Re: События с линком Wireguard
Maksim Dmitrichenko <dmitrmax@gmail.com> wrote:
> [-- text/plain, encoding base64, charset: UTF-8, 70 lines --]
> > Проблема в том, что инструмент надо использовать по назначению. Модули
> > netfilter с geoip списками сетей были придуманы для того, чтоб можно было
> > распихивать пакеты в разные стороны исходя из SRC.
> Такая проблема имеется у вас в мозгу в виде ненужного догмата. UNIX way не
> предполагает ограничения списка задач для того или иного инструмента, если
> он разрабатывался под решение одной проблемы, но также работает и для
> другой проблемы. И в данном случае свою задачу этот инструмент решает.
> Проблема с другим инструментом.
Проблема с изначальной постановкой задачи и общим понимание применимости
конкретных инструментов.
> Более того, в nftables нет вообще никакого geoip модуля, там это работает
> просто из коробки благодаря тому, что там есть более высокоуровневые
> сущности, которых нет в iptables, из-за чего приходилось решать гораздо
> более частные задачи написанием целых модулей для iptables. Отвлеклись от
> темы, но от того, что ваш кругозор расширится, вреда не будет.
Спасибо, о великий, за расширение моего кругозора. Только это не тебе - а
роскомнадзору. Благодоря ему, я уже не один год знаю - как, что, зачем и
куда отправлять. Через туннели с шифрованием и без, с помощью BGP и прочих
самопальных демонов на nfqueue.
> > А тут стильно-модно-молодёжно они используются ровно в обратном виде, с
> > кучей проблем.
> Здесь нету никаких проблем в использовании его в обратном виде. Если в том
> сценарии, о котором пишите вы, ложится одна из дырок, куда надо было
> запихать, исходя из SRC, то решение так же не будет работать, но не из-за
> того, что решение не правильное, а из-за проблем другого порядка. Как
> собственно и у меня.
Исходя из DST, родной. Из DST. И на эту задачу этот инструмент ложится -
криво. Но если вам мотать изолентой скрипты не лень - можете. Благо, UNIX
way такое позволяет. Мне лень, мне проще bird2+bgp поднять. В одном месте
прописал - весь мой домашний mesh уже знает. И нет проблем с выяснением
связанности, оно без меня и скриптов разберется - как туда попасть.
> > Просто. Берёшь базы от geoip и вливаешь их в таблицу роутинга и через bgp
> > их в свой туннель экспортируешь.
> >
> Мои сомнения в предыдущем письме как раз связаны с отсутствием готового
> инструмента, который подобную базу конвертирует в вид, пригодный для
> использования демоном того или иного протокола распространения маршрутов. А
> у вас всё "просто". Однако, вы сейчас выполняете роль чукчи из анекдота
> ниже )
Я тебе один умный вешь скажу, только ты не обижайся - эти данные есть
изначально только в одном виде - список сетей с масками. Текстовый. Лежит в
RIPE. То, что добрый дядя, взял его и перевёл в бинарный формат (устраивая
при этом vendor lock) - так это задачи дяди, он на этом деньги зарабатывает.
И в оригинале - все эти базы maxmind были вообще для применения в
web-серверах. И только потом их начали прикручивать куда попало.
Поэтому - изначально идея правильная, а решение кривое до невозможности.
Ровно из-за микроскопа, которым пытаются забивать в землю дождевых червей.
Reply to: