Soul Mikrotik gegen seelenloses ILV und den gleichen Anbieter

Der Artikel beschreibt einen Weg, um Zugang zu Ressourcen zu erhalten, die fälschlicherweise unter die Verteilung von Brötchen durch Roskomnadzor (im Folgenden: RKN) fallen. Es wird fälschlicherweise gefangen. Wir sind gesetzestreue Bürger und gehen nicht dorthin, wo uns unsere Regierungsbehörden verbieten. Wenn Sie sich also plötzlich dazu entschließen, die Methode zu verwenden, um zu einer Art von "legal" blockierten Ressourcen zu gelangen, wird das harte Schwert der Gerechtigkeit wahrscheinlich über Ihren Kopf fliegen und ich bin nicht schuld daran, denn im Moment habe ich Sie gewarnt!

Das Problem trat unerwartet auf, als unsere Zentrale an einen anderen Ort zog und infolgedessen den Anbieter wechselte. Mitarbeiter in Scharen beschwerten sich bei mir, dass sie nicht auf die Websites zugreifen können, auf die sie zuvor Zugriff hatten. Gleichzeitig waren von unseren anderen Büros bei anderen Anbietern noch Standorte verfügbar.

Wegen des Umzugs habe ich das Problem einige Zeit ignoriert, aber als sich die Buchhaltungsabteilung zu beschweren begann (haben Sie auch die Buchhaltungsabteilung nach der Leitung des Unternehmens an Bedeutung?), Musste ich es klären.

Der Verdacht fiel zunächst auf Probleme mit MTU und MSS. Aber mit ihnen stellte sich glücklicherweise heraus, dass alles in Ordnung war. Ich habe eine Problemdomäne basierend auf ILV gefunden, auch OK, die Domain ist sauber. Ich habe die Site über die Gateways anderer Filialen (3 verschiedene Anbieter) geöffnet, sie wird geöffnet. Aber über unseren Provider zur IP-Domain gehen auch Pings nicht. Und dann habe ich geraten, die ILV-IP-Problemdomäne zu durchbrechen. Sie haben bereits vermutet, dass sich die IP in der Datenbank befindet?

Aber wo ist dann eine Weiterleitung zu einer Seite, die anzeigt, dass diese Ressource blockiert ist, etc. usw., fragst du. Und ich fragte. Zuerst habe ich wirklich versucht, mehrere Websites zu öffnen, auf denen wir vorher, als es möglich war, alle nach etwas suchten, das wir sehen oder herunterladen konnten. Und um sicherzustellen, dass auf diesen Websites keine Warnungen bezüglich des Blockierens angezeigt werden, habe ich den Anbieter angerufen.

Der Anbieter hat mir zugehört und zugegeben, dass ein Problem vorliegt, aber es gibt keine Warnungen.

Ich sympathisierte mit meiner Situation, weigerte mich aber, etwas zu korrigieren. Wir erfüllen zwar die Sperranforderungen, es gibt jedoch keine Benachrichtigungsanforderungen. Auf dem wir uns verabschiedeten.

Natürlich hatte ich den Wunsch, mit dem Anbieter zu ringen, aber Faulheit und Mangel an Freizeit drängten diesen Wunsch zutiefst. Ungefähr an dem Ort, an den ich einen Anbieter mit seinem Internet in meinem Herzen geschickt habe, an den die Sonne nicht scheint.

Das Problem musste irgendwie gelöst werden. Unsere Firma verwendet Mikrotiki als Gateway-Router, egal welche, der OS-Router ist für alle gleich. Nachdem ich mich in Habré umgesehen hatte, fand ich einige Artikel darüber, wie man ILV-Sperren umgeht, ILV-Datenbanken in Mikrotik generiert und lädt. Gleichzeitig blockierte das Routing den Datenverkehr zu den Gateways, auf denen keine Sperren vorhanden sind. Aus Gründen des Interesses habe ich diese Methode ausprobiert. Es funktioniert, passt aber nicht.
Erstens hat das Grundvolumen von 60.000 ip (zu Beginn des Sommers 2019) meine Mikrotik ins tiefe Koma gebracht. Der CHR-OS-Router mit einer großen Speicherkapazität und mehreren Kernen fühlte sich etwas besser an, machte jedoch deutlich, dass er mit einer derart gewissenhaften Haltung des ILV zu seinen Aufgaben nicht lange halten würde.

Zweitens wurde Zugang zu allen blockierten Ressourcen erhalten, einschließlich solcher, die aus „rechtlichen“ Gründen blockiert wurden. Dass ich als gesetzestreuer Bürger auch nicht zu mir passte.

Aber die Idee, den Verkehr über die Gateways, auf denen er nicht blockiert ist, zu zulässigen Standorten zu leiten, bleibt mir im Gedächtnis.

Was können wir dafür tun?

Das erste, was mir in den Sinn kommt, ist, die IP der Ressource herauszufinden und das Gateway für sie beim Routing dafür zu bestimmen. Keine Option, eine Ressource kann mehrere IP-Adressen haben und sie können sich manchmal häufig ändern. Müde vom Hinzufügen.

Die zweite Möglichkeit besteht darin, IP mithilfe von Schicht 7 in der Firewall zu analysieren und in die Adressliste einzutragen. Schon besser, aber Layer 7 hat eine unangenehme Funktion. Wenn es mehrere Regeln gibt, beginnt er, sich auf die Ressourcen des Verarbeiters zu beziehen, ähnlich wie einige Frauen sich auf das Gehalt ihres Mannes beziehen. Infolgedessen beginnen Streitigkeiten, Skandale und andere Probleme in der Familie.

Das Leiten des gesamten Datenverkehrs über das Remote-Gateway ist ebenfalls nachteilig.

Glücklicherweise enthüllte einer der Redner bei der MUM im September ein schreckliches Geheimnis. Es stellt sich heraus, dass Mikrotiki seit einiger Zeit gelernt hat, eine IP-Domain direkt von ihrem Namen in das Adressblatt zu analysieren und IP zu demselben Blatt hinzuzufügen! Mit den Informationen, die ich erhalten habe, habe ich das Problem endlich gelöst.

Unten finden Sie eine Beispiellösung:

1. Wir erstellen in der Firewall das Adressblatt mit der gewünschten Domain.

alist.png

2. Erstellen Sie in Firewall \ Mangle eine Regel, Kette: Prerouting, Erweitert: Dst.Address List = Name unseres Blattes, Aktion: Mark Routing, New Routing Mark = Markenname

Ja

Ja

Ja

3. Wir gehen zu IP \ Routes. Erstellen Sie eine neue Standardroute. Dst-Adresse = 0.0.0.0 / 0, Gateway = Gateway-IP, Routing-Marke = Ihre Marke

route.png

Das ist alles. Jetzt analysiert Ihre Mikrotik die IP der gewünschten Domain auf dem Adressblatt, das Sie dafür erstellt haben, markiert die Routen zu dieser IP und sendet sie über das Gateway, das Sie benötigen. Haben Sie ein Backup-Gateway? Lächle

Es wurde auf Firmware 6.45.5 gemacht

Vielen Dank für Ihre Aufmerksamkeit.

Source: https://habr.com/ru/post/de467471/


All Articles