विषय चित्र से बाहर है, मुझे पता है। उदाहरण के लिए, एक उत्कृष्ट लेख है , लेकिन ब्लॉकलिस्ट के केवल आईपी भाग को वहां माना जाता है। हम डोमेन भी जोड़ेंगे।

इस तथ्य के कारण कि अदालतें और आईएलवी सब कुछ दाएं और बाएं अवरुद्ध करते हैं, और प्रदाता "रेविज़ोरो" द्वारा जारी किए गए जुर्माना के तहत नहीं गिरने की कोशिश कर रहे हैं - ताले से जुड़े नुकसान काफी बड़े हैं। हां, और "कानूनी रूप से" अवरुद्ध साइटों के बीच कई उपयोगी हैं (हैलो, रट्रैकर)

मैं ILV के अधिकार क्षेत्र से बाहर रहता हूं, लेकिन मेरे माता-पिता, रिश्तेदार और दोस्त घर पर ही रहते हैं। इसलिए ताले को दरकिनार करने का एक तरीका तय किया गया, जो आईटी से उन लोगों के लिए आसान है, जो उनकी भागीदारी के बिना बेहतर है।

इस लेख में, मैं चरणों में बुनियादी नेटवर्क चीजों का वर्णन नहीं करूंगा, लेकिन इस योजना को कैसे लागू किया जा सकता है, इसके सामान्य सिद्धांतों का वर्णन करें। तो नेटवर्क सामान्य रूप से और विशेष रूप से लिनक्स में कैसे काम करता है, इसका ज्ञान होना आवश्यक है।

ताले के प्रकार

पहले, जो अवरुद्ध है उसे ताज़ा करें।

ILV से पृष्ठांकित XML में कई प्रकार के ताले हैं:

आईपी
डोमेन
यूआरएल

सादगी के लिए, हम उन्हें दो तक कम कर देंगे: आईपी और डोमेन, और हम बस डोमेन को यूआरएल ब्लॉकिंग से बाहर खींच लेंगे (अधिक सटीक रूप से, हमने पहले ही हमारे लिए यह कर दिया है)।

Roskomsvoboda के अच्छे लोगों ने एक अद्भुत API लागू किया है जिसके माध्यम से हम वह प्राप्त कर सकते हैं जो हमें चाहिए:

आईपी: https://api.reserve-rbl.ru/api/v2/ips/json
डोमेन: https://api.reserve-rbl.ru/api/v2/domains/json

अवरुद्ध साइटों तक पहुंचें

ऐसा करने के लिए, हमें कुछ छोटे विदेशी वीपीएस की आवश्यकता है, अधिमानतः असीमित यातायात के साथ - ऐसे कई 3-5 रुपये हैं। आपको इसे विदेश में निकट में ले जाने की आवश्यकता है ताकि पिंग बहुत बड़ा न हो, लेकिन फिर से ध्यान रखें कि इंटरनेट और भूगोल हमेशा मेल नहीं खाते हैं। और चूंकि 5 रुपये के लिए कोई SLA नहीं है, इसलिए दोष सहिष्णुता के लिए विभिन्न प्रदाताओं से 2+ टुकड़े लेना बेहतर है।

अगला, हमें क्लाइंट राउटर से वीपीएस में एन्क्रिप्टेड सुरंग को कॉन्फ़िगर करने की आवश्यकता है। मैं वायरगार्ड का उपयोग सबसे तेज़ और आसानी से कॉन्फ़िगर करने के लिए करता हूं मेरे पास लिनक्स ( APU2 या OpenWRT पर कुछ) के आधार पर क्लाइंट राउटर भी हैं। कुछ मिकरोटिक / सिस्को के मामले में, आप उन पर उपलब्ध प्रोटोकॉल का उपयोग कर सकते हैं जैसे ओपनवीपीएन और जीआरई-ओवर-आईपीएसईसी।

ब्याज की यातायात की पहचान और पुनर्निर्देशन

बेशक, आप पूरी तरह से विदेशों में इंटरनेट ट्रैफिक को लपेट सकते हैं। लेकिन, सबसे अधिक संभावना है, स्थानीय सामग्री के साथ काम करने की गति को इससे बहुत नुकसान होगा। साथ ही, VPS पर बैंडविड्थ की आवश्यकताएं बहुत अधिक होंगी।

