Re: События с линком Wireguard
On Tue, Aug 09, 2022 at 10:44:42AM +0300, Maksim Dmitrichenko wrote:
> вт, 9 авг. 2022 г. в 08:46, Eugene Berdnikov <[1]bd4@protva.ru>:
> решать
> задачу не в плоскости ip, а в плоскости прокси и доменных имён, то
> завернуть
> домены ru/su/рф/рус и ещё пяток через российский parent очень просто.
>
> Не приходит в голову сходу как можно заворачивать трафик по DNS, тем паче,
Речь шла о том, чтобы юзеров выпускать в мир через прокси. A на прокси,
как вариант, прописать проксирование российских доменов через российский
parent-прокси, доступный через туннель. Для сквида это директивы вида
"dstdomain .ru .su ..." и "cache_peer_access ...", ну и prefer_direct
и never_direct по вкусу.
Для сквида есть ещё вариант пометить обращения к целевым доменам через
tcp_outgoing_address / tcp_outgoing_mark / tcp_outgoing_tos, и далее
через ip rules отправлять их в туннель. Но не уверен, что это можно
сделать по имени домена -- у сквида есть ограничения на тип acl-ей
для таких директив.
> Коллега, а как вы думаете - без списка российских сетей модуль geoip как
> трудится? Никак. Список очевидно есть. В пожатом виде это 70Кб в некотором
> бинарном виде. Можно, конечно, написать тул, который перегоняет это в вид,
> понятный OSPF'у. Но тут надо понять, что проще - писать тул или писать
> демона, который будет следить за keepalive-статистикой wireguard и дёргать
> нужные хуки.
Ага, за время пока мы тут дискутируем, можно было пару раз пинговалку
написать. А поскольку риалтайм тут не нужен, то всякие bgp и ospf здесь
перебор, десяток строчек на шелле решат задачу.
--
Eugene Berdnikov
Reply to: