условный роутинг трафика?

юзай antidpi правила.
А по теме - правило iptables которое загонит нужные тебе подсети в прокси

Не, суть задачи в том, что этих подсетей миллионы. Загонять в iptables сотни-тысячи правил не вариант. Должен быть демон, который будет со всем этим работать. И желательно мониторить и выбирать лучшие прокси для тех или иных целей.

Загоняй /12 или /10 подсетями.

Это костыль, а не решение.

Помню, intel что то делал для быстрого роутинга по тысячам правил. Счас бы вспомнить, что есть по этой теме кроме iptables и ip rule

Написать свое решение. Про UNIX-way знаешь? Демон, чтобы добывать список заблоченных сетей, демон, чтобы парсить, демон, чтобы добавлять в ipset, правила iptables и PBR, чтобы направлять трафик куда надо, куча открытых впн, чтобы была связность со всем миром с резервированием.

Не вполне уловил, почему отметается вариант с туннелированием *всего* трафика на один единственный доверенный узел.

Его слишком много? Или предполагается, что в скорости стран, где ничего не режут, на этой планете не останется?

Это я к тому, что самый сложный шаг здесь — составить список адресов. Для некоторых операторов связи он откровенно невозможен, поскольку они по возможности режут выше пакетов.

Не вполне уловил, почему отметается вариант с туннелированием *всего* трафика на один единственный доверенный узел.

Это по сути не вариант. Скорость соединения слишком мала, многие сервисы смотрят, откуда пришел клиент и говорят не на том языке.

За несколько лет такого использования эти проблемы приводят просто к отказу от прокси и тех сервисов, что забанили. Проще без них и без гемора.

Его слишком много? Или предполагается, что в скорости стран, где ничего не режут, на этой планете не останется?

И это тоже правда. С Украины режут одно, из России другое. На западе третье, в Китае свое...

Это я к тому, что самый сложный шаг здесь — составить список адресов. Для некоторых операторов связи он откровенно невозможен, поскольку они по возможности режут выше пакетов.

Есть база заблокированных адресов. Это не так сложно. Гораздо сложнее то, что маршрутов много. Забивать их руками в iptables или shorewall просто самоубийство.

Нашел вариант - tun2socks. пока не совсем понятно, решает он или нет.

Загонять в iptables сотни-тысячи правил не вариант

ipset придумали в том числе чтобы разгрузить iptables

А вообще у товарищей с antizapret посмотри набор скриптов для генерации pac-файлов. Берешь эти скрипты и перепиливаешь под себя, а браузеры клиентов натравливаешь на этот pac-файл.

Я пока что лишь очень жалею что андроид не умеет WPAD :-(

РКН тоже блочит миллионы IP не по одному, а подсетями.

многие сервисы смотрят, откуда пришел клиент и говорят не на том языке.

В 99% случаев эти сервисы имеют переключалку региона и языка, которая сохраняется в cookie или ещё как-нибудь (к тому же нормальные сервисы определяют язык не по IP, а по языку браузера, что куда логичнее). Ей всё равно приходится иногда пользоваться, потому что если страна по GeoIP обычно определяется неплохо, то города нередко всё равно неверно.

Это я к тому, что самый сложный шаг здесь — составить список адресов. Для некоторых операторов связи он откровенно невозможен, поскольку они по возможности режут выше пакетов.

Есть база заблокированных адресов.

Дык блокируют не только адреса, но и имена. Не все соединения еще принудительно шифруются.

многие сервисы смотрят, откуда пришел клиент и говорят не на том языке

А вы не собираете примеры? Вообще-то заголовок должен иметь приоритет над гаданием по адресу. То есть это баг, и о нем надо бы доложить.

Скорость соединения слишком мала, многие сервисы смотрят, откуда пришел клиент и говорят не на том языке.

this.
достаточно просто намутить приличную скорость и удобную, быструю, смену и уже не нужно будет мутить сложную систему.
просто 24х7х365 использовать, даже не задумываясь, и переключатся в случае «клиент и говорят не на том языке» в мильён раз проще.

2018 год, кто-то жалеет, что что-то не умеет WPAD. Во времена пошли.

Окей, назови другую технологию автонастройки proxy в браузерах, поддерживающуюся на большинстве распространенных платформ. Я понимаю, что значит W в аббревиатуре WPAD - не одобряю это, но альтернатив в общем-то нет в принципе(ну разве что назвать настройку каждого клиента вручную - альтернативой).

Нет, я жалею не только в связи с обострением сам знаешь чего... Нет, вариант «proxy должны сдохнуть!» тоже не устраивает...

Это решение для браузера. А мне надо на сетевом уровне для всех.

достаточно просто намутить приличную скорость

Я только «за», но пока что найти недорогой впс с хорошим стабильным каналом мне не удалось. И что то подсказывает, что и не удастся.

£7.75 в год всё ещё продают OpenVZ за натом например. 55 рублей в месяц выходит.

А толку? Какая у него скорость по сети? В дигитал оушен я наблюдал примерно 500кб-10мбит.

я прокси не пользуюсь, а openvpn выдаёт 60мбит дочерез Варну из Москвы.

