Разворот трафика bt*.t-ru.org на прозрачный прокси в OpenWRT

Ответить
 

bugveyron

Стаж: 15 лет 1 месяц

Сообщений: 7

bugveyron · 30-Дек-22 01:03 (1 год 10 месяцев назад, ред. 30-Дек-22 22:33)

Hanabishi писал(а):
84099583Так и должно быть.
Насчёт перезагрузки это я пожалуй в ответ:
kazmikro писал(а):
84087842Привет, попробовал выполнить через SSH и рестартнуть роутер, не помогло
Подумал что kazmikro проверяет работу введённых команд после рестарта.
Hanabishi писал(а):
84099583Эти папки немного для другого.
Значит я совсем не понял что, куда и как..
Хотя и вариант создания правила/конфигурации через язык UCI оказался более замороченным чем можно было (эх..), но вот уже несколько часов оно работает. Надеюсь я не допустил ошибки и не пробил брешь в безопасности)

После добавления правила в выводе nft list ruleset появляются строки(выделены красным):
скрытый текст
В цепочках chain input/forward/output:
ct state invalid drop comment "!fw4: Drop flows with invalid conntrack state"
chain input_lan
ct status dnat accept comment "!fw4: Accept port redirections"

chain forward_lan
ct status dnat accept comment "!fw4: Accept port forwards"

chain dstnat
iifname "br-lan" jump dstnat_lan comment "!fw4: Handle lan IPv4/IPv6 dstnat traffic"

chain dstnat_lan {
ip daddr 195.82.146.120/30 tcp dport 80 counter packets 13 bytes 676 dnat ip to 185.15.211.203:80 comment "!fw4: rutracker_redirect"
}
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 7 месяцев

Сообщений: 2920

Hanabishi · 30-Дек-22 10:38 (спустя 9 часов)

bugveyron писал(а):
84099767Значит я совсем не понял что, куда и как..
Конкретно эта папка для особых правил, подогнанных под fw4. Произвольные там работать не будут, поэтому их надо в стартовый скрипт например класть.
[Профиль]  [ЛС] 

мaлян

Стаж: 13 лет

Сообщений: 731

мaлян · 07-Фев-23 08:01 (спустя 1 месяц 7 дней)

Почему торренты опять начали краснеть?
[Профиль]  [ЛС] 

NVV_RW

Top Bonus 05* 10TB

Стаж: 14 лет 6 месяцев

Сообщений: 214

NVV_RW · 07-Июл-24 20:34 (спустя 1 год 5 месяцев)

Всё, что написано ниже, относится к openWRT23!
С последнего сообщения в теме уже много времени прошло и анонсеры под клаудфлэр запихали. Довольно долго эта схема работала без проблем и все прокси, которые создавались энтузиастами для обхода вредительства РКН РФ, стали ненужны.
Пришла беда, откуда не ждали... С начала июля при попытке обращения с Российских IP-адресов, CF стал выдавать сообщение о недоступности анонсеров - https://rutr.life/forum/viewtopic.php?p=86446492#86446492 Единственным вариантом осталось использование механизма RTOProxy. И если для раздачи с компьютера, есть приложение, проксирующее служебный трафик анонсеров, то для NAS'ов зачастую такой возможности нет.
В принципе, всё понятно - надо трафик анонсеров гнать на адреса px1.blockme.site или px2.blockme.site. И если бы эти прокси "слушали" 80-й порт, то было бы достаточно просто записать в файл hosts сопоставление адресов bt/bt(2-4).t-ru.org адресу px1.blockme.site (185.164.163.126) и на этом - всё.
Но проблема в том, что прокси слушает не 80-й порт, да и адреса bt из-за CF изменяются. Поэтому надо как-то зафиксировать адреса bt* на системе с торрент-клиентом или на роутере. Можно сделать так (добавить в hosts на системе с торрент-клиентом или на роутере):
Код:
172.67.185.253 bt.t-ru.org
172.67.185.253 bt2.t-ru.org
172.67.185.253 bt3.t-ru.org
172.67.185.253 bt4.t-ru.org
Самое "веселье" было разобраться с синтаксисом fw4 на роутере В общем, спасибо тов. Hanabishi - помог!
Нужно создать на роутере файл с именем вида 90-proxy.nft в /etc/nftables.d/ со следующим содержимым:
Код:
chain bt_proxy {
    ip daddr 172.67.185.253 tcp dport 80 counter dnat 185.164.163.126:3128
}
chain bt_proxy_prerouting {
    type nat hook prerouting priority dstnat;
    goto bt_proxy
}
chain bt_proxy_output {
    type nat hook output priority 0;
    goto bt_proxy
}
Пишем, перезапускаем сервис firewall и теперь служебный трафик анонсеров пойдёт через прокси px1/px2 и 521-я и 522-я ошибки пропадут.
Если у кого есть дополнения/исправления - welcome!
[Профиль]  [ЛС] 

Гоэмон

Стаж: 13 лет 10 месяцев

Сообщений: 14456

Гоэмон · 10-Июл-24 12:14 (спустя 2 дня 15 часов)

NVV_RW писал(а):
86457997nftables.d
А если такой папки нет? Сделал по инструкции, папку сам создал, вроде нормально работает. Но возможно дело в подключении к провайдеру заново.
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 7 месяцев

Сообщений: 2920

Hanabishi · 10-Июл-24 15:02 (спустя 2 часа 47 мин., ред. 10-Июл-24 15:02)

Гоэмон писал(а):
86466075А если такой папки нет?
Значит у вас старая версия OpenWRT, в которой еще использовался iptables. Эта инструкция для версий 22 и выше.
Гоэмон писал(а):
86466075Сделал по инструкции, папку сам создал, вроде нормально работает. Но возможно дело в подключении к провайдеру заново.
Ну на случай если ее нет по какой-то другой причине, проверьте наличие правил командой nft list ruleset
[Профиль]  [ЛС] 

Гоэмон

Стаж: 13 лет 10 месяцев

Сообщений: 14456

Гоэмон · 10-Июл-24 15:25 (спустя 23 мин.)

Hanabishi
Hanabishi писал(а):
86466532Значит у вас старая версия OpenWRT, в которой еще использовался iptables. Эта инструкция для версий 22 и выше.
OpenWrt 18.06.9, у меня старый роутер, прошивки новее нет.
Hanabishi писал(а):
86466532Ну на случай если ее нет по какой-то другой причине, проверьте наличие правил командой nft list ruleset
-ash: nft: not found
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 7 месяцев

Сообщений: 2920

Hanabishi · 10-Июл-24 15:34 (спустя 8 мин., ред. 10-Июл-24 19:49)

Гоэмон писал(а):
86466620OpenWrt 18.06.9, у меня старый роутер, прошивки новее нет.
Тогда данные правила не работают. На старых вроде как можно поставить nftables вручную, но смысла мало.
Вам нужно добавить правила iptables, как описано в шапке. Через веб-интерфейс или прямиком в /etc/firewall.user.
Правда сами правила с другими адресами:
Код:
iptables -t nat -A PREROUTING -d 172.67.185.253 -p tcp --dport 80 -j DNAT --to-destination 185.164.163.126:3128
iptables -t nat -A OUTPUT -d 172.67.185.253 -p tcp --dport 80 -j DNAT --to-destination 185.164.163.126:3128
[Профиль]  [ЛС] 

Гоэмон

Стаж: 13 лет 10 месяцев

Сообщений: 14456

Гоэмон · 10-Июл-24 17:19 (спустя 1 час 44 мин., ред. 10-Июл-24 17:19)

Hanabishi
Анонсеры опять не работают.
Сюда же надо было вставлять?
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 7 месяцев

Сообщений: 2920

Hanabishi · 10-Июл-24 17:58 (спустя 39 мин., ред. 10-Июл-24 17:58)

Гоэмон писал(а):
86466968Сюда же надо было вставлять?
Да.
Гоэмон писал(а):
86466968Анонсеры опять не работают.
А на той машине где клиент запущен в hosts прописали адреса?
Код:
172.67.185.253 bt.t-ru.org
172.67.185.253 bt2.t-ru.org
172.67.185.253 bt3.t-ru.org
172.67.185.253 bt4.t-ru.org
[Профиль]  [ЛС] 

Гоэмон

Стаж: 13 лет 10 месяцев

Сообщений: 14456

Гоэмон · 10-Июл-24 18:17 (спустя 19 мин., ред. 10-Июл-24 18:17)

Hanabishi писал(а):
86467098А на той машине где клиент запущен в hosts прописали адреса?
Эти адреса я в файле hosts для роутера добавлял, надо именно на ПК?
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 7 месяцев

Сообщений: 2920

Hanabishi · 10-Июл-24 19:01 (спустя 44 мин.)

