O artigo descreve uma maneira de obter acesso a recursos erroneamente abrangidos pela distribuição de pães por Roskomnadzor (daqui em diante RKN). É pego por engano. Somos cidadãos cumpridores da lei e não vamos aonde nossas agências governamentais nos proíbem. Portanto, se você de repente decidir usar o método para acessar algum tipo de recurso bloqueado "legalmente", a dura espada da justiça provavelmente voará acima de sua cabeça e eu não sou o culpado por isso, porque agora eu o avisei!
O problema surgiu inesperadamente quando nosso escritório central mudou-se para outro local e, como resultado, mudou o provedor. Os funcionários em massa começaram a reclamar comigo de que não podem acessar os sites aos quais tinham acesso anteriormente. Ao mesmo tempo, em nossos outros escritórios de outros fornecedores, os sites ainda estavam disponíveis.
Por algum tempo, devido ao incômodo da mudança, eu ignorei o problema, mas quando o departamento de contabilidade começou a reclamar (você também tem o departamento de contabilidade em primeiro lugar após a administração da empresa?), Tive que resolver o problema.
Primeiro de tudo, a suspeita recaiu sobre problemas com MTU e MSS. Mas com eles, felizmente, tudo acabou em ordem. Eu atingi um domínio do problema com base no ILV, também OK, o domínio está limpo. Abri o site através dos gateways de outras filiais (3 fornecedores diferentes), ele abre. Mas através do nosso provedor para o domínio IP, mesmo pings não vão. E então imaginei romper o domínio do problema de IP do ILV. Você já adivinhou que o IP estava no banco de dados?
Mas onde, então, há um redirecionamento para uma página indicando que esse recurso está bloqueado etc. etc., você pergunta. E eu perguntei. No começo, eu realmente tentei abrir vários sites onde antes, quando era possível, estávamos todos procurando algo para ver ou baixar. E certificando-me de que não há avisos sobre o bloqueio nesses sites, liguei para o provedor.
O provedor me ouviu, admitiu que há um problema, mas não há avisos.
Eu simpatizava com a minha situação, mas me recusava a corrigir alguma coisa. Assim, cumprimos o requisito de bloqueio, mas não há requisitos de notificação. No qual dissemos adeus.
É claro que eu tinha vontade de lutar com o provedor, mas a preguiça e a falta de tempo livre pressionavam esse desejo profundamente. Sobre o mesmo lugar em que enviei um provedor com a Internet no coração, para onde o sol não brilha.
O problema teve que ser resolvido de alguma maneira. Nossa empresa usa o Mikrotiki como gateways-roteadores, não importa quais, o roteador do sistema operacional é o mesmo para todos. Tendo vasculhado Habré, encontrei alguns artigos sobre como contornar bloqueios de ILV, gerando e carregando o banco de dados de ILV no Mikrotik. Ao mesmo tempo, o roteamento bloqueou o tráfego para os gateways onde não há bloqueios. Por uma questão de interesse, tentei este método. Funciona, mas não combina.
Primeiramente, o volume base de 60.000 ip (no início do verão de 2019) levou meu Mikrotik a um coma profundo. O roteador CHR OS com uma grande capacidade de memória e vários núcleos parecia um pouco melhor, mas deixou claro que, com uma atitude tão consciente da ILV em relação às suas tarefas, não duraria muito.
Em segundo lugar, foi obtido acesso a todos os recursos bloqueados, incluindo aqueles que foram bloqueados por motivos "legais". Que eu, como cidadão cumpridor da lei, também não me convinha.
Mas a própria idéia de direcionar o tráfego para sites permitidos através dos gateways onde não está bloqueado está em minha mente.
O que podemos fazer por isso?
A primeira coisa que vem à mente é descobrir o ip do recurso e determinar o gateway para ele no roteamento para ele. Não é uma opção, um recurso pode ter vários ip e eles podem mudar, às vezes com frequência. Cansado de adicionar.
O segundo é analisar o IP usando a Camada 7 no firewall, inserindo-os na lista de endereços. Já é melhor, mas a Camada 7 tem um recurso desagradável. Se existem várias regras, ele começa a se relacionar com os recursos do processador da mesma maneira que algumas esposas se relacionam com o salário do marido. Como resultado, brigas, escândalos e outros problemas começam na família.
Direcionar todo o tráfego através do gateway remoto também é prejudicial.
Felizmente, na MUM de setembro, um dos palestrantes revelou um segredo terrível. Acontece que o Mikrotiki aprendeu por algum tempo a analisar um domínio IP diretamente de seu nome na folha de endereços, adicionando IP à mesma folha! Armado com as informações que recebi, finalmente resolvi o problema.
Abaixo está um exemplo de solução:
1. Criamos no firewall a folha de endereços com o domínio desejado.
2. No Firewall \ Mangle, crie uma regra, cadeia: pré-roteamento, avançado: lista Dst.Address = o nome da nossa planilha, ação: marcar roteamento, Nova marca de roteamento = nome da marca
3. Vamos para IP \ Routes. Crie uma nova rota padrão. Endereço Dst = 0.0.0.0 / 0, Gateway = IP do gateway, Marca de roteamento = Sua marca
Só isso. Agora seu Mikrotik irá analisar o ip do domínio desejado na planilha de endereços que você criou, marcar as rotas para este ip e enviá-las através do gateway que você precisa. Você tem um gateway de backup? Sorriso
Foi feito no firmware 6.45.5
Obrigado pela atenção.