ProHoster > Блог > Isakoso > Ṣiṣeto BGP lati fori idinamọ, tabi "Bawo ni MO ṣe dẹkun bẹru ati ṣubu ni ifẹ pẹlu RKN"

Ṣiṣeto BGP lati fori idinamọ, tabi "Bawo ni MO ṣe dẹkun bẹru ati ṣubu ni ifẹ pẹlu RKN"

O dara, o dara, nipa “afẹfẹ” jẹ arosọ. Kàkà bẹ́ẹ̀, “ó ṣeé ṣe láti bá a gbé pọ̀.”

Gẹgẹbi gbogbo rẹ ṣe mọ, lati Oṣu Kẹrin Ọjọ 16, Ọdun 2018, Roskomnadzor ti n ṣe idiwọ iraye si awọn orisun lori Intanẹẹti ni awọn ọpọlọ ti o gbooro pupọ, fifi kun si “Iforukọsilẹ Iṣọkan ti awọn orukọ ìkápá, awọn atọka oju-iwe ti awọn aaye lori Intanẹẹti ati awọn adirẹsi nẹtiwọọki ti o fun laaye idanimọ awọn aaye lori Intanẹẹti,” ti o ni alaye pinpin eyiti o jẹ eewọ ni Russian Federation” (ninu ọrọ - iforukọsilẹ nikan) nipasẹ / 10 nigbakan. Bi abajade, awọn ara ilu ti Russian Federation ati awọn iṣowo n jiya, ti padanu iraye si awọn orisun ofin patapata ti wọn nilo.

Lẹ́yìn tí mo sọ nínú àwọn ọ̀rọ̀ tí mo sọ sí ọ̀kan lára ​​àwọn àpilẹ̀kọ kan lórí Habré pé mo ti ṣe tán láti ṣèrànwọ́ fún àwọn tí wọ́n ṣẹ̀ṣẹ̀ ń fìdí rẹ̀ múlẹ̀, ọ̀pọ̀ èèyàn ló wá bá mi láti béèrè fún irú ìrànlọ́wọ́ bẹ́ẹ̀. Nigbati ohun gbogbo ba ṣiṣẹ fun wọn, ọkan ninu wọn ṣeduro lati ṣe apejuwe ilana naa ninu nkan kan. Lẹhin diẹ ninu awọn ero, Mo pinnu lati fọ ipalọlọ mi lori aaye naa ati gbiyanju fun ẹẹkan lati kọ nkan agbedemeji laarin iṣẹ akanṣe kan ati ifiweranṣẹ Facebook, ie. habrapost. Abajade wa niwaju rẹ.

be

Niwọn igba ti ko ṣe ofin pupọ lati ṣe atẹjade awọn ọna lati fori iraye si idinamọ si alaye ti o ni idinamọ lori agbegbe ti Russian Federation, idi ti nkan yii yoo jẹ lati sọrọ nipa ọna ti o fun ọ laaye lati ṣe adaṣe ni iwọle si awọn orisun ti o gba laaye lori agbegbe ti Russian Federation, ṣugbọn nitori awọn iṣe ẹnikan ko ni wiwọle taara nipasẹ olupese rẹ. Ati iraye si awọn orisun miiran ti o gba bi abajade awọn iṣe lati inu nkan naa jẹ ipa ẹgbẹ lailoriire ati pe kii ṣe idi ti nkan naa.

Paapaa, niwọn igba ti Mo jẹ ayaworan nẹtiwọọki nipataki nipasẹ oojọ, iṣẹ-ṣiṣe ati ọna igbesi aye, siseto ati Lainos kii ṣe awọn aaye to lagbara mi. Nitorinaa, nitorinaa, awọn iwe afọwọkọ le jẹ kikọ dara julọ, awọn ọran aabo ni VPS le ṣiṣẹ ni jinlẹ diẹ sii, bbl Awọn aba rẹ yoo gba pẹlu idupẹ, ti wọn ba ni alaye to - Emi yoo dun lati ṣafikun wọn si ọrọ ti nkan naa.

TL; DR

A ṣe adaṣe iraye si awọn orisun nipasẹ oju eefin ti o wa tẹlẹ nipa lilo ẹda iforukọsilẹ ati ilana BGP. Ibi-afẹde ni lati yọ gbogbo ijabọ ti a koju si awọn orisun dina sinu eefin. Awọn alaye ti o kere ju, julọ awọn ilana igbesẹ-nipasẹ-igbesẹ.

