Хочу маршрутизировать трафик к заблокированным ресурсам через wireguard.
Распарсил список блокировок отсюда https://github.com/zapret-info/z-i Объединил адрса по маскам там где это возможно.
Получилось ~60K записей, добавил все это в таблицу маршрутизации ip route add $IP/prefix via 10.0.0.1 dev wg0
Как не странно все работает, ничего не изменилось по ощущениям.Какие могут быть проблемы от такого количества записей в таблице? Для iptables есть ipset, а для роутинга есть что-нибудь оптимизированное под сотни тысяч записей?
> Хочу маршрутизировать трафик к заблокированным ресурсам через wireguard.
> Распарсил список блокировок отсюда https://github.com/zapret-info/z-i Объединил адрса
> по маскам там где это возможно.
> Получилось ~60K записей, добавил все это в таблицу маршрутизации ip route
> add $IP/prefix via 10.0.0.1 dev wg0
> Как не странно все работает, ничего не изменилось по ощущениям.
> Какие могут быть проблемы отОт публичного заявления что вы умышленно нарушаете федеральный закон?
Формально- ваше заявление еще не доказательство вашей вины.
Кто-то должен все-таки заинтересоваться, установить фактические действия состава преступления.
Так что...возможно ваше необдуманное хвастовство сойдет вам с рук...
> От публичного заявления что вы умышленно нарушаете федеральный закон?Не порите чушь, ей больно. Федеральный закон не запрещает частным лица производить подобные манипуляции с оборудованием, находящимся в личной собственности. Двусмысленность всего написанного в ФЗ, позволяющая в конечном итоге с треском натягивать их на любой глобус также не является доказательство вины вышеотметившегося Анонима...
>> От публичного заявления что вы умышленно нарушаете федеральный закон?
> Не порите чушь, ей больно. Федеральный закон не запрещает частным лица производить
> подобные манипуляции с оборудованием, находящимся в личной собственности. Двусмысленность
> всего написанного в ФЗ, позволяющая в конечном итоге с треском натягивать
> их на любой глобус также не является доказательство вины вышеотметившегося Анонима...Процитируйте пожалуйста фразы из ФЗ, содержащие двусмысленность с объяснением почему данная цитата содержит двусмысленность.
Конечно если вам не трудно :)
> Процитируйте пожалуйста фразы из ФЗ, содержащие двусмысленность с объяснением почему данная
> цитата содержит двусмысленность.Возьмите любой ФЗ и читайте на здоровье. Если вы утверждаете, что текст закона прозрачнен, понятен и однозначен, то вы либо засланный казачок из правительства, либо врете, что читали законы.
>> Процитируйте пожалуйста фразы из ФЗ, содержащие двусмысленность с объяснением почему данная
>> цитата содержит двусмысленность.
> Возьмите любой ФЗ и читайте на здоровье. Если вы утверждаете, что текст
> закона прозрачнен, понятен и однозначен, то вы либо засланный казачок из
> правительства, либо врете, что читали законы.Есть еще вариант - он юрист. Но это совсем особый случай, они вообще с другой планеты...
> Процитируйте пожалуйста фразы из ФЗ, содержащие двусмысленность с объяснением почему данная
> цитата содержит двусмысленность.родной, ты хотя бы наставление по блокировкам почитай для операторов.
там так все "грамотно" написано, шо капец ...модеры, грохните темку пока до опеннета не докопались.
Боюсь боюсь.*ОП*
> Какие могут быть проблемы от такого количества записей в таблице?А какие проблемы вы ждете? Пока хватает оперативки, это количество - семечки.
> а для роутинга есть что-нибудь оптимизированное под сотни тысяч
> записей?Да, есть конечно. Таблица маршрутизации.
Вот, к примеру, типичный роутер в Интернете:
Totals 692683
Где-то больше, где-то меньше на пару десятков-сотен тысяч.
> Вот, к примеру, типичный роутер в Интернете:
> Totals 692683Ясно, спасибо. Продолжу использование по черному списку.
Когда-нибудь потом составлю свой список того что должно ходить мимо ВПН, он точно короче будет.
> Хочу маршрутизировать трафик к заблокированным ресурсам через wireguard.
> Распарсил список блокировок отсюда https://github.com/zapret-info/z-i Объединил адрса
> по маскам там где это возможно.Вы бы выложили бы скрипты для парсинга...
