Разворот трафика bt*.t-ru.org на прозрачный прокси в OpenWRT

Страницы :   Пред.  1, 2, 3
Ответить
 

Hanabishi

Старожил

Стаж: 14 лет 7 месяцев

Сообщений: 2909

Hanabishi · 17-Авг-24 20:40 (3 месяца 4 дня назад)

TyroSpy писал(а):
86599315Вы что про pbr не знаете?
То что здесь предлагают и есть PBR на уровне TCP/IP.
TyroSpy писал(а):
86599315Настраивается весь роутинг в веб-морде за минуту без всяких айпишников
Просвятите нас.
[Профиль]  [ЛС] 

TyroSpy

Стаж: 14 лет 10 месяцев

Сообщений: 59

TyroSpy · 18-Авг-24 08:44 (спустя 12 часов)

Цитата:
Просвятите нас
https://docs.openwrt.melmac.net/pbr/#ExamplePolicies
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 7 месяцев

Сообщений: 2909

Hanabishi · 18-Авг-24 13:34 (спустя 4 часа)

И где тут
TyroSpy писал(а):
86599315в веб-морде за минуту
и
TyroSpy писал(а):
86599315без всяких айпишников
?
Те же самые правила с айпишниками, только в профиль. И все равно они будут преобразованы в правила iptables/nftables. Так какая разница тогда?
[Профиль]  [ЛС] 

Гоэмон

Стаж: 13 лет 10 месяцев

Сообщений: 14455

Гоэмон · 18-Авг-24 17:29 (спустя 3 часа)

NVV_RW писал(а):
86495208Гоэмон в выводе команды
Код:
dig px1.blockme.site
;; ANSWER SECTION:
px1.blockme.site. 300 IN CNAME ps1.blockme.site.
ps1.blockme.site. 300 IN A 77.220.214.147
ps1.blockme.site. 300 IN A 45.135.180.76
Где её вводить?
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 7 месяцев

Сообщений: 2909

Hanabishi · 18-Авг-24 18:10 (спустя 41 мин.)

Гоэмон писал(а):
86602725Где её вводить?
С такими вопросами лучше использовать https://iplocation.io/all-dns-records-of-domain
Там в поле ввести адрес px1.blockme.site и нажать Lookup DNS.
[Профиль]  [ЛС] 

Гоэмон

Стаж: 13 лет 10 месяцев

Сообщений: 14455

Гоэмон · 18-Авг-24 19:12 (спустя 1 час 2 мин.)

Hanabishi писал(а):
86602882
Гоэмон писал(а):
86602725Где её вводить?
С такими вопросами лучше использовать https://iplocation.io/all-dns-records-of-domain
Там в поле ввести адрес px1.blockme.site и нажать Lookup DNS.
Спасибо за помощь.
[Профиль]  [ЛС] 

TyroSpy

Стаж: 14 лет 10 месяцев

Сообщений: 59

TyroSpy · 30-Авг-24 10:03 (спустя 11 дней)

Что-то опять не стабильно стало с прокси. Из 4-з раздач 3 зеленые, 1 красная - пишет "подключение к сети было разорвано локальной системой". Хотя если напрямую в клиенте вписать прокси, то все зеленое.
[Профиль]  [ЛС] 

trial55

Стаж: 14 лет 11 месяцев

Сообщений: 178


trial55 · 02-Сен-24 20:18 (спустя 3 дня)

