Регистрация · Вход Забыли имя или пароль?

Разворот трафика bt*.t-ru.org на прозрачный прокси в OpenWRT

Страницы : Пред. 1, 2, 3 След.


bugveyron Стаж: 15 лет 1 месяц Сообщений: 7	bugveyron · 30-Дек-22 01:03 (1 год 10 месяцев назад, ред. 30-Дек-22 22:33) [Цитировать] Hanabishi писал(а): 84099583Так и должно быть. Насчёт перезагрузки это я пожалуй в ответ: kazmikro писал(а): 84087842Привет, попробовал выполнить через SSH и рестартнуть роутер, не помогло Подумал что kazmikro проверяет работу введённых команд после рестарта. Hanabishi писал(а): 84099583Эти папки немного для другого. Значит я совсем не понял что, куда и как.. Хотя и вариант создания правила/конфигурации через язык UCI оказался более замороченным чем можно было (эх..), но вот уже несколько часов оно работает. Надеюсь я не допустил ошибки и не пробил брешь в безопасности) После добавления правила в выводе nft list ruleset появляются строки(выделены красным): скрытый текст В цепочках chain input/forward/output: ct state invalid drop comment "!fw4: Drop flows with invalid conntrack state" chain input_lan ct status dnat accept comment "!fw4: Accept port redirections" chain forward_lan ct status dnat accept comment "!fw4: Accept port forwards" chain dstnat iifname "br-lan" jump dstnat_lan comment "!fw4: Handle lan IPv4/IPv6 dstnat traffic" chain dstnat_lan { ip daddr 195.82.146.120/30 tcp dport 80 counter packets 13 bytes 676 dnat ip to 185.15.211.203:80 comment "!fw4: rutracker_redirect" }
[Профиль] [ЛС]
Hanabishi Стаж: 14 лет 7 месяцев Сообщений: 2919	Hanabishi · 30-Дек-22 10:38 (спустя 9 часов) [Цитировать] bugveyron писал(а): 84099767Значит я совсем не понял что, куда и как.. Конкретно эта папка для особых правил, подогнанных под fw4. Произвольные там работать не будут, поэтому их надо в стартовый скрипт например класть.
[Профиль] [ЛС]
мaлян Стаж: 13 лет Сообщений: 731	мaлян · 07-Фев-23 08:01 (спустя 1 месяц 7 дней) [Цитировать] Почему торренты опять начали краснеть?
[Профиль] [ЛС]
NVV_RW Стаж: 14 лет 6 месяцев Сообщений: 214	NVV_RW · 07-Июл-24 20:34 (спустя 1 год 5 месяцев) [Цитировать] Всё, что написано ниже, относится к openWRT23! С последнего сообщения в теме уже много времени прошло и анонсеры под клаудфлэр запихали. Довольно долго эта схема работала без проблем и все прокси, которые создавались энтузиастами для обхода вредительства РКН РФ, стали ненужны. Пришла беда, откуда не ждали... С начала июля при попытке обращения с Российских IP-адресов, CF стал выдавать сообщение о недоступности анонсеров - https://rutr.life/forum/viewtopic.php?p=86446492#86446492 Единственным вариантом осталось использование механизма RTOProxy. И если для раздачи с компьютера, есть приложение, проксирующее служебный трафик анонсеров, то для NAS'ов зачастую такой возможности нет. В принципе, всё понятно - надо трафик анонсеров гнать на адреса px1.blockme.site или px2.blockme.site. И если бы эти прокси "слушали" 80-й порт, то было бы достаточно просто записать в файл hosts сопоставление адресов bt/bt(2-4).t-ru.org адресу px1.blockme.site (185.164.163.126) и на этом - всё. Но проблема в том, что прокси слушает не 80-й порт, да и адреса bt из-за CF изменяются. Поэтому надо как-то зафиксировать адреса bt* на системе с торрент-клиентом или на роутере. Можно сделать так (добавить в hosts на системе с торрент-клиентом или на роутере): Код: 172.67.185.253 bt.t-ru.org 172.67.185.253 bt2.t-ru.org 172.67.185.253 bt3.t-ru.org 172.67.185.253 bt4.t-ru.org Самое "веселье" было разобраться с синтаксисом fw4 на роутере В общем, спасибо тов. Hanabishi - помог! Нужно создать на роутере файл с именем вида 90-proxy.nft в /etc/nftables.d/ со следующим содержимым: Код: chain bt_proxy { ip daddr 172.67.185.253 tcp dport 80 counter dnat 185.164.163.126:3128 } chain bt_proxy_prerouting { type nat hook prerouting priority dstnat; goto bt_proxy } chain bt_proxy_output { type nat hook output priority 0; goto bt_proxy } Пишем, перезапускаем сервис firewall и теперь служебный трафик анонсеров пойдёт через прокси px1/px2 и 521-я и 522-я ошибки пропадут. Если у кого есть дополнения/исправления - welcome!