इसलिए, हमें किसी तरह अवरुद्ध साइटों को ट्रैफ़िक आवंटित करना होगा और चुनिंदा रूप से इसे सुरंग में भेजना होगा। यहां तक कि अगर "अतिरिक्त" ट्रैफ़िक का कुछ हिस्सा वहां मिलता है, तो यह अभी भी सुरंग के माध्यम से सब कुछ चलाने से बेहतर है।

ट्रैफ़िक का प्रबंधन करने के लिए, हम बीजीपी प्रोटोकॉल का उपयोग करेंगे और अपने वीपीएस से क्लाइंट्स तक आवश्यक नेटवर्क की घोषणा करेंगे। बीजीपी डेमन के रूप में, आइए BIRD लेते हैं, सबसे कार्यात्मक और सुविधाजनक में से एक के रूप में।

आईपी

IP अवरोधन के साथ, सब कुछ स्पष्ट है: हम बस VPS के साथ सभी अवरुद्ध IP की घोषणा करते हैं। समस्या यह है कि एपीआई जो सूची देता है, उसमें लगभग 600 हजार सबनेट होते हैं और उनमें से अधिकांश बहुमत / 32 होस्ट होते हैं। कमजोर ग्राहक राउटर के लिए इस तरह के कई मार्ग भ्रामक हो सकते हैं।

इसलिए, सूची को संसाधित करते समय नेटवर्क / 24 को सारांशित करने का निर्णय लिया गया था यदि इसमें 2 या अधिक होस्ट हैं। इस प्रकार, मार्गों की संख्या को घटाकर ~ 100 हजार कर दिया गया। इसके लिए स्क्रिप्ट अगली होगी।

डोमेन

यह अधिक जटिल है और इसके कई तरीके हैं। उदाहरण के लिए, आप प्रत्येक क्लाइंट राउटर पर पारदर्शी स्क्विड रख सकते हैं और HTTP इंटरसेप्शन कर सकते हैं और पहले मामले में अनुरोधित URL और दूसरे में SNI से डोमेन प्राप्त करने के लिए TLS हैंडशेक में झाँक सकते हैं।

लेकिन सभी newfangled TLS1.3 + eSNI के कारण, HTTPS विश्लेषण हर दिन कम और वास्तविक होता जा रहा है। और ग्राहक पक्ष पर बुनियादी ढांचा अधिक जटिल होता जा रहा है - आपको कम से कम OpenWRT का उपयोग करना होगा।

इसलिए, मैंने DNS प्रश्नों के लिए अवरोधन प्रतिक्रियाओं का मार्ग अपनाने का निर्णय लिया। यहां भी, कोई भी DNS-over-TLS / HTTPS हमारे सिर के ऊपर चढ़ना शुरू होता है, लेकिन हम (अभी के लिए) क्लाइंट पर इस हिस्से को नियंत्रित कर सकते हैं - या तो इसे अक्षम करें या DoT / DoH के लिए हमारे अपने सर्वर का उपयोग करें।

DNS को कैसे इंटरसेप्ट करें?

कई दृष्टिकोण भी हो सकते हैं।

PCAP या NFLOG के माध्यम से DNS ट्रैफ़िक का अवरोधन
इन दोनों अवरोधन विधियों को साइडमाट उपयोगिता में लागू किया गया है। लेकिन यह लंबे समय से समर्थित नहीं है और कार्यक्षमता बहुत ही आदिम है, इसलिए आपको इसे वैसे भी एक बंधन लिखने की आवश्यकता है।
DNS सर्वर लॉग विश्लेषण
दुर्भाग्य से, मुझे पता है कि पुनरावर्ती को पता नहीं है कि उत्तर कैसे लॉग करें, लेकिन केवल अनुरोध। सिद्धांत रूप में, यह तर्कसंगत है, क्योंकि अनुरोधों के विपरीत, उत्तरों में एक जटिल संरचना होती है और उन्हें पाठ रूप में लिखना मुश्किल होता है।
DNSTap
सौभाग्य से, उनमें से कई पहले से ही इन उद्देश्यों के लिए DNSTap का समर्थन करते हैं।

DNSTap क्या है?

