рдЗрд╕ рд▓реЗрдЦ рдореЗрдВ рд╕реНрдХреНрд╡реАрдб + рдЯреАрдкреАрдЖрд░рдУрдПрдХреНрд╕рд╡рд╛рдИ рдХрд╛ рдПрдХ рдЧреБрдЪреНрдЫрд╛ рдПрдХ рдЕрд▓рдЧ рдорд╢реАрди рдкрд░ рдЦрдбрд╝рд╛ рд╣реИред рдЬреИрд╕рд╛ рдХрд┐ рдпрд╣ рдирд┐рдХрд▓рд╛, рдпрд╣ рд╡рд┐рд╖рдп рд▓рдЧрднрдЧ рдЗрдВрдЯрд░рдиреЗрдЯ рдкрд░ рд╢рд╛рдорд┐рд▓ рдирд╣реАрдВ рд╣реИред
рд╡реНрдпрд╡рд╕рд╛рдп рдХреА рдкреНрд░рдХреГрддрд┐ рд╕реЗ, рдХрд╛рд░реНрдп
ROSKOMNADZOR рд╕реЗ рд╕рд╛рдЗрдЯреЛрдВ рдХреА рдмреНрд▓реИрдХрд▓рд┐рд╕реНрдЯ рдХреЛ рдлрд╝рд┐рд▓реНрдЯрд░ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╣реБрдЖред рдСрдбрд┐рдЯ рдХреЗ рджреМрд░рд╛рди, рд╣рдореЗрдВ рдзрдордХреА рджреА рдЧрдИ рдереА рдХрд┐ рдЕрдЧрд░ рд╣рдо рдирд╣реАрдВ рдХрд░рддреЗ рд╣реИрдВ, рддреЛ рд╡реЗ рдкреНрд░рддрд┐рдмрдВрдз рд▓рдЧрд╛рдПрдВрдЧреЗред рдХрд╣рд╛ (рдмрд╕ рдХреБрдЫ рд╣реА рдорд┐рдирдЯреЛрдВ) рдмреЗрд╡рдХреВрдл рдФрд░ рд╣рдорд╛рд░реЗ рдЧреНрд░рд╛рд╣рдХреЛрдВ рдХреЗ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рдХреЗ рд▓рд┐рдП рдмрд╣реБрдд рдЕрдиреБрдХреВрд▓ рдирд╣реАрдВ рд╣реИ, рдЬреЛ рдХреЗрд╡рд▓ рд╕рднреА рд╕рд╛рдЗрдЯреЛрдВ рдХреЛ рдмреНрд▓реИрдХрд▓рд┐рд╕реНрдЯреЗрдб рддрдХ рдкрд╣реБрдВрдЪ рдирд╣реАрдВ рджреЗрддрд╛ рдерд╛ред рдЙрд╕реА рд╕рдордп, рдлрд╝рд┐рд▓реНрдЯрд░рд┐рдВрдЧ рдХреЗрд╡рд▓ рдЖрдИрдкреА рджреНрд╡рд╛рд░рд╛ рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред рдФрд░ рдирд┐рд╢реНрдЪрд┐рдд рд░реВрдк рд╕реЗ рдЗрд╕рдиреЗ рдЖрдИрдкреА рдХреА рд╕рднреА рд╕рд╛рдЗрдЯреЛрдВ рддрдХ рдкрд╣реБрдВрдЪ рдХреЛ рдЕрд╡рд░реБрджреНрдз рдХрд░ рджрд┐рдпрд╛ рд╣реИред
рдпрд╣ рдлрд┐рд░ рд╕реЗ рдХрд░рдирд╛ рдЖрд╡рд╢реНрдпрдХ рдерд╛, рдФрд░ рдпрд╣рд╛рдВ рддрдХ тАЛтАЛрдХрд┐ рд╕рдХреНрд╖рдо рд░реВрдк рд╕реЗ рдлрд┐рд░ рд╕реЗ рддреИрдпрд╛рд░ рдХрд░рдирд╛ред рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ, рдпрд╣ рд╕реБрдВрджрд░ / рдЕрдирд╛рдбрд╝реА рдирд╣реАрдВ рд╣реИ, рдФрд░ рджреВрд╕рд░реА рдмрд╛рдд, рдХрд╛рд░реНрдп рд╕реНрд╡рдпрдВ рдмрд╣реБрдд рд╣реА рд░реЛрдЪрдХ рд╣реИред
рдЗрд╕ рд▓реЗрдЦ рдореЗрдВ рдореИрдВ рдЗрд╕ рд╕реВрдЪреА рдХреА рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░рд╕реАрдж рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдиреЗ рдХреЗ рддрд░реАрдХреЗ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдмрд╛рдд рдирд╣реАрдВ рдХрд░реВрдВрдЧрд╛ред рдореИрдВ рдХреЗрд╡рд▓ рдПрдХ рдмрд╛рдд рдХрд╣ рд╕рдХрддрд╛ рд╣реВрдВ, рдореИрдВрдиреЗ рдЕрдиреБрд░реЛрдз рдкрд░ рд▓рдЧрд╛рддрд╛рд░ рд╣рд╕реНрддрд╛рдХреНрд╖рд░ рдХрд░рдиреЗ рд╕реЗ рдкрд░реЗрд╢рд╛рди рдирд╣реАрдВ рдХрд┐рдпрд╛, рд▓реЗрдХрд┐рди рдПрдХ рдмрд╛рд░ рд╕реНрдерд╛рдкрд┐рдд рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ рдФрд░ рдПрдХ рдХреБрдВрдЬреА рдХреЗ рд╕рд╛рде рдХрдВрдкреНрдпреВрдЯрд░ рдкрд░ рдХрд┐рдпрд╛ред
