LINUX.ORG.RU
ФорумAdmin

условный роутинг трафика?

 , ,


2

4

В связи с обострением сетевых войн в полный рост встает вопрос организации сети прокси серверов в разных странах для обеспечения доступа к оным из сети.

Естественно, таких прокси серверов должно быть чем больше, тем лучше и в разных странах, но эта задача более менее решаема стандартными средствами.

Впорос в том, как обеспечить направление трафика с роутера на эти прокси в зависимости от того, куда идет трафик, и находится ли он в списке заблоченых роскомнадзором.

Может кто знает такой софт, который стоя на роутере сверяет по базе данных пункт назначения и если он есть в списке запретов, направлет его через прозрачный сокс5-прокси в соответствии с правилами?

★★★★★

юзай antidpi правила.
А по теме - правило iptables которое загонит нужные тебе подсети в прокси

mittorn ★★★★★
()
Ответ на: комментарий от mittorn

Не, суть задачи в том, что этих подсетей миллионы. Загонять в iptables сотни-тысячи правил не вариант. Должен быть демон, который будет со всем этим работать. И желательно мониторить и выбирать лучшие прокси для тех или иных целей.

AVL2 ★★★★★
() автор топика
Ответ на: комментарий от mogwai

Это костыль, а не решение.

Помню, intel что то делал для быстрого роутинга по тысячам правил. Счас бы вспомнить, что есть по этой теме кроме iptables и ip rule

AVL2 ★★★★★
() автор топика

Написать свое решение. Про UNIX-way знаешь? Демон, чтобы добывать список заблоченных сетей, демон, чтобы парсить, демон, чтобы добавлять в ipset, правила iptables и PBR, чтобы направлять трафик куда надо, куча открытых впн, чтобы была связность со всем миром с резервированием.

Deleted
()

Не вполне уловил, почему отметается вариант с туннелированием *всего* трафика на один единственный доверенный узел.

Его слишком много? Или предполагается, что в скорости стран, где ничего не режут, на этой планете не останется?

Zmicier ★★★★★
()
Последнее исправление: Zmicier (всего исправлений: 1)
Ответ на: комментарий от Zmicier

Это я к тому, что самый сложный шаг здесь — составить список адресов. Для некоторых операторов связи он откровенно невозможен, поскольку они по возможности режут выше пакетов.

Zmicier ★★★★★
()
Ответ на: комментарий от Zmicier

Не вполне уловил, почему отметается вариант с туннелированием *всего* трафика на один единственный доверенный узел.

Это по сути не вариант. Скорость соединения слишком мала, многие сервисы смотрят, откуда пришел клиент и говорят не на том языке.

За несколько лет такого использования эти проблемы приводят просто к отказу от прокси и тех сервисов, что забанили. Проще без них и без гемора.

Его слишком много? Или предполагается, что в скорости стран, где ничего не режут, на этой планете не останется?

И это тоже правда. С Украины режут одно, из России другое. На западе третье, в Китае свое...

AVL2 ★★★★★
() автор топика
Ответ на: комментарий от Zmicier

Это я к тому, что самый сложный шаг здесь — составить список адресов. Для некоторых операторов связи он откровенно невозможен, поскольку они по возможности режут выше пакетов.

Есть база заблокированных адресов. Это не так сложно. Гораздо сложнее то, что маршрутов много. Забивать их руками в iptables или shorewall просто самоубийство.

Нашел вариант - tun2socks. пока не совсем понятно, решает он или нет.

AVL2 ★★★★★
() автор топика
Ответ на: комментарий от AVL2

Загонять в iptables сотни-тысячи правил не вариант

ipset придумали в том числе чтобы разгрузить iptables

А вообще у товарищей с antizapret посмотри набор скриптов для генерации pac-файлов. Берешь эти скрипты и перепиливаешь под себя, а браузеры клиентов натравливаешь на этот pac-файл.

Я пока что лишь очень жалею что андроид не умеет WPAD :-(

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от AVL2

многие сервисы смотрят, откуда пришел клиент и говорят не на том языке.

