Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense обход блокировок РКН BGP

    Scheduled Pinned Locked Moved Russian
    11 Posts 5 Posters 445.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      rubic @coldzeek
      last edited by

      @coldzeek что делали? куда подключаетесь? на antifilter.download?

      C 1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by werter

        This post is deleted!
        1 Reply Last reply Reply Quote 0
        • C
          coldzeek @rubic
          last edited by coldzeek

          Спасибо за интерес к теме и за скорые ответы

          @werter said in PfSense обход блокировок РКН BGP:

          @coldzeek

          Без BGP. Размышления:

          1. Развернуть вовне VPS.
          2. Поднять на vps опенвпн-сервер (pritunl, streisand, pivpn ). Рекомендую поднимать впн-сервер на 443\TCP.
          3. Настроить пф как впн-клиент. Проверить, что туннель работает.
          4. Создать алиас с antifilter.download для заблокированных ресурсов (URL Table Aliase).
          5. Создать на пф явные правила fw (можно и во floating), к-ые заворачивают ВЕСЬ днс-трафик и трафик к ресурсам выше в этот туннель. Обязательно явно указать шлюзом впн. Поставить эти правила выше всех.
          6. Сбросить на клиентах ДНС-кеш и проверить доступ к ресурсам выше.

          Мыслю абсолютно в вашем ключе. пункты 1-3 выполнены и понятны. п. 4 Алиас создан, проблема в обновлении списков внутри алиаса, как раз хотел наполнять список маршрутами пришедшими по BGP c antifilter.download. п.5 и 6 тоже понятны, но еще не реализованы.

          @rubic said in PfSense обход блокировок РКН BGP:

          @coldzeek что делали? куда подключаетесь? на antifilter.download?

          Пытался подключится к AS antifilter.download. Не понимаю как правильно настроить подключение к их AS.

          Постараюсь в после решения проблема написать мануал, думаю что не только у меня возникают такие проблемы.
          @rubic Прочитал ваш топик по SSLH, интересно, скорее всего это наше будущее :(

          K R 2 Replies Last reply Reply Quote 0
          • K
            Konstanti @coldzeek
            last edited by

            @coldzeek
            Здр
            а не проще написать скрипт , который бы

            1. по Cron-у тащил бы нужные файлы со стороны
            2. Извлекал бы ip адреса из этих файлов и добавлял бы в таблицу/цы PF
            3. На основе этой таблицы делать PBR правило через VPN
            1 Reply Last reply Reply Quote 0
            • R
              rubic @coldzeek
              last edited by

              @coldzeek said in PfSense обход блокировок РКН BGP:

              Пытался подключится к AS antifilter.download. Не понимаю как правильно настроить подключение к их AS.

              Опыта работы с BGP к сожалению нет и тестировать сейчас негде. А чем вам идея @werter не угодила? URL Table Alias подкачивает список IP/подсетей с определенного URL (например с https://antifilter.download/list/subnet.lst), причем делает это переодически

              K 1 Reply Last reply Reply Quote 0
              • K
                Konstanti @rubic
                last edited by

                @rubic
                Насколько я вижу , не рекомендуется подкачивать более 3000 записей за 1 раз

                Enter as many URLs as desired. After saving, the URLs will be downloaded and the items imported into the alias. Use only with small sets of IP addresses (less than 3000).

                R 1 Reply Last reply Reply Quote 1
                • werterW
                  werter
                  last edited by

                  This post is deleted!
                  1 Reply Last reply Reply Quote 0
                  • R
                    rubic @Konstanti
                    last edited by

                    @Konstanti Да, не знал. В алиас-то хоть сколько можно погрузить. pfBlockerHG 11000 записей в таблице имеет, но грузит он сам, а URL отдает локально.

                    K 1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @rubic
                      last edited by

                      @rubic
                      Вообще непонятно , откуда взялось такое ограничение , но в целом , я бы пробовал скриптом качать и построчно добавлять через pfctl адреса в таблицы .
                      У меня есть подозрение , что это связано с количеством потоков , которые одновременно создает софт.
                      Или маленькую программку написать , которая одним блоком запихнула бы данные в таблицу .

                      Читаю документацию , нигде не указаны ограничения на такие операции.

                      1 Reply Last reply Reply Quote 0
                      • N
                        ncat
                        last edited by ncat

                        У меня все заработало с https://api.antizapret.info/group.php
                        dd024f5b-4c41-41ab-b936-4a4db007b8ed-image.png
                        (не забудьте перевести state в ON)

                        1 Reply Last reply Reply Quote 3
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.