Гоэмон писал(а):
86467167Эти адреса я в файле hosts для роутера добавлял, надо именно на ПК?
Да, надо там, где торрент-клиент запущен.
[Профиль]  [ЛС] 

Гоэмон

Стаж: 13 лет 10 месяцев

Сообщений: 14456

Гоэмон · 10-Июл-24 19:28 (спустя 26 мин.)

Hanabishi писал(а):
86467294Да, надо там, где торрент-клиент запущен.
Не работает.
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 7 месяцев

Сообщений: 2920

Hanabishi · 10-Июл-24 19:31 (спустя 3 мин., ред. 10-Июл-24 19:31)

Гоэмон писал(а):
86467387Не работает.
Хм, возможно что-то не так в правилах. Я уже не помню что там было в старых версиях OpenWRT.
Покажите выдачу команды
Код:
iptables -nvL -t nat
[Профиль]  [ЛС] 

Гоэмон

Стаж: 13 лет 10 месяцев

Сообщений: 14456

Гоэмон · 10-Июл-24 19:36 (спустя 4 мин., ред. 10-Июл-24 19:52)

Hanabishi писал(а):
86467394iptables -nvL -t nat
скрытый текст
del
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 7 месяцев

Сообщений: 2920

Hanabishi · 10-Июл-24 19:47 (спустя 10 мин., ред. 10-Июл-24 19:49)

Гоэмон, правил нет в таблице.
И я только сейчас заметил, что они неправильно на скрине прописаны. Вы видать успели скопировать неправильную версию за те пару секунд, что я редактировал пост.
Скопируйте их еще раз заново:
Код:
iptables -t nat -A PREROUTING -d 172.67.185.253 -p tcp --dport 80 -j DNAT --to-destination 185.164.163.126:3128
iptables -t nat -A OUTPUT -d 172.67.185.253 -p tcp --dport 80 -j DNAT --to-destination 185.164.163.126:3128
[Профиль]  [ЛС] 

Гоэмон

Стаж: 13 лет 10 месяцев

Сообщений: 14456

Гоэмон · 10-Июл-24 19:48 (спустя 58 сек., ред. 10-Июл-24 19:52)

Hanabishi
А роутер походу перезапускать надо каждый раз? Настройки нажимал применить.
скрытый текст
del
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 7 месяцев

Сообщений: 2920

Hanabishi · 10-Июл-24 19:49 (спустя 38 сек.)

Гоэмон писал(а):
86467444А роутер походу перезапускать надо каждый раз?
Нет, не надо. На выдаче видно, что пакеты через правило пошли.
[Профиль]  [ЛС] 

Гоэмон

Стаж: 13 лет 10 месяцев

Сообщений: 14456

Гоэмон · 10-Июл-24 23:19 (спустя 3 часа, ред. 10-Июл-24 23:19)

Hanabishi писал(а):
86467453Нет, не надо. На выдаче видно, что пакеты через правило пошли.
Вроде работает, спасибо за помощь!
[Профиль]  [ЛС] 

nick_gre

Стаж: 14 лет 6 месяцев

Сообщений: 60


nick_gre · 16-Июл-24 11:02 (спустя 5 дней, ред. 16-Июл-24 11:02)

Hanabishi писал(а):
86467431Гоэмон, правил нет в таблице.
И я только сейчас заметил, что они неправильно на скрине прописаны. Вы видать успели скопировать неправильную версию за те пару секунд, что я редактировал пост.
Скопируйте их еще раз заново:
Код:
iptables -t nat -A PREROUTING -d 172.67.185.253 -p tcp --dport 80 -j DNAT --to-destination 185.164.163.126:3128
iptables -t nat -A OUTPUT -d 172.67.185.253 -p tcp --dport 80 -j DNAT --to-destination 185.164.163.126:3128
Я заменил dest 172.67.185.253 на 188.114.96.1 и 188.114.97.1, добавив еще пару правил. Из-за того что не пользуюсь резолвером провайдера. Работает.
Но в целом поведение клаудфайра озадачивает, получается что он отдаёт ошибку 521 (которой на самом деле нет), если пришли с определенного ip или с диапазона ip.
[Профиль]  [ЛС] 