рдЪрд▓реЛ рд╕реНрдХреНрд╡реАрдб 3 рдХреЗ рд╕рд╛рде рдорд╢реАрди рдХреЛ рд╕реНрдерд╛рдкрд┐рдд рдХрд░реЗрдВред
рд▓рдЧрднрдЧ рд╕рднреА рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдЖрдзрд┐рдХрд╛рд░рд┐рдХ
рд╕реНрдХреНрд╡рд┐рдб + рдЯреАрдкреАрдЖрд░рдУрдПрдХреНрд╕рд╡рд╛рдИрд╡рд╛рдИ рд╕реЗ рд▓реА рдЧрдИ
рдереАрдВip -f inet rule add fwmark 1 lookup 100 ip -f inet route add local default dev eth0 table 100
cat /etc/sysctl.conf: .... net.ipv4.ip_forward = 1 net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.eth0.rp_filter = 0
рддрд╛рдХрд┐ рд╣рдо рдпрд╣ рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрд░ рд╕рдХреЗрдВ рдХрд┐ рдЯреНрд░реИрдлрд╝рд┐рдХ рдХрд╛ рдкрд░реАрдХреНрд╖рдг рдкрд╣рд▓реЗ рд╣реА рд╣реЛ рдЪреБрдХрд╛ рд╣реИ, рдФрд░ рдЬреЛ рдирд╣реАрдВ рд╣реИ, рд╣рдо рдПрдХ рдЕрд▓рдЧ рд╡реАрдПрд▓рдПрдПрди рдмрдирд╛рддреЗ рд╣реИрдВ, рд╣рдорд╛рд░реЗ рдорд╛рдорд▓реЗ рдореЗрдВ 5, рдЖрдЙрдЯрдЧреЛрдЗрдВрдЧ рдкреИрдХреЗрдЯ рдХреЗ рд▓рд┐рдПред рдЖрдкрдХреЛ рдпрд╛рдж рджрд┐рд▓рд╛ рджреВрдВ рдХрд┐ TPROXY рдореЛрдб рдореЗрдВ, рд╕реЛрд░реНрд╕ рдПрдбреНрд░реЗрд╕ рдирд╣реАрдВ рдмрджрд▓рддрд╛ рд╣реИред
default via 192.168.70.2 dev eth0.5 192.168.1.35/25 dev eth0 proto kernel scope link src 192.168.1.36 192.168.70.0/30 dev eth0.5 proto kernel scope link src 192.168.70.1
Iptables рдирд┐рдпрдо
iptables -t mangle -N DIVERT iptables -t mangle -A DIVERT -j MARK --set-mark 1 iptables -t mangle -A DIVERT -j ACCEPT
рдореМрдЬреВрджрд╛ рдХрдиреЗрдХреНрд╢рди рдХреЛ TPROXY рдирд┐рдпрдо рдореЗрдВ рдЧрд┐рд░рдиреЗ рд╕реЗ рд░реЛрдХрдиреЗ рдХреЗ рд▓рд┐рдП
iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT
рджрд░рдЕрд╕рд▓ TPROXY рдЦреБрдж рд╣реА рдирд┐рдпрдо рд╣реИ
iptables -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY --tproxy-mark 0x1/0x1 --on-port 3129
рдореВрд▓ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ред
http_port 3129 tproxy disable-pmtu-discovery=off ... acl bad_urls url_regex "/etc/squid3/bad_hosts.list" .... http_access deny bad_urls http_access allow localnet deny_info http://www.somehost.ru bad_urls ...
