Общесистемный аналог foxyproxy

В OpenWrt можно поднять shadowsocks и залить файл со списком IP подсетей, которые прозрачно редиректить через него. Всё настраивается через вебморду.

Адресами рулить легко, ТС хочет рулить доменами, да еще и по маскам. Как это делает foxyproxy.

Обычно предлагается регулярно ресолвить домены из списка, и при помощи ipset и iptables/nftables редиректить запросы к ним куда надо, в т.ч. на прозрачный прокси типа Shadowsocks. Но это костыльный способ и для доменов с маской не годится. Хотя для обхода блокировок РКН, скажем, и его обычно достаточно.

Вангую, что автору нужно для обхода блокировок, а для них на гитхабе уже есть отрезолвенный список, который обновляется раз в час.

https://github.com/zapret-info/z-i

Этот? Тут не для всех доменов есть IP-адреса (провайдеры обычно банять домены по DPI), кроме того, они в том виде, котором их дает РКН, т.е. многие из них уже протухли.

Да, этот. Посоветуешь что получше? А вообще там ещё есть «Forward recentrst» - автодобавление правил после получения нескольких tcp rst.

Выгрузка у всех публичных источников одна, только свежесть разная. Провайдеры, в теории, должны использовать самую свежую, но это не всегда так на практике. Если не хочется резолвить все домены самому, то есть готовый список (только это тоже не панацея, насколько я понимаю, у провайдера один домен может ресолвиться в один IP, у тебя - в другой, у меня - в третий и т.д.).

Я давно темой не интересовался, может еще что появилось.

Про Forward recentrst не знал, спасибо. А, в теории, нельзя ли только им одним обойтись? Без списков. Потому что 3 млн. IP обрабатывать можно, конечно, но такой подход не очень уж оптимален, если пользователей у системы всего несколько.

там все гораздо проще. если нормализовать список, то получится вполне адекватное количество подсетей и горстка айпишников (тысяч 100-200).

Redsocks. Правила в iptables.

У меня роутер так настроен, что решает, какие домены через впн пускать.

Да, но для небольшого числа IP ничего нормализовывать, скорее всего, не потребуется (и не выйдет особо).

Кроме того, если "самому собирать" список заблокированных IP, то он будет отражать более реальную картину у данного конкретного провайдера, чем выгрузка РКН (кстати, раньше ходили слухи, что у некоторых крупных провайдеров может быть "своя" выгрузка).

Еще, на одном IP может быть несколько сайтов, что РКН конечно же не учитывает, в итоге, проксировать приходится в разы больше ресурсов, чем доменов в выгрузке. При таком "точечном" подходе, это можно свести к минимуму.

Другое дело, как я понимаю, такой подход будет работать только при повторном обращении, т.е. годится только как резервный.

В точку, хочется именно такого, адресами я могу и в route нарулить. При этом, тот же foxyproxy как я понял ещё и все редиректы с сайта попавшего под маску делает с использованием подходящей под сайт прокси если домены этих запросов не находятся в списках. Такое понятно system-wide не сделать т.к. нет контекста «сайт». Но, хотя бы на уровне доменов вручную было бы гораздо интересней.

Что за роутер, модель, прошивка?

Huawei WS880, tomato.

Чет я не совсем понимаю видимо как iptables работает с доменами. Оно в них вроде как умеет, но как будет правило работать - для адреса который разрезолвит в момент задания правила? Или каждый раз будет резолвить?

Может ли быть ситуация, что софт и iptables разрезолвят разный адрес, например:

• браузер разрезолвил адрес A
• балансировщик на стороне сервера поменял адрес для домена
• iptables разрезолвил адрес B

Прикольно, zyxel'a так похоже не умеют, хотя надо ещё потыкать.

ТС хочет рулить доменами, да еще и по маскам.

Ну если только для браузера, то автоматическая настройка proxy в браузере так и работает: по маске сверяет текущий желаемый пользователем host и отправляет либо на прямую, либо на прокси. Это же яваскрипт. Наворачивайте что хотите.