[Профиль] [ЛС]
Гоэмон Стаж: 13 лет 10 месяцев Сообщений: 14456	Гоэмон · 10-Июл-24 12:14 (спустя 2 дня 15 часов) [Цитировать] NVV_RW писал(а): 86457997nftables.d А если такой папки нет? Сделал по инструкции, папку сам создал, вроде нормально работает. Но возможно дело в подключении к провайдеру заново.
[Профиль] [ЛС]
Hanabishi Стаж: 14 лет 7 месяцев Сообщений: 2919	Hanabishi · 10-Июл-24 15:02 (спустя 2 часа 47 мин., ред. 10-Июл-24 15:02) [Цитировать] Гоэмон писал(а): 86466075А если такой папки нет? Значит у вас старая версия OpenWRT, в которой еще использовался iptables. Эта инструкция для версий 22 и выше. Гоэмон писал(а): 86466075Сделал по инструкции, папку сам создал, вроде нормально работает. Но возможно дело в подключении к провайдеру заново. Ну на случай если ее нет по какой-то другой причине, проверьте наличие правил командой nft list ruleset
[Профиль] [ЛС]
Гоэмон Стаж: 13 лет 10 месяцев Сообщений: 14456	Гоэмон · 10-Июл-24 15:25 (спустя 23 мин.) [Цитировать] Hanabishi Hanabishi писал(а): 86466532Значит у вас старая версия OpenWRT, в которой еще использовался iptables. Эта инструкция для версий 22 и выше. OpenWrt 18.06.9, у меня старый роутер, прошивки новее нет. Hanabishi писал(а): 86466532Ну на случай если ее нет по какой-то другой причине, проверьте наличие правил командой nft list ruleset -ash: nft: not found
[Профиль] [ЛС]
Hanabishi Стаж: 14 лет 7 месяцев Сообщений: 2919	Hanabishi · 10-Июл-24 15:34 (спустя 8 мин., ред. 10-Июл-24 19:49) [Цитировать] Гоэмон писал(а): 86466620OpenWrt 18.06.9, у меня старый роутер, прошивки новее нет. Тогда данные правила не работают. На старых вроде как можно поставить nftables вручную, но смысла мало. Вам нужно добавить правила iptables, как описано в шапке. Через веб-интерфейс или прямиком в /etc/firewall.user. Правда сами правила с другими адресами: Код: iptables -t nat -A PREROUTING -d 172.67.185.253 -p tcp --dport 80 -j DNAT --to-destination 185.164.163.126:3128 iptables -t nat -A OUTPUT -d 172.67.185.253 -p tcp --dport 80 -j DNAT --to-destination 185.164.163.126:3128
[Профиль] [ЛС]
Гоэмон Стаж: 13 лет 10 месяцев Сообщений: 14456	Гоэмон · 10-Июл-24 17:19 (спустя 1 час 44 мин., ред. 10-Июл-24 17:19) [Цитировать] Hanabishi Анонсеры опять не работают. Сюда же надо было вставлять?
[Профиль] [ЛС]
Hanabishi Стаж: 14 лет 7 месяцев Сообщений: 2919	Hanabishi · 10-Июл-24 17:58 (спустя 39 мин., ред. 10-Июл-24 17:58) [Цитировать] Гоэмон писал(а): 86466968Сюда же надо было вставлять? Да. Гоэмон писал(а): 86466968Анонсеры опять не работают. А на той машине где клиент запущен в hosts прописали адреса? Код: 172.67.185.253 bt.t-ru.org 172.67.185.253 bt2.t-ru.org 172.67.185.253 bt3.t-ru.org 172.67.185.253 bt4.t-ru.org
[Профиль] [ЛС]
Гоэмон Стаж: 13 лет 10 месяцев Сообщений: 14456	Гоэмон · 10-Июл-24 18:17 (спустя 19 мин., ред. 10-Июл-24 18:17) [Цитировать] Hanabishi писал(а): 86467098А на той машине где клиент запущен в hosts прописали адреса? Эти адреса я в файле hosts для роутера добавлял, надо именно на ПК?