Kini o nilo fun eyi?

Laanu, ifiweranṣẹ yii kii ṣe fun gbogbo eniyan. Lati le lo ilana yii, iwọ yoo nilo lati fi ọpọlọpọ awọn eroja papọ:

  1. O gbọdọ ni olupin Linux kan ni ita ita aaye idinamọ. Tabi o kere ju ifẹ lati ni iru olupin bẹẹ - ni o ṣeun bayi o jẹ idiyele lati $ 9 / ọdun, ati pe o ṣee ṣe kere si. Ọna naa tun dara ti o ba ni eefin VPN lọtọ, lẹhinna olupin le wa ni inu aaye idinamọ.
  2. Olutọpa rẹ yẹ ki o jẹ ọlọgbọn to lati ni anfani lati
    • Onibara VPN eyikeyi ti o fẹ (Mo fẹran OpenVPN, ṣugbọn o le jẹ PPTP, L2TP, GRE + IPSec tabi eyikeyi aṣayan miiran ti o ṣẹda wiwo oju eefin);
    • BGPv4 Ilana. Eyi ti o tumọ si pe fun SOHO o le jẹ Mikrotik tabi eyikeyi olulana pẹlu OpenWRT/LEDE/famuwia aṣa ti o jọra ti o fun ọ laaye lati fi Quagga tabi Bird sori ẹrọ. Lilo olulana PC ko tun ni eewọ. Ninu ọran ti ile-iṣẹ kan, wa atilẹyin BGP ninu iwe fun olulana aala rẹ.
  3. O yẹ ki o ni oye ti lilo Linux ati awọn imọ-ẹrọ netiwọki, pẹlu ilana BGP. Tabi o kere ju fẹ lati gba iru imọran bẹẹ. Niwọn bi Emi ko ti ṣetan lati gba agbara nla ni akoko yii, iwọ yoo ni lati ka diẹ ninu awọn apakan ti ko ni oye fun ọ funrararẹ. Sibẹsibẹ, Emi yoo, dajudaju, dahun awọn ibeere kan pato ninu awọn asọye ati pe Emi ko ṣeeṣe lati jẹ ọkan nikan ni idahun, nitorinaa ma ṣe ṣiyemeji lati beere.

Ohun ti a lo ninu apẹẹrẹ

  • A daakọ ti awọn Forukọsilẹ - lati https://github.com/zapret-info/z-i 
  • VPS - Ubuntu 16.04
  • Iṣẹ ipa ọna - eye 1.6.3   
  • Olulana - Mikrotik hAP ac
  • Awọn folda ṣiṣẹ - niwọn bi a ti n ṣiṣẹ bi gbongbo, pupọ julọ ohun gbogbo yoo wa ninu folda ile root. lẹsẹsẹ:
    • / root/blacklist – ṣiṣẹ folda pẹlu akopo akosile
    • / root/zi - ẹda ti iforukọsilẹ lati github
    • /etc/eye – boṣewa folda fun eye iṣẹ eto
  • Adirẹsi IP ita ti VPS pẹlu olupin ipa-ọna ati aaye ipari oju eefin jẹ 194.165.22.146, ASN 64998; Adirẹsi IP ita ti olulana - 81.177.103.94, ASN 64999
  • Awọn adirẹsi IP inu eefin jẹ 172.30.1.1 ati 172.30.1.2, lẹsẹsẹ.

Ṣiṣeto BGP lati fori idinamọ, tabi "Bawo ni MO ṣe dẹkun bẹru ati ṣubu ni ifẹ pẹlu RKN"

Nitoribẹẹ, o le lo awọn olulana miiran, awọn ọna ṣiṣe ati awọn ọja sọfitiwia, n ṣatunṣe ojutu si imọran wọn.

Ni soki - awọn kannaa ti awọn ojutu

  1. Awọn iṣe igbaradi
    1. Gbigba VPS kan
    2. Igbega eefin kan lati olulana si VPS
  2. A gba ati ṣe imudojuiwọn ẹda kan ti iforukọsilẹ nigbagbogbo
  3. Fifi ati tunto iṣẹ afisona
  4. A ṣẹda atokọ ti awọn ipa ọna aimi fun iṣẹ ipa-ọna ti o da lori iforukọsilẹ
  5. A so olulana pọ si iṣẹ naa ati tunto fifiranṣẹ gbogbo ijabọ nipasẹ oju eefin naa.