यह एक क्लाइंट-सर्वर प्रोटोकॉल है जो DNS सर्वर से संरचित DNS प्रश्नों और प्रतिक्रियाओं के कलेक्टर को स्थानांतरित करने के लिए प्रोटोकॉल बफ़र्स और फ़्रेम स्ट्रीम पर आधारित है। संक्षेप में, DNS सर्वर अनुरोधों और प्रतिक्रियाओं (संदेश प्रकार, क्लाइंट / सर्वर आईपी, और इतने पर) के प्लस (बाइनरी) में पूर्ण डीएनएस संदेशों को प्रसारित करता है जिसमें यह नेटवर्क पर उनके साथ काम करता है।

यह समझना महत्वपूर्ण है कि DNSTap प्रतिमान में, DNS सर्वर क्लाइंट के रूप में कार्य करता है, और कलेक्टर सर्वर के रूप में। यही है, DNS सर्वर कलेक्टर से जोड़ता है, और इसके विपरीत नहीं।

आज DNSTap सभी लोकप्रिय DNS सर्वरों में समर्थित है। लेकिन, उदाहरण के लिए, कई वितरणों में (जैसे कि उबंटू एलटीएस) अक्सर बिना किसी कारण के समर्थन के लिए बनाया जाता है। इसलिए हम पुनर्निर्माण को परेशान नहीं करेंगे, लेकिन एक हल्का और तेज पुनरावर्ती लें - अनबाउंड।

DNSTap कैसे पकड़ें?

DNSTap घटनाओं की एक धारा के साथ काम करने के लिए कई सीएलआई उपयोगिताओं हैं, लेकिन वे हमारे कार्य के लिए अच्छी तरह से काम नहीं करते हैं। इसलिए मैंने अपनी खुद की बाइक का आविष्कार करने का फैसला किया, जो कुछ भी करेगी: dnstap-bgp

ऑपरेशन एल्गोरिथ्म:

जब लॉन्च किया जाता है, तो यह एक टेक्स्ट फ़ाइल से डोमेन की एक सूची को लोड करता है, उन्हें निष्क्रिय कर देता है (habr.com -> com.habr), टूटी हुई रेखाओं, डुप्लिकेट और सबडोमेन को बाहर करता है (यानी अगर habr.com और www.habr.com सूची में हैं - तो यह लोड हो जाएगा केवल पहले एक) और इस सूची पर त्वरित खोज के लिए एक उपसर्ग वृक्ष बनाता है
DNSTap सर्वर के रूप में कार्य करना, यह DNS सर्वर से कनेक्शन की प्रतीक्षा करता है। सिद्धांत रूप में, यह यूनिक्स और टीसीपी सॉकेट्स दोनों का समर्थन करता है, लेकिन मुझे पता है कि डीएनएस सर्वर केवल यूनिक्स सॉकेट्स का उपयोग कर सकते हैं
आने वाले DNSTap पैकेट को पहले प्रोटोबुफ़ संरचना में निष्क्रिय कर दिया जाता है, और फिर बाइनरी DNS संदेश स्वयं, प्रोटोबुफ़ फ़ील्ड में स्थित होता है, जिसे DNS RR रिकॉर्ड के स्तर पर पार्स किया जाता है
अनुरोधित होस्ट (या उसके मूल डोमेन) लोड की गई सूची में है या नहीं, यह जांचता है, यदि नहीं, तो प्रतिक्रिया को अनदेखा कर दिया जाता है
केवल A / AAAA / CNAME RR को प्रतिक्रिया से चुना जाता है और संबंधित IPv4 / IPv6 पते उनसे खींचे जाते हैं
आईपी पते कस्टम टीटीएल के साथ कैश किए जाते हैं और सभी कॉन्फ़िगर किए गए बीजीपी साथियों को विज्ञापित किए जाते हैं
एक पहले से ही कैश्ड आईपी को इंगित करने वाली प्रतिक्रिया मिलने पर - इसका टीटीएल अपडेट किया जाता है
TTL समाप्ति के बाद, रिकॉर्ड कैश से और BGP घोषणाओं से हटा दिया जाता है

अतिरिक्त कार्यक्षमता:

SIGHUP द्वारा डोमेन सूची को फिर से जोड़ना
HTTP / JSON के माध्यम से अन्य dnstap-bgp उदाहरणों के साथ कैश को सिंक्रनाइज़ करना
पुनरारंभ होने के बाद इसकी सामग्री को पुनर्स्थापित करने के लिए डिस्क पर बोल्ट (बोल्टडीडीबी डेटाबेस में) का दोहराव
एक अलग नेटवर्क नेमस्पेस पर स्विच करने के लिए समर्थन (यह नीचे क्यों वर्णित किया जाएगा)
IPv6 सपोर्ट

प्रतिबंध:

IDN डोमेन अभी तक समर्थित नहीं है
कुछ बीजीपी सेटिंग्स

मैंने आसान स्थापना के लिए RPM और DEB संकुल संकलित किया है। सिस्टमैड के साथ सभी अपेक्षाकृत हाल के ओएस पर काम करना चाहिए, जैसा कि उनकी कोई निर्भरता नहीं है।

योजना

तो, चलो सभी घटकों को एक साथ इकट्ठा करना शुरू करते हैं। नतीजतन, हमें इस नेटवर्क टोपोलॉजी जैसा कुछ मिलना चाहिए:

काम का तर्क, मुझे लगता है, आरेख से स्पष्ट है:

क्लाइंट के पास हमारा सर्वर DNS के रूप में कॉन्फ़िगर किया गया है, और DNS प्रश्नों को भी वीपीएन के माध्यम से जाना चाहिए। यह आवश्यक है ताकि प्रदाता डीएनएस अवरोधन का उपयोग ब्लॉक करने के लिए न कर सके।
जब साइट खोली जाती है, तो क्लाइंट फॉर्म का एक DNS क्वेरी "IPs के पास xxx.org क्या है?"
अनबाउंड xxx.org को हल करता है (या इसे कैश से लेता है) और क्लाइंट को एक प्रतिक्रिया भेजता है "xxx.org में ऐसे और ऐसे आईपी" हैं, जो इसे डीएनएसटीएपी के माध्यम से समानांतर में डुप्लिकेट करता है
यदि डोमेन अवरुद्ध की सूची में है, तो dnstap-bgp बीजीडी द्वारा BIRD में इन पतों की घोषणा करता है
BIRD ने ग्राहक राउटर के next-hop self साथ इन आईपी के लिए मार्ग की घोषणा की
ग्राहक से इन IP के बाद के पैकेट सुरंग से गुजरते हैं

सर्वर पर, अवरुद्ध साइटों के मार्गों के लिए, मेरे पास BIRD के अंदर एक अलग तालिका है और यह ओएस के साथ प्रतिच्छेद नहीं करता है।

इस योजना में एक खामी है: ग्राहक से पहला SYN पैकेट घरेलू प्रदाता के माध्यम से छोड़ने के लिए सबसे अधिक समय होगा। मार्ग की तुरंत घोषणा नहीं की गई है। और यहां विकल्प संभव है कि प्रदाता लॉक कैसे करता है, इस पर निर्भर करता है। अगर वह सिर्फ ट्रैफिक गिराता है, तो कोई समस्या नहीं है। और अगर वह इसे कुछ डीपीआई पर पुनर्निर्देशित करता है, तो (सैद्धांतिक रूप से) विशेष प्रभाव संभव है।

DNS टीटीएल का अवलोकन न करने वाले ग्राहकों के साथ चमत्कार भी संभव है, जो क्लाइंट को अनबाउंड पूछने के बजाय अपने सड़े हुए कैश से कुछ पुरानी प्रविष्टियों का उपयोग कर सकते हैं।

व्यवहार में, न तो पहले और न ही दूसरे ने मुझे समस्याएं दीं, लेकिन आपका लाभ भिन्न हो सकता है।

सर्वर सेटअप

रोलिंग में आसानी के लिए, मैंने अन्सिबल के लिए एक भूमिका लिखी । यह दोनों सर्वर और लिनक्स-आधारित क्लाइंट (डिबेट-आधारित वितरण के लिए डिज़ाइन किया गया) को कॉन्फ़िगर कर सकता है। सभी सेटिंग्स काफी स्पष्ट हैं और इन्वेंट्री में सेट हैं। यह भूमिका मेरी बड़ी प्लेबुक से कटी है, इसलिए इसमें त्रुटियां हो सकती हैं - अनुरोधों का स्वागत करें :)

