अवरुद्ध इंटरनेट संसाधनों को दरकिनार करने के लिए विभिन्न विकल्पों के साथ बड़ी संख्या में निर्देश प्रकाशित किए गए हैं। लेकिन विषय प्रासंगिकता नहीं खोता है। और भी अधिक, विधायी स्तर पर लेखों को बाईपास ताले के तरीकों पर लेखों को अवरुद्ध करने के लिए सुना जा रहा है। और ऐसी अफवाहें थीं कि रोसकोम्नाडज़ोर को करदाताओं के पैसे का एक और पैकेट "बेहतर" तालों के लिए मिलेगा। अनुभवी उपयोगकर्ता लेख से कुछ भी नया या उपयोगी नहीं सीखेंगे। लेकिन दूसरों को पडावन और कीनेटिक फर्मवेयर के साथ लोकप्रिय राउटर पर ताले के सरल और प्रभावी चयनात्मक बाईपास के लिए तैयार किए गए कदम-दर-चरण निर्देश प्राप्त होंगे।

सामग्री

• परिचय
• आप कॉन्फ़िगरेशन के बाद ताले को कैसे बायपास करेंगे?
• कार्य सिद्धांत
• एक पडवन राउटर को कॉन्फ़िगर करना
• कीनेटिक ओएस के साथ एक राउटर को कॉन्फ़िगर करना
• कॉन्फ़िगरेशन के बाद त्रुटियों के निदान के लिए बुनियादी तरीके
• प्रदाता द्वारा DNS प्रश्नों को फ़िल्टर करने के लिए अतिरिक्त बाईपास

परिचय

मैंने लगभग दो साल तक Zolg लॉक बायपास विकल्प का उपयोग किया। नेटवर्क पर कई निर्देश इस पर आधारित हैं। मेरा सहित।

सब कुछ अच्छा था, लेकिन "सबसे अच्छा हमेशा अच्छे का दुश्मन होता है।" सबसे पहले, कुछ नए कार्यक्रम बहुत "स्मार्ट" हो गए हैं और राउटर के DNS सर्वर को दरकिनार करते हुए अपने स्वयं के तरीकों का उपयोग करके डोमेन को हल करेंगे। यह राउटर पर dnsmasq को अनलॉक करने के लिए ipset सेट पर पता जोड़ने की अनुमति नहीं देता है और एक तार्किक परिणाम की ओर जाता है - संसाधन लॉक रहता है। एंड्रॉइड 9 में, डीएनएस-ओवर-टीएलएस के लिए मूल समर्थन, अर्थात। लॉक को दरकिनार करने की यह विधि काम करना बंद कर देती है (यदि अन्य डिवाइस ने dnsmasq को पहले एक्सेस नहीं किया है)। दूसरे, एंटीज़ाप्रेट से संपूर्ण डोमेन सूची को अपडेट करने से हर बार अप्रत्याशित परिणाम सामने आते हैं। सूची में ऐसे डोमेन शामिल हो सकते हैं जो वास्तव में अवरुद्ध नहीं हैं, और जिनका संचालन मुख्य चैनल के माध्यम से महत्वपूर्ण है। आपको लगातार अलर्ट पर रहने और अपने हाथों से उत्पन्न फ़ाइलों को संपादित करने की आवश्यकता है। तीसरा, मैं हजारों कैसिनो और इस तरह के दसियों डोमेन की एक विशाल सूची के साथ "घसीटता हूं" थक गया हूं, जिनकी बस जरूरत नहीं है। समय के साथ, मुझे एहसास हुआ कि मुझे अवरुद्ध संसाधनों की केवल एक छोटी सी विशिष्ट सूची की आवश्यकता है।

इसलिए एक साल से मैं थोड़ा संशोधित अनलॉक विधि का उपयोग कर रहा हूं, जिससे मैं पूरी तरह से संतुष्ट हूं:

• सादगी और नियंत्रण में आसानी (कॉन्फ़िगरेशन के बाद)।
• आपको किन संसाधनों को अनलॉक करने की आवश्यकता है, इस पर पूर्ण नियंत्रण।
• प्रोसेसर संसाधनों और राउटर रैम के लिए न्यूनतम आवश्यकताएं।
• ताले को दरकिनार करते हुए बारीकियों की व्यापक कवरेज।

यह नोट करना महत्वपूर्ण है कि मेरे विकल्प का इरादा उस मामले के लिए नहीं है जब आपको सैकड़ों और हजारों डोमेन अनलॉक करने की आवश्यकता होती है। क्योंकि जब राउटर शुरू होता है, तो दी गई सूची में से प्रत्येक डोमेन को हल किया जाता है। सूची में जितने अधिक डोमेन होंगे, अनलॉक करने के लिए कई ipset की प्रारंभिक संख्या होगी।

ताले को दरकिनार करने का आधार एक ही है - टोर नेटवर्क। इसका उपयोग दो सरल कारकों के कारण होता है - नि: शुल्क और किसी वीपीएन सेवा के विपरीत, रूस में टॉर को अवरुद्ध होने की संभावना शून्य के करीब है। टोर रूस में मध्य से लेकर नीचे तक मादक पदार्थों की तस्करी की नींव है। लॉकिंग टॉर बाजार के लिए नए उपकरणों की खोज का नेतृत्व करेगा और गुमनामी के स्तर को कम करेगा, जो स्थानीय कानून प्रवर्तन एजेंसियों के काम की सफल सक्रियता को बढ़ाएगा। अंततः, यह, एक वायरस की तरह, ऊपरी लिंक को नकारात्मक रूप से प्रभावित करना शुरू कर देगा। रूस में वैश्विक मादक पदार्थों की तस्करी के साथ वरिष्ठ सरकारी अधिकारियों के संबंध के बारे में नवीनतम आश्चर्यजनक समाचारों को देखते हुए, रूस में टॉर को रोकना केवल एक वर्जित है, हालांकि यह तुच्छ है। रोसकोम्नाडज़ोर न तो इस एजेंसी को कितने बिल आवंटित किए जाते हैं, न कि रूस की एक भी अदालत ने टोर को ब्लॉक करने के लिए "ऊपर से" अनुमति दी है। और यह किसी को भी आश्चर्यचकित नहीं करेगा या किसी को भी डराएगा, भले ही रूस केवल ड्रग्स में डूब रहा हो (किसी भी स्कूली बच्चे को पता है कि वह क्या करने जा रहा है, और 30 मिनट के बाद किसी भी शहर में 10 हजार लोगों की आबादी के साथ स्वतंत्र रूप से व्यावहारिक रूप से किसी भी ड्रग्स को प्राप्त करना संभव है। किसी भी मात्रा में - जीवन का ऐसा दुष्ट सत्य)। वर्तमान मोड में, टोर नेटवर्क को अवरुद्ध करने की संभावना हर्मिटेज संग्रहालय साइट को अवरुद्ध करने की संभावना से कम है।

दिए गए निर्देशों को OpenWrt के साथ राउटर के लिए अनुकूलित करना आसान है। इसके अलावा, छोटे बदलावों से Tor को OpenVPN के साथ बदलना आसान हो जाता है।

कॉन्फ़िगरेशन के बाद आप लॉक को कैसे बायपास करेंगे?