Гоэмон

Стаж: 13 лет 10 месяцев

Сообщений: 14456

Гоэмон · 18-Июл-24 12:18 (спустя 2 дня 1 час)

Hanabishi
Отвалилось всё, видимо там айпи изменился?
[Профиль]  [ЛС] 

nick_gre

Стаж: 14 лет 6 месяцев

Сообщений: 60


nick_gre · 18-Июл-24 12:57 (спустя 39 мин., ред. 18-Июл-24 12:57)

Гоэмон писал(а):
86491151Hanabishi
Отвалилось всё, видимо там айпи изменился?
Прокси 185.164.163.126:3128 работает, но клаудфайр и ему похоже стал выдавать 521.
Update: заменил айпи прокси (это px1.blockme.site) в вышеуказанных правилах на другой, благо их у него 4 штуки - заработало. Надолго ли.
[Профиль]  [ЛС] 

NVV_RW

Top Bonus 05* 10TB

Стаж: 14 лет 6 месяцев

Сообщений: 214

NVV_RW · 18-Июл-24 13:41 (спустя 43 мин.)

Я чего-то не понял... CF анально огородиться от РФ что-ли решил втихую? Ни один из 4-х ip-адресов прокси px1.blockme.site не работает. Или порт надо менять?
[Профиль]  [ЛС] 

nick_gre

Стаж: 14 лет 6 месяцев

Сообщений: 60


nick_gre · 18-Июл-24 17:31 (спустя 3 часа)

Внезапно, px1.blockme.site стал резолвиться только в один айпишник вместо 4х с утра.
Код:

;; ANSWER SECTION:
px1.blockme.site. 228 IN CNAME ps1.blockme.site.
ps1.blockme.site. 292 IN A 77.220.214.147
Но и ему CF возвращает 521.
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 7 месяцев

Сообщений: 2920

Hanabishi · 18-Июл-24 23:05 (спустя 5 часов)

Да, IP-адрес прокси сменился. Надо правила переписать соответственно.
[Профиль]  [ЛС] 

NVV_RW

Top Bonus 05* 10TB

Стаж: 14 лет 6 месяцев

Сообщений: 214

NVV_RW · 19-Июл-24 07:38 (спустя 8 часов)

IP-шников теперь 2 и оба работают. Пока...
[Профиль]  [ЛС] 

Гоэмон

Стаж: 13 лет 10 месяцев

Сообщений: 14456

Гоэмон · 19-Июл-24 12:51 (спустя 5 часов)

NVV_RW писал(а):
86493919IP-шников теперь 2 и оба работают. Пока...
А где эти айпишники можно увидеть?
[Профиль]  [ЛС] 

kalaverin

Колония прокаженных

Стаж: 16 лет 7 месяцев

Сообщений: 40

kalaverin · 19-Июл-24 13:12 (спустя 20 мин.)

Альтернативное решение — трекеры в хостс на локалхост, локальный энжинкс слушающий эти урлы и прокси_пасс на px1.blockme.site:3128.
[Профиль]  [ЛС] 

NVV_RW

Top Bonus 05* 10TB

Стаж: 14 лет 6 месяцев

Сообщений: 214

NVV_RW · 19-Июл-24 15:16 (спустя 2 часа 3 мин.)

Гоэмон в выводе команды
Код:
dig px1.blockme.site
;; ANSWER SECTION:
px1.blockme.site. 300 IN CNAME ps1.blockme.site.
ps1.blockme.site. 300 IN A 77.220.214.147
ps1.blockme.site. 300 IN A 45.135.180.76
[Профиль]  [ЛС] 

TyroSpy

Стаж: 14 лет 10 месяцев

Сообщений: 59

TyroSpy · 17-Авг-24 20:24 (спустя 29 дней)

Вы что про pbr не знаете? Настраивается весь роутинг в веб-морде за минуту без всяких айпишников
[Профиль]  [ЛС] 
 
Ответить
Loading...
Error