Ojutu gangan

Awọn iṣe igbaradi

Awọn iṣẹ lọpọlọpọ wa lori Intanẹẹti ti o pese VPS fun awọn idiyele ti o ni oye pupọ. Nitorinaa Mo ti rii ati pe Mo nlo aṣayan fun $ 9 / ọdun, ṣugbọn paapaa ti o ko ba ni wahala pupọ, ọpọlọpọ awọn aṣayan wa fun 1E / osù ni gbogbo igun. Ibeere ti yiyan VPS wa jina ju ipari ti nkan yii, nitorinaa ti ẹnikan ko ba loye nkankan nipa eyi, beere ninu awọn asọye.

Ti o ba lo VPS kii ṣe fun iṣẹ ipa-ọna nikan, ṣugbọn lati fopin si oju eefin kan lori rẹ, o nilo lati gbe oju eefin yii soke ati, o fẹrẹẹ daju, tunto NAT fun rẹ. Nọmba nla ti awọn ilana lori awọn iṣe wọnyi lori Intanẹẹti, Emi kii yoo tun wọn ṣe nibi. Ibeere akọkọ fun iru oju eefin ni pe o gbọdọ ṣẹda wiwo lọtọ lori olulana rẹ ti o ṣe atilẹyin oju eefin si ọna VPS. Awọn imọ-ẹrọ VPN ti a lo pupọ julọ pade ibeere yii - fun apẹẹrẹ, ṢiiVPN ni ipo tun jẹ pipe.

Ngba ẹda ti iforukọsilẹ

Gẹ́gẹ́ bí Jabrail ṣe sọ, “Ẹni tí ó bá dí wa lọ́wọ́ yóò ràn wá lọ́wọ́.” Niwọn bi RKN ti n ṣẹda iforukọsilẹ ti awọn orisun eewọ, yoo jẹ ẹṣẹ lati ma lo iforukọsilẹ yii lati yanju iṣoro wa. A yoo gba ẹda ti iforukọsilẹ lati github.

A lọ si olupin Linux rẹ, ṣubu sinu ipo ipilẹ (sudo su-) ati fi git sori ẹrọ ti ko ba ti fi sii tẹlẹ.

apt install git

Lọ si itọsọna ile rẹ ki o fa ẹda ti iforukọsilẹ jade.

cd ~ && git clone --depth=1 https://github.com/zapret-info/z-i 

A ṣeto imudojuiwọn cron (Mo ṣe lẹẹkan ni gbogbo iṣẹju 20, ṣugbọn o le yan eyikeyi aarin ti o nifẹ rẹ). Lati ṣe eyi a ṣe ifilọlẹ crontab -e ki o si fi ila wọnyi kun si:

*/20 * * * * cd ~/z-i && git pull && git gc

A so kio kan ti yoo ṣẹda awọn faili fun iṣẹ ipa-ọna lẹhin mimudojuiwọn iforukọsilẹ. Lati ṣe eyi, ṣẹda faili kan /root/zi/.git/hooks/post-merge pẹlu akoonu wọnyi:

#!/usr/bin/env bash
changed_files="$(git diff-tree -r --name-only --no-commit-id ORIG_HEAD HEAD)"
check_run() {
    echo "$changed_files" | grep --quiet "$1" && eval "$2"
}
check_run dump.csv "/root/blacklist/makebgp"

ki o si ma ṣe gbagbe lati ṣe awọn ti o executable

chmod +x /root/z-i/.git/hooks/post-merge

A yoo ṣẹda iwe afọwọkọ makebgp ti kio tọka si diẹ diẹ nigbamii.

Fifi sori ẹrọ ati tunto iṣẹ afisona

Fi sori ẹrọ eye. Laanu, ẹyà ti ẹiyẹ lọwọlọwọ ti a fiweranṣẹ ni awọn ibi ipamọ Ubuntu jẹ afiwera ni alabapade si awọn feces Archeopteryx, nitorinaa a nilo lati ṣafikun PPA osise ti awọn olupilẹṣẹ sọfitiwia si eto naa.

add-apt-repository ppa:cz.nic-labs/bird
apt update
apt install bird

Lẹhin eyi, a mu ẹiyẹ kuro lẹsẹkẹsẹ fun IPv6 - a kii yoo nilo rẹ ni fifi sori ẹrọ yii.

