Maksim Dmitrichenko <dmitr...@gmail.com> wrote: > [-- text/plain, encoding base64, charset: UTF-8, 70 lines --]
> > Проблема в том, что инструмент надо использовать по назначению. Модули > > netfilter с geoip списками сетей были придуманы для того, чтоб можно было > > распихивать пакеты в разные стороны исходя из SRC. > Такая проблема имеется у вас в мозгу в виде ненужного догмата. UNIX way не > предполагает ограничения списка задач для того или иного инструмента, если > он разрабатывался под решение одной проблемы, но также работает и для > другой проблемы. И в данном случае свою задачу этот инструмент решает. > Проблема с другим инструментом. Проблема с изначальной постановкой задачи и общим понимание применимости конкретных инструментов. > Более того, в nftables нет вообще никакого geoip модуля, там это работает > просто из коробки благодаря тому, что там есть более высокоуровневые > сущности, которых нет в iptables, из-за чего приходилось решать гораздо > более частные задачи написанием целых модулей для iptables. Отвлеклись от > темы, но от того, что ваш кругозор расширится, вреда не будет. Спасибо, о великий, за расширение моего кругозора. Только это не тебе - а роскомнадзору. Благодоря ему, я уже не один год знаю - как, что, зачем и куда отправлять. Через туннели с шифрованием и без, с помощью BGP и прочих самопальных демонов на nfqueue. > > А тут стильно-модно-молодёжно они используются ровно в обратном виде, с > > кучей проблем. > Здесь нету никаких проблем в использовании его в обратном виде. Если в том > сценарии, о котором пишите вы, ложится одна из дырок, куда надо было > запихать, исходя из SRC, то решение так же не будет работать, но не из-за > того, что решение не правильное, а из-за проблем другого порядка. Как > собственно и у меня. Исходя из DST, родной. Из DST. И на эту задачу этот инструмент ложится - криво. Но если вам мотать изолентой скрипты не лень - можете. Благо, UNIX way такое позволяет. Мне лень, мне проще bird2+bgp поднять. В одном месте прописал - весь мой домашний mesh уже знает. И нет проблем с выяснением связанности, оно без меня и скриптов разберется - как туда попасть. > > Просто. Берёшь базы от geoip и вливаешь их в таблицу роутинга и через bgp > > их в свой туннель экспортируешь. > > > Мои сомнения в предыдущем письме как раз связаны с отсутствием готового > инструмента, который подобную базу конвертирует в вид, пригодный для > использования демоном того или иного протокола распространения маршрутов. А > у вас всё "просто". Однако, вы сейчас выполняете роль чукчи из анекдота > ниже ) Я тебе один умный вешь скажу, только ты не обижайся - эти данные есть изначально только в одном виде - список сетей с масками. Текстовый. Лежит в RIPE. То, что добрый дядя, взял его и перевёл в бинарный формат (устраивая при этом vendor lock) - так это задачи дяди, он на этом деньги зарабатывает. И в оригинале - все эти базы maxmind были вообще для применения в web-серверах. И только потом их начали прикручивать куда попало. Поэтому - изначально идея правильная, а решение кривое до невозможности. Ровно из-за микроскопа, которым пытаются забивать в землю дождевых червей.