मुख्य घटकों के माध्यम से चलते हैं।

BGP

जब एक ही होस्ट पर दो बीजीपी डेमन लॉन्च करते हैं, तो एक मूलभूत समस्या उत्पन्न होती है: बीआईआरडी एक स्थानीयहोस्ट (या किसी स्थानीय इंटरफ़ेस) के साथ बीजीपी peering को उठाना नहीं चाहता है। शब्द से बिल्कुल। Googling और मेलिंग-सूचियों को पढ़ने से मदद नहीं मिली, वे दावा करते हैं कि यह डिजाइन द्वारा है। शायद कोई रास्ता है, लेकिन मुझे नहीं मिला।

आप एक और बीजीपी डेमन की कोशिश कर सकते हैं, लेकिन मुझे बीआईआरडी पसंद है और इसका उपयोग मेरे साथ हर जगह किया जाता है, मैं संस्थाओं का उत्पादन नहीं करना चाहता।

इसलिए, मैंने dnstap-bgp को नेटवर्क नेमस्पेस के अंदर छिपा दिया, जो कि वेन्थ इंटरफेस के माध्यम से रूट से जुड़ा है: यह एक पाइप की तरह है, जिसके सिरे अलग-अलग नेमस्पेस में चिपके रहते हैं। इनमें से प्रत्येक छोर पर हम निजी पी 2 पी आईपी पते लटकाते हैं जो मेजबान के बाहर नहीं जाते हैं, इसलिए वे कोई भी हो सकते हैं। यह वही तंत्र है जिसका उपयोग प्यारे डोकर और अन्य कंटेनरों के अंदर प्रक्रियाओं तक पहुंचने के लिए किया जाता है।

इसके लिए, एक स्क्रिप्ट लिखी गई थी और dnstap-bgp में ऊपर वर्णित कार्यक्षमता को बालों द्वारा दूसरे नामस्थान में खींचने के लिए जोड़ा गया था। इस वजह से, इसे रूट के रूप में चलाया जाना चाहिए या सेट किए गए कमांड के माध्यम से CAP_SYS_ADMIN बाइनरी पर वापस लौटना चाहिए।

नाम स्थान बनाने के लिए उदाहरण स्क्रिप्ट

 #!/bin/bash NS="dtap" IP="/sbin/ip" IPNS="$IP netns exec $NS $IP" IF_R="veth-$NS-r" IF_NS="veth-$NS-ns" IP_R="192.168.149.1" IP_NS="192.168.149.2" /bin/systemctl stop dnstap-bgp || true $IP netns del $NS > /dev/null 2>&1 $IP netns add $NS $IP link add $IF_R type veth peer name $IF_NS $IP link set $IF_NS netns $NS $IP addr add $IP_R remote $IP_NS dev $IF_R $IP link set $IF_R up $IPNS addr add $IP_NS remote $IP_R dev $IF_NS $IPNS link set $IF_NS up /bin/systemctl start dnstap-bgp

dnstap-bgp.conf

 namespace = "dtap" domains = "/var/cache/rkn_domains.txt" ttl = "168h" [dnstap] listen = "/tmp/dnstap.sock" perm = "0666" [bgp] as = 65000 routerid = "192.168.149.2" peers = [ "192.168.149.1", ]

bird.conf

 router id 192.168.1.1; table rkn; # Clients protocol bgp bgp_client1 { table rkn; local as 65000; neighbor 192.168.1.2 as 65000; direct; bfd on; next hop self; graceful restart; graceful restart time 60; export all; import none; } # DNSTap-BGP protocol bgp bgp_dnstap { table rkn; local as 65000; neighbor 192.168.149.2 as 65000; direct; passive on; rr client; import all; export none; } # Static routes list protocol static static_rkn { table rkn; include "rkn_routes.list"; import all; export none; }

rkn_routes.list

 route 3.226.79.85/32 via "ens3"; route 18.236.189.0/24 via "ens3"; route 3.224.21.0/24 via "ens3"; ...