В 99% случаев эти сервисы имеют переключалку региона и языка, которая сохраняется в cookie или ещё как-нибудь (к тому же нормальные сервисы определяют язык не по IP, а по языку браузера, что куда логичнее). Ей всё равно приходится иногда пользоваться, потому что если страна по GeoIP обычно определяется неплохо, то города нередко всё равно неверно.

KivApple ★★★★★
()
Ответ на: комментарий от AVL2

Это я к тому, что самый сложный шаг здесь — составить список адресов. Для некоторых операторов связи он откровенно невозможен, поскольку они по возможности режут выше пакетов.

Есть база заблокированных адресов.

Дык блокируют не только адреса, но и имена. Не все соединения еще принудительно шифруются.

Zmicier ★★★★★
()
Ответ на: комментарий от AVL2

многие сервисы смотрят, откуда пришел клиент и говорят не на том языке

А вы не собираете примеры? Вообще-то заголовок должен иметь приоритет над гаданием по адресу. То есть это баг, и о нем надо бы доложить.

Zmicier ★★★★★
()
Последнее исправление: Zmicier (всего исправлений: 1)
Ответ на: комментарий от AVL2

Скорость соединения слишком мала, многие сервисы смотрят, откуда пришел клиент и говорят не на том языке.

this.
достаточно просто намутить приличную скорость и удобную, быструю, смену и уже не нужно будет мутить сложную систему.
просто 24х7х365 использовать, даже не задумываясь, и переключатся в случае «клиент и говорят не на том языке» в мильён раз проще.

system-root ★★★★★
()
Ответ на: комментарий от t184256

Окей, назови другую технологию автонастройки proxy в браузерах, поддерживающуюся на большинстве распространенных платформ. Я понимаю, что значит W в аббревиатуре WPAD - не одобряю это, но альтернатив в общем-то нет в принципе(ну разве что назвать настройку каждого клиента вручную - альтернативой).

Нет, я жалею не только в связи с обострением сам знаешь чего... Нет, вариант «proxy должны сдохнуть!» тоже не устраивает...

Pinkbyte ★★★★★
()
Ответ на: комментарий от system-root

достаточно просто намутить приличную скорость

Я только «за», но пока что найти недорогой впс с хорошим стабильным каналом мне не удалось. И что то подсказывает, что и не удастся.

AVL2 ★★★★★
() автор топика
Ответ на: комментарий от system-root

А толку? Какая у него скорость по сети? В дигитал оушен я наблюдал примерно 500кб-10мбит.

AVL2 ★★★★★
() автор топика
Ответ на: комментарий от AVL2

Что мешает посмотрев логику скриптов напилить правил для роутинга - суть одна и таже - нужно рожать список IP или диапазонов. ipset в этом случае хороший вариант - он «сглатывает» дубли, которых в реестре прилично(set - множество). А потом весь трафик из сета маркируешь и поворачиваешь на нужный тебе шлюз.

Ну и отдельно я бы посоветовал завернуть весь DNS-трафик куда-нибудь в DNSCrypt или DNS-over-TLS, дабы избежать перехвата провайдером.

Pinkbyte ★★★★★
()

Прочитал как «уголовный роутинг траффика».

SiberianHusky
()
Ответ на: комментарий от Pinkbyte

днс меня не беспокоит в принципе. Использую свои днс. В том числе и на внешних площадках. Ни разу проблем не встречал с ними.

AVL2 ★★★★★
() автор топика
Ответ на: комментарий от system-root

А tun девайсы в контейнере разрешены? Иначе как ты openvpn и все такое используешь?

AVL2 ★★★★★
() автор топика
Ответ на: комментарий от KivApple

Ркн ничего не блочит, он лишь создаёт реестр и добавляет в него неугодных. Блокируют провайдеры в соответствии с этим реестром. А если не блокируют, то а-та-та от роскомнадзора в виде денежного вознаграждения.

anonymous
()

Может кто знает такой софт, который стоя на роутере сверяет по базе данных пункт назначения и если он есть в списке запретов, направлет его

Такой софт называется «ядро Linux».