सब कुछ बहुत सरल है। आपके पास फ़ाइल /opt/etc/unblock.txt - अनलॉक करने के लिए एक सरल सूची है। आप एक डोमेन, आईपी एड्रेस, एड्रेस रेंज या CIDR अनलॉक कर सकते हैं। एक पंक्ति - एक तत्व। खाली लाइनों की अनुमति है, और आप उपेक्षा करने के लिए लाइन की शुरुआत में # चरित्र का उपयोग कर सकते हैं।


इस फ़ाइल को संपादित करने के बाद, आप बस नए कॉन्फ़िगरेशन को लागू करने के लिए कमांड निष्पादित करते हैं:

 unblock_update.sh 

राउटर को पुनरारंभ करने के बिना, अनब्लॉक से सभी संसाधन अनलॉक किए जाते हैं।

कार्य सिद्धांत

• राउटर की शुरुआत में ipset IP पतों का एक खाली सेट होता है जिसे अनब्लॉक कहा जाता है।
• फ़ायर सर्विस में अनब्लॉक से लेकर टोर सर्विस तक के सभी पैकेटों को रीडायरेक्ट करने का नियम जोड़ा गया है।
• टो सेवा पारदर्शी प्रॉक्सी मोड में शुरू होती है।
• विशेष स्क्रिप्ट अनब्लॉक_शिपसेट। S लॉन्च किया गया है, जो अनब्लॉक। Txt से सभी डोमेन को हल करता है और अपने आईपी पते को अनब्लॉक सेट में जोड़ता है। इस फ़ाइल के IP पते, रेंज और CIDR भी अनब्लॉक में जोड़े जाते हैं।
• Dnsmasq को एक अतिरिक्त कॉन्फ़िगरेशन फ़ाइल, अनवरोधित किया गया है। Unns.dnsmasq, जो कि Result.txt से डोमेन आईपी पते के जोड़ को हल करते समय अनब्लॉक सेट पर इंगित करता है।
• क्रोन अनब्लॉक के साथ संभावित मामलों के लिए आंशिक रूप से क्षतिपूर्ति करने के लिए एक निश्चित आवृत्ति के साथ अनब्लॉक_शिप करें।
• यदि आवश्यक हो, तो प्रदाता से डीएनएस को फ़िल्टर करने पर सभी डोमेन अनब्लॉक.txt (और केवल उन्हें) के माध्यम से dnscrypt- प्रॉक्सी के माध्यम से हल करते हैं।

एक पडवन राउटर को कॉन्फ़िगर करना

आपके पास स्थापित पडवन फर्मवेयर और पहले से कॉन्फ़िगर किया गया एंटरवेयर पैकेज मैनेजर वाला एक राउटर होना चाहिए। विंडोज पर, आप SSH के माध्यम से राउटर से कनेक्ट करने के लिए PuTTY क्लाइंट का उपयोग कर सकते हैं।

सुनिश्चित करें कि आप Entware का उपयोग कर रहे हैं, न कि विरासत Entware-ng का। / ऑप्ट / var / opkg-सूचियों फ़ोल्डर की सामग्री देखें। इसमें एक एंटरवेयर या एंटरवेयर-एनजी फाइल होगी। दूसरे मामले में, आपको अपने राउटर के पडवन फर्मवेयर को नवीनतम संस्करण में अपडेट करने और एंटवेयर पैकेज मैनेजर को फिर से इंस्टॉल करने की आवश्यकता है। तभी चरण-दर-चरण निर्देशों के साथ आगे बढ़ें।

जैसा कि समीक्षा में दिखाया गया है, मुख्य रूप से जिनके पास एंटवेयर है, वे शुरू में गलत तरीके से कॉन्फ़िगर किए गए हैं (यानी, init.d से स्क्रिप्ट लोड नहीं हुई हैं) राउटर की आंतरिक मेमोरी में। यदि आपके पास Xiaomi Mi Router 3 या 3G है, और आपको यकीन नहीं है कि आपकी आंतरिक मेमोरी में Entware सही तरीके से काम करता है (स्वचालित शुरुआत), तो बस फिर से सब कुछ सेट करें। PROMETHEUS को लें। स्क्रिप्ट को अपडेट करता है (1)। स्रोत कोड (2) को अपडेट करें। लीजिए और सबसे वर्तमान फर्मवेयर (4) फ्लैश। फर्मवेयर सेटिंग्स (NVRAM और फ़ाइल स्टोरेज) रीसेट करें - उन्नत> प्रशासन> सेटिंग्स। राउटर पर इंटरनेट एक्सेस कॉन्फ़िगर करें और SSH को सक्षम करें। PROMETHEUS फर्मवेयर> RWFS स्वरूपण में प्रदर्शन करें। उन्नत> प्रशासन> सेटिंग> आर / डब्ल्यू अनुभाग> यूबीआईएफएस में माउंट फाइल सिस्टम चुनें। राउटर को रिबूट करें। आंतरिक मेमोरी से सभी वर्तमान एंटवेयर स्टार्टअप स्क्रिप्ट स्वचालित रूप से पंजीकृत होंगे, और सब कुछ एक घड़ी की तरह काम करेगा।

परीक्षणों के लिए, मैंने नवीनतम फर्मवेयर - 32a93bb के साथ लोकप्रिय Xiaomi Mi Router 3G (इंटरनल मेमोरी में इनस्टॉल किया गया है) का उपयोग किया। सब कुछ $ 10 के लिए पौराणिक बच्चे WT3020 AD / F / H पर भी काम करेगा।

1. राउटर पर आवश्यक सॉफ़्टवेयर स्थापित करना

 opkg update opkg install mc tor tor-geoip bind-dig cron 

mc - मिडनाइट कमांडर फ़ाइल मैनेजर। सुविधाजनक मैडिट एडिटर की वजह से ही इसकी जरूरत है। यदि आप किसी अन्य पाठ संपादक का उपयोग करने के लिए उपयोग किए जाते हैं, तो mc स्थापित नहीं किया जा सकता है।
Tor - Tor सेवा।
Tor-geoip - Tor के लिए जियो-आईपी डेटाबेस।
बाइंड-डिग - DNS क्लाइंट (nslookup और होस्ट का एनालॉग)।
क्रोन - कार्य अनुसूचक।

2. प्रारंभिक ipset, कई अनब्लॉक आईपी पते बनाएं (start_script.sh)

आवश्यक मॉड्यूल कनेक्ट करें और राउटर के बूट होने पर अनब्लॉक नाम से पतों का एक खाली सेट बनाएं। ऐसा करने के लिए, संपादक में /etc/storage/start_script.sh फ़ाइल खोलें:

 mcedit /etc/storage/start_script.sh 

अंत में जोड़ें:

 modprobe ip_set modprobe ip_set_hash_ip modprobe ip_set_hash_net modprobe ip_set_bitmap_ip modprobe ip_set_list_set modprobe xt_set ipset create unblock hash:net 

बफर से चिपकाने के लिए, Shift + Insert, सहेजें - F2, निकास - F10 का उपयोग करें।



यदि आप चाहें, तो आप राउटर के वेब इंटरफेस के माध्यम से start_script.sh फ़ाइल को संपादित कर सकते हैं - "उन्नत"> "निजीकरण"> "लिपियों"> "राउटर को आरंभीकृत करने से पहले चलाएँ।" संपादन के बाद, "लागू करें" पर क्लिक करें।

