[Berlin-wireless] Traffic ausleiten (war: Abschaltung vpn03-backup.berlin.freifunk.net)

Marc freifunkml at kura.de
Mo Feb 15 16:08:53 CET 2016 

Hallo Tobias,

Manche IPs haben keine Rückwärtsauflösung. Wenn du die IP aufrufst und
du damit nicht weißt, was sich dahinter verbirgt, nehme halt https://
davor. Damit konnte ich einiges ausfiltern.

Ich habe tlw. ganze /24er ausgeleitet, wenn absehbar war, dass viele
Hosts aus der Range zu dem Dienst gehören. Damit mach ich natürlich auch
Löcher ins Netz und habe ein gewisses Risiko. Auch können sich die IPs
auch schon mal ändern und für andere Sachen genutzt werden.. Auch gibt
es tlw. dadurch Überschneidungen durch die Ausleitungen einzelner Hosts
und späterer Ausleitung des ganzen /24. Solange in der Routing-Tabelle
noch Platz ist stört das nicht weiter. vi ist halt nicht so mein Ding.
 
Bei den Freifunk-VPN-IPs fehlt noch eine IP, mittlerweile sind es ja 5.

Die ursprüngliche Idee war übrigens die Router mit einzelnen VPN-Tunneln
zu kaskadieren um den Anschluss auszulasten. Da ich so den Haupt-Traffic
aus dem Tunnel bekomme ist das nicht mehr nötig und so auch einfacher
handelbar.

Wer Lust hat kann ja zentral ein Script bauen, dass die Tabellen anhand
einzelner Dienste selbst zusammenbaut. Dann noch eine kleine GUI im
VPN-Router (z.B. [x] Youtube/wasweissich) ausleiten) und der VPN-Traffic
dürfte um 70-80% geringer ausfallen. Also quasi ein Whitelisting für
"unkritische" Dienste/IPs.


Gruß,
Marc

Ich habe die /etc/rc.local wie folgt ergänzt:

# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.

/usr/sbin/tincd -n MeinTincVPN

#Wie ist meine IP
iptables -A PREROUTING -t mangle -p tcp -d 212.19.62.76 --dport 80 -j
MARK --set-mark 777

iptables -A PREROUTING -t mangle -p tcp -d 79.140.42.59 --dport 80 -j
MARK --set-mark 777

# kura.de eMail
iptables -A PREROUTING -t mangle -p tcp -d 91.236.239.106  --dport 9999
-j MARK --set-mark 777

# Tinc direkt ins Internet
iptables -A PREROUTING -t mangle -p tcp --dport 655 -j MARK --set-mark 777
iptables -A PREROUTING -t mangle -p udp --dport 655 -j MARK --set-mark 777

#OpenVPN direkt ins Internet
iptables -A PREROUTING -t mangle -p tcp --dport 1194 -j MARK --set-mark 777
iptables -A PREROUTING -t mangle -p udp --dport 1194 -j MARK --set-mark 777


ip rule add fwmark 777  table main

# Youtube
ip rule add to 74.125.235.0/24  table main
ip rule add to 173.194.16.143 table main
ip rule add to 74.125.218.145 table main
ip rule add to 173.194.19.230 table main
ip rule add to 173.194.151.231 table main
ip rule add to 74.125.162.181 table main
ip rule add to 173.194.15.76 table main
ip rule add to 173.194.153.170 table main
ip rule add to 74.125.100.230 table main
ip rule add to 176.74.61.109 table main
ip rule add to 176.74.61.108 table main
ip rule add to 173.194.16.168 table main
ip rule add to 74.125.160.0/24 table main
ip rule add to 173.194.16.0/24 table main
ip rule add to 194.122.82.0/24 table main
ip rule add to 176.74.61.0/24 table main
ip rule add to 173.194.18.0/24 table main
ip rule add to 74.125.218.0/24 table main
ip rule add to 74.125.173.0/24 table main
ip rule add to 74.125.140.0/24 table main
ip rule add to 216.58.213.209 table main
ip rule add to 173.194.157.102 table main
ip rule add to 74.125.213.0/24 table main
ip rule add to 173.194.153.53 table main
ip rule add to 74.125.136.0/24 table main
ip rule add to 173.194.157.0/24 table main

#Windows-Updates:
ip rule add to 65.55.184.0/24  table main
ip rule add to 207.46.0.0/16  table main
ip rule add to 207.68.160.0/24  table main
ip rule add to 69.147.114.0/24 table main
ip rule add to 65.55.200.0/24 table main
ip rule add to 68.142.118.0/24 table main
ip rule add to 192.221.99.0/24 table main
ip rule add to 209.73.188.0/24 table main
ip rule add to 216.109.127.0/24 table main
ip rule add to 4.23.40.0/24 table main
ip rule add to 206.33.52.0/24 table main
ip rule add to 204.160.126.0/24 table main
ip rule add to 198.78.220.0/24 table main
ip rule add to 209.18.38.0/24 table main
ip rule add to 65.55.192.0/24 table main
ip rule add to 198.78.200.0/24 table main
ip rule add to 131.107.115.0/24 table main
ip rule add to 64.4.52.0/24 table main
ip rule add to 13.107.4.50 table main

#Freifunk-VPN-Server direkt ausleiten
ip rule add to 77.87.49.66 table main
ip rule add to 77.87.48.10 table main
ip rule add to 77.87.49.68 table main
ip rule add to 185.66.195.250 table main


# chili.tv
ip rule add to 178.79.235.253 table main
ip rule add to 178.79.235.254 table main
ip rule add to 178.79.242.128 table main
ip rule add to 178.79.235.141 table main

