L'article décrit un moyen d'accéder à des ressources tombant par erreur dans la distribution de petits pains par Roskomnadzor (ci-après RKN). Il est pris par erreur. Nous sommes des citoyens respectueux des lois et n'allons pas là où nos agences gouvernementales nous l'interdisent. Donc, si vous décidez soudainement d'utiliser la méthode pour accéder à une sorte de ressources bloquées «légalement», l'épée dure de la justice volera probablement au-dessus de votre tête et je ne suis pas à blâmer pour cela, car en ce moment je vous ai prévenu!
Le problème est survenu de façon inattendue lorsque notre bureau central a déménagé dans un autre endroit et, par conséquent, a changé de fournisseur. Les employés en masse ont commencé à me plaindre qu'ils ne pouvaient pas accéder aux sites auxquels ils avaient précédemment accès. Dans le même temps, depuis nos autres bureaux assis sur d'autres prestataires, des sites étaient toujours disponibles.
Pendant un certain temps, à cause des tracas de déménager, j'ai ignoré le problème, mais lorsque le service comptable a commencé à se plaindre (avez-vous également le service comptable en importance après la gestion de l'entreprise?), J'ai dû le régler.
Tout d'abord, les soupçons portaient sur des problèmes avec MTU et MSS. Mais avec eux, heureusement, tout s'est avéré être en ordre. J'ai frappé un domaine problématique basé sur ILV, également OK, le domaine est propre. J'ai ouvert le site via les passerelles d'autres agences (3 prestataires différents), il ouvre. Mais grâce à notre fournisseur pour le domaine IP, même les pings ne vont pas. Et puis j'ai deviné de percer le domaine de problème IP ILV. Vous avez déjà deviné que l'IP était dans la base de données?
Mais où se trouve alors une redirection vers une page indiquant que cette ressource est bloquée, etc. etc., demandez-vous. Et j'ai demandé. Au début, j'ai vraiment essayé d'ouvrir plusieurs sites où auparavant, quand c'était possible, nous cherchions tous quelque chose à voir ou à télécharger. Et en veillant à ce qu'il n'y ait aucun avertissement concernant le blocage sur ces sites, j'ai appelé le fournisseur.
Le prestataire m'a écouté, a admis qu'il y avait un problème, mais il n'y a pas d'avertissement.
J'ai sympathisé avec ma situation, mais j'ai refusé de corriger quelque chose. Par exemple, nous respectons l'exigence de blocage, mais il n'y a aucune exigence de notification. Sur lequel nous avons dit au revoir.
Bien sûr, j'avais un désir de lutter avec le fournisseur, mais la paresse et le manque de temps libre ont profondément poussé ce désir. À peu près au même endroit où j'ai envoyé un fournisseur avec son Internet dans mon cœur, là où le soleil ne brille pas.
Le problème devait être résolu d'une manière ou d'une autre. Notre entreprise utilise Mikrotiki comme passerelles-routeurs, peu importe lesquels, le routeur OS est le même pour tout le monde. Après avoir fouillé autour de Habré, j'ai trouvé quelques articles sur la façon de contourner les verrous ILV, de générer et de charger la base de données ILV dans Mikrotik. Dans le même temps, le routage a bloqué le trafic vers les passerelles où il n'y a pas de verrous. Par intérêt, j'ai essayé cette méthode. Cela fonctionne, mais ne convient pas.
Premièrement, le volume de base de 60000 ip (au début de l'été 2019) a envoyé mon Mikrotik dans un coma profond. Le routeur CHR OS avec une grande capacité de mémoire et plusieurs cœurs s'est senti légèrement mieux, mais a précisé qu'avec une telle attitude consciencieuse de l'ILV envers ses fonctions, il ne durerait pas longtemps.
Deuxièmement, l'accès a été obtenu à toutes les ressources bloquées, y compris celles qui ont été bloquées pour des motifs «légaux». Que moi, en tant que citoyen respectueux des lois, ne me convenait pas non plus.
Mais l'idée même de diriger le trafic vers des sites autorisés via ces passerelles où il n'est pas bloqué me vient à l'esprit.
Que pouvons-nous faire pour cela?
La première chose qui me vient à l'esprit est de découvrir l'IP de la ressource et de déterminer la passerelle pour celle-ci dans le routage pour elle. Pas une option, une ressource peut avoir plusieurs ip et elles peuvent changer, parfois souvent. Fatigué d'ajouter.
La seconde consiste à analyser IP en utilisant la couche 7 dans le pare-feu, en les entrant dans la liste d'adresses. Déjà mieux, mais la couche 7 a une fonctionnalité désagréable. S'il y a plusieurs règles, alors il commence à se rapporter aux ressources du processeur de la même manière que certaines femmes se rapportent au salaire de leur mari. En conséquence, des querelles, des scandales et d'autres problèmes commencent dans la famille.
Diriger tout le trafic via la passerelle distante est également préjudiciable.
Heureusement, au MUM de septembre, l'un des orateurs a révélé un terrible secret. Il s'avère que Mikrotiki a appris pendant un certain temps à analyser un domaine IP directement de son nom dans la feuille d'adresse, en ajoutant IP à la même feuille! Armé des informations que j'ai reçues, j'ai finalement résolu le problème.
Voici un exemple de solution:
1. Nous créons dans le pare-feu la feuille d'adresse avec le domaine souhaité.
2. Dans le Firewall \ Mangle, créez une règle, chaîne: pré-routage, avancé: Dst.Address list = notre nom de feuille, action: marquer le routage, New Routing Mark = nom de marque
3. Nous allons à IP \ Routes. Créez une nouvelle route par défaut. Adresse Dst = 0.0.0.0 / 0, Gateway = Gateway IP, Routing Mark = Your Brand
C’est tout. Maintenant, votre Mikrotik analysera l'IP du domaine souhaité sur la feuille d'adresse que vous avez créée pour cela, marquera les itinéraires vers cette IP et les enverra via la passerelle dont vous avez besoin. Avez-vous une passerelle de sauvegarde? Sourire
Cela a été fait sur le firmware 6.45.5
Merci de votre attention.