systemctl stop bird6
systemctl disable bird6

Ni isalẹ ni faili iṣeto iṣẹ eye iwonba (/etc/bird/bird.conf), eyiti o to fun wa (ati pe Mo leti lekan si pe ko si ẹnikan ti o ṣe idiwọ idagbasoke ati yiyi imọran lati ba awọn iwulo tirẹ jẹ)

log syslog all;
router id 172.30.1.1;

protocol kernel {
        scan time 60;
        import none;
#       export all;   # Actually insert routes into the kernel routing table
}

protocol device {
        scan time 60;
}

protocol direct {
        interface "venet*", "tun*"; # Restrict network interfaces it works with
}

protocol static static_bgp {
        import all;
        include "pfxlist.txt";
        #include "iplist.txt";
}

protocol bgp OurRouter {
        description "Our Router";
        neighbor 81.177.103.94 as 64999;
        import none;
        export where proto = "static_bgp";
        local as 64998;
        passive off;
        multihop;
}

ID olulana - oludamọ olulana, eyiti o dabi oju bi adiresi IPv4, ṣugbọn kii ṣe ọkan. Ninu ọran wa, o le jẹ nọmba 32-bit eyikeyi ni ọna kika adirẹsi IPv4, ṣugbọn o jẹ fọọmu ti o dara lati tọka si adiresi IPv4 ti ẹrọ rẹ (ninu ọran yii, VPS).

Ilana taara asọye iru awọn atọkun yoo ṣiṣẹ pẹlu ilana ipa-ọna. Awọn apẹẹrẹ yoo fun tọkọtaya kan ti apẹẹrẹ awọn orukọ, o le fi awọn miran. O le pa laini naa nirọrun; ninu ọran yii, olupin naa yoo tẹtisi gbogbo awọn atọkun ti o wa pẹlu adirẹsi IPv4 kan.

aimi ilana jẹ idan wa ti o ṣe akojọpọ awọn atokọ ti awọn asọtẹlẹ ati awọn adirẹsi IP (eyiti o jẹ gangan / awọn ami-iṣaaju 32, dajudaju) lati awọn faili fun ikede atẹle. Ibi ti awọn wọnyi awọn akojọ wa lati yoo wa ni sísọ ni isalẹ. Jọwọ ṣe akiyesi pe ikojọpọ awọn adirẹsi IP jẹ asọye nipasẹ aiyipada, idi fun eyi ni iwọn nla ti ikojọpọ. Fun lafiwe, ni akoko kikọ, awọn ila 78 wa ninu atokọ ti awọn asọtẹlẹ, ati 85898 ninu atokọ ti awọn adirẹsi IP. Mo ṣeduro ni iyanju lati bẹrẹ ati n ṣatunṣe aṣiṣe nikan lori atokọ awọn ami-iṣaaju, ati boya tabi kii ṣe lati mu ikojọpọ IP ṣiṣẹ ni ojo iwaju ni soke si ọ lati pinnu lẹhin ti experimenting pẹlu rẹ olulana. Ko gbogbo ọkan ninu wọn le ni rọọrun Daijesti 85 ẹgbẹrun awọn titẹ sii ninu tabili afisona.

Ilana bgp, ni otitọ, ṣeto bgp peering pẹlu olulana rẹ. Adirẹsi IP jẹ adirẹsi ti wiwo ita ti olulana (tabi adirẹsi ti wiwo oju eefin lori ẹgbẹ olulana), 64998 ati 64999 jẹ awọn nọmba ti awọn eto adase. Ni idi eyi, wọn le ṣe sọtọ ni irisi eyikeyi awọn nọmba 16-bit, ṣugbọn o jẹ adaṣe ti o dara lati lo awọn nọmba AS lati sakani ikọkọ ti a ṣalaye nipasẹ RFC6996 - 64512-65534 pẹlu (ọna kika kan wa fun awọn ASN 32-bit, ṣugbọn ninu ọran wa eyi ni pato overkill). Iṣeto ni apejuwe nlo eBGP peering, ninu eyiti awọn nọmba ti adase awọn ọna šiše ti awọn afisona iṣẹ ati awọn olulana gbọdọ jẹ ti o yatọ.

Bii o ti le rii, iṣẹ naa nilo lati mọ adiresi IP ti olulana naa, nitorinaa ti o ba ni agbara tabi ti kii-routable ikọkọ (RFC1918) tabi adirẹsi pinpin (RFC6598), iwọ ko ni aṣayan lati gbe peering lori ita. ni wiwo, ṣugbọn iṣẹ naa yoo tun ṣiṣẹ inu eefin naa.