# ubuntu
ip rule add to 91.189.92.191 table main
ip rule add to 91.189.95.83 table main
ip rule add to 91.189.94.4 table main
ip rule add to 91.189.91.13 table main
ip rule add to 91.189.92.201 table main
ip rule add to 91.189.91.24 table main
ip rule add to 91.189.91.15 table main
ip rule add to 91.189.91.0/24 table main
ip rule add to 91.189.88.0/24 table main
ip rule add to 208.77.20.11 table main


# netflix
ip rule add to 198.38.116.150 table main
ip rule add to 198.38.116.140 table main
ip rule add to 198.38.116.151 table main
ip rule add to 198.38.118.0/24 table main
ip rule add to 198.38.119.0/24 table main
ip rule add to 198.38.116.0/24 table main
ip rule add to 198.38.117.0/24 table main
ip rule add to 198.38.114.136 table main

# daiylmotion
ip rule add to 188.65.126.51  table main
ip rule add to 188.65.126.84 table main
ip rule add to 188.65.126.247 table main
ip rule add to 188.65.126.135 table main
ip rule add to 188.65.126.98 table main
ip rule add to 188.65.126.246 table main
ip rule add to 188.65.126.89 table main
ip rule add to 188.65.126.243 table main
ip rule add to 188.65.126.121 table main
ip rule add to 188.65.126.55 table main
ip rule add to 188.65.126.251 table main
ip rule add to 188.65.126.54 table main
ip rule add to 188.65.126.43 table main
ip rule add to 188.65.126.137 table main
ip rule add to 188.65.126.50 table main
ip rule add to 188.65.126.67 table main


# realdebrid
ip rule add to 51.254.42.12 table main
ip rule add to 51.254.42.209 table main
ip rule add to 46.166.189.129 table main
ip rule add to 5.39.226.1 table main

# uploaded
ip rule add to 81.171.103.55 table main
ip rule add to 81.171.103.63 table main
ip rule add to 81.171.103.23 table main
ip rule add to 81.171.103.72 table main
ip rule add to 81.171.103.24 table main
ip rule add to 81.171.112.54 table main
ip rule add to 81.171.103.19 table main
ip rule add to 81.171.103.22 table main
ip rule add to 81.171.103.0/24 table main
ip rule add to 81.171.112.178 table main
ip rule add to 81.171.112.160 table main
ip rule add to 81.171.112.159 table main
ip rule add to 81.171.112.0/24 table main

# openload
ip rule add to 91.207.103.236 table main

# facebook videos (Hostname video* + mehr als 100mB Traffic)
ip rule add to 31.13.91.15 table main
ip rule add to 31.13.93.54 table main
ip rule add to 31.13.91.6  table main
ip rule add to 31.13.81.10 table main
ip rule add to 31.13.81.13 table main
ip rule add to 31.13.92.10 table main
ip rule add to 31.13.90.52 table main
ip rule add to 31.13.93.15 table main
ip rule add to 31.13.90.15 table main
ip rule add to 31.13.92.51 table main
ip rule add to 31.13.92.54 table main
ip rule add to 31.13.92.11 table main
ip rule add to 31.13.90.54 table main
ip rule add to 31.13.93.52 table main

# linux mint
ip rule add to 68.235.39.11  table main

# free.fr/frankreich streaming
ip rule add to 88.176.165.176  table main

# shareonline.biz
ip rule add to 83.149.124.18 table main
ip rule add to 95.211.157.41 table main
ip rule add to 95.211.157.54 table main

# debian
ip rule add to 212.211.132.250 table main

#cdnvideo.ru
ip rule add to 109.201.157.18 table main
ip rule add to 109.201.156.146 table main

#mail.ru, die IPs beziehen sich nur auf den Video-Dienst
ip rule add to 217.69.140.20 table main
ip rule add to 217.69.140.26 table main
ip rule add to 217.69.140.33 table main

# zatoo
ip rule add to 91.123.105.194 table main
ip rule add to 91.123.98.192 table main
ip rule add to 91.123.105.195 table main
ip rule add to 23.61.249.27 table main
ip rule add to 92.122.49.161 table main
ip rule add to 91.123.98.193 table main
ip rule add to 66.201.184.137 table main
ip rule add to 92.122.49.178 table main
ip rule add to 54.240.162.18 table main
ip rule add to 66.201.184.148 table main

# 1&1 webdav
ip rule add to 213.165.67.38 table main

# tumblr
ip rule add to 209.197.3.20 table main
ip rule add to 68.232.35.98 table main



Am 15.02.2016 um 15:53 schrieb Tobias [freifunk AnhalterBf-*]:
> Am 15.02.16 um 15:30 schrieb Marc:
>> Ich habe angefangen den Traffic über darkstat auszuwerten und die
>> gängigsten Streaming-Portale direkt ins Internet auszuleiten.
>
> Welche hast Du da konkret genommen? :-)
> Und wie hast Du die Traffic-Regel umgesetzt?
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
>
> -- 
> Marc Kura
> Phone: +49-30-69201323 Fax: +49-30-69201737
> mailto:email at kura.de
> "Und Schäuble hat gesagt, für Ihn sind alle Menschen gleich - ob Deutsch
> oder Ausländer .............alles Verbrecher!"
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : 0x8E51EE87.asc
Dateityp    : application/pgp-keys
Dateigröße  : 1757 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20160215/7ca4d6b9/attachment.key>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 524 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20160215/7ca4d6b9/attachment.sig>

Mehr Informationen über die Mailingliste Berlin