3. टोर सेटअप

टोर कॉन्फ़िगरेशन फ़ाइल की सामग्री हटाएं:

 cat /dev/null > /opt/etc/tor/torrc 

टो कॉन्फ़िगरेशन फ़ाइल खोलें:

 mcedit /opt/etc/tor/torrc 

सामग्री को चिपकाएँ (Shift + डालें):

 User admin PidFile /opt/var/run/tor.pid ExcludeExitNodes {RU},{UA},{AM},{KG},{BY} StrictNodes 1 TransPort 192.168.0.1:9141 ExitRelay 0 ExitPolicy reject *:* ExitPolicy reject6 *:* GeoIPFile /opt/share/tor/geoip GeoIPv6File /opt/share/tor/geoip6 DataDirectory /opt/var/lib/tor 

यदि आवश्यक हो, तो 192.168.0.1 को अपने राउटर (LAN) के आंतरिक पते से बदलें। संक्षिप्त विन्यास विवरण:

• आउटपुट नोड्स को बाहर करें: रूस, यूक्रेन, आर्मेनिया किर्गिज़स्तान, बेलारूस।
• 192.168.0.1, पोर्ट 9141 पते पर एक पारदर्शी प्रॉक्सी लटकाएं।
• एक निकास बिंदु होने से इनकार करते हैं।

4. डोमेन की सूची (और न केवल) लॉक को बायपास करने के लिए (अनवरोधित। Txt)

अनवरोधित करने के लिए एक सरल सूची है। आप एक डोमेन, आईपी एड्रेस, रेंज या CIDR अनलॉक कर सकते हैं। एक पंक्ति - एक तत्व। रिक्त स्थान (रिक्त स्थान और टैब सहित) की उपेक्षा की जाती है। आप इसे अनदेखा करने के लिए एक पंक्ति की शुरुआत में # चरित्र का उपयोग कर सकते हैं।

फ़ाइल बनाएं / चुनें /etc/unblock.txt :

 mcedit /opt/etc/unblock.txt 

प्रत्येक पंक्ति में एक डोमेन नाम, IP पता, श्रेणी या CIDR हो सकता है। आप लाइनों पर टिप्पणी करने के लिए # वर्ण का उपयोग कर सकते हैं।

5. डोमेन की दी गई सूची की अनब्लॉक IP पतों के एक समूह को पॉप्युलेट करने के लिए एक स्क्रिप्ट (अनवरोधित_ipset.sh)

स्क्रिप्ट बनाएं / अपनाएं /bin/unblock_ipset.sh :

 mcedit /opt/bin/unblock_ipset.sh 

सामग्री को चिपकाएँ (Shift + डालें):

 #!/bin/sh until ADDRS=$(dig +short google.com @localhost) && [ -n "$ADDRS" ] > /dev/null 2>&1; do sleep 5; done while read line || [ -n "$line" ]; do [ -z "$line" ] && continue [ "${line:0:1}" = "#" ] && continue cidr=$(echo $line | grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/[0-9]{1,2}') if [ ! -z "$cidr" ]; then ipset -exist add unblock $cidr continue fi range=$(echo $line | grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}-[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}') if [ ! -z "$range" ]; then ipset -exist add unblock $range continue fi addr=$(echo $line | grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}') if [ ! -z "$addr" ]; then ipset -exist add unblock $addr continue fi dig +short $line @localhost | grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | awk '{system("ipset -exist add unblock "$1)}' done < /opt/etc/unblock.txt 

निष्पादन अधिकार दें:

 chmod +x /opt/bin/unblock_ipset.sh 

स्क्रिप्ट काफी सरल है, इसके काम का सार ... हम काम करने के लिए google.com डोमेन रिज़ॉल्यूशन की प्रतीक्षा कर रहे हैं (यदि ऐसा नहीं किया जाता है, तो राउटर बूट होने पर बहुत सी अनब्लॉक नहीं भरी जाएगी, क्योंकि राउटर अभी भी इनिशियलाइज़ेशन की प्रक्रिया में होगा)। हम अनब्लॉक। टेक्स्ट फ़ाइल की पंक्तियों को पढ़ते हैं। शुरुआत और अंत में रिक्त स्थान और टैब को स्वचालित रूप से हटाएं लाइनें पढ़ें। खाली लाइनों को छोड़ दें। # वर्ण से शुरू होने वाली रेखाओं को छोड़ें। हम लाइन CIDR में देख रहे हैं। यदि CIDR पाया जाता है, तो इसे अनब्लॉक में जोड़ें। हम स्ट्रिंग में एक सीमा की तलाश कर रहे हैं। यदि यह पाया जाता है, तो इसे अनब्लॉक में जोड़ें। हम स्ट्रिंग में आईपी पते की तलाश कर रहे हैं। यदि आईपी पाया जाता है, तो इसे अनब्लॉक में जोड़ें। चलो खुदाई के माध्यम से एक रेखा को हल करते हैं। परिणाम के सभी आईपी पते अनब्लॉक में जोड़े जाते हैं।

6. डोमेन की दी गई सूची से एक अतिरिक्त dnsmasq कॉन्फ़िगरेशन फ़ाइल बनाने के लिए एक स्क्रिप्ट (अनवरोधित_dnsmasq.sh)

स्क्रिप्ट बनाएं / अपनाएं /bin/unblock_dnsmasq.sh :

 mcedit /opt/bin/unblock_dnsmasq.sh 

सामग्री को चिपकाएँ (Shift + डालें):

 #!/bin/sh cat /dev/null > /opt/etc/unblock.dnsmasq while read line || [ -n "$line" ]; do [ -z "$line" ] && continue [ "${line:0:1}" = "#" ] && continue echo $line | grep -Eq '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' && continue echo "ipset=/$line/unblock" >> /opt/etc/unblock.dnsmasq done < /opt/etc/unblock.txt 

निष्पादन अधिकार दें:

 chmod +x /opt/bin/unblock_dnsmasq.sh 

स्क्रिप्ट काफी सरल है, इसके काम का सार ... हमने क्रमिक रूप से /opt/etc/unblock.txt से लाइनें पढ़ी हैं। शुरुआत और अंत में रिक्त स्थान और टैब को स्वचालित रूप से हटाएं लाइनें पढ़ें। खाली लाइनों को छोड़ दें। # से शुरू होने वाली लाइनों को छोड़ दें। हम उन पंक्तियों को छोड़ देते हैं जिनमें IP पता (IP, श्रेणी, CIDR) होता है, अर्थात हम केवल डोमेन नाम के साथ तार में रुचि रखते हैं। फ़ाइल /opt/etc/unblock.dnsmasq फ़ाइल में हम "ipset = / domain_name / अनवरोधित करें" फ़ॉर्म की पंक्तियाँ जोड़ते हैं। इसका मतलब यह है कि किसी विशेष डोमेन के आईपी पते का निर्धारण करने के बाद, वे स्वचालित रूप से अनब्लॉक सेट में जुड़ जाएंगे।

अनवरोधित करने के लिए स्क्रिप्ट को चलाने के लिए सुनिश्चित करें।

 unblock_dnsmasq.sh 

सत्यापित करें कि unblock.dnsmasq फ़ाइल बनाई गई है:

 cat /opt/etc/unblock.dnsmasq 

7. डोमेन की सूची को संपादित करने के बाद सिस्टम को अपडेट करने के लिए मैनुअल की स्क्रिप्ट को मजबूर करना (अनवरोधित_अपडेट)।

स्क्रिप्ट बनाएं / अपनाएं /bin/unblock_update.sh :

 mcedit /opt/bin/unblock_update.sh 

सामग्री को चिपकाएँ (Shift + डालें):

 #!/bin/sh ipset flush unblock /opt/bin/unblock_dnsmasq.sh restart_dhcpd sleep 3 /opt/bin/unblock_ipset.sh & 

निष्पादन अधिकार दें:

 chmod +x /opt/bin/unblock_update.sh 

8. राउटर को बूट करते समय अनब्लॉक का एक सेट स्वचालित रूप से पॉप्युलेट करने के लिए स्क्रिप्ट (S99unblock)

स्क्रिप्ट बनाएं / अपनाएं /etc/init.d/S99unblock :

 mcedit /opt/etc/init.d/S99unblock 

सामग्री को चिपकाएँ (Shift + डालें):

 #!/bin/sh [ "$1" != "start" ] && exit 0 /opt/bin/unblock_ipset.sh & 

निष्पादन अधिकार दें:

 chmod +x /opt/etc/init.d/S99unblock 

9. अनब्लॉक से टोर तक के पोस्ट के साथ पैकेट अग्रेषित करना (post_iptables_script.sh)

संपादक में फ़ाइल /etc/storage/post_iptables_script.sh खोलें:

 mcedit /etc/storage/post_iptables_script.sh 

अंत में जोड़ें:

 iptables -t nat -A PREROUTING -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 9141 

यदि आप चाहें, तो आप रूटर के वेब इंटरफेस के माध्यम से post_iptables_script.sh फ़ाइल को संपादित कर सकते हैं - "उन्नत"> "निजीकरण"> "स्क्रिप्ट"> "फ़ायरवॉल नियमों को फिर से शुरू करने के बाद चलाएँ"। संपादन के बाद, "लागू करें" पर क्लिक करें।



आप बाहरी पोर्ट 53 से अपने आप को सभी अनुरोधों को पुनर्निर्देशित करने के लिए एक ही फ़ाइल में (यह वैकल्पिक है) जोड़ सकते हैं। यह आवश्यक है ताकि स्थानीय नेटवर्क पर क्लाइंट तृतीय-पक्ष DNS सेवाओं का उपयोग न करें। अनुरोध नियमित DNS सर्वर के माध्यम से जाएंगे।

 iptables -t nat -I PREROUTING -i br0 -p udp --dport 53 -j DNAT --to 192.168.0.1 iptables -t nat -I PREROUTING -i br0 -p tcp --dport 53 -j DNAT --to 192.168.0.1 

यदि आवश्यक हो, तो 192.168.0.1 को अपने राउटर (LAN) के आंतरिक पते से बदलें।

10. एक अतिरिक्त कॉन्फ़िगरेशन फ़ाइल को dnsmasq से कनेक्ट करना

हमें बनाई गई अनब्लॉक.dnsmasq फ़ाइल को dnsmasq से कनेक्ट करना होगा। ऐसा करने के लिए, संपादक में फ़ाइल /etc/storage/dnsmasq/dnsmasq.conf खोलें:

 mcedit /etc/storage/dnsmasq/dnsmasq.conf 

अंत में जोड़ें:

 conf-file=/opt/etc/unblock.dnsmasq 

यदि आप चाहते हैं (यह वैकल्पिक है), तो आप रिज़ॉल्यूशन और विश्वसनीयता के लिए एक अतिरिक्त सर्वर जोड़ सकते हैं:

 server=8.8.8.8 

यदि आप चाहें, तो आप रूटर के वेब इंटरफ़ेस के माध्यम से dnsmasq.conf फ़ाइल को संपादित कर सकते हैं - "उन्नत"> "LAN"> "डीएचसीपी सर्वर"> "उपयोगकर्ता कॉन्फ़िगरेशन फ़ाइल dnsmasq.conf"। संपादन के बाद, "लागू करें" पर क्लिक करें।

11. समय-समय पर अनब्लॉक सेट की सामग्री को अपडेट करने के लिए क्रोन पर एक कार्य जोड़ना

यह अतिरिक्त बीमा है यदि प्रोग्राम / डिवाइस अपने स्वयं के रिज़ॉल्यूशन विधि का उपयोग करते हैं और डोमेन आईपी पता बदल गया है। आपको केवल वांछित आवृत्ति पर अनब्लॉक_लिप्स.श स्क्रिप्ट को चलाने की आवश्यकता है। उदाहरण के लिए, हम हर दिन सुबह 6 बजे लॉन्च करेंगे।

क्रोन कॉन्फ़िगरेशन फ़ाइल में व्यवस्थापक के साथ रूट नाम बदलें:

 sed -i 's/root/admin/g' /opt/etc/crontab 

फ़ाइल खोलें / संपादक में / etc / crontab खोलें:

 mcedit /opt/etc/crontab 

अंत में जोड़ें:

 00 06 * * * admin /opt/bin/unblock_ipset.sh 

यदि आप चाहें, तो आप अन्य सभी टेम्पलेट कार्यों को टिप्पणी कर सकते हैं। यहाँ क्या आपके crontab फ़ाइल की तरह दिखेगा:

12. राउटर को रिबूट करना

कमांड चलाएँ:

 reboot 

रिबूट के बाद, अपने ब्राउज़र में check.torproject.org वेबसाइट खोलें (इसे अनब्लॉक.txt में जोड़ा जाना चाहिए)। यदि आपने सब कुछ सही ढंग से किया है, तो आप शिलालेख "बधाई" देखेंगे। यह ब्राउज़र Tor का उपयोग करने के लिए कॉन्फ़िगर किया गया है। ":

कीनेटिक ओएस के साथ एक राउटर को कॉन्फ़िगर करना

आपके पास पहले से कॉन्फ़िगर किए गए Entware Package Manager (OPKG) के साथ एक कीनेटिक / Zyxel राउटर होना चाहिए। उदाहरण के लिए, यहां कुछ राउटर्स की एक सूची दी गई है जो एंटवेयर का समर्थन करते हैं: कीनेटिक II, कीनेटिक III, अतिरिक्त, अतिरिक्त II, गीगा II, गीगा III, ओमनी, ओमनी II, चिरायु, अल्ट्रा, अल्ट्रा II, ओमनी (KN-1410), अतिरिक्त (KN -1710), गीगा (KN-1010), अल्ट्रा (KN-1810), विवा (KN-1910), DSL (KN-2010), डुओ (KN-2110)। एंटरवेयर को कॉन्फ़िगर करने के निर्देश यहां (10 अंक तक) मिल सकते हैं।

यदि पहले (2.07 के तहत फर्मवेयर के साथ) आपने पहले से ही एंटवेयर समर्थन जोड़ा है, तो सुनिश्चित करें कि आप पुराने एंटवेयर-एनजी का उपयोग कर रहे हैं ।

"नेटफिल्टर सबसिस्टम कर्नेल मॉड्यूल" को सक्षम करना सुनिश्चित करें - सामान्य सेटिंग्स> घटक सेट बदलें। यदि यह उपलब्ध लोगों की सूची में नहीं है, तो पहले IPv6 प्रोटोकॉल घटक को स्थापित करने का प्रयास करें। यदि इसके बाद दिखाई नहीं देता है, तो इसके बिना प्रयास करें, लेकिन यह अत्यधिक संभावना है कि आप रेंज और CIDR द्वारा अनलॉक नहीं कर पाएंगे (क्योंकि हैश: नेट सेट के लिए कोई समर्थन नहीं होगा)।



परीक्षणों के लिए, मैंने नवीनतम फर्मवेयर - 2.14.C.0.0-4 के साथ कीनेटिक अल्ट्रा (KN-1810) का उपयोग किया।

महत्वपूर्ण नोट। आपको सिस्टम में नियमित DNS सर्वर को अक्षम करना होगा, हम इसके बजाय dnsmasq का उपयोग करेंगे। आप क्लाइंट के लिए व्यक्तिगत रूप से DNS सेवाओं (Yandex.DNS / SkyDNS / AdGuard DNS) को असाइन करने की क्षमता खो देंगे, लेकिन यदि आवश्यक हो तो आप dnsmasq सेटिंग्स के माध्यम से उन्हें विश्व स्तर पर उपयोग कर सकते हैं।

1. राउटर पर आवश्यक सॉफ़्टवेयर स्थापित करना

 opkg update opkg install mc tor tor-geoip bind-dig cron dnsmasq-full ipset iptables 

mc - मिडनाइट कमांडर फ़ाइल मैनेजर। सुविधाजनक मैडिट एडिटर की वजह से ही इसकी जरूरत है। यदि आप किसी अन्य पाठ संपादक का उपयोग करने के लिए उपयोग किए जाते हैं, तो mc स्थापित नहीं किया जा सकता है।
Tor - Tor सेवा।
Tor-geoip - Tor के लिए जियो-आईपी डेटाबेस।
बाइंड-डिग - DNS क्लाइंट (nslookup और होस्ट का एनालॉग)।
क्रोन - कार्य अनुसूचक।
dnsmasq-full - DNS सर्वर।
ipset और iptables ipset और iptables कंसोल उपयोगिताओं हैं (वे पहले से ही सिस्टम पर हो सकते हैं और ज़रूरत नहीं है, मैंने उन्हें सुरक्षा के लिए जोड़ा)।

2. प्रारंभिक ipset, कई अनब्लॉक आईपी पते बनाएं (100-ipset.sh)

जांचें कि आपका राउटर सिस्टम बहुत से हैश का समर्थन करता है: नेट (जैसा कि यह निकला, सभी कीनेटिक राउटर के पास नहीं है):

 ipset create test hash:net 

यदि टीम ने कोई त्रुटि या संदेश नहीं दिया, तो समर्थन है, और आगे निर्देशों का पालन करें। अन्यथा (निम्न में कोई त्रुटि है) निम्न स्क्रिप्ट में, आपको हैश: नेट को हैश: आईपी से बदलना होगा। इस स्थिति में, आप रेंज और CIDR को अनलॉक करने की क्षमता खो देते हैं।

राउटर के बूट होने पर अनब्लॉक नामक पतों का एक खाली सेट बनाएं। ऐसा करने के लिए, फ़ाइल /opt/etc/ndm/fs.d/100-ipset.sh बनाएँ :

 mcedit /opt/etc/ndm/fs.d/100-ipset.sh 

सामग्री को चिपकाएँ (Shift + डालें):

 #!/bin/sh [ "$1" != "start" ] && exit 0 ipset create unblock hash:net -exist exit 0 

बफर से चिपकाने के लिए, Shift + Insert, सहेजें - F2, निकास - F10 का उपयोग करें।

निष्पादन अधिकार दें:

 chmod +x /opt/etc/ndm/fs.d/100-ipset.sh 

3. टोर सेटअप

टोर कॉन्फ़िगरेशन फ़ाइल की सामग्री हटाएं:

 cat /dev/null > /opt/etc/tor/torrc 

टो कॉन्फ़िगरेशन फ़ाइल खोलें:

 mcedit /opt/etc/tor/torrc 

सामग्री को चिपकाएँ (Shift + डालें):

 User root PidFile /opt/var/run/tor.pid ExcludeExitNodes {RU},{UA},{AM},{KG},{BY} StrictNodes 1 TransPort 192.168.0.1:9141 ExitRelay 0 ExitPolicy reject *:* ExitPolicy reject6 *:* GeoIPFile /opt/share/tor/geoip GeoIPv6File /opt/share/tor/geoip6 DataDirectory /opt/var/lib/tor 

यदि आवश्यक हो, तो 192.168.0.1 को अपने राउटर (LAN) के आंतरिक पते से बदलें। संक्षिप्त विन्यास विवरण:

• आउटपुट नोड्स को बाहर करें: रूस, यूक्रेन, आर्मेनिया किर्गिज़स्तान, बेलारूस।
• 192.168.0.1, पोर्ट 9141 पते पर एक पारदर्शी प्रॉक्सी लटकाएं।
• एक निकास बिंदु होने से इनकार करते हैं।

4. डोमेन की सूची (और न केवल) लॉक को बायपास करने के लिए (अनवरोधित। Txt)

अनवरोधित करने के लिए एक सरल सूची है। आप एक डोमेन, आईपी एड्रेस, रेंज या CIDR अनलॉक कर सकते हैं। एक पंक्ति - एक तत्व। रिक्त स्थान (रिक्त स्थान और टैब सहित) की उपेक्षा की जाती है। आप इसे अनदेखा करने के लिए एक पंक्ति की शुरुआत में # चरित्र का उपयोग कर सकते हैं।

फ़ाइल बनाएं / चुनें /etc/unblock.txt :

 mcedit /opt/etc/unblock.txt 

प्रत्येक पंक्ति में एक डोमेन नाम, IP पता, श्रेणी या CIDR हो सकता है। आप लाइनों पर टिप्पणी करने के लिए # वर्ण का उपयोग कर सकते हैं।

5. डोमेन की दी गई सूची की अनब्लॉक IP पतों के एक समूह को पॉप्युलेट करने के लिए एक स्क्रिप्ट (अनवरोधित_ipset.sh)

स्क्रिप्ट बनाएं / अपनाएं /bin/unblock_ipset.sh :

 mcedit /opt/bin/unblock_ipset.sh 

सामग्री को चिपकाएँ (Shift + डालें):

 #!/bin/sh until ADDRS=$(dig +short google.com @localhost) && [ -n "$ADDRS" ] > /dev/null 2>&1; do sleep 5; done while read line || [ -n "$line" ]; do [ -z "$line" ] && continue [ "${line:0:1}" = "#" ] && continue cidr=$(echo $line | grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/[0-9]{1,2}') if [ ! -z "$cidr" ]; then ipset -exist add unblock $cidr continue fi range=$(echo $line | grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}-[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}') if [ ! -z "$range" ]; then ipset -exist add unblock $range continue fi addr=$(echo $line | grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}') if [ ! -z "$addr" ]; then ipset -exist add unblock $addr continue fi dig +short $line @localhost | grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | awk '{system("ipset -exist add unblock "$1)}' done < /opt/etc/unblock.txt 