а что за провайдер? 8 евро в год это реально немного.

уже рекламировал на лоре — https://i-83.net от quadhost, я брал несколько серверов по £4.50 два года назад. подключаюсь через провайдера OnLime.

Что мешает посмотрев логику скриптов напилить правил для роутинга - суть одна и таже - нужно рожать список IP или диапазонов. ipset в этом случае хороший вариант - он «сглатывает» дубли, которых в реестре прилично(set - множество). А потом весь трафик из сета маркируешь и поворачиваешь на нужный тебе шлюз.

Ну и отдельно я бы посоветовал завернуть весь DNS-трафик куда-нибудь в DNSCrypt или DNS-over-TLS, дабы избежать перехвата провайдером.

Прочитал как «уголовный роутинг траффика».

https://bitbucket.org/ValdikSS/antizapret

днс меня не беспокоит в принципе. Использую свои днс. В том числе и на внешних площадках. Ни разу проблем не встречал с ними.

А tun девайсы в контейнере разрешены? Иначе как ты openvpn и все такое используешь?

да, там кнопочку можно нажать и разрешается.

Это отлично.

А там centos 7 есть в темплейтах контейнера?

да, аж три варианта, centos-7-x86_64-minimal почему-то два раза.
https://i.imgur.com/TLtQ19H.png

Ркн ничего не блочит, он лишь создаёт реестр и добавляет в него неугодных. Блокируют провайдеры в соответствии с этим реестром. А если не блокируют, то а-та-та от роскомнадзора в виде денежного вознаграждения.

Нет такой и слава богу.

Может кто знает такой софт, который стоя на роутере сверяет по базе данных пункт назначения и если он есть в списке запретов, направлет его

Такой софт называется «ядро Linux».

условный роутинг

Ты удивишься, но это называется «policy-based routing». Прямо так.

Нет такой

ЧТД

и слава богу

Бритвой Торвальдса решил прикрыться? Слив защитан

Какой слив, ты хоть почитай, что я писал. Я с первого сообщения охреневаю, что об этой ретро-дырени не только помнят, но еще и хотят.

Отлично, спасибо, попробую.

Был бы у них еще тестовый период. Хотелось бы понять, в каком датацентре лучше связь с Китаем и с Москвой.

а тем временем в списки заблокированных ресурсов попал гугле. Зашибись...

А при чем тут policy? Это тривиальная классическая маршрутизация по получателю

А.
Да, действительно.
Не следовало спросонья писать на ЛОР.

Мда.

Битва за скорость привела сначала к переводу shadowsocks в kcptun, а затем и вовсе к отказу от shadowsocks в пользу kcptun и ss5.

Скорость довольно существенно подросла с 5-10 мбит до 20-40мбит.

на очереди tun2socks и ha кластер из ss5...

ЗЫ

а quadhost что то тупит. 12 часов висит заказ на контейнер как оплаченый и статус все еще pending. Не энтерпрайзненько...

dnsmasq + ipset

А dnsmasq зачем? Можно на 1.1.1.1 направить. И как поможет ipset? Куда ты трафик перенаправишь по этим правилам?

Критикуя - предлагай. Есть задача - прокси для кеширования. Нужно спускать его настройки для клиентов. Прозрачный прокси не подходит, ибо HTTPS идёт лесом.

Предположим что у нас DHCP-запросы в сети фильтруются(DHCP screening, вот это вот всё) - дабы нам не сунули левый прокси.

Предложи любую технологию(кроме WPAD, ибо о его дырах я наслышан) для решения данной задачи - я внимательно слушаю.

Или чёрт с ним, предложи решение для кэширования без прокси, опенсорсное и не стоящее 100500 миллионов убитых американских президентов.

Потому что dnsmasq умеет пихать в ipset все нужные домены (в том числе вместе с субдоменами). Далее трафик заворачивается iptables'ом на VPN/Tor/другого провайдера. Это и есть то, что называется размытым понятием PBR.

Например, на LEDE/OpenWRT это реализуется связкой dnsmasq+ipset+mwan3.

Еще вопросик. Вроде в описании продукта сказао, что есть мапинг 20 портов. 1 Shared IPv4 (20 Ports)

Я так понимал, это dnat 20 портов с белого адреса внутрь. Но я нигде не вижу этого в панели управления.

Или в там в принципе вся связь только изнутри наружу?

https://quadhost.net/account/knowledgebase/5/Find-your-IPv4-NAT-Instance-Publ...
находишь свой регион, например var3-bg — это 80.95.29.212 внутри будет допустим 192.168.35.250, значит у тебя 25000-25020, дефолтный ssh будет user@80.95.29.212 -p 25022

А, я зашел по ssh через ipv6 и нашел внешний адрес и порты методом втыка nmap и tcpdump. Уже потестировал прокси.

Отлично, теперь хоть есть понимание, что эти адреса не слетят через полчаса.

Причем там явно больше, чем 20 портов пробрасывает...

А зачем квадхост за 3.5, если есть аруба за 1? Да еще и не контейнер, а полноценная виртуализация...