FriGate опять бякой оказался

[livelight]

На предыдущей итерации он иногда биткоины начинал майнить так, что работать становилось неприятно. Майнил бы ненавязчиво и во время собственно оказывания мне услуг - я был бы не против.

Почитал список новых обвинений тут:
* Накручивал просмотры видеороликов, включая рекламные, на различных площадках? Не смешите мои тапочки, разборки жаб с гадюками меня не интересуют - по крайней мере, пока у меня достаточно шустрый интернет-канал ("не интересуют" означает, что какой-нибудь ad nauseam я тоже ставить не буду)
* Но вот делать от моего имени в соцсеточках что-то ещё (хотя бы лайки ставить) - это действительно тяжкий грех. Пришлось таки снести.

А жаль. Покопался на хромом маркете в аналогичных расширениях - пока что всё найденное работало отвратительно, или слишком быстро и слишком настойчиво начинало просить денег, или всё сразу.

Так-то меня есть и полномасштабные VPN-ы на весь комп с дружественными серверами, но это далеко не всегда удобно, если мне надо всего лишь одну вкладочку в браузере пустить в обход блокировок. Особенно если в другой вкладке открыто что-то рабочее, которое должно идти строго через рабочий VPN и без посторонних проксей.

Кто что ещё посоветует?

Comments

[livelight]

BGP?! В смысле, напрямую в маршрутизацию IP-пакетов вмешиваться? Учитывая, что между компом и целевым сайтом стоит ещё локальный роутер, провайдер и какие-нибудь злые DPI (возможно, прямо у провайдера) - это не просто выглядит оверкиллом для моей задачки "направить HTTP запросы на некоторые сайты через хорошо работающую проксю", но ещё и может быть весьма тяжело реализуемо в кустарных условиях.

[yalexey]

Вот на своём роутере маршрутизацию и поднять. Для загрузки блокируемых в РФ префиксов мне хватает роутера с памятью 256 мегабайт. Он же и рекламу фильтрует.

[livelight]

Поднял маршрутизацию - а как это дальше работает?

Роутер напишет на IP пакете, направляющемся на заблокированный сервис, Strict Source Routing, чтобы его отмаршрутизировали через такие-то роутеры в интернете, на такой-то целевой адрес (который всё равно на виду, ибо это ж не TOR) и отдаст этот пакет провайдеру, который обязан блокировать всё, что скажет РКН?
А ответный пакет как пойдёт?

[yalexey]

Есть разные варианты.
Простейший - туннель для пакетов к блокируемым ресурсам. То есть, все пакеты, совпадающие с загруженными префиксами, летят в туннель. Есть пример конфигурации Bird, если нужно.

[livelight]

То есть, роутер уже держит прямой (шифрованный от роскомпозора) туннель к доверенному серверу в дальнем интернете и сбрасывает нужные пакеты в него?
Но тогда при чём тут BGP? Тем более что BGP сам по себе не сообщает, пакеты на какие адреса попытаются зарезать.

[yalexey]

По bgp тупо прилетают префиксы с другой машины, которая разными путями узнаёт, что заблокировано.
Для работы в РФ имеются ресурсы antifilter.network и antifilter.download, отдающие префиксы.

Раньше я использовал другую схему - сам прямо на роутере скриптом формировал таблицу из выгрузки и прописывал в ipset и в конфиг DNS forwarder. Но в какой-то момент у роскомпозора поехала крыша, выгрузка стала больше bgp global view, роутер стал зашиваться на парсинге, а я стал рыть альтернативы. Даже обработку скриптов на vps поднял. Но в итоге пришёл к варианту с загрузкой префиксов по bgp, благо добрые люди раздают.