निष्पादन अधिकार दें:

 chmod +x /opt/bin/unblock_ipset.sh 

स्क्रिप्ट काफी सरल है, इसके काम का सार ... हम काम करने के लिए google.com डोमेन रिज़ॉल्यूशन की प्रतीक्षा कर रहे हैं (यदि ऐसा नहीं किया जाता है, तो राउटर बूट होने पर बहुत सी अनब्लॉक नहीं भरी जाएगी, क्योंकि राउटर अभी भी इनिशियलाइज़ेशन की प्रक्रिया में होगा)। हम अनब्लॉक। टेक्स्ट फ़ाइल की पंक्तियों को पढ़ते हैं। शुरुआत और अंत में रिक्त स्थान और टैब को स्वचालित रूप से हटाएं लाइनें पढ़ें। खाली लाइनों को छोड़ दें। # वर्ण से शुरू होने वाली रेखाओं को छोड़ें। हम लाइन CIDR में देख रहे हैं। यदि CIDR पाया जाता है, तो इसे अनब्लॉक में जोड़ें। हम स्ट्रिंग में एक सीमा की तलाश कर रहे हैं। यदि यह पाया जाता है, तो इसे अनब्लॉक में जोड़ें। हम स्ट्रिंग में आईपी पते की तलाश कर रहे हैं। यदि आईपी पाया जाता है, तो इसे अनब्लॉक में जोड़ें। चलो खुदाई के माध्यम से एक रेखा को हल करते हैं। परिणाम के सभी आईपी पते अनब्लॉक में जोड़े जाते हैं।

6. डोमेन की दी गई सूची से एक अतिरिक्त dnsmasq विन्यास फाइल बनाने के लिए एक स्क्रिप्ट (अनवरोधित_dnsmasq.sh)

स्क्रिप्ट बनाएं / अपनाएं /bin/unblock_dnsmasq.sh :

 mcedit /opt/bin/unblock_dnsmasq.sh 

सामग्री को चिपकाएँ (Shift + डालें):

 #!/bin/sh cat /dev/null > /opt/etc/unblock.dnsmasq while read line || [ -n "$line" ]; do [ -z "$line" ] && continue [ "${line:0:1}" = "#" ] && continue echo $line | grep -Eq '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' && continue echo "ipset=/$line/unblock" >> /opt/etc/unblock.dnsmasq done < /opt/etc/unblock.txt 

निष्पादन अधिकार दें:

 chmod +x /opt/bin/unblock_dnsmasq.sh 

पटकथा काफी सरल है। हम क्रमिक रूप से /opt/etc/unblock.txt से लाइनें पढ़ते हैं। शुरुआत और अंत में रिक्त स्थान और टैब को स्वचालित रूप से हटाएं लाइनें पढ़ें। खाली लाइनों को छोड़ दें। # से शुरू होने वाली लाइनों को छोड़ दें। उन पंक्तियों को छोड़ दें जिनमें एक IP पता (IP या CIDR) होता है, अर्थात हम केवल डोमेन नाम के साथ तार में रुचि रखते हैं। फ़ाइल /opt/etc/unblock.dnsmasq फ़ाइल में हम "ipset = / domain_name / अनवरोधित करें" फ़ॉर्म की पंक्तियाँ जोड़ते हैं। इसका मतलब यह है कि किसी विशेष डोमेन के आईपी पते का निर्धारण करने के बाद, वे स्वचालित रूप से अनब्लॉक सेट में जुड़ जाएंगे।

अनवरोधित करने के लिए स्क्रिप्ट को चलाने के लिए सुनिश्चित करें।

 unblock_dnsmasq.sh 

सत्यापित करें कि unblock.dnsmasq फ़ाइल बनाई गई है:

 cat /opt/etc/unblock.dnsmasq 

7. डोमेन की सूची को संपादित करने के बाद सिस्टम को अपडेट करने के लिए मैनुअल की स्क्रिप्ट को मजबूर करना (अनवरोधित_अपडेट)।

स्क्रिप्ट बनाएं / अपनाएं /bin/unblock_update.sh :

 mcedit /opt/bin/unblock_update.sh 

सामग्री को चिपकाएँ (Shift + डालें):

 #!/bin/sh ipset flush unblock /opt/bin/unblock_dnsmasq.sh /opt/etc/init.d/S56dnsmasq restart /opt/bin/unblock_ipset.sh & 

निष्पादन अधिकार दें:

 chmod +x /opt/bin/unblock_update.sh 

8. राउटर को बूट करते समय अनब्लॉक का एक सेट स्वचालित रूप से पॉप्युलेट करने के लिए स्क्रिप्ट (S99unblock)

स्क्रिप्ट बनाएं / अपनाएं /etc/init.d/S99unblock :

 mcedit /opt/etc/init.d/S99unblock 

सामग्री को चिपकाएँ (Shift + डालें):

 #!/bin/sh [ "$1" != "start" ] && exit 0 /opt/bin/unblock_ipset.sh & 

निष्पादन अधिकार दें:

 chmod +x /opt/etc/init.d/S99unblock 

9. अनब्लॉक से टोर तक के गंतव्यों के साथ पैकेट अग्रेषित करना (100-redirect.sh)

ऐसा करने के लिए, फ़ाइल /opt/etc/ndm/netfilter.d/100-redirect.sh बनाएँ :

 mcedit /opt/etc/ndm/netfilter.d/100-redirect.sh 

सामग्री को चिपकाएँ (Shift + डालें):

 #!/bin/sh [ "$type" == "ip6tables" ] && exit 0 if [ -z "$(iptables-save 2>/dev/null | grep unblock)" ]; then ipset create unblock hash:net -exist iptables -w -t nat -A PREROUTING -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 9141 fi exit 0 

यदि आपने हैश का उपयोग किया है : चरण 2 में आईपी और हैश: नेट नहीं है , तो हैश को बदलें: हैश के साथ नेट: आईपी। वास्तव में, हम अतिरिक्त रूप से 2 चरणों से अनब्लॉक का एक सेट बनाने के कार्य को दोहराते हैं। यह सुरक्षा के लिए आवश्यक है, अगर fs.d से स्क्रिप्ट अभी तक चलना शुरू नहीं हुई हैं, और netfilter.d स्क्रिप्ट पहले से ही चल रही हैं। यह ठीक है अगर पहले ही अनब्लॉक हो चुका है, तो कमांड को केवल नजरअंदाज कर दिया जाएगा।

