פּאַסירונג אויס פון די בלוי

ווי Spotify קענען העלפֿן איר לערנען דעמאָנס, RFCs, נעטוואָרקס און העכערן אָפֿן מקור. אָדער וואָס כאַפּאַנז אויב איר קענען נישט באַצאָלן, אָבער איר טאַקע ווילן עטלעכע פּרעמיע גודיז.

אָנהייב

אויף די דריט טאָג, עס איז געווען באמערקט אַז Spotify איז געווען ווייַזנדיק אַדווערטייזמאַנץ באזירט אויף די מדינה פון די IP אַדרעס. עס איז אויך באמערקט אַז אין עטלעכע לענדער גאַנצע איז נישט ימפּאָרטיד. פֿאַר בייַשפּיל, אין די רעפובליק פון בעלאַרוס. און דעמאָלט אַ "בריליאַנט" פּלאַן איז כאַטשט צו דיסייבאַל גאַנצע אין אַ ניט-פּרעמיע חשבון.

א ביסל וועגן Spotify

אין אַלגעמיין, Spotify האט אַ מאָדנע פּאָליטיק. אונדזער ברודער דאַרף זיין שיין טוויסט צו קויפן פּרעמיע: טוישן דעם אָרט אין זיין פּראָפיל צו מעייווער - לייאַם, קוקן פֿאַר אַ פּאַסיק טאַלאַנט קאַרטל וואָס קענען זיין באַצאָלט בלויז מיט PayPal, וואָס איז אַקטינג טשודנע לעצטנס און וויל אַ פּלאַץ פון דאָקומענטן. אין אַלגעמיין, עס איז אויך אַ פּאַסירונג, אָבער פון אַ אַנדערש סדר. כאָטש רובֿ מענטשן טאָן דאָס פֿאַר די רירעוודיק ווערסיע, איך בין נישט אינטערעסירט אין עס. דעריבער, אַלץ אונטן וועט העלפֿן בלויז אין די פאַל פון די דעסקטאַפּ ווערסיע. דערצו, עס וועט זיין קיין יקספּאַנשאַן פון פאַנגקשאַנז. נאָר שנייַדן אַוועק עטלעכע פון ​​די עקסטרע אָנעס.

פארוואס איז עס אַזוי קאָמפּליצירט?

און איך געדאַנק אַזוי ווען רעדזשיסטערינג די סאַקס-פּראָקסי דאַטן אין די Spotify קאַנפיגיעריישאַן. די פּראָבלעם איז געווען אַז אָטענטאַקיישאַן אין סאַקס ניצן לאָגין און פּאַראָל טוט נישט אַרבעטן. פּלוס, דעוועלאָפּערס קעסיידער טאָן עפּעס אַרום די פּראַקסי: אָדער אַלאַוינג עס, דעמאָלט פּראָוכיבאַטינג עס, אָדער ברייקינג עס, וואָס גיט העכערונג צו גאַנץ פּאַנאַלז פון דיסקוסיעס אויף די אַוועק-פּלאַץ.

עס איז באַשלאָסן נישט צו פאַרלאָזנ זיך אַנסטייבאַל פאַנגקשאַנז און צו געפֿינען עפּעס מער פאַרלאָזלעך און טשיקאַווע.

ערגעץ דאָ דאַרף דער לייענער פרעגן: פאַרוואָס נישט נעמען ssh מיט אַ שליסל -D און דאָס איז דער סוף? און, אין אַלגעמיין, ער וועט זיין רעכט. אָבער, ערשטנס, דאַרף מען דאָס נאָך דעמאָניזירן און זיך באַפרייען מיט אַוטאָש, כדי נישט צו טראַכטן וועגן צעריסענע פֿאַרבינדונגען. און צווייטנס: עס איז צו פּשוט און נודנע.

אין איינקלאנג

ווי געוויינטלעך, לאָמיר גיין פון לינקס צו רעכטס, אויבן צו דנאָ און באַשרייַבן אַלץ וואָס מיר דאַרפֿן צו ינסטרומענט אונדזער "פּשוט" געדאַנק.