> Вы бы выложили бы скрипты для парсинга...awk -F ';' '{print $1}' | sed 's/ | /\n/g'
Не мешает еще доменные имена выбрать и отрезолвить у себе через десяток нсов.
curl -o blist_cp1251.xml https://raw.githubusercontent.com/zapret-info/z-i/master/dum...
iconv -f cp1251 -t utf8 blist_cp1251.xml > blist.xmltail -n +2 blist.xml | awk -F ';' '{print $1}' | sed 's/ | /\n/g'
Дальше разберетесь. Не хочу свой гoвнокод показывать, стыдно.
> curl -o blist_cp1251.xml https://raw.githubusercontent.com/zapret-info/z-i/master/dum...
> iconv -f cp1251 -t utf8 blist_cp1251.xml > blist.xml
> tail -n +2 blist.xml | awk -F ';' '{print $1}' | sed
> 's/ | /\n/g'
> Дальше разберетесь. Не хочу свой гoвнокод показывать, стыдно.Да, уникальных 80K IP
# tail -n +2 blist.xml | awk -F ';' '{print $1}' | sed 's/ | /\
/g' | sort -u | wc -l
80016
> Да, уникальных 80K IPЕсли забрать доменные имена, отрезолвить и смержить около 90к получается.
А если потом сколлапсировать все смежные ip по маскам можно уменьшить до 50к.Еще можно роутить ресурсы блокируемые полностью по IP их значительно меньше. А пакеты от пассивного dpi просто отбрасывать.
Достать блокированные по IP можно так
awk -F ';' '{if (($2 == "" && $3 == "") || ($1 == $2)) {print $1}}'Судя по всему 100к записей в таблице маршрутов ни на что не влияют, а значит можно роутить все без разбора. По крайней мере, на моем домашнем x86 роутере с 16Гб памяти.
> tail -
> | awk
> | sed|awk -F\; 'NR>1{a=$1;gsub("^ +| +$","",a);gsub(" +","\n",a);print a}'
:D За державу обидно!
> Дальше разберетесь. Не хочу свой гoвнокод показывать, стыдно.
>> tail -
>> | awk
>> | sed
> |awk -F\; 'NR>1{a=$1;gsub("^ +| +$","",a);gsub(" +","\n",a);print a}'
> :D За державу обидно!
# awk -F\; 'NR>1{a=$1;gsub("^ +| +$","",a);gsub(" +","\n",a);print a}' blist.xml |more
...
104.16.107.48
|
104.16.127.30
|
104.16.160.251
|
104.16.161.251
...
> Хочу маршрутизировать трафик к заблокированным ресурсам через wireguard.
> Распарсил список блокировок отсюда https://github.com/zapret-info/z-i Объединил адрса
> по маскам там где это возможно.
> Получилось ~60K записей, добавил все это в таблицу маршрутизации ip route
> add $IP/prefix via 10.0.0.1 dev wg0
> Как не странно все работает, ничего не изменилось по ощущениям.
> Какие могут быть проблемы от такого количества записей в таблице? Для iptables
> есть ipset, а для роутинга есть что-нибудь оптимизированное под сотни тысяч
> записей?а чем вариант iptables + ipset + mark + ip rule не устраивает?
> а чем вариант iptables + ipset + mark + ip rule не
> устраивает?таблица маршрутов на пару сотен тысяч маршрутов - вообще ничего. а вот ipset даже в виде хеш-таблицы вполне может и ударить по производительности, особенно если его не туда, куда надо воткнуть по неопытности.
Да, можно делать лукап только для state NEW, и там маркать коннекты, и отдельно на входе маркать пакеты по маркам коннектов, но это сложно и нужно далеко не везде, когда обычная маршрутазация успешно решает этот кейс
Че вы паритесь, неделька-лругая и можно будет спокойно дефаулт на vpn заворачивать :)
> Че вы паритесь, неделька-лругая и можно будет спокойно дефаулт на vpn заворачивать
> :)А через месяц и заворачивать некуда будет.
>> Че вы паритесь, неделька-лругая и можно будет спокойно дефаулт на vpn заворачивать
>> :)
> А через месяц и заворачивать некуда будет.А через год и заворачивать некуда и нечего будет.