рдпрджрд┐ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдкреНрд░рддрд┐рдмрдВрдзрд┐рдд рд╕рд╛рдЗрдЯреЛрдВ рдореЗрдВ рд╕реЗ рдПрдХ рдХрд╛ рдЕрдиреБрд░реЛрдз рдХрд░рддрд╛ рд╣реИ, рддреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдореЗрдВ рдЕрдВрддрд┐рдо рдкрдВрдХреНрддрд┐ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рд╕рд╛рдЗрдЯ рдкрд░ REDIRECT рдХрд░реЗрдЧреАред
рд╕реНрд╡рд╛рдж рдХреЗ рд▓рд┐рдП рд╕реНрдХреНрд╡реАрдб 3 рдореЗрдВ рдмрд╛рдХреА рд╕реЗрдЯрд┐рдВрдЧреНрд╕ред
рд░рд╛рдЙрдЯрд░ рдкрд░ рд╕реЗрдЯрд┐рдВрдЧреНрд╕
рд╣рдореЗрдВ рдЗрди рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХреЛ рд░рд╛рдЙрдЯрд░ рдкрд░ рд▓рд╛рдЧреВ рдХрд░рдирд╛ рд╣реЛрдЧрд╛ред
cat /etc/sysctl.conf: .... net.ipv4.ip_forward = 1 net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.eth0.rp_filter = 0
рд╕реНрд╡рд╛рднрд╛рд╡рд┐рдХ рд░реВрдк рд╕реЗ рд╕рдХреНрд╖рдо NAT NAT рд╕рдмрдиреЗрдЯред
рд╣рдо рдПрдХ рд╢реНрд░реГрдВрдЦрд▓рд╛ рдмрдирд╛рддреЗ рд╣реИрдВ рдЬрд┐рд╕рдореЗрдВ рд╣рдо рдлрд╝рд┐рд▓реНрдЯрд░ рдХрд░реЗрдВрдЧреЗ
iptables -t mangle -F DIVERT
рдЗрд╕ рд╢реНрд░реГрдВрдЦрд▓рд╛ рдореЗрдВ, рд╣рдо рдЙрди рд╕рднреА рдкреИрдХреЗрдЯреЛрдВ рдкрд░ рд▓реЗрдмрд▓ рд▓рдЧрд╛рдПрдВрдЧреЗ рдЬрд┐рдирдореЗрдВ 80 рдХрд╛ рдЖрдЙрдЯрдЧреЛрдЗрдВрдЧ рдпрд╛ рдбреЗрд╕реНрдЯрд┐рдиреЗрд╢рди рдкреЛрд░реНрдЯ рд╣реИ (рдХреЗрд╡рд▓ рдПрдХ рд▓реЗрдЦ рд▓рд┐рдЦрддреЗ рд╕рдордп рдореБрдЭреЗ рдПрд╣рд╕рд╛рд╕ рд╣реБрдЖ рдХрд┐ рдкреЛрд░реНрдЯ рдирд┐рд░реНрджреЗрд╢ рдпрд╣рд╛рдВ рдмреЗрдорд╛рдиреА рд╣реИрдВ, рд▓реЗрдХрд┐рди рдореИрдВрдиреЗ рдЗрд╕реЗ рдЫреЛрдбрд╝ рджрд┐рдпрд╛, рдЕрдЪрд╛рдирдХ рдХрд┐рд╕реА рдХреЗ рд▓рд┐рдП рднреА рдЗрд╕реЗ рд╕рдордЭрдирд╛ рдЖрд╕рд╛рди рд╣реИ)
iptables -t mangle -A DIVERT ! -i eth1.5 -p tcp --dport 80 -j MARK --set-mark 1 iptables -t mangle -A DIVERT ! -i eth1.5 -p tcp --sport 80 -j MARK --set-mark 1