условный роутинг

Ты удивишься, но это называется «policy-based routing». Прямо так.

intelfx ★★★★★
()
Ответ на: комментарий от Pinkbyte

Какой слив, ты хоть почитай, что я писал. Я с первого сообщения охреневаю, что об этой ретро-дырени не только помнят, но еще и хотят.

t184256 ★★★★★
()
Ответ на: комментарий от system-root

Отлично, спасибо, попробую.

Был бы у них еще тестовый период. Хотелось бы понять, в каком датацентре лучше связь с Китаем и с Москвой.

AVL2 ★★★★★
() автор топика

а тем временем в списки заблокированных ресурсов попал гугле. Зашибись...

AVL2 ★★★★★
() автор топика
Ответ на: комментарий от Nastishka

А.
Да, действительно.
Не следовало спросонья писать на ЛОР.

intelfx ★★★★★
()

Мда.

Битва за скорость привела сначала к переводу shadowsocks в kcptun, а затем и вовсе к отказу от shadowsocks в пользу kcptun и ss5.

Скорость довольно существенно подросла с 5-10 мбит до 20-40мбит.

на очереди tun2socks и ha кластер из ss5...

ЗЫ

а quadhost что то тупит. 12 часов висит заказ на контейнер как оплаченый и статус все еще pending. Не энтерпрайзненько...

AVL2 ★★★★★
() автор топика
Ответ на: комментарий от pekmop1024

А dnsmasq зачем? Можно на 1.1.1.1 направить. И как поможет ipset? Куда ты трафик перенаправишь по этим правилам?

AVL2 ★★★★★
() автор топика
Ответ на: комментарий от t184256

Критикуя - предлагай. Есть задача - прокси для кеширования. Нужно спускать его настройки для клиентов. Прозрачный прокси не подходит, ибо HTTPS идёт лесом.

Предположим что у нас DHCP-запросы в сети фильтруются(DHCP screening, вот это вот всё) - дабы нам не сунули левый прокси.

Предложи любую технологию(кроме WPAD, ибо о его дырах я наслышан) для решения данной задачи - я внимательно слушаю.

Или чёрт с ним, предложи решение для кэширования без прокси, опенсорсное и не стоящее 100500 миллионов убитых американских президентов.

Pinkbyte ★★★★★
()
Ответ на: комментарий от AVL2

Потому что dnsmasq умеет пихать в ipset все нужные домены (в том числе вместе с субдоменами). Далее трафик заворачивается iptables'ом на VPN/Tor/другого провайдера. Это и есть то, что называется размытым понятием PBR.

Например, на LEDE/OpenWRT это реализуется связкой dnsmasq+ipset+mwan3.

pekmop1024 ★★★★★
()
Ответ на: комментарий от system-root

Еще вопросик. Вроде в описании продукта сказао, что есть мапинг 20 портов. 1 Shared IPv4 (20 Ports)

Я так понимал, это dnat 20 портов с белого адреса внутрь. Но я нигде не вижу этого в панели управления.

Или в там в принципе вся связь только изнутри наружу?

AVL2 ★★★★★
() автор топика
Ответ на: комментарий от AVL2

https://quadhost.net/account/knowledgebase/5/Find-your-IPv4-NAT-Instance-Publ...
находишь свой регион, например var3-bg — это 80.95.29.212 внутри будет допустим 192.168.35.250, значит у тебя 25000-25020, дефолтный ssh будет user@80.95.29.212 -p 25022

system-root ★★★★★
()
Последнее исправление: system-root (всего исправлений: 1)
Ответ на: комментарий от system-root

А, я зашел по ssh через ipv6 и нашел внешний адрес и порты методом втыка nmap и tcpdump. Уже потестировал прокси.

Отлично, теперь хоть есть понимание, что эти адреса не слетят через полчаса.

Причем там явно больше, чем 20 портов пробрасывает...

AVL2 ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.