आप बाहरी पोर्ट 53 से अपने आप को सभी अनुरोधों को पुनर्निर्देशित करने के लिए एक ही फ़ाइल में (यह वैकल्पिक है) जोड़ सकते हैं। यह आवश्यक है ताकि स्थानीय नेटवर्क पर क्लाइंट तृतीय-पक्ष DNS सेवाओं का उपयोग न करें। अनुरोध नियमित DNS सर्वर के माध्यम से जाएंगे। अंतिम निकास से पहले, जोड़ें:

 if [ -z "$(iptables-save 2>/dev/null | grep "udp \-\-dport 53 \-j DNAT")" ]; then iptables -w -t nat -I PREROUTING -i br0 -p udp --dport 53 -j DNAT --to 192.168.0.1 fi if [ -z "$(iptables-save 2>/dev/null | grep "tcp \-\-dport 53 \-j DNAT")" ]; then iptables -w -t nat -I PREROUTING -i br0 -p tcp --dport 53 -j DNAT --to 192.168.0.1 fi 

यदि आवश्यक हो, तो 192.168.0.1 को अपने राउटर (LAN) के आंतरिक पते से बदलें ।

निष्पादन अधिकार दें:

 chmod +x /opt/etc/ndm/netfilter.d/100-redirect.sh 

10. dnsmasq को कॉन्फ़िगर करना और dnsmasq में एक अतिरिक्त कॉन्फ़िगरेशन फ़ाइल संलग्न करना

Dnsmasq कॉन्फ़िगरेशन फ़ाइल की सामग्री हटाएं:

 cat /dev/null > /opt/etc/dnsmasq.conf 

Dnsmasq कॉन्फ़िगरेशन फ़ाइल खोलें:

 mcedit /opt/etc/dnsmasq.conf 

सामग्री को चिपकाएँ (Shift + डालें):

 user=nobody bogus-priv no-negcache clear-on-reload bind-dynamic listen-address=192.168.0.1 listen-address=127.0.0.1 min-port=4096 cache-size=1536 expand-hosts log-async conf-file=/opt/etc/unblock.dnsmasq server=8.8.8.8 

यदि आवश्यक हो, तो 192.168.0.1 को अपने राउटर (LAN) के आंतरिक पते से बदलें ।

11. समय-समय पर अनब्लॉक सेट की सामग्री को अपडेट करने के लिए क्रोन पर एक कार्य जोड़ना

यह अतिरिक्त बीमा है यदि प्रोग्राम / डिवाइस अपने स्वयं के रिज़ॉल्यूशन विधि का उपयोग करते हैं और डोमेन आईपी पता बदल गया है। आपको केवल वांछित आवृत्ति पर अनब्लॉक_लिप्स.श स्क्रिप्ट को चलाने की आवश्यकता है। उदाहरण के लिए, हम हर दिन सुबह 6 बजे लॉन्च करेंगे।

फ़ाइल खोलें / संपादक में / etc / crontab खोलें :

 mcedit /opt/etc/crontab 

अंत में जोड़ें:

 00 06 * * * root /opt/bin/unblock_ipset.sh 

यदि आप चाहें, तो आप अन्य सभी टेम्पलेट कार्यों पर टिप्पणी कर सकते हैं। यहाँ क्या आपके crontab फ़ाइल की तरह दिखेगा:

12. नियमित DNS सर्वर को अक्षम करना और राउटर को रिबूट करना

"एसएसएच सर्वर" घटक को सिस्टम में जोड़ा जाता है तो कीनेटिक राउटर सीएलआई (टेलनेट के लिए पोर्ट 23 और एसएसएच के लिए 22) से कनेक्ट करें ।

कमांड चलाएँ:

 opkg dns-override system configuration save system reboot 

फर्मवेयर में निर्मित DNS सर्वर को बंद कर दिया जाएगा, और एंटवेयर से dnsmasq का उपयोग इसके बजाय किया जाएगा। राउटर, बूट पर, यह जांचता है कि ऑप्ट फ़ोल्डर माउंट किया गया है (क्या एंटरवेयर के साथ एक यूएसबी फ्लैश ड्राइव / ड्राइव है)। यदि है, तो एक नियमित DNS सर्वर का उपयोग नहीं किया जाता है। यदि नहीं, तो उपयोग करें। यानीफ्लैश ड्राइव को निकालना और राउटर को रिबूट करना, सब कुछ आपके लिए काम करेगा, जैसे पहले (सेट अप करने से पहले)।

रिबूट के बाद, अपने ब्राउज़र में check.torproject.org वेबसाइट खोलें (इसे अनब्लॉक.txt में जोड़ा जाना चाहिए)। यदि आपने सब कुछ सही ढंग से किया है, तो आप शिलालेख "बधाई" देखेंगे। यह ब्राउज़र Tor का उपयोग करने के लिए कॉन्फ़िगर किया गया है। ":

कॉन्फ़िगरेशन के बाद त्रुटियों के निदान के लिए बुनियादी तरीके

यदि साइट check.torproject.org (इसे अनब्लॉक.टैक्स में जोड़ा जाना चाहिए) के साथ चेक पास हो जाता है, लेकिन प्रदाता से स्टब अन्य संसाधनों के लिए खुला रहता है (या नहीं खुलता है), सबसे अधिक संभावना है कि प्रदाता DNS ट्रैफ़िक के साथ हस्तक्षेप करेगा, जवाब बदल देगा - आप आपको DNS क्वेरीज़ को फ़िल्टर करने का एक अतिरिक्त बायपास करने की आवश्यकता है।

यदि कॉन्फ़िगरेशन के बाद कुछ काम नहीं करता है जैसा कि इसे करना चाहिए, समस्या चरण को निर्धारित करने के लिए सरल कमांड का उपयोग करें।

अनब्लॉक सेट की सामग्री प्रदर्शित करें:

 ipset list unblock 

यदि सिस्टम रिपोर्ट करता है कि इस तरह के कोई सेट नहीं हैं, तो चरण 2 में त्रुटि है या आपने सिस्टम में नेटफिल्टर मॉड्यूल (कीनेटिक के मामले में) को सक्षम नहीं किया है।

यदि सेट खाली हो जाता है, तो अनब्लॉक_शिपसेट.श स्क्रिप्ट काम नहीं करती है, जिसे बदले में S99unblock start स्क्रिप्ट द्वारा शुरू किया जाना चाहिए। मैन्युअल रूप से इस अनब्लॉक_शिप स्क्रिप्ट को चलाएँ। यदि सेट भरा हुआ है, तो त्रुटि चरण 8 पर है। यदि स्क्रिप्ट को निष्पादित नहीं किया जा सकता है (सबसे अधिक संभावना है, यह google.com रिज़ॉल्यूशन की प्रतीक्षा कर रहा है), तो त्रुटि कहीं DNS सर्वर की तरफ है, संभवतः चरण 10 या 6 पर

। iptables में रीडायरेक्ट के लिए जाँच करें :

 iptables-save 2>/dev/null | grep unblock 

यदि यह नहीं है, तो त्रुटि चरण 9 पर है।

यदि सभी साइटें बिल्कुल भी काम नहीं करती हैं, अर्थात्। DNS काम नहीं करता है, त्रुटि कहीं चरण 6 या 10 में है। शायद, चरण 9 में।

यदि अनब्लॉक से सभी साइटें काम नहीं करती हैं। (समय समाप्त हो गया है) काम नहीं करती है, लेकिन अन्य सभी काम करते हैं, तो समस्या टोर की तरफ कहीं है, त्रुटि स्टेज 3 पर।