डीएनएस

डिफ़ॉल्ट रूप से, उबंटू में, अनबाउंड बाइनरी को AppArmor प्रोफाइल द्वारा क्लैंप किया जाता है, जो इसे वहां किसी भी DNSTap सॉकेट से कनेक्ट करने से रोकता है। आप इस प्रोफ़ाइल को हटा सकते हैं या इसे अक्षम कर सकते हैं:

 # cd /etc/apparmor.d/disable && ln -s ../usr.sbin.unbound . # apparmor_parser -R /etc/apparmor.d/usr.sbin.unbound

इसे संभवतः प्लेबुक में जोड़ा जाना चाहिए। यह आदर्श है, बेशक, प्रोफ़ाइल को सही करने और आवश्यक अधिकार जारी करने के लिए, लेकिन मैं बहुत आलसी था।

unbound.conf

 server: chroot: "" port: 53 interface: 0.0.0.0 root-hints: "/var/lib/unbound/named.root" auto-trust-anchor-file: "/var/lib/unbound/root.key" access-control: 192.168.0.0/16 allow remote-control: control-enable: yes control-use-cert: no dnstap: dnstap-enable: yes dnstap-socket-path: "/tmp/dnstap.sock" dnstap-send-identity: no dnstap-send-version: no dnstap-log-client-response-messages: yes

डाउनलोड और सूची प्रसंस्करण

IP पते की सूची डाउनलोड करने और संसाधित करने के लिए स्क्रिप्ट
यह सूची डाउनलोड करता है, pfx उपसर्ग से पहले सारांशित करता है। NOT_add और NOT_summarize में, आप IP और नेटवर्क्स को सारांशित करने के लिए छोड़ सकते हैं या नहीं बता सकते हैं। मुझे इसकी आवश्यकता थी क्योंकि मेरा VPS सबनेट ब्लॉकलिस्ट में था :)

मजेदार बात यह है कि RosKomSvoboda एपीआई डिफ़ॉल्ट पायथन उपयोगकर्ता एजेंट के साथ अनुरोध करता है। लगता है जैसे स्क्रिप्ट किडनी मिल गई। इसलिए, हम इसे फायरलीस में बदलते हैं।

अब तक, यह केवल IPv4 के साथ काम करता है क्योंकि IPv6 छोटा है, लेकिन इसे ठीक करना आसान होगा। जब तक कि बर्ड 6 का भी उपयोग करना आवश्यक है।

rkn.py

 #!/usr/bin/python3 import json, urllib.request, ipaddress as ipa url = 'https://api.reserve-rbl.ru/api/v2/ips/json' pfx = '24' dont_summarize = { # ipa.IPv4Network('1.1.1.0/24'), } dont_add = { # ipa.IPv4Address('1.1.1.1'), } req = urllib.request.Request( url, data=None, headers={ 'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.47 Safari/537.36' } ) f = urllib.request.urlopen(req) ips = json.loads(f.read().decode('utf-8')) prefix32 = ipa.IPv4Address('255.255.255.255') r = {} for i in ips: ip = ipa.ip_network(i) if not isinstance(ip, ipa.IPv4Network): continue addr = ip.network_address if addr in dont_add: continue m = ip.netmask if m != prefix32: r[m] = [addr, 1] continue sn = ipa.IPv4Network(str(addr) + '/' + pfx, strict=False) if sn in dont_summarize: tgt = addr else: tgt = sn if not sn in r: r[tgt] = [addr, 1] else: r[tgt][1] += 1 o = [] for n, v in r.items(): if v[1] == 1: o.append(str(v[0]) + '/32') else: o.append(n) for k in o: print(k)

अद्यतन करने के लिए स्क्रिप्ट
यह दिन में एक बार मेरे मुकुट पर शुरू होता है, शायद यह हर 4 घंटे में इसे खींचने के लायक है, क्योंकि यह, मेरी राय में, अद्यतन अवधि है कि ILV को प्रदाताओं से आवश्यकता होती है। इसके अलावा, कुछ अन्य अति आवश्यक ताले हैं जो तेजी से उड़ सकते हैं।

निम्नलिखित कार्य करता है:

पहली स्क्रिप्ट चलाता है और BIRD के लिए रूट सूची ( rkn_routes.list ) को अपडेट करता है
पुनः लोड करें
अद्यतन और dnstap-bgp के लिए डोमेन सूची को साफ करता है
Dnstap-bgp को स्थानांतरित करें

rkn_update.sh

 #!/bin/bash ROUTES="/etc/bird/rkn_routes.list" DOMAINS="/var/cache/rkn_domains.txt" # Get & summarize routes /opt/rkn.py | sed 's/\(.*\)/route \1 via "ens3";/' > $ROUTES.new if [ $? -ne 0 ]; then rm -f $ROUTES.new echo "Unable to download RKN routes" exit 1 fi if [ -e $ROUTES ]; then mv $ROUTES $ROUTES.old fi mv $ROUTES.new $ROUTES /bin/systemctl try-reload-or-restart bird # Get domains curl -s https://api.reserve-rbl.ru/api/v2/domains/json -o - | jq -r '.[]' | sed 's/^\*\.//' | sort | uniq > $DOMAINS.new if [ $? -ne 0 ]; then rm -f $DOMAINS.new echo "Unable to download RKN domains" exit 1 fi if [ -e $DOMAINS ]; then mv $DOMAINS $DOMAINS.old fi mv $DOMAINS.new $DOMAINS /bin/systemctl try-reload-or-restart dnstap-bgp

वे बहुत अधिक विचार के बिना लिखे गए थे, इसलिए यदि आप देखते हैं कि क्या सुधार किया जा सकता है, तो इसके लिए जाएं।

क्लाइंट सेटअप

यहां मैं लिनक्स राउटर्स के लिए उदाहरण दूंगा, लेकिन मिकरोटिक / सिस्को के मामले में यह और भी सरल होना चाहिए।

सबसे पहले, BIRD कॉन्फ़िगर करें:

bird.conf

 router id 192.168.1.2; table rkn; protocol device { scan time 10; }; # Servers protocol bgp bgp_server1 { table rkn; local as 65000; neighbor 192.168.1.1 as 65000; direct; bfd on; next hop self; graceful restart; graceful restart time 60; rr client; export none; import all; } protocol kernel { table rkn; kernel table 222; scan time 10; export all; import none; }

इस प्रकार, हम कर्नेल राउटिंग टेबल नंबर 222 के साथ बीजीपी से प्राप्त मार्गों को सिंक्रनाइज़ करेंगे।

उसके बाद, यह कर्नेल को डिफ़ॉल्ट देखने से पहले इस प्लेट को देखने के लिए कहने के लिए पर्याप्त है:

 # ip rule add from all pref 256 lookup 222 # ip rule 0: from all lookup local 256: from all lookup 222 32766: from all lookup main 32767: from all lookup default

जो कुछ भी शेष है वह राउटर पर डीएचसीपी को कॉन्फ़िगर करना है ताकि सर्वर के सुरंग आईपी पते को डीएनएस के रूप में वितरित किया जा सके और योजना तैयार हो।

कमियों

डोमेन की सूची बनाने और संसाधित करने के लिए वर्तमान एल्गोरिथ्म के साथ, youtube.com और इसके CDN इसमें आते हैं।

और यह इस तथ्य की ओर जाता है कि सभी वीडियो वीपीएन के माध्यम से जाएंगे, जो पूरे चैनल को रोक सकते हैं। शायद यह उन लोकप्रिय अपवाद डोमेन की सूची को संकलित करने के लायक है जो ILV में इस समय अवरुद्ध हैं। और उन्हें पार्स करते समय छोड़ दें।

निष्कर्ष

वर्णित विधि आपको लगभग किसी भी ताले को बायपास करने की अनुमति देती है जो प्रदाता वर्तमान में लागू करते हैं।

सिद्धांत रूप में, dnstap-bgp का उपयोग किसी अन्य उद्देश्य के लिए किया जा सकता है जहां एक डोमेन नाम के आधार पर ट्रैफ़िक नियंत्रण का एक निश्चित स्तर आवश्यक है। बस यह ध्यान रखें कि आजकल एक हजार साइटें एक ही आईपी पते (कुछ क्लाउडफ्लेयर के लिए, उदाहरण के लिए) पर लटका सकती हैं, इसलिए इस पद्धति में कम सटीकता है।

लेकिन ताले को दरकिनार करने की जरूरतों के लिए, यह काफी पर्याप्त है।

परिवर्धन, संपादन, पुल-क्वैस्ट का स्वागत है!

DNSTap और BGP के साथ ILV लॉक को बायपास करें