ערשטער איר דאַרפֿן אַ פּראַקסי

און עס זענען פילע אַלטערנאַטיוועס אין אַמאָל:

• איר קענט נאָר גיין און נעמען פֿון אָפֿן פּראַקסי רשימות. ביליק (אָדער גאַנץ פֿאַר גאָרנישט), אָבער לעגאַמרע אַנרילייאַבאַל און די לעבן פון אַזאַ פּראַקסיז טענדז צו נול. דעריבער, עס וואָלט זיין נויטיק צו געפֿינען / שרייַבן אַ פּאַרסער פֿאַר פּראַקסי רשימות, פילטער זיי לויט די געבעטן טיפּ און לאַנד, און די קשיא פון סאַבסטיטושאַן פון די געפֿונען פראקסי אין Spotify בלייבט אָפן (נו, טאָמער דורך HTTP_PROXY אַריבערפירן און שאַפֿן אַ מנהג ראַפּער פֿאַר די ביינערי אַזוי אַז אַלע אנדערע פאַרקער איז נישט געשיקט דאָרט).
• איר קענען קויפן אַ ענלעך פּראַקסי און ראַטעווען זיך פון רובֿ פון די פּראָבלעמס דיסקרייבד אויבן. אָבער צו די פּרייַז פון אַ פּראַקסי, איר קענען מיד קויפן פּרעמיע אויף Spotify, און דאָס איז נישט פּראַקטיש פֿאַר דער אָריגינעל אַרבעט.
• הייבן דיין. ווי איר מיסטאָמע געסט, דאָס איז אונדזער ברירה.

לויט צופאַל, עס קען זיין אַז איר האָט אַ פרייַנד מיט אַ סערווער אין די רעפובליק פון בעלאַרוס אָדער אן אנדער קליין לאַנד. איר דאַרפֿן צו נוצן דעם און ראָולד אויס די געבעטן פראקסי אויף עס. ספּעציעלע קאַנאַסערז קענען זיין צופרידן מיט אַ פרייַנד מיט אַ ראַוטער דד-וורט אָדער ענלעך ווייכווארג. אבער דאָרט זיין ווונדערלעך וועלט און די וועלט קומט קלאר נישט אריין אין די מסגרת פון די מעשה.

אַזוי, אונדזער אָפּציעס: טינטפיש - ניט ינספּייערינג, און איך טאָן נישט וועלן אַ הטטפּ פראקסי, עס זענען שוין צו פילע פון ​​דעם פּראָטאָקאָל אַרום. און אין דער געגנט פון SOCKS עס איז גאָרנישט פיליק אַחוץ דאַנטע האָבן ניט איבערגעגעבן נאָך. דעריבער, לאָמיר עס נעמען.

דו זאלסט נישט וואַרטן פֿאַר די מאַנואַל פון Dante צו ינסטאַלירן און קאַנפיגיער. ער נאָר גוגלינג און איז נישט פון באַזונדער אינטערעס. אין די מינימום קאַנפיגיעריישאַן איר דאַרפֿן צו וואַרפן אין אַלע סאָרץ פון client pass, socks pass, ריכטיק פאַרשרייַבן די ינטערפייסיז און טאָן ניט פאַרגעסן צו לייגן socksmethod: username. אין דעם פאָרעם, פֿאַר אָטענטאַקיישאַן, די לאָגאָפּאַסס וועט זיין גענומען פון די סיסטעם ניצערס. און דער טייל וועגן זיכערהייט: פאַרווערן אַקסעס צו לאָקאַלהאָסט, לימיטינג ניצערס, אאז"ו ו - דאָס איז ריין יחיד, דיפּענדינג אויף פּערזענלעך פּאַראַנאָיאַ.

צעוויקלען אַ פּראַקסי פייסינג די נעץ

די פּיעסע איז אין צוויי אַקטן.