प्रदाता द्वारा DNS प्रश्नों को फ़िल्टर करने के लिए अतिरिक्त बाईपास

यदि कोई प्रदाता अवरुद्ध संसाधनों के लिए प्रतिक्रियाओं को प्रतिस्थापित करके DNS ट्रैफ़िक में हस्तक्षेप करता है, तो इसे प्राप्त करना बहुत आसान है। इसके लिए हम dnscrypt- प्रॉक्सी का उपयोग करेंगे। यदि आप चाहें और अनुभव करें, तो आप आसानी से dnscrypt को stubby (DNS over TLS) से बदल सकते हैं।

dnscrypt का उपयोग केवल अनवरोधित किए जाने वाले डोमेन में किया जाएगा। अन्य सभी क्वेरीज़ नियमित DNS सर्वरों से गुजरेंगी।

यदि आप सुनिश्चित हैं कि आपका प्रदाता DNS प्रश्नों को फ़िल्टर नहीं करता है, तो आपको यह अतिरिक्त कॉन्फ़िगरेशन करने की आवश्यकता नहीं है।

आपको पहले से ही ऊपर वर्णित ताले के बाईपास को कॉन्फ़िगर करना चाहिए। निम्नलिखित सेटिंग्स पडवन और कीनेटिक ओएस के लिए समान हैं।

राउटर पर अतिरिक्त सॉफ़्टवेयर स्थापित करें:

 opkg update opkg install dnscrypt-proxy2 

Dnscrypt- प्रॉक्सी कॉन्फ़िगरेशन फ़ाइल खोलें:

 mcedit /opt/etc/dnscrypt-proxy.toml 

Listen_addresses, fallback_resolver, कैश पैरामीटर खोजें और उन्हें बदलें:

 listen_addresses = ['127.0.0.1:9153'] fallback_resolver = '77.88.8.8:1253' cache = false 

77.88.8.8:1253 एक गैर-मानक पोर्ट के साथ यांडेक्स DNS सर्वर पता है। यह एक बैकअप है यदि dnscrypt- प्रॉक्सी में कोई समस्या है।

रन dnscrypt- प्रॉक्सी:

 /opt/etc/init.d/S09dnscrypt-proxy2 start 

सुनिश्चित करें कि dnscrypt- प्रॉक्सी काम कर रहा है (आपको प्रतिक्रिया में IP पतों की एक सूची देखनी चाहिए):

 dig +short google.com @localhost -p 9153 

स्क्रिप्ट खोलें / संपादक में /bin/unblock_ipset.sh खोलें :

 mcedit /opt/bin/unblock_ipset.sh 

सामग्री को इसके साथ बदलें:

 #!/bin/sh until ADDRS=$(dig +short google.com @localhost -p 9153) && [ -n "$ADDRS" ] > /dev/null 2>&1; do sleep 5; done while read line || [ -n "$line" ]; do [ -z "$line" ] && continue [ "${line:0:1}" = "#" ] && continue cidr=$(echo $line | grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/[0-9]{1,2}') if [ ! -z "$cidr" ]; then ipset -exist add unblock $cidr continue fi range=$(echo $line | grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}-[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}') if [ ! -z "$range" ]; then ipset -exist add unblock $range continue fi addr=$(echo $line | grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}') if [ ! -z "$addr" ]; then ipset -exist add unblock $addr continue fi dig +short $line @localhost -p 9153 | grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | awk '{system("ipset -exist add unblock "$1)}' done < /opt/etc/unblock.txt 

हमने एक छोटा परिवर्तन किया - अब हल करने के लिए खुदाई एक नियमित DNS सर्वर का उपयोग नहीं करता है, लेकिन पोर्ट 9153 के साथ dnscrypt -xy

। संपादक में /opt/bin/unblock_dnsmasq.sh स्क्रिप्ट खोलें :

 mcedit /opt/bin/unblock_dnsmasq.sh 

सामग्री को इसके साथ बदलें:

 #!/bin/sh cat /dev/null > /opt/etc/unblock.dnsmasq while read line || [ -n "$line" ]; do [ -z "$line" ] && continue [ "${line:0:1}" = "#" ] && continue echo $line | grep -Eq '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' && continue echo "ipset=/$line/unblock" >> /opt/etc/unblock.dnsmasq echo "server=/$line/127.0.0.1#9153" >> /opt/etc/unblock.dnsmasq done < /opt/etc/unblock.txt 

हमने एक छोटा सा परिवर्तन किया है - अब जब अनब्लॉक। डेटा फ़ाइल को जेनरेट किया जाता है, तो "सर्वर = / domain_name / 127.0.0.1 # 9153" जैसी अतिरिक्त लाइनें जोड़ी जाती हैं। इसका मतलब यह है कि सूची से डोमेन को हल करना dnscrypt- प्रॉक्सी के माध्यम से होगा।

अनब्लॉक_अपडेट चलाएं:

 unblock_update.sh 

हो गया।सभी जटिल सेटिंग्स पीछे हैं। अब आप केवल अनब्लॉक.टैक्स सूची को संपादित करेंगे, यदि आवश्यक हो, तो इसमें से अनलॉक करने के लिए डोमेन या आईपी पते जोड़ सकते हैं या हटा सकते हैं, और अनब्लॉक_अपडेट कमांड के साथ किए गए परिवर्तनों को सक्रिय कर सकते हैं।

UPDATE 04/01/2019 । अक्सर विशिष्ट सवालों के साथ लेख पर व्यक्तिगत संदेश आते हैं। मैं यहां सबसे आम जवाब दूंगा।

उपलब्ध .onion डोमेन ज़ोन साइटों को कैसे उपलब्ध करें?

Torrc add में:

 VirtualAddrNetwork 10.254.0.0/16 DNSPort 127.0.0.1:9053 AutomapHostsOnResolve 1 

प्याज क्षेत्र के सभी डोमेन तक पहुँचने के लिए dnsmasq.conf जोड़ें:

 server=/onion/127.0.0.1#9053 ipset=/onion/unblock 

यदि आप प्याज क्षेत्र के सभी डोमेन तक नहीं पहुंचना चाहते हैं, लेकिन केवल विशिष्ट लोगों के लिए, तो dnsmasq.conf में निम्न प्रविष्टियाँ जोड़ें:

 server=/rutorc6mqdinc4cz.onion/127.0.0.1#9053 ipset=/rutorc6mqdinc4cz.onion/unblock server=/nnmclub5toro7u65.onion/127.0.0.1#9053 ipset=/nnmclub5toro7u65.onion/unblock server=/flibustahezeous3.onion/127.0.0.1#9053 ipset=/flibustahezeous3.onion/unblock 

एक राउटर पर चलने वाले वीपीएन सर्वर के ग्राहकों के लिए ताले को कैसे बायपास करें?

Torrc में, TransPort के साथ लाइन को बदलें:

 TransPort 0.0.0.0:9141 

आवश्यक इंटरफ़ेस (INTERFACE - VPN नेटवर्क इंटरफ़ेस) के साथ एक अतिरिक्त रीडायरेक्ट जोड़ें:

 iptables -t nat -A PREROUTING -i  -p tcp -m set --match-set unblock dst -j REDIRECT --to-port 9141