(str(addr) + '/' + pfx, strict=False)

    if sn in dont_summarize:
        tgt = addr
    else:
        tgt = sn

    if not sn in r:
        r[tgt] = [addr, 1]
    else:
        r[tgt][1] += 1

o = []
for n, v in r.items():
    if v[1] == 1:
        o.append(str(v[0]) + '/32')
    else:
        o.append(n)

for k in o:
    print(k)

שריפט צו דערהייַנטיקן
איך לויפן עס אויף די קרוין אַמאָל אַ טאָג, אפֿשר עס איז ווערט פּולינג עס יעדער 4 שעה. דאָס איז, לויט מיין מיינונג, די רינואַל צייַט וואָס די רקן פארלאנגט פון פּראַוויידערז. פּלוס, זיי האָבן עטלעכע אנדערע סופּער-דרינגלעך בלאַקינג, וואָס קען אָנקומען פאַסטער.

טוט די פאלגענדע:

• לויפט דער ערשטער שריפט און דערהייַנטיקט די רשימה פון רוץ (rkn_routes.list) פֿאַר פויגל
• רילאָוד פויגל
• דערהייַנטיקונגען און קלינז די רשימה פון דאָומיינז פֿאַר dnstap-bgp
• רילאָוד דnstap-bgp

rkn_update.sh

#!/bin/bash

ROUTES="/etc/bird/rkn_routes.list"
DOMAINS="/var/cache/rkn_domains.txt"

# Get & summarize routes
/opt/rkn.py | sed 's/(.*)/route 1 via "ens3";/' > $ROUTES.new

if [ $? -ne 0 ]; then
    rm -f $ROUTES.new
    echo "Unable to download RKN routes"
    exit 1
fi

if [ -e $ROUTES ]; then
    mv $ROUTES $ROUTES.old
fi

mv $ROUTES.new $ROUTES

/bin/systemctl try-reload-or-restart bird

# Get domains
curl -s https://api.reserve-rbl.ru/api/v2/domains/json -o - | jq -r '.[]' | sed 's/^*.//' | sort | uniq > $DOMAINS.new

if [ $? -ne 0 ]; then
    rm -f $DOMAINS.new
    echo "Unable to download RKN domains"
    exit 1
fi

if [ -e $DOMAINS ]; then
    mv $DOMAINS $DOMAINS.old
fi

mv $DOMAINS.new $DOMAINS

/bin/systemctl try-reload-or-restart dnstap-bgp

זיי זענען געשריבן אָן פיל געדאַנק, אַזוי אויב איר זען עפּעס וואָס קענען זיין ימפּרוווד - גיין פֿאַר אים.

קליענט סעטאַפּ

דאָ איך וועל געבן ביישפילן פֿאַר לינוקס ראָוטערס, אָבער אין דעם פאַל פון מיקראָטיק / סיסקאָ עס זאָל זיין אפילו גרינגער.

ערשטער, מיר שטעלן אַרויף BIRD:

bird.conf

router id 192.168.1.2;
table rkn;

protocol device {
    scan time 10;
};

# Servers
protocol bgp bgp_server1 {
    table rkn;
    local as 65000;
    neighbor 192.168.1.1 as 65000;
    direct;
    bfd on;
    next hop self;
    graceful restart;
    graceful restart time 60;
    rr client;
    export none;
    import all;
}

protocol kernel {
    table rkn;
    kernel table 222;
    scan time 10;
    export all;
    import none;
}

אזוי, מיר וועלן סינגקראַנייז די רוץ באקומען פֿון BGP מיט די קערן רוטינג טיש נומער 222.

נאָך דעם, עס איז גענוג צו פרעגן די קערן צו קוקן אין דעם טעלער איידער איר קוק אין די פעליקייַט איינער:

# ip rule add from all pref 256 lookup 222
# ip rule
0:  from all lookup local
256:    from all lookup 222
32766:  from all lookup main
32767:  from all lookup default

אַלץ, עס בלייבט צו קאַנפיגיער DHCP אויף די ראַוטער צו פאַרשפּרייטן די טונעל IP אַדרעס פון די סערווער ווי דנס, און די סכעמע איז גרייט.

לימיטיישאַנז

מיט דעם קראַנט אַלגערידאַם פֿאַר דזשענערייטינג און פּראַסעסינג די רשימה פון דאָומיינז, עס כולל, צווישן אנדערע, youtube.com און זייַן CDNs.

און דאָס פירט צו די פאַקט אַז אַלע ווידיאס וועלן גיין דורך די וופּן, וואָס קענען פאַרלייגן די גאנצע קאַנאַל. טאָמער איז כּדאַי צו מאַכן אַ רשימה פון פּאָפּולערע דאָומיינז-אויסשלוסן וואָס פאַרשפּאַרן דעם רקן דערווייל, די געדערעם איז דין. און האָפּקען זיי ווען פּאַרסינג.

סאָף

די דיסקרייבד אופֿן אַלאַוז איר צו בייפּאַס כּמעט קיין בלאַקינג אַז פּראַוויידערז דערווייַל ינסטרומענט.

אין פּרינציפּ, דנסטאַפּ-בגפּ קענען ווערן גענוצט פֿאַר קיין אנדערע צוועק ווו עטלעכע מדרגה פון פאַרקער קאָנטראָל איז דארף באזירט אויף די פעלד נאָמען. נאָר האַלטן אין מיינונג אַז אין אונדזער צייט, אַ טויזנט זייטלעך קענען הענגען אויף דער זעלביקער IP אַדרעס (הינטער עטלעכע קלאָודפלאַרע, פֿאַר בייַשפּיל), אַזוי דעם אופֿן האט אַ גאַנץ נידעריק אַקיעראַסי.

אבער פֿאַר די באדערפענישן פון בייפּאַסינג לאַקס, דאָס איז גאַנץ גענוג.

אַדישאַנז, עדיטינג, ציען ריקוועס - באַגריסן!

מקור: www.habr.com