O tun han gbangba pe lati iṣẹ kan o le pese awọn ipa-ọna si ọpọlọpọ awọn onimọ ipa-ọna - kan ṣe pidánpidán awọn eto fun wọn nipa didakọ abala bgp ilana ati yiyipada adirẹsi IP aladugbo. Ti o ni idi ti apẹẹrẹ ṣe afihan awọn eto fun sisọ ni ita oju eefin, bi gbogbo agbaye julọ. O rọrun lati yọ wọn kuro sinu eefin nipa yiyipada awọn adirẹsi IP ni awọn eto ni ibamu.

Ṣiṣẹda iforukọsilẹ fun iṣẹ afisona

Bayi a nilo, ni otitọ, lati ṣẹda awọn atokọ ti awọn asọtẹlẹ ati awọn adirẹsi IP, eyiti a mẹnuba ninu aimi ilana ni ipele iṣaaju. Lati ṣe eyi, a gba faili iforukọsilẹ ati ṣe awọn faili ti a nilo lati inu rẹ nipa lilo iwe afọwọkọ atẹle, ti a gbe sinu /root/blacklist/makebgp

#!/bin/bash
cut -d";" -f1 /root/z-i/dump.csv| tr '|' 'n' |  tr -d ' ' > /root/blacklist/tmpaddr.txt
cat /root/blacklist/tmpaddr.txt | grep / | sed 's_.*_route & reject;_' > /etc/bird/pfxlist.txt
cat /root/blacklist/tmpaddr.txt | sort | uniq | grep -Eo "([0-9]{1,3}[.]){3}[0-9]{1,3}" | sed 's_.*_route &/32 reject;_' > /etc/bird/iplist.txt
/etc/init.d/bird reload
logger 'bgp list compiled'

Maṣe gbagbe lati jẹ ki o ṣiṣẹ

chmod +x /root/blacklist/makebgp

Bayi o le ṣiṣẹ pẹlu ọwọ ki o ṣe akiyesi irisi awọn faili ni /etc/bird.

O ṣeese, ẹiyẹ ko ṣiṣẹ fun ọ ni akoko yii, nitori ni ipele iṣaaju o beere lọwọ rẹ lati wa awọn faili ti ko si tẹlẹ. Nitorinaa, a ṣe ifilọlẹ ati ṣayẹwo pe o ti bẹrẹ:

systemctl start bird
birdc show route

Ijade ti aṣẹ keji yẹ ki o fihan nipa awọn igbasilẹ 80 (eyi jẹ fun bayi, ṣugbọn nigbati o ba ṣeto rẹ, ohun gbogbo yoo dale lori itara ti RKN ni idinamọ awọn nẹtiwọki) nkankan bi eleyi:

54.160.0.0/12      unreachable [static_bgp 2018-04-19] * (200)

Egbe

birdc show protocol

yoo ṣe afihan ipo ti awọn ilana laarin iṣẹ naa. Titi ti o ba ti tunto olulana (wo aaye ti o tẹle), Ilana OurRouter yoo wa ni ipo ibẹrẹ (Sopọ tabi apakan Nṣiṣẹ), ati lẹhin asopọ aṣeyọri yoo lọ si ipo oke (Ipinlẹ iṣeto). Fun apẹẹrẹ, lori eto mi iṣẹjade ti aṣẹ yii dabi eyi:

BIRD 1.6.3 ready.
name     proto    table    state  since       info
kernel1  Kernel   master   up     2018-04-19
device1  Device   master   up     2018-04-19
static_bgp Static   master   up     2018-04-19
direct1  Direct   master   up     2018-04-19
RXXXXXx1 BGP      master   up     13:10:22    Established
RXXXXXx2 BGP      master   up     2018-04-24  Established
RXXXXXx3 BGP      master   start  2018-04-22  Connect       Socket: Connection timed out
RXXXXXx4 BGP      master   up     2018-04-24  Established
RXXXXXx5 BGP      master   start  2018-04-24  Passive

Nsopọ olulana

Boya gbogbo eniyan ni o ti rẹ lati ka aṣọ-ẹsẹ yii, ṣugbọn gba ọkan-opin ti sunmọ. Pẹlupẹlu, ni apakan yii Emi kii yoo ni anfani lati fun awọn ilana igbesẹ-nipasẹ-igbesẹ - yoo yatọ fun olupese kọọkan.

