UA-IX

[VojToshik]

Шановне панство!
Хто небудь знає як можна розділити трафік на UA-IX і не UA-IX?
Здається, я тут колись бачив пост про програму, яка цим займається.
Підкажіть будь-ласка шляхи вирішення проблеми  

[Володимир Лісівка]

По блокам адрес провайдерів, які входять в UA-IX. Але їх ще треба звідкись взяти.

Тут були посилання на індикатор сайтів з UA-IX. Можете запитатися в авторів, де вони беруть адреси.

http://linux.org.ua/cgi-bin/yabb/YaBB.pl?board=tech-soft;action=display;num=1114693199

[old]

Щодо виділення UA-IX:
http://www.ua-ix.net.ua/uaix/bin/view/Main/PointLeontovicha1;
http://www.ua-ix.net.ua/uaix/bin/view/Main/PointLeontovicha2 -- це номери автономок (AS).
А ось у формі списку ір-адрес: http://www.colocall.net/ua/?list. Не гарантую, що це 100% весь UA-IX, але принаймні близько.

Щодо розділення, уточність будь-ласка що мається на увазі? Ви хочете розділяти в процесі керування (блокувати, різати, перенаправляти) чи обліку (accounting?) Бо від того, очевидно, залежатиме вибір інструментарію.

[VojToshik]

Я хочу, щоб люди які підключаються до мого сервера не з UA-IX перенаправлялися на іншу адресу.

[old]

Я хочу, щоб люди які підключаються до мого сервера не з UA-IX перенаправлялися на іншу адресу.

Щодо ВЕБу, напевно можна написати нескладний РНР скріптик. Використати в якості сорца список адрес з collocal і робити перенаправлення засобами ВЕБ-сервера.
 Щодо будь-які коннектів (по будь-якому протоколу), то можна спробувати пропатчити iptables, щоб він розумів NETMAP. Якщо вірити розробнику -- ця шняга мала б "мапити" між собою мережі. Пише про це тут: http://www.netfilter.org/documentation/HOWTO//netfilter-extensions-HOWTO-4.html#ss4.4.
Якщо це справді спрацює ( я не пробува його жодного разу нажаль), то вимальовується доволі простий перловий скріптик
1) iptables -D PREROUTING -j ua-ix_redirection
2) iptables -X ua-ix_redirection; iptables -N ua-ix_redirection
3) витягнути список ір0адрес все з того ж колокала. Раджу тягти wget-ом, тоді можна не зберігати  у файлі а кинути прямо в потік і обробляти по циклу (по рядках)).
4) власне в циклі: iptables -A ua-ix_redirection -s <ip з файлу> -d <ваша ір>/32 -j NETMAP --to <куда редіректити>/32
5) iptables -I PREROUTING -j ua-ix_redirection.
От і все, можна виконувати в кронтабі кожні n або k хвилин/годин, матимете актуальну інформацію. Все це за умови що NETMAP справді робить "нетмап" .
Сподіваюсь, це допоможе.

[hse]

Я хочу, щоб люди які підключаються до мого сервера не з UA-IX перенаправлялися на іншу адресу.

...
1) iptables -D PREROUTING -j ua-ix_redirection
....

Тут потрібно додати:
1. якщо перенаправляємо на внутрішню адресу то це буде працювати.
2. Якщо на зовнішню НІ! Потрібно до iptables прикрутити socks5, наскільки я памятаю, тоді трафік фудболиться на зовнішні адреси.

[old]

Тут потрібно додати:
1. якщо перенаправляємо на внутрішню адресу то це буде працювати.

Справді, я трохи промахнувся. NETMAP фактично є аналогом DNAT тільки для мереж. Оттут найшов детальніше: http://iptables-tutorial.frozentux.net/testing/chunkyhtml/x4471.html

2. Якщо на зовнішню НІ! Потрібно до iptables прикрутити socks5, наскільки я памятаю, тоді трафік фудболиться на зовнішні адреси.

Я зі спортивного інтересу погуглав на цю тему -- найшов іно патч на 2.6. ядро: http://ksb.sourceforge.net/. Це воно?

А так на загал,я ще трошки поміркував, не до кінця зрозуміла постановка задачі. Редіректити вхідний трафік на інший хост в Інеті чи на свій локальний І якщо на хост в Інеті, то який сенс цього? Може б автор деталізував?

