https://mobile.opennet.dev/openforum/vsluhforumID10/5456.html Хочу маршрутизировать трафик к заблокированным ресурсам через wireguard.<br>Распарсил список блокировок отсюда https://github.com/zapret-info/z-i Объединил адрса по маскам там где это возможно.<br> Получилось ~60K записей, добавил все это в таблицу маршрутизации ip route add $IP/prefix via 10.0.0.1 dev wg0<br>Как не странно все работает, ничего не изменилось по ощущениям.<br><br>Какие могут быть проблемы от такого количества записей в таблице? Для iptables есть ipset, а для роутинга есть что-нибудь оптимизированное под сотни тысяч записей?<br> https://mobile.opennet.dev/openforum/vsluhforumID10/5456.html#22 Sat, 21 Apr 2018 03:10:26 GMT &gt;&gt; Че вы паритесь, неделька-лругая и можно будет спокойно дефаулт на vpn заворачивать <br>&gt;&gt; :) <br>&gt; А через месяц и заворачивать некуда будет.<br><br>А через год и заворачивать некуда и нечего будет.<br><br><br> https://mobile.opennet.dev/openforum/vsluhforumID10/5456.html#21 Fri, 20 Apr 2018 14:04:46 GMT &gt; Че вы паритесь, неделька-лругая и можно будет спокойно дефаулт на vpn заворачивать <br>&gt; :) <br><br>А через месяц и заворачивать некуда будет.<br> https://mobile.opennet.dev/openforum/vsluhforumID10/5456.html#20 Fri, 20 Apr 2018 13:39:08 GMT &gt; Процитируйте пожалуйста фразы из ФЗ, содержащие двусмысленность с объяснением почему данная <br>&gt; цитата содержит двусмысленность.<br><br>родной, ты хотя бы наставление по блокировкам почитай для операторов.<br>там так все "грамотно" написано, шо капец ...<br><br>модеры, грохните темку пока до опеннета не докопались.<br> https://mobile.opennet.dev/openforum/vsluhforumID10/5456.html#19 Fri, 20 Apr 2018 13:35:26 GMT Че вы паритесь, неделька-лругая и можно будет спокойно дефаулт на vpn заворачивать :)<br> https://mobile.opennet.dev/openforum/vsluhforumID10/5456.html#18 Thu, 19 Apr 2018 21:33:26 GMT &gt; а чем вариант iptables + ipset + mark + ip rule не <br>&gt; устраивает?<br><br>таблица маршрутов на пару сотен тысяч маршрутов - вообще ничего. а вот ipset даже в виде хеш-таблицы вполне может и ударить по производительности, особенно если его не туда, куда надо воткнуть по неопытности.<br><br>Да, можно делать лукап только для state NEW, и там маркать коннекты, и отдельно на входе маркать пакеты по маркам коннектов, но это сложно и нужно далеко не везде, когда обычная маршрутазация успешно решает этот кейс<br> https://mobile.opennet.dev/openforum/vsluhforumID10/5456.html#17 Wed, 18 Apr 2018 14:52:01 GMT &gt;&gt; tail - <br>&gt;&gt; &#124; awk <br>&gt;&gt; &#124; sed <br>&gt; &#124;awk -F\; 'NR&gt;1{a=$1;gsub("^ +&#124; +$","",a);gsub(" +","\n",a);print a}' <br>&gt; :D За державу обидно[I]![/I] <br><br>[code]<br># awk -F\; 'NR&gt;1{a=$1;gsub("^ +&#124; +$","",a);gsub(" +","\n",a);print a}' blist.xml &#124;more<br>...<br>104.16.107.48<br>&#124;<br>104.16.127.30<br>&#124;<br>104.16.160.251<br>&#124;<br>104.16.161.251<br>...<br>[/code]<br><br> https://mobile.opennet.dev/openforum/vsluhforumID10/5456.html#16 Wed, 18 Apr 2018 09:14:57 GMT &gt; Да, уникальных 80K IP <br><br>Если забрать доменные имена, отрезолвить и смержить около 90к получается.<br>А если потом сколлапсировать все смежные ip по маскам можно уменьшить до 50к.<br><br>Еще можно роутить ресурсы блокируемые полностью по IP их значительно меньше. А пакеты от пассивного dpi просто отбрасывать.<br>Достать блокированные по IP можно так<br>awk -F ';' '{if (($2 == "" && $3 == "") &#124;&#124; ($1 == $2)) {print $1}}'<br><br>Судя по всему 100к записей в таблице маршрутов ни на что не влияют, а значит можно роутить все без разбора. По крайней мере, на моем домашнем x86 роутере с 16Гб памяти.<br> https://mobile.opennet.dev/openforum/vsluhforumID10/5456.html#15 Wed, 18 Apr 2018 06:59:46 GMT &gt; Хочу маршрутизировать трафик к заблокированным ресурсам через wireguard.<br>&gt; Распарсил список блокировок отсюда https://github.com/zapret-info/z-i Объединил адрса <br>&gt; по маскам там где это возможно.<br>&gt; Получилось ~60K записей, добавил все это в таблицу маршрутизации ip route <br>&gt; add $IP/prefix via 10.0.0.1 dev wg0 <br>&gt; Как не странно все работает, ничего не изменилось по ощущениям.<br>&gt; Какие могут быть проблемы от такого количества записей в таблице? Для iptables <br>&gt; есть ipset, а для роутинга есть что-нибудь оптимизированное под сотни тысяч <br>&gt; записей?<br><br>а чем вариант iptables + ipset + mark + ip rule не устраивает?<br> https://mobile.opennet.dev/openforum/vsluhforumID10/5456.html#14 Wed, 18 Apr 2018 06:39:00 GMT &gt; tail -<br>&gt; &#124; awk<br>&gt; &#124; sed <br><br>&#124;awk -F\; 'NR&gt;1{a=$1;gsub("^ +&#124; +$","",a);gsub(" +","\n",a);print a}'<br><br>:D За державу обидно[I]![/I]<br><br>&gt; Дальше разберетесь. Не хочу свой гoвнокод показывать, стыдно.