[Профиль] [ЛС]
Hanabishi Стаж: 14 лет 7 месяцев Сообщений: 2919	Hanabishi · 10-Июл-24 19:01 (спустя 44 мин.) [Цитировать] Гоэмон писал(а): 86467167Эти адреса я в файле hosts для роутера добавлял, надо именно на ПК? Да, надо там, где торрент-клиент запущен.
[Профиль] [ЛС]
Гоэмон Стаж: 13 лет 10 месяцев Сообщений: 14456	Гоэмон · 10-Июл-24 19:28 (спустя 26 мин.) [Цитировать] Hanabishi писал(а): 86467294Да, надо там, где торрент-клиент запущен. Не работает.
[Профиль] [ЛС]
Hanabishi Стаж: 14 лет 7 месяцев Сообщений: 2919	Hanabishi · 10-Июл-24 19:31 (спустя 3 мин., ред. 10-Июл-24 19:31) [Цитировать] Гоэмон писал(а): 86467387Не работает. Хм, возможно что-то не так в правилах. Я уже не помню что там было в старых версиях OpenWRT. Покажите выдачу команды Код: iptables -nvL -t nat
[Профиль] [ЛС]
Гоэмон Стаж: 13 лет 10 месяцев Сообщений: 14456	Гоэмон · 10-Июл-24 19:36 (спустя 4 мин., ред. 10-Июл-24 19:52) [Цитировать] Hanabishi писал(а): 86467394iptables -nvL -t nat скрытый текст del
[Профиль] [ЛС]
Hanabishi Стаж: 14 лет 7 месяцев Сообщений: 2919	Hanabishi · 10-Июл-24 19:47 (спустя 10 мин., ред. 10-Июл-24 19:49) [Цитировать] Гоэмон, правил нет в таблице. И я только сейчас заметил, что они неправильно на скрине прописаны. Вы видать успели скопировать неправильную версию за те пару секунд, что я редактировал пост. Скопируйте их еще раз заново: Код: iptables -t nat -A PREROUTING -d 172.67.185.253 -p tcp --dport 80 -j DNAT --to-destination 185.164.163.126:3128 iptables -t nat -A OUTPUT -d 172.67.185.253 -p tcp --dport 80 -j DNAT --to-destination 185.164.163.126:3128
[Профиль] [ЛС]
Гоэмон Стаж: 13 лет 10 месяцев Сообщений: 14456	Гоэмон · 10-Июл-24 19:48 (спустя 58 сек., ред. 10-Июл-24 19:52) [Цитировать] Hanabishi А роутер походу перезапускать надо каждый раз? Настройки нажимал применить. скрытый текст del
[Профиль] [ЛС]
Hanabishi Стаж: 14 лет 7 месяцев Сообщений: 2919	Hanabishi · 10-Июл-24 19:49 (спустя 38 сек.) [Цитировать] Гоэмон писал(а): 86467444А роутер походу перезапускать надо каждый раз? Нет, не надо. На выдаче видно, что пакеты через правило пошли.
[Профиль] [ЛС]
Гоэмон Стаж: 13 лет 10 месяцев Сообщений: 14456	Гоэмон · 10-Июл-24 23:19 (спустя 3 часа, ред. 10-Июл-24 23:19) [Цитировать] Hanabishi писал(а): 86467453Нет, не надо. На выдаче видно, что пакеты через правило пошли. Вроде работает, спасибо за помощь!
[Профиль] [ЛС]
nick_gre Стаж: 14 лет 6 месяцев Сообщений: 60	nick_gre · 16-Июл-24 11:02 (спустя 5 дней, ред. 16-Июл-24 11:02) [Цитировать] Hanabishi писал(а): 86467431Гоэмон, правил нет в таблице. И я только сейчас заметил, что они неправильно на скрине прописаны. Вы видать успели скопировать неправильную версию за те пару секунд, что я редактировал пост. Скопируйте их еще раз заново: Код: iptables -t nat -A PREROUTING -d 172.67.185.253 -p tcp --dport 80 -j DNAT --to-destination 185.164.163.126:3128 iptables -t nat -A OUTPUT -d 172.67.185.253 -p tcp --dport 80 -j DNAT --to-destination 185.164.163.126:3128 Я заменил dest 172.67.185.253 на 188.114.96.1 и 188.114.97.1, добавив еще пару правил. Из-за того что не пользуюсь резолвером провайдера. Работает. Но в целом поведение клаудфайра озадачивает, получается что он отдаёт ошибку 521 (которой на самом деле нет), если пришли с определенного ip или с диапазона ip.