[VojToshik]

Ви мене трохи не правильно зрозуміли! Мені потрібно було знати тільки сам принцип організації перевірки трафіку на УА-ІКС. Тепер я зрозумів, що це робиться з допомогою списку всіх підмереж УА-ІКСа. Тепер питання поконкретніше: де взяти список підмереж УА-ІКСа, що постійно поновлюється? Є звичайно така адреса http://noc.ix.net.ua/ua-list.txt, але не схоже, що там він постійно поновлюється

[hse]

Я зі спортивного інтересу погуглав на цю тему -- найшов іно патч на 2.6. ядро: http://ksb.sourceforge.net/. Це воно?

А так на загал,я ще трошки поміркував, не до кінця зрозуміла постановка задачі. Редіректити вхідний трафік на інший хост в Інеті чи на свій локальний І якщо на хост в Інеті, то який сенс цього? Може б автор деталізував?

Дійсно якщо в локалку то

Код: [Вибрати]

... -j DNAT --to-destination 10.0.0.2-10.0.0.4
Коли на зовні? Ну наприклад якийсь сервіс є не в локалці, а на якомусь зовнішньому сервері і Ви хочете щоб всі думали що він у Вас, але при цьому трафік на цей порт збільшиться в два рази...
Я дуже давно це робив ще для RH-7.3 брав rpm тут ftp://ftp.redhat.com/pub/contrib/libc6/i386/socks5-1.0r11-2.i386.rpm (в цьому каталозі є ще дещо для socks5) зараз не знаю долю цього пекету, а він досить цікавий підтримує всі можливості проксі крім кешування. В Gentoo аналог net-proxy/dante ?
Для перенаправлення 1.1.1.1:80 -> 2.2.2.2:80 здається треба додати в socks5.conf :

Код: [Вибрати]

premit   n  b  - 2.2.2.2 - 80         # все, що приходить без аутентифікації перенаправляє на 2.2.2.2:80
deny - - - - - -Тепер весь трафік 1.1.1.1:80 перенаправимо в 1.1.1.1:1030

Код: [Вибрати]

iptables -t mangle -A PREROUTING -p tcp -m conntrack -s 0/0 -d 1.1.1.1 ctstate NEW,ESTABLISHED,RELATED --destination-port http -j REDIRECT -- to-ports socks

[hse]

Тепер питання поконкретніше: де взяти список підмереж УА-ІКСа, що постійно поновлюється? Є звичайно така адреса http://noc.ix.net.ua/ua-list.txt, але не схоже, що там він постійно поновлюється

http://colocall.net/ua/
от по ньому і роутимо всі мережі, що є в UA-IX в один бік, а по замовчуванню в інший...

http://forum.gentoo.org.ua/index.php?act=ST&f=11&t=160&st=0#entry801

[tezis(Guest)]

http://forum.gentoo.org.ua/index.php?showtopic=160&view=getnewpost

[Alexis(Guest)]

М: Див. Правила, пункт 1, та 1.2.

Нижче - результат роботи "Перекладачки":

Список адрес UA-IX особистий в кожного великого провайдера підключеного з точкам обміну (а їх 2 штуки) прямо. Відповідно списки з різних джерел відрізняються по количетву подсетей (до + / - 200 подсетей)  і швидкості відновлення. Найбільш коректний варіант - в свого провайдера який список і з якого адреси він використовує для тарифікації вашого трафіку та використовувати скриптах саме його (інакше існує ймовірність "витікання" ваших коштів і/або навпаки - обмеження кількості користувачів, визначуваних як українські.

[hse]

Список адрес UA-IX индтвтдуален в кожного великого провайдера підключеного з точкам обміну (а їх 2 штуки) прямо.  

Не доганяю  
Я так зрозумів:
Українські провайдери - прови що знаходяться в Україні.
мережа належить Україні - всі компи які мають ІР з її діапазону фізично знаходаться на території України, тобто діапазони ІР виділені українським провам (для ВСІХ список цих мереж однаковий).
UAIX - список мереж для конкретного провайдера, які він вважає для себе внутрішніми.
Чому в українських провів ці списки різні? Прови мають по декілька каналів і в деякі українські мережі трафік іде не через Україну. Так?

[Praporshic]

Далеко не всі провайдери, що працюють в Україні мають адреси з ua-ix. Сьогодні до мене приходили пропонували послуги з "Голден Телеком", так, як я зрозумів пояснення, дешевий трафік лише той, що йде від їхніх користувачів незалежно від країни розташування.

[VojToshik]

Далеко не всі провайдери, що працюють в Україні мають адреси з ua-ix. Сьогодні до мене приходили пропонували послуги з "Голден Телеком", так, як я зрозумів пояснення, дешевий трафік лише той, що йде від їхніх користувачів незалежно від країни розташування.

Це вже Ви трохи перегнули палку. Мені всього-навсього потрібний список всіх підмереж UA-IX, а те що "Годен Телеком" знаходиться не в ньому - то це їхні проблеми