Sibẹsibẹ, Mo le fi awọn apẹẹrẹ meji han ọ. Ilana akọkọ ni lati gbe BGP peering ki o si fi nexthop si gbogbo awọn ami-iṣaaju ti a gba, ti o tọka si oju eefin wa (ti a ba nilo lati firanṣẹ ijabọ nipasẹ wiwo p2p) tabi adiresi IP nexthop ti ijabọ naa yoo lọ si ethernet).

Fun apẹẹrẹ, lori Mikrotik ni RouterOS eyi ni ipinnu bi atẹle

/routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=172.30.1.2
/routing bgp peer add in-filter=dynamic-in multihop=yes name=VPS remote-address=194.165.22.146 remote-as=64998 ttl=default
/routing filter add action=accept chain=dynamic-in protocol=bgp comment="Set nexthop" set-in-nexthop=172.30.1.1

ati ni Cisco IOS - bi yi

router bgp 64999
  neighbor 194.165.22.146 remote-as 64998
  neighbor 194.165.22.146 route-map BGP_NEXT_HOP in
  neighbor 194.165.22.146 ebgp-multihop 250
!
route-map BGP_NEXT_HOP permit 10
  set ip next-hop 172.30.1.1

Ti o ba ti lo oju eefin kanna fun BGP peering ati fun gbigbe ijabọ iwulo, ko ṣe pataki lati ṣeto nexthop; yoo ṣeto ni deede ni lilo ilana naa. Ṣugbọn ti o ba ṣeto pẹlu ọwọ, kii yoo jẹ ki o buru boya.

Lori awọn iru ẹrọ miiran, iwọ yoo ni lati ṣawari iṣeto ni funrararẹ, ṣugbọn ti o ba ni awọn iṣoro eyikeyi, kọ ninu awọn asọye, Emi yoo gbiyanju lati ṣe iranlọwọ.

Lẹhin igbati BGP rẹ ti bẹrẹ, awọn ipa-ọna si awọn nẹtiwọọki nla ti de ati ti fi sori ẹrọ ni tabili, ijabọ ti ṣan si awọn adirẹsi lati ọdọ wọn ati idunnu ti sunmọ, o le pada si iṣẹ ẹiyẹ ki o gbiyanju lati ṣe akiyesi titẹ sii nibẹ ti o so pọ mọ. atokọ ti awọn adirẹsi IP, ṣiṣẹ lẹhin iyẹn

systemctl reload bird

ati ki o wo bi olulana rẹ ṣe gbe awọn ọna 85 ẹgbẹrun wọnyi. Ṣetan lati yọọ kuro ki o ronu nipa kini lati ṣe pẹlu rẹ :)

Lapapọ

Nitootọ ni imọ-jinlẹ, lẹhin ipari awọn igbesẹ ti a ṣalaye loke, o ni iṣẹ kan ti o ṣe itọsọna ijabọ laifọwọyi si awọn adirẹsi IP ti a fi ofin de ni Russian Federation kọja eto sisẹ.

O le, dajudaju, jẹ ilọsiwaju. Fun apẹẹrẹ, o rọrun pupọ lati ṣe akopọ atokọ ti awọn adirẹsi IP nipa lilo perl tabi awọn solusan Python. Iwe afọwọkọ Perl ti o rọrun kan ti n ṣe eyi nipa lilo Net ::CIDR :: Lite yipada 85 ẹgbẹrun awọn asọtẹlẹ si 60 (kii ṣe ẹgbẹrun), ṣugbọn, nitorinaa, bo ọpọlọpọ awọn adirẹsi ti o tobi pupọ ju ti dina.

Niwọn igba ti iṣẹ naa n ṣiṣẹ ni ipele kẹta ti awoṣe ISO/OSI, kii yoo gba ọ là lati dinamọ aaye kan/oju-iwe ti o ba pinnu si adirẹsi ti ko tọ bi o ti gbasilẹ ninu iforukọsilẹ. Ṣugbọn pẹlu iforukọsilẹ, faili nxdomain.txt de lati github, eyiti o pẹlu awọn ikọlu diẹ ti iwe afọwọkọ ni irọrun yipada si orisun awọn adirẹsi fun, fun apẹẹrẹ, ohun itanna SwitchyOmega ni Chrome.