אַקט איין

מיר האָבן אויסגעשטעלט די פראקסי, איצט מיר דאַרפֿן צו אַקסעס עס פֿון די גלאבאלע וועב. אויב איר האָבן אַ מאַשין מיט אַ ווייַס IP אין די געבעטן מדינה, איר קענען בעשאָלעם האָפּקען דעם פונט. מיר טאָן ניט האָבן איין (מיר, ווי דערמאנט אויבן, זענען כאָוסטיד אין פריינט 'הייזער) און די ניראַסט ווייַס IP איז ערגעץ אין דייַטשלאַנד, אַזוי מיר וועלן לערנען נעטוואָרקס.

אַזוי יאָ, דער אַטענטיוו לייענער וועט ווידער פרעגן: פארוואס טאָן ניט נעמען אַ יגזיסטינג דינסט ווי ngrok אָדער ענלעך? און ער וועט זיין רעכט ווידער. אבער דאס איז א סערוויס, עס דארף נאכאמאל ווערן דעמאניזירט, עס קען אויך קאסטן געלט און בכלל איז עס נישט ספּאָרטינג. דעריבער, מיר וועלן מאַכן בייסיקאַלז פון ברעקל מאַטעריאַלס.

אַרבעט: עס איז אַ פּראַקסי ערגעץ ווייַט הינטער NAT, איר דאַרפֿן צו הענגען עס אויף איינער פון די פּאָרץ פון אַ וופּס וואָס האט אַ ווייַס IP און איז ליגן בייַ די ברעג פון דער וועלט.

עס איז לאַדזשיקאַל צו יבערנעמען אַז דאָס קענען זיין סאַלווד דורך פּאָרט פאָרווערדינג (וואָס איז ימפּלאַמענאַד דורך די אויבן-דערמאנט ssh), אָדער דורך קאַמביינינג ייַזנוואַרג אין אַ ווירטואַל נעץ דורך וופּן. מיט ssh מיר וויסן ווי צו אַרבעטן, autossh עס איז נודנע צו נעמען, אַזוי לאָזן אונדז נעמען OpenVPN.

DigitalOcean האט ווונדערלעך מאַנול אויף דעם ענין. איך האב נישט וואס צו לייגן דערויף. און די ריזאַלטינג קאַנפיגיעריישאַן קענען זיין גאַנץ לייכט פארבונדן מיט די OpenVPN קליענט און systemd. נאָר שטעלן עס (קאָנפיג) אין /etc/openvpn/client/ און טאָן ניט פאַרגעסן צו טוישן די פאַרלענגערונג צו .conf. נאָך דעם, ציען די דינסט [email protected]פֿאַרגעסט נישט צו טאָן דאָס פֿאַר איר enable און פרייען זיך אז אלעס איז אוועקגעפלויגן.

פון קורס, מיר דאַרפֿן צו דיסייבאַל קיין רידערעקשאַן פון פאַרקער צו די ניי באשאפן VPN, ווייַל מיר טאָן נישט וועלן צו רעדוצירן די גיכקייַט אויף די קליענט מאַשין דורך פאָרן פאַרקער דורך אַ האַלב פּילקע.

און יאָ, מיר דאַרפֿן צו פאַרשרייַבן אַ סטאַטיק IP אַדרעס אויף די וופּן סערווער פֿאַר אונדזער קליענט. דאָס וועט זיין נויטיק אַ ביסל שפּעטער אין דער געשיכטע. צו טאָן דאָס איר דאַרפֿן צו געבן ifconfig-pool-persist, רעדאַגירן ipp.txt, אַרייַנגערעכנט מיט OpenVPN און געבן client-config-dir, פּלוס רעדאַגירן די קאַנפיגיעריישאַן פון די געבעטן קליענט דורך אַדינג ifconfig-push מיט די ריכטיק מאַסקע און די געבעטן IP אַדרעס.

אקט צוויי

איצט מיר האָבן אַ מאַשין אויף די "נעץ" וואָס פייסיז די אינטערנעט און קענען זיין געוויינט פֿאַר עגאָיסטיש צוועקן. ניימלי, רידערעקט טייל פון די פאַרקער דורך עס.

אַזוי, אַ נייַע אַרבעט: איר דאַרפֿן צו קער אַוועק די פאַרקער ערייווינג אין איינער פון די וופּס פּאָרץ מיט אַ ווייַס IP אַזוי אַז דער פאַרקער גייט צו די ניי קאָננעקטעד ווירטועל נעץ און דער ענטפער קענען צוריקקומען פֿון דאָרט.

