в зависимости от исходного адреса

а чо просто роут не добавить?

имеешь в виду вообще без ipset?

делай iptables -t mangle -A OUTPUT -o eth0 -m set —match-set stage dst -j MARK —set-xmark 0x1/0xffffffff

короче это делай и будет щастье

ну просто до конца не ясно зачем это все

у меня например, если надо чтоб с резервного канала отвечал хост написано 32765: from 89.19.2.2 lookup akado

короче это делай и будет щастье

А -o eth0? Если мне надо чтоб оно в tun0 ушло

Делай)

и у меня по двум каналам хост отвечает

В процессе пропихивания сквозь ipt поменяется

Это как отправная точка считай, дальше поменяется по ходу

Ну у человека как минимум dst set есть в правиле, тут Ip rule не помощник

ну да

мне кажется, Дуров покупает впс подряд на всех хостингах на частное лицо, тупо поднимает проксю в свои ДЦ, и вперед. Не представляю, как хостеры смогут от этого избавиться, даже если захотят.. Паспорт только спрашивать..

нет, столько ip амазон просто так бы не отдал (базово они отдают определенно малое количество ресурсов на нового пользователя), далее, диджитал оушен отписался в твиттере о том, что они знают о блокировке ip в России и это типа для них норм, В гугл и амазон давно уже ушли письама от РКН, да и сами они блокировку заметили, но не выгнали, а это может означать предварительную договорённость о взаимном сотрудничестве, которое в свою очередь может быть даже никак не оплачиваемым со стороны Павла. У амазона/гугла других компаний так или иначе могут быть проблемы из-за РКН, да и он уже есть, например, в вижде того, что пользователи вынуждены переезжать от них к хостинг-провайдерам на территорию РФ, где у амазона и ДЦ то нет и не планируется

просто почему не сделать просто обычный роут в впне

если весь трафик на dst надо рулить в tun0

ну просто до конца не ясно зачем это все

да банальный обход блокировок 😄 Есть dnsmasq который резолвит и обновляет ip, если хост из списка то сует его ip в ipset. ну а дальше вы знаете....

ну банальный обход делается банальным роутом

попраьте рулы

ipset быстрее чем 100500 rule

Делай)

Чота он на такое правило ругается: iptables -t mangle -A OUTPUT -o eth0 -m set -—match-set stage dst -j MARK —set-xmark 0x1/0xffffffff iptables v1.6.0: unknown option "set"

даже со всеми метками пакетов

если надо для кого-то делать обход а для кого-то нет, то да, надо mark

Чота он на такое правило ругается: iptables -t mangle -A OUTPUT -o eth0 -m set -—match-set stage dst -j MARK —set-xmark 0x1/0xffffffff iptables v1.6.0: unknown option "set"

там с тире заморочка может быть

зачем вам вообще маркировать пакеты?

даже из копипасты видно, что что-то не так с тире

напишите просто два минуса руками

--set

--m set

вот

ipset быстрее чем 100500 rule

так можно просто 100500 роутов сделать, если не нужен полиси роутинг)

так можно просто 100500 роутов сделать, если не нужен полиси роутинг)

+

Такое на линуксе архитектурно медленнее чем Ipset с маркировками

херасе

ДАже с учетом изменений в поиске маршрута

то есть просто роут медленней чем ipset ?

ну банальный обход делается банальным роутом

мне показалось через ipset проще обновлять. +dnsmasq сам сует туда IP. Мне тока домены ему сказать остается.

эт почему роут медленней ipset +mark + iptables ?

ipset это Bloom фильтр, маршрутизация - разреженное дерево. Куча /32 через первое быстрее обрабатывается

ну хз. у меня скрипт на баше

там не так много адресов которые надо реально обходить

то есть просто роут медленней чем ipset ?