рд╣рдо рдЗрд╕ рд╢реНрд░реГрдВрдЦрд▓рд╛ рдХреЛ рд╕рднреА рдкреИрдХреЗрдЯ рднреЗрдЬреЗрдВрдЧреЗ рдЬрд┐рдирдХреЗ рд╕реНрд░реЛрдд рдкрддреЗ рдпрд╛ рдЧрдВрддрд╡реНрдп 80 рд╣реИрдВ, рдФрд░ рд╣рдореЗрдВ рдпреЗ рдкреИрдХреЗрдЯ 5 рд╡реАрдПрд▓рдПрдПрди рд╕реЗ рдкреНрд░рд╛рдкреНрдд рдирд╣реАрдВ рд╣реБрдП рд╣реИрдВ (рдХреНрдпрд╛ рдХреЛрдИ рдореБрдЭреЗ рдмрддрд╛ рд╕рдХрддрд╛ рд╣реИ рдХрд┐ рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ рдХрдиреЗрдХреНрд╢рди рдХрд╛ рдкрддрд╛ рдХреНрдпреЛрдВ рдирд╣реАрдВ рд▓рдЧрд╛рдпрд╛ рдЧрдпрд╛ рд╣реИ рдФрд░ рдЖрдкрдХреЛ рд░рд┐рд╡рд░реНрд╕ рдЪреЗрдХ рдХрд░рдирд╛ рд╣реЛрдЧрд╛)
iptables -t mangle -A PREROUTING ! -i eth1.5 -p tcp -m set --match-set badip dst -m tcp --dport 80 -j DIVERT iptables -t mangle -A PREROUTING ! -i eth1.5 -p tcp -m set --match-set badip src -m tcp --sport 80 -j DIVERT
рд╣рдо рдПрдХ рдирд┐рдпрдо рдмрдирд╛рддреЗ рд╣реИрдВ, рдпрджрд┐ рдкреИрдХреЗрдЯ рдкрд░ рдПрдХ рд▓реЗрдмрд▓ 1 рд╣реИ, рддреЛ рд╡рд╣ 101 рд░реВрдЯрд┐рдВрдЧ рдЯреЗрдмрд▓ рдкрд░ рднреЗрдЬ рджреЗрдЧрд╛
ip rule add fwmark 1 lookup 101
рд░рд╛рдЙрдЯрд┐рдВрдЧ рдЯреЗрдмрд▓ рд╣реА
ip route list table 101 default via 192.168.1.35 dev eth1.3
рдФрд░ рдЕрдВрдд рдореЗрдВред рддреЛ рдпрд╣рд╛рдВ рд╣рдорд╛рд░реЗ рдкрд╛рд╕ рдЦрд░рд╛рдм рд╕рд╛рдЗрдЯреЛрдВ рдХреА рдПрдХ рд╕реВрдЪреА рд╣реИ
create badip hash:ip ipset flush badip ipset add badip 111.111.111.111 ipset add badip 2.2.2.2 ...
рджреЛрдиреЛрдВ рдорд╢реАрдиреЛрдВ рдкрд░ рдЕрд╡рд░реБрджреНрдз рд╕рд╛рдЗрдЯреЛрдВ рдХреА рд╕реВрдЪреА рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рд▓реЛрдб рдХреА рдЬрд╛рддреА рд╣реИ, рд▓реЗрдХрд┐рди рдЕрд▓рдЧ рддрд░реАрдХреЗ рд╕реЗ рд╡реНрдпрд╛рдЦреНрдпрд╛ рдХреА рдЬрд╛рддреА рд╣реИред
рдкреИрдХреЗрдЯ рдЖрдВрджреЛрд▓рди рдкреИрдЯрд░реНрди
рдмреНрд▓реВ - рд▓рд╛рдЗрди рдЖрдЙрдЯрдЧреЛрдЗрдВрдЧ рдкреИрдХреЗрдЯ
рдЧреНрд░реАрди рд░рд┐рдЯрд░реНрди рдкреИрдХреЗрдЯ рд╣реИред