Amnezia-VPN. Настройка блокировки сайтов

route add -host habr.com gw 127.0.0.1

Хм, ну такое: https://amnezia.org/ru/starter-guide

Какая-то фигня в инструкции.

Т.е. они предлагаю всем желающим купить на себя VPS / VDS сервер.

А потом отправить имя логин и пароль для доступа на этот сервер.

И они типа его настроят и дадут тебе VPN.

Шляпа какая-то.

Ты что так сделал?

Бех лоха и жизнь плоха (c)

Никогда не указывай доменные имена ни в каких командах настройки сети. Там должны быть только ip-адреса, а всё остальное, если оно не выкинет ошибку сразу, всё равно превратится в них перед применением команды, только заранее неизвестно в какие и тебе об этом не сообщат. В худшем же случае после этого начнётся спам днс-запросами на каждое срабатывание твоей настройки (но это уже не про ядро).

Нужно использовать WG сервер как шлюз.
Или WG клиент шлюз.
На шлюзе DNS и ip WG трассирутся в сеть оператора.
Туда, откуда шлюз берёт трафик.
Ну например route add -host 8.8.8.8 gw 192.168.1.2
А хосты можно замкнуть на локальную петлю.
даже поднять nginx чтоб табло выдавать.
Метод хостов лучше чем IP.
Сейчас производительность машин позволяет это делать.
Если kvm vds, то нужен обязательно gentoo собранный с параметрами -march=x86-64 -mtune=generic

20 лет использую squid. К нему есть куча плагинов:

• блокировать URL, домены, IP
• делать MitM и:
• • сканить весь трафик на вирусы
• • изменять проходящий трафик (удалять вирусы и прочую бяку)

Весь трафик можно прозрачно заворачивать на squid, а другой блокировать.

Для работы антивирусника нужен мощный сервер и много оперативы.

Почему-то с Хабром сработало, а ya.ru и gosuslugi.ru продолжают открываться… Чудеса…

Нет, зачем? Программа сама всё настраивает. Там совершенно незачем кому-то что-то передавать.

Не очень понял суть предложения. Поднять WG шлюз отдельный, на него завернуть весь трафик сервера Амнезии и там проксировать?

Потому что не указывай домены в таких командах, я выше уже писал. Собери все айпи-адреса нужного сайта и пропиши их там явно.

Ну не получится (( Нужно заблокировать Яндекс… Там огромный диапазон внутри BGP. Тоже самое можно сказать о Госуслугах, Сбере, Альфа-банке и мэйл.ру.

Ну ведь если цель заблокировать яндекс (похвально), то и надо брать все диапазоны по BGP:

whois -h whois.radb.net -- '-i origin AS13238' | awk '{ if ($1 ~ /^route:/) print $2; }'

и весь список в блок

Как работал, так и работает ((

Значит не всё заблокировал. Если говорить про блокировки с помощью таблиц роутинга или файрволла, то никаких «по домену» в них принципиально быть не может, так что собирай ip-адреса внимательнее. То, что все ip-адреса яндекса указаны в bgp рядом с какой-то конкретной AS, я бы за постулат принимать не стал. Прояви инициативу собственную, у тебя задача собрать его ip-адреса из неопределённого круга источников информации.

Настраиваешь клиент по 192.168.1.1, делаешь его шлюзом. Поднимаешь named. Трассируешь ip сервера и dns на сеть провайдера 192.168.1.2. Или роутер 192.168.1.2.
В роутере указываешь шлюз DHCP 192.168.1.1, и dns сервер 192.168.1.1.
А 192.168.1.1 будет отправлять трафик на виртуальный ip сервера WG. Всех клиентов 192.168.1.3/24. Профит.
DNS будет срабатывать в обход WG шлюза, что в разы быстрее. Да ещё и с кэшем.
Как правило оператор не перехватывает DNS запросы. Только сам трафик. А если и перехватит. То его трафик не сработает.

если блокируешь ip адрес ya.ru, а затем у тебя ya.ru открывается, значит метод блокировки не работает.

Так же в браузере в панеле разработчика можно сверить, с каких ip адресов открываются ресурсы, whois по этим адресам позволит выяснить AS, дальше по номеру AS выяснить все сети, если требуется.

Веб-браузеры с включенным DOH передают привет отдельно настроенному named и проходят мимо :)