зависит. Для задач с кучей мелких префиксов реально да

у меня так хост файл для обхода блокировок выглядит

13.52.0.0/14;local 52.208.0.0/13;local 35.160.0.0/13;local 52.192.0.0/11;local 52.0.0.0/11;local 34.192.0.0/10;local #amazon end #xz che 13.32.0.0/12;local 151.101.0.0/16;local 35.156.0.0/14;local 52.57.0.0/16;local 54.224.0.0/12;local #xz che kod.opentg.us;local

раз в минуту кроном парсится))

еще есть такие строки

bt3.t-ru.org;ec2 bt01.nnm-club.cc;local bt01.nnm-club.info;local tr0.tor2me.info;ec2 bt.megapeer.org;ec2

скрипт резолвит и обходит

костыль адовый но работает)))

ipset это Bloom фильтр, маршрутизация - разреженное дерево. Куча /32 через первое быстрее обрабатывается

дану, там же не 10 гиг гоняется)

да и кешируются роуты ж

Там ного фана под капотом. Добавить первый ip route table уже мощно сажает производительность форвардинга

да и кешируются роуты ж

Неа, давно нет

Выкинули

вообще я на марках и тейблах делал перенаправление в разные тунели даже для аута, но там какие-то заморочки были, надо вспоминать с фейковыми дефолтами в том числе

не роуты кешируются а коннтрек

но он сбрасывается рано или поздно

Ну раньше и роут-кеш был же

ну этого я не заметил

а, да, его ж выпилили

видимо давно было

Там ного фана под капотом. Добавить первый ip route table уже мощно сажает производительность форвардинга

я не углублялся в алгоритмы поиска по таблицам роутов, это где-то расписно кроме kernel src ?)

Так, кароч правило добавилось. И теперь меня даж не кидает редиректом на страницу блокировки. Но траф похоже не идет куда надо(

# ipset list Name: vpn Type: hash:ip Revision: 4 Header: family inet hashsize 1024 maxelem 65536 Size in memory: 176 References: 1 Members: 108.174.10.10 *mangle :PREROUTING ACCEPT [6397:1388841] :INPUT ACCEPT [1917:152146] :FORWARD ACCEPT [4476:1236455] :OUTPUT ACCEPT [1824:159747] :POSTROUTING ACCEPT [6298:1396055] -A OUTPUT -o eth0 -m set --match-set vpn dst -j MARK --set-xmark 0x1/0xffffffff # ip ro get 108.174.10.10 108.174.10.10 via 95.143.124.193 dev eth0 src 95.143.124.194 cache

Вот этого чувака безумно интересно почитать на сию тему https://vincent.bernat.im/en/blog/2017-performance-progression-ipv4-route-lookup-linux

Так, кароч правило добавилось. И теперь меня даж не кидает редиректом на страницу блокировки. Но траф похоже не идет куда надо(

потому что сорс неправильный, у вас из роута он берется

есть костыль - можете сжедать snat на этом tun0

b dct dpktnbn gj bltt

и все взлетит по идее

Да ну не знаем мы ничего про ipset и iptables на этапе ip route get

да кстати

смотрим без их учета вообще

Вот этого чувака безумно интересно почитать на сию тему https://vincent.bernat.im/en/blog/2017-performance-progression-ipv4-route-lookup-linux

спасибо, почитаю, интересно

А то что у него маршрут в tun0 не заставит его сменить сорс? # ip rule 0: from all lookup local 220: from all lookup 220 1000: from all fwmark 0x1 lookup 320 32766: from all lookup main 32767: from all lookup default # ip ro list table 320 default dev tun0 scope link

короче я бы не стал так морочиться

Нет

А то что у него маршрут в tun0 не заставит его сменить сорс? # ip rule 0: from all lookup local 220: from all lookup 220 1000: from all fwmark 0x1 lookup 320 32766: from all lookup main 32767: from all lookup default # ip ro list table 320 default dev tun0 scope link

нет, сорс уже выбран

Маршрут != nat

т.к. оно уже по роутам пробежало

возможно кстати оно может снатиться при выходе уже с tun0 я хз как оно будет работать

но скорее всего лучше snat на tun0 сделать