O tun jẹ dandan lati darukọ pe ojutu nilo isọdọtun afikun ti o ko ba jẹ olumulo Intanẹẹti nikan, ṣugbọn tun ṣe atẹjade diẹ ninu awọn orisun lori tirẹ (fun apẹẹrẹ, oju opo wẹẹbu kan tabi olupin meeli n ṣiṣẹ lori asopọ yii). Lilo awọn ọna olulana, o jẹ dandan lati di awọn ijabọ ti njade ni pipe lati iṣẹ yii si adirẹsi gbogbo eniyan, bibẹẹkọ iwọ yoo padanu Asopọmọra pẹlu awọn orisun wọnyẹn ti o bo nipasẹ atokọ awọn asọtẹlẹ ti o gba nipasẹ olulana.

Ti o ba ni ibeere eyikeyi, beere, Mo ṣetan lati dahun.

UPD. e dupe ọgagun и TerAnYu fun awọn paramita fun git ti o gba laaye idinku awọn iwọn igbasilẹ.

UPD2. Awọn ẹlẹgbẹ, o dabi pe Mo ṣe aṣiṣe nipa ko ṣafikun awọn ilana fun eto eefin kan laarin VPS ati olulana si nkan naa. Ọpọlọpọ awọn ibeere ni o dide nipasẹ eyi.
O kan ni ọran, Emi yoo ṣe akiyesi lẹẹkan si pe ṣaaju bẹrẹ itọsọna yii, o ti tunto oju eefin VPN tẹlẹ ni itọsọna ti o nilo ati ṣayẹwo iṣẹ ṣiṣe rẹ (fun apẹẹrẹ, nipa titan ijabọ nibẹ nipasẹ aiyipada tabi ni iṣiro). Ti o ko ba ti pari ipele yii sibẹsibẹ, ko ni oye pupọ lati tẹle awọn igbesẹ inu nkan naa. Emi ko ni ọrọ ti ara mi lori eyi sibẹsibẹ, ṣugbọn ti o ba google “ṣeto olupin OpenVPN kan” pẹlu orukọ ẹrọ ti a fi sii sori VPS, ati “ṣeto alabara OpenVPN kan” pẹlu orukọ olulana rẹ , o ṣeese julọ iwọ yoo rii nọmba awọn nkan lori koko yii, pẹlu lori Habré.

UPD3. Àìrúbọ Mo ti kowe koodu kan ti o yi dump.csv sinu kan Abajade faili fun eye pẹlu iyan ṣoki ti awọn IP adirẹsi. Nitorinaa, apakan “Ṣiṣe iforukọsilẹ fun iṣẹ afisona” le rọpo nipasẹ pipe eto rẹ. https://habr.com/post/354282/#comment_10782712

UPD4. Iṣẹ diẹ lori awọn aṣiṣe (Emi ko fi wọn kun ọrọ naa):
1) dipo systemctl gbee si eye o jẹ oye lati lo aṣẹ naa birdc atunto.
2) ninu olulana Mikrotik, dipo iyipada nexthop si IP ti ẹgbẹ keji ti eefin naa. àlẹmọ ipa-ọna ṣafikun igbese = gbigba pq = ilana-dynamic-in = bgp asọye =»Ṣeto nexthop» set-in-nexthop=172.30.1.1 o jẹ oye lati pato ipa-ọna taara si wiwo oju eefin, laisi adirẹsi kan /routing filter add action=gba pq=dynamic-in protocol=bgp comment=»Ṣeto nexthop» set-in-nexthop-direct=<orukọ wiwo>

UPD5. Iṣẹ tuntun ti han https://antifilter.download, lati ibiti o ti le gbe awọn akojọ ti a ti ṣetan ti awọn adirẹsi IP. Ṣe imudojuiwọn ni gbogbo wakati idaji. Ni ẹgbẹ alabara, gbogbo ohun ti o ku ni lati ṣe fireemu awọn igbasilẹ pẹlu “ipa-ọna… kọ”.
Ati ni aaye yii, boya, o to lati ra iya-nla rẹ ki o ṣe imudojuiwọn nkan naa.

UPD6. Ẹya atunyẹwo ti nkan naa fun awọn ti ko fẹ lati ro ero rẹ, ṣugbọn fẹ lati bẹrẹ - nibi.

orisun: www.habr.com

Fi ọrọìwòye kun