Контейнер VPN АнтиЗапрета для установки на собственный сервер

antizapret.prostovpn.org АнтиЗапрет на собственном сервере (self-hosted)
81

Я вас дезинформировал.
Измените /root/antizapret/doall.sh, добавив после ./update.sh ваш IP-адрес, обязательно с CIDR. Вот так:

./update.sh
echo '10.0.0.218/32' >> temp/list.csv
./parse.sh
./process.sh

Затем запустите doall.sh, с правильной локалью:
LANG=C.UTF-8 /root/antizapret/doall.sh

Больше ничего делать не нужно. Изменять конфигурационный файл openvpn тоже не нужно.

82

Спасибо, все заработало.

83

Возникла еще одна необходимость, нужно получить доступ с сервера, где развернут antizapret в lxd, до клиента vpn на определенный порт, на клиенте разрешил доступ, в итоге из контейнера получилось достучатся, за пределами контейнера, с хост машины, не получилось. Попробовал в ручную задать “sudo ip route add 192.168.104.0/22 via 10.83.198.1 dev lxdbr0” Пинг проходит до 192.168.104.1, до клиента 192.168.104.2 нет. думаю надо iptables ковырять.
Заранее спасибо, возможно решение на поверхности, но моих познаний пока не хватает.

84

Вернулся к выше сказанному еще раз, нужно было достучатся на определенный порт клиента. С хост машины. Получилось только так **lxc config device add antizapret-vpn proxy_1880 proxy listen=tcp:[::]:1880 connect=tcp:192.168.104.2:1880** Возможно это костыль, но другого на ум не чего не пришло.

85

В /etc/ferm/ferm.conf, в table filter chain FORWARD, добавить в самый верх:

interface $EXT_INTERFACE saddr ВАШ_IP_АДРЕС outerface vpn+ ACCEPT;

После чего перезагрузить контейнер.
Маршрут также нужен, ваша команда похожа на правильную.

86

Попробовал добавить. Как понял нужно указать ip клиента (или хост машины), пробовал то и то, но пинг до клиента так и не проходит.

87

Вам нужно еще и на клиенте добавить маршрут до IP-адреса вашего сервера, чтобы он мог вам ответить. Сейчас пакеты с сервера клиенту доходит, но он отвечает на них через ваш домашний маршрутизатор/шлюз провайдера.

Проще сделать так, как вы изначально сделали. Либо же настройте обычный VPN под ваши нужды и маршрутизируйте фиктивный диапазон и DNS-сервер из контейнера АнтиЗапрета.

88

Здравствуйте. Спасибо за контейнер. Поднял на бесплатном сервере от Oracle, под управлением Ubuntu 20.04. У меня пара вопросов, если вам не трудно:

  1. Голый сервер вместе с контейнером занимают 83% от выделенного 1 Гб оперативной памяти. Я, честно говоря, рассчитывал на меньшее потребление. Дело в Ubuntu?
  2. Из коробки не работает) Я добавил правила в ufw, разрешив порты, но это тоже не сработало. Помогло фактическое разрешение всего в iptables:
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables --flush

Но данное решение мне не нравится, а квалификации в настройке iptables у меня 0. Может подскажете, какое правило надо добавить? Сейчас настройки (дефолтные) таковы:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere             icmp parameter-problem /* generated for LXD network lxdbr0 */
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded /* generated for LXD network lxdbr0 */
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable /* generated for LXD network lxdbr0 */
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain /* generated for LXD network lxdbr0 */
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain /* generated for LXD network lxdbr0 */
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps /* generated for LXD network lxdbr0 */
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     udp  --  anywhere             anywhere             udp spt:ntp
ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             /* generated for LXD network lxdbr0 */
ACCEPT     all  --  anywhere             anywhere             /* generated for LXD network lxdbr0 */
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere             icmp parameter-problem /* generated for LXD network lxdbr0 */
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded /* generated for LXD network lxdbr0 */
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable /* generated for LXD network lxdbr0 */
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:domain /* generated for LXD network lxdbr0 */
ACCEPT     udp  --  anywhere             anywhere             udp spt:domain /* generated for LXD network lxdbr0 */
ACCEPT     udp  --  anywhere             anywhere             udp spt:bootps /* generated for LXD network lxdbr0 */
InstanceServices  all  --  anywhere             link-local/16