[Профиль] [ЛС]
Гоэмон Стаж: 13 лет 10 месяцев Сообщений: 14456	Гоэмон · 18-Июл-24 12:18 (спустя 2 дня 1 час) [Цитировать] Hanabishi Отвалилось всё, видимо там айпи изменился?
[Профиль] [ЛС]
nick_gre Стаж: 14 лет 6 месяцев Сообщений: 60	nick_gre · 18-Июл-24 12:57 (спустя 39 мин., ред. 18-Июл-24 12:57) [Цитировать] Гоэмон писал(а): 86491151Hanabishi Отвалилось всё, видимо там айпи изменился? Прокси 185.164.163.126:3128 работает, но клаудфайр и ему похоже стал выдавать 521. Update: заменил айпи прокси (это px1.blockme.site) в вышеуказанных правилах на другой, благо их у него 4 штуки - заработало. Надолго ли.
[Профиль] [ЛС]
NVV_RW Стаж: 14 лет 6 месяцев Сообщений: 214	NVV_RW · 18-Июл-24 13:41 (спустя 43 мин.) [Цитировать] Я чего-то не понял... CF анально огородиться от РФ что-ли решил втихую? Ни один из 4-х ip-адресов прокси px1.blockme.site не работает. Или порт надо менять?
[Профиль] [ЛС]
nick_gre Стаж: 14 лет 6 месяцев Сообщений: 60	nick_gre · 18-Июл-24 17:31 (спустя 3 часа) [Цитировать] Внезапно, px1.blockme.site стал резолвиться только в один айпишник вместо 4х с утра. Код: ;; ANSWER SECTION: px1.blockme.site. 228 IN CNAME ps1.blockme.site. ps1.blockme.site. 292 IN A 77.220.214.147 Но и ему CF возвращает 521.
[Профиль] [ЛС]
Hanabishi Стаж: 14 лет 7 месяцев Сообщений: 2919	Hanabishi · 18-Июл-24 23:05 (спустя 5 часов) [Цитировать] Да, IP-адрес прокси сменился. Надо правила переписать соответственно.
[Профиль] [ЛС]
NVV_RW Стаж: 14 лет 6 месяцев Сообщений: 214	NVV_RW · 19-Июл-24 07:38 (спустя 8 часов) [Цитировать] IP-шников теперь 2 и оба работают. Пока...
[Профиль] [ЛС]
Гоэмон Стаж: 13 лет 10 месяцев Сообщений: 14456	Гоэмон · 19-Июл-24 12:51 (спустя 5 часов) [Цитировать] NVV_RW писал(а): 86493919IP-шников теперь 2 и оба работают. Пока... А где эти айпишники можно увидеть?
[Профиль] [ЛС]
kalaverin Стаж: 16 лет 7 месяцев Сообщений: 40	kalaverin · 19-Июл-24 13:12 (спустя 20 мин.) [Цитировать] Альтернативное решение — трекеры в хостс на локалхост, локальный энжинкс слушающий эти урлы и прокси_пасс на px1.blockme.site:3128.
[Профиль] [ЛС]
NVV_RW Стаж: 14 лет 6 месяцев Сообщений: 214	NVV_RW · 19-Июл-24 15:16 (спустя 2 часа 3 мин.) [Цитировать] Гоэмон в выводе команды Код: dig px1.blockme.site ;; ANSWER SECTION: px1.blockme.site. 300 IN CNAME ps1.blockme.site. ps1.blockme.site. 300 IN A 77.220.214.147 ps1.blockme.site. 300 IN A 45.135.180.76
[Профиль] [ЛС]
TyroSpy Стаж: 14 лет 10 месяцев Сообщений: 59	TyroSpy · 17-Авг-24 20:24 (спустя 29 дней) [Цитировать] Вы что про pbr не знаете? Настраивается весь роутинг в веб-морде за минуту без всяких айпишников
[Профиль] [ЛС]