NVV_RW писал(а):
86457997Всё, что написано ниже, относится к openWRT23!
С последнего сообщения в теме уже много времени прошло и анонсеры под клаудфлэр запихали. Довольно долго эта схема работала без проблем и все прокси, которые создавались энтузиастами для обхода вредительства РКН РФ, стали ненужны.
Пришла беда, откуда не ждали... С начала июля при попытке обращения с Российских IP-адресов, CF стал выдавать сообщение о недоступности анонсеров - https://rutr.life/forum/viewtopic.php?p=86446492#86446492 Единственным вариантом осталось использование механизма RTOProxy. И если для раздачи с компьютера, есть приложение, проксирующее служебный трафик анонсеров, то для NAS'ов зачастую такой возможности нет.
В принципе, всё понятно - надо трафик анонсеров гнать на адреса px1.blockme.site или px2.blockme.site. И если бы эти прокси "слушали" 80-й порт, то было бы достаточно просто записать в файл hosts сопоставление адресов bt/bt(2-4).t-ru.org адресу px1.blockme.site (185.164.163.126) и на этом - всё.
Но проблема в том, что прокси слушает не 80-й порт, да и адреса bt из-за CF изменяются. Поэтому надо как-то зафиксировать адреса bt* на системе с торрент-клиентом или на роутере. Можно сделать так (добавить в hosts на системе с торрент-клиентом или на роутере):
Код:
172.67.185.253 bt.t-ru.org
172.67.185.253 bt2.t-ru.org
172.67.185.253 bt3.t-ru.org
172.67.185.253 bt4.t-ru.org
Самое "веселье" было разобраться с синтаксисом fw4 на роутере В общем, спасибо тов. Hanabishi - помог!
Нужно создать на роутере файл с именем вида 90-proxy.nft в /etc/nftables.d/ со следующим содержимым:
Код:
chain bt_proxy {
    ip daddr 172.67.185.253 tcp dport 80 counter dnat 185.164.163.126:3128
}
chain bt_proxy_prerouting {
    type nat hook prerouting priority dstnat;
    goto bt_proxy
}
chain bt_proxy_output {
    type nat hook output priority 0;
    goto bt_proxy
}
Пишем, перезапускаем сервис firewall и теперь служебный трафик анонсеров пойдёт через прокси px1/px2 и 521-я и 522-я ошибки пропадут.
Если у кого есть дополнения/исправления - welcome!
Скажите, а IP сейчас надо менять в fw4-скрипте? px2.blockme.site сейчас выдает 77.220.214.147, но никак не 185.164.163.126, да и порт другой...
[Профиль]  [ЛС] 

Hanabishi

Старожил

Стаж: 14 лет 7 месяцев

Сообщений: 2909

Hanabishi · 02-Сен-24 20:32 (спустя 14 мин.)

trial55 писал(а):
86659097Скажите, а IP сейчас надо менять в fw4-скрипте?
Hanabishi писал(а):
86493210Да, IP-адрес прокси сменился. Надо правила переписать соответственно.
[Профиль]  [ЛС] 

silentwatcher

Колония прокаженных

Стаж: 16 лет 1 месяц

Сообщений: 434

silentwatcher · 07-Сен-24 22:24 (спустя 5 дней)

по всей видимости в новых версиях правила переехали из
Код:
/etc/nftables.d/
в
Код:
/usr/share/nftables.d/table-post/
поэтому файл
Код:
90-proxy.nft
надо создавать там.
[Профиль]  [ЛС] 

Dagel^TM

Стаж: 1 год 11 месяцев

Сообщений: 55

Dagel^TM · 07-Окт-24 12:23 (спустя 29 дней)

Возможно я не первый, кто это спрашивает, но
Код:
0 chain=srcnat action=src-nat to-addresses=77.220.214.147 to-ports=3128 protocol=tcp dst-address=104.21.0.111
out-interface=ether1 dst-port=80
1    chain=dstnat action=dst-nat to-addresses=77.220.214.147 to-ports=3128 protocol=tcp src-address=104.21.0.111
      in-interface=ether1 src-port=80
2    chain=srcnat action=masquerade src-address=192.168.88.0/24 out-interface-list=WAN
не заработает на Микротике? Не дружу с метароутером и OpenWRT
[Профиль]  [ЛС] 

nick_gre

Стаж: 14 лет 6 месяцев

Сообщений: 60


nick_gre · 09-Окт-24 16:41 (спустя 2 дня 4 часа)

NVV_RW писал(а):
;; ANSWER SECTION:
px1.blockme.site. 300 IN CNAME ps1.blockme.site.
ps1.blockme.site. 300 IN A 77.220.214.147
ps1.blockme.site. 300 IN A 45.135.180.76
Сегодня проверил, опять один переехал:
Код:
;; ANSWER SECTION:
px1.blockme.site. 31 IN CNAME ps1.blockme.site.
ps1.blockme.site. 31 IN A 5.35.103.18
ps1.blockme.site. 31 IN A 77.220.214.147
Поменял, все заработало.
Новые правила, получается, такие:
Код:
iptables -t nat -A PREROUTING -d 188.114.96.1 -p tcp --dport 80 -j DNAT --to-destination 5.35.103.18:3128
iptables -t nat -A OUTPUT -d 188.114.96.1 -p tcp --dport 80 -j DNAT --to-destination 5.35.103.18:3128
iptables -t nat -A PREROUTING -d 188.114.97.1 -p tcp --dport 80 -j DNAT --to-destination 77.220.214.147:3128
iptables -t nat -A OUTPUT -d 188.114.97.1 -p tcp --dport 80 -j DNAT --to-destination 77.220.214.147:3128
[Профиль]  [ЛС] 
 
Ответить
Loading...
Error