לייזונג: פון קורס iptables! ווען אַנדערש וועט איר האָבן אַזאַ אַ ווונדערלעך געלעגנהייט צו פיר מיט אים?

די פארלאנגט קאַנפיגיעריישאַן קענען זיין געפֿונען גאַנץ געשווינד, אין דריי שעה, אַ הונדערט שווערן ווערטער און אַ האַנדפול פון ווייסטאַד נערוועס, ווייַל דיבאַגינג נעטוואָרקס איז אַ זייער ספּעציפיש פּראָצעדור.

ערשטער, איר דאַרפֿן צו געבן פאַרקער רידערעקשאַן אין די קערן. די זאך הייסט ipv4.ip_forward און איז ענייבאַלד אַ ביסל אַנדערש דיפּענדינג אויף די אַס און נעץ פאַרוואַלטער.

צווייטנס, איר דאַרפֿן צו אויסקלייַבן אַ פּאָרט אויף די וופּס און ייַנוויקלען אַלע פאַרקער צו אים אין אַ ווירטואַל סובנעט. דאָס קען זיין געטאן, למשל, ווי דאָס:

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8080 -j DNAT --to-destination 10.8.0.2:8080

דאָ מיר רידערעקט אַלע טקפּ פאַרקער וואָס קומען צו פּאָרט 8080 פון די פונדרויסנדיק צובינד צו אַ מאַשין מיט IP 10.8.0.2 און דער זעלביקער פּאָרט 8080.

פֿאַר די וואס ווילן די גראָב דעטאַילס פון די אַרבעט netfilter, iptables און רוטינג אין אַלגעמיין, עס איז לעגאַמרע נייטיק צו באַטראַכטן דעם אָדער דעם.

איצט אונדזער פּאַקיץ פליען צו די ווירטואַל סובנעט און ... זיי בלייבן דאָרט. מער גענוי, דער ענטפער פון די סאַקס פּראַקסי פליעס צוריק דורך די פעליקייַט גייטוויי אויף די מאַשין מיט Dante און דער באַקומער טראפנס עס, ווייַל אין נעטוואָרקס עס איז נישט קאַסטאַמערי צו שיקן אַ בקשה צו איין IP און באַקומען אַן ענטפער פון אנדערן. דעריבער, מיר דאַרפֿן צו פאָרזעצן צו קאַנדזשער.

איצט איר דאַרפֿן צו רידערעקט אַלע פּאַקיץ פון די פּראַקסי צוריק צו די ווירטואַל סובנעט צו די וופּס מיט אַ ווייַס IP. דאָ די סיטואַציע איז אַ ביסל ערגער, ווייַל עס איז פּונקט iptables מיר וועלן נישט האָבן גענוג, ווייַל אויב מיר ריכטיק די דעסטיניישאַן אַדרעס איידער רוטינג (PREROUTING), אונדזער פּעקל וועט נישט פליען צו די אינטערנעט, און אויב מיר טאָן ניט פאַרריכטן עס, דער פּעקל וועט גיין צו default gateway. אַזוי, איר דאַרפֿן צו טאָן די פאלגענדע: געדענקען די קייט mangle, אין סדר צו צייכן פּאַקאַץ דורך iptables און ייַנוויקלען זיי אין אַ מנהג רוטינג טיש וואָס וועט שיקן זיי ווו זיי זאָל גיין.

ניט פריער געזאגט ווי געשען:

iptables -t mangle -A OUTPUT -p tcp --sport 8080 -j MARK --set-mark 0x80
ip rule add fwmark 0x80 table 80
ip route add default via 10.8.0.1 dev tun0 table 80

מיר נעמען אַוטגאָוינג פאַרקער, צייכן אַלץ וואָס פליעס פון די פּאָרט אויף וואָס די פּראַקסי זיצט (אין אונדזער פאַל 8080), רידערעקט אַלע אנגעצייכנט פאַרקער צו די רוטינג טיש מיט נומער 80 (אין אַלגעמיין, די נומער איז נישט אָפענגען אויף עפּעס, מיר נאָר געוואלט צו) און לייגן אַ איין הערשן , לויט וואָס אַלע פּאַקיץ אַרייַנגערעכנט אין דעם טיש פליען צו די וופּן סובנעט.