Chain InstanceServices (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             169.254.0.2          owner UID match root tcp dpt:iscsi-target /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     tcp  --  anywhere             169.254.2.0/24       owner UID match root tcp dpt:iscsi-target /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     tcp  --  anywhere             169.254.4.0/24       owner UID match root tcp dpt:iscsi-target /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     tcp  --  anywhere             169.254.5.0/24       owner UID match root tcp dpt:iscsi-target /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     tcp  --  anywhere             169.254.0.2          tcp dpt:http /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     udp  --  anywhere             169.254.169.254      udp dpt:domain /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     tcp  --  anywhere             169.254.169.254      tcp dpt:domain /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     tcp  --  anywhere             169.254.0.3          owner UID match root tcp dpt:http /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     tcp  --  anywhere             169.254.0.4          tcp dpt:http /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     tcp  --  anywhere             169.254.169.254      tcp dpt:http /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     udp  --  anywhere             169.254.169.254      udp dpt:bootps /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     udp  --  anywhere             169.254.169.254      udp dpt:tftp /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     udp  --  anywhere             169.254.169.254      udp dpt:ntp /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
REJECT     tcp  --  anywhere             link-local/16        tcp /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */ reject-with tcp-reset
REJECT     udp  --  anywhere             link-local/16        udp /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */ reject-with icmp-port-unreachable

Заранее спасибо за помощь.

89

Нет, так и должно быть. Лист блокировок в оперативной памяти в knot-resolver занимает почти 700 мегабайт.

See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule

Я не знаю, где настраиваются эти правила, т.е. какая система используется для их начальной установки. Вам лучше прочитать документацию, как пишут в комментарии.

А чтобы решить проблему, скорее всего нужно разрешить пакеты на порт 1194 в цепочке INPUT. Но, опять же, делать это нужно в той системе, где заведены правила.

90

Спасибо, помогло:

iptables -I INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
iptables -I INPUT -p udp -m udp --dport 1194 -j ACCEPT
netfilter-persistent save
91

Удалено

92

Возможно ли использовать для обхода блокировки twitter Контейнер VPN АнтиЗапрета для установки на собственный сервер ?
P.S.: добавление

twitter.com
t.co
twimg.com

в /root/antizapret/config/include-ips-custom.txt /root/antizapret/config/include-hosts-custom.txt не помогло

93

Добавлять домены следует в /root/antizapret/config/include-hosts-custom.txt. Файл include-ips-custom.txt предназначен для IP-адресов.

94

Прошу прощения, опечатался, изменения были внесены в /root/antizapret/config/include-hosts-custom.txt

95

А должно работать, только что проверил.

  1. Добавить в /root/antizapret/config/include-hosts-custom.txt:
twitter.com
t.co
twimg.com
  1. LANG=C.UTF-8 /root/antizapret/doall.sh, либо просто перезагрузить контейнер и подождать минуты три.
96

Спасибо за ответ!
Удалил все DNS серверы, кроме одного на роутере.
Возможно зря я дополнительные ipv6 DNS серверы прописывал.
Cпустя какое-то время заработало.

97

два вопроса, я “чайник”

  1. нужно ли обновлять сам контейнер - я так понимаю, он редко, но обновляется - и если Да, то как?
  2. новые ip-адреса/правила для вновь заблокированных ресурсов подгружаются автоматом, и если Да - то с какой периодичностью; нужно ли ребутить контейнер?

спасибо

98

Раз в 6 часов список обновляется автоматически.

99

Непосредственно контейнер автоматически не обновляется, как и скрипты антизапрета в нём, однако обновления безопасности системных программ дистрибутива устанавливаются автоматически (unattended-upgrades).
Значимых обновлений с момента первого релиза контейнера не было. Если они будут, их придётся выполнить вручную, я напишу как.

На второй вопрос уже ответили.

100

Подскажите пожалуйста, как запустить его на 443 порту?