גרויס! איצט פליען די פּאַקאַץ צוריק צו די וופּס ... און שטאַרבן דאָרט. ווייַל VPS קען נישט וויסן וואָס צו טאָן מיט זיי. דעריבער, אויב איר טאָן ניט אַרן, איר קענען פשוט רידערעקט אַלע פאַרקער ערייווינג פֿון די ווירטואַל סובנעט צוריק צו דער אינטערנעץ:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 172.42.1.10

דאָ, אַלץ וואָס קומט פֿון די 10.8.0.0 סובנעט מיט אַ מאַסקע פון ​​255.255.255.000 איז אלנגעוויקלט אין מקור-NAT און פליעס צו די פעליקייַט צובינד, וואָס איז ווענדן צו די אינטערנעט. עס איז וויכטיק צו טאָן אַז די זאַך וועט נאָר אַרבעטן אויב מיר טראַנספּעראַנט פאָרויס די פּאָרט, דאָס איז, די ינקאַמינג פּאָרט אויף די וופּס גלייַכן די פּאָרט פון אונדזער פראקסי. אַנדערש איר וועט האָבן צו לייַדן אַ ביסל מער.

ערגעץ איצט אַלץ זאָל אָנהייבן ארבעטן. און נאָר אַ ביסל בלייבט: טאָן ניט פאַרגעסן צו מאַכן זיכער אַז אַלע קאָנפיגס iptables и route האט נישט פאָרזעצן נאָך די ריסטאַרט. פֿאַר iptables עס זענען ספּעציעל טעקעס ווי /etc/iptables/rules.v4(אין דעם פאַל פון ובונטו), אָבער פֿאַר רוץ אַלץ איז אַ ביסל מער קאָמפּליצירט. איך פּושט זיי אין up/down OpenVPN סקריפּס, כאָטש איך טראַכטן זיי קען זיין געטאן מער דיסאַנטלי.

ייַנוויקלען פאַרקער פון די אַפּלאַקיישאַן אין פּראַקסי

אַזוי, מיר האָבן אַ פּראַקסי מיט אָטענטאַקיישאַן אין די געבעטן לאַנד, צוטריטלעך דורך אַ סטאַטיק ווייַס IP אַדרעס. אַלע וואָס בלייבט איז צו נוצן עס און רידערעקט פאַרקער פֿון Spotify דאָרט. אָבער עס איז אַ נואַנס, ווי דערמאנט אויבן, די לאָגין-שפּריכוואָרט פֿאַר די פּראַקסי אין Spotify טוט נישט אַרבעטן, אַזוי מיר וועלן קוקן פֿאַר ווי צו באַקומען אַרום עס.

צו אָנהייבן מיט, לאָמיר געדענקען וועגן פראקסי. גרויס שטאָפּן, אָבער עס קאָס ווי פיל ווי אַ סטאַרשיפּ ($ 40). מיט דעם געלט מיר קענען ווידער קויפן פּרעמיע און זיין געטאן מיט אים. דעריבער, מיר וועלן קוקן פֿאַר מער פריי און עפענען אַנאַלאָגועס אויף די מעק (יאָ, מיר ווילן צו הערן צו מוזיק אויף די מעק). לאָמיר אַנטדעקן איין גאַנץ געצייַג: פּראָקסימאַק. און מיר וועלן צופֿרידן גיין שטופּן אים.

אָבער די פרייד וועט זיין קורץ-געלעבט, ווייַל עס טורנס אויס אַז איר דאַרפֿן צו געבן דיבאַג מאָדע און מנהג קערן יקסטענשאַנז אין MacOS, טעקע אַ פּשוט קאַנפיגיעריישאַן און פֿאַרשטיין אַז די געצייַג האט פּונקט די זעלבע פּראָבלעם ווי Spotify: עס קען נישט פאָרן אָטענטאַקיישאַן לאָגין-פּאַראָל אויף סאַקס-פּראָקסי.

ערגעץ אַרום דאָ עס איז צייַט צו פריק און קויפן אַ פּרעמיע ... אָבער ניט! לאמיר פרובירן בעטן אז מען זאל עס פארריכטן, עס איז אפען מקור! זאל ס טאָן בילעט. און אין ענטפער, מיר באַקומען אַ כאַרטברייקינג געשיכטע וועגן ווי דער בלויז מאַינטערער האט ניט מער אַ מאַקבאָאָק און צו גענעם מיט אים, נישט אַ פאַרריכטן.

מי ר װעל ן זי ך װידע ר צעריםן . אָבער דעמאָלט מיר וועלן געדענקען אונדזער יוגנט און C, קער אויף די דיבאַג מאָדע אין Dante, גראָבן דורך הונדערטער פון קילאבייט פון לאָגס, גיין צו RFC1927 פֿאַר אינפֿאָרמאַציע וועגן די SOCKS5 פּראָטאָקאָל, לאָזן אונדז קוק אין Xcode און געפֿינען דעם פּראָבלעם. עס איז גענוג צו פאַרריכטן איין כאַראַקטער אין דער רשימה פון מעטאָד קאָודז אַז דער קליענט אָפפערס פֿאַר אָטענטאַקיישאַן און אַלץ סטאַרץ ארבעטן ווי קלאַקווערק. מיר פרייען, מיר קלייַבן די מעלדונג ביינערי, מיר טאָן ציען בעטן און מיר גיין אין די זונ - ונטערגאַנג און גיין צו די ווייַטער פונט.

אָטאַמאַטיק עס

אַמאָל Proximac אַרבעט, עס דאַרף זיין דעמאָנייזד און פארגעסן. עס איז אַ גאַנץ יניטיאַליזאַטיאָן סיסטעם וואָס איז פּאַסיק פֿאַר דעם, וואָס איז געפֿונען אין MacOS, ניימלי לאָנטשט.

מיר געפֿינען עס געשווינד מאַנואַל און מיר פֿאַרשטיין אַז דאָס איז נישט אין אַלע systemd און דאָ עס איז כּמעט אַ שעפּ און xml. קיין פאַנטאַזיע קאָנפיגס פֿאַר איר, קיין קאַמאַנדז ווי status, restart, daemon-reload. נאָר כאַרדקאָר מין start-stop, list-grep, unload-load און פילע מער מאָדנע. באַקומען אַלע דעם מיר שרייַבן plist, לאָודינג. ארבעט נישט. מיר לערנען דעם אופֿן פון דיבאַגינג די שעד, דיבאַג עס, פֿאַרשטיין וואָס איז דאָרט ENV אַפֿילו PATH מיר האָבן נישט איבערגעגעבן דעם נאָרמאַל, מיר טענהן, מיר ברענגען עס אין (אַדינג /sbin и /usr/local/bin) און לעסאָף מיר זענען צופרידן מיט אַוטאָסטאַרט און סטאַביל אָפּעראַציע.

ויסאָטעמען

וואָס איז דער רעזולטאַט? אַ וואָך פון פּאַסירונג, אַ קניען זאָאָלאָגישער גאָרטן פון סערוויסעס וואָס איז טייער צו די האַרץ און טוט וואָס איז פארלאנגט פון אים. א ביסל וויסן אין סאָפעקדיק טעכניש געביטן, אַ ביסל פון אָפֿן מקור און אַ שמייכל אויף דיין פּנים פון די געדאַנק "איך האט עס!"

פּס: דאָס איז נישט אַ רוף פֿאַר אַ בויקאַט פון קאַפּיטאַליסץ, פֿאַר שפּאָרן אויף שוועבעלעך אָדער פֿאַר גאַנץ כיטרע, אָבער נאָר אַן אָנווייַז פון די פּאַסאַבילאַטיז פון פאָרשונג און אַנטוויקלונג ווו, אין אַלגעמיין, איר טאָן ניט דערוואַרטן זיי.

מקור: www.habr.com