[Berlin-wireless] Traffic ausleiten (war: Abschaltung vpn03-backup.berlin.freifunk.net)

pud pud at subnet666.de
Do Mär 31 15:11:33 CEST 2016 

On Mon, 15 Feb 2016, Malte wrote:

> On Mon, 15 Feb 2016, Marc wrote:
> 
> > Manche IPs haben keine Rückwärtsauflösung. Wenn du die IP aufrufst und
> > du damit nicht weißt, was sich dahinter verbirgt, nehme halt https://
> > davor. Damit konnte ich einiges ausfiltern.
> 
> Hm... kurzes Suchen im Netz hat gerade nichts gebracht, aber sollte es 
> nicht möglich sein, die Firewall so zu konfigurieren, dass sie sich die 
> Host-Header (bei HTTP) bzw. SNI-Infos (bei HTTPS) anschaut und das dann 
> entsprechend routet? Dann könnte man Hostnamen-basiert umleiten statt 
> IP-basiert. Evtl. könnte man dafür auch direkt einen kleinen transparenten 
> Proxy (statt Firewall) nehmen.

sry, dass ich einen uralten Post aufwaerme, aber ich wollte mal noch
einen anderen (hostname-basierten) Ansatz in den Ring werfen:

dnsmasq hat seit einer ganzen Weile ipset-Support, d.h. es kann beim
Aufloesen eines Namens die IPs ein ipset werfen, was man dann wieder
via iptables -m set matchen kann... markieren... entspr. ip-rule, fertig ;)

hier mal am Beispiel mit youtube

/etc/dnsmasq.conf:
ipset=/youtube.com/l.google.com/googlevideo.com/youtube

und folgende kommandos rc.local oder so (oder halt ordentlich in
/etc/config/network und firewall.user verteilen):

ipset -N youtube hash:ip family inet timeout 86400

iptables -t mangle -I PREROUTING -p tcp -m set --match-set youtube dst \
	-m mark --mark 0/0xff00 -j MARK --set-xmark 0xff00/0xff00

ip rule add prio XXX fwmark 0xff00/0xff00 lookup tabellemitdirekterroute

- man sollte natuerlich ipset + dnsmasq mit ipset-support installiert haben
- setzt voraus, dass irgendwelche lokalen clients auch ueber den dnsmasq
  adressen aufloesen
- das markieren hab ich hier deswegen mit maske gemacht, damit es
  sich auch mit den qos-scripts vertraegt
- wenn man das set mit 'family inet6' anlegt, geht das btw. auch mit v6
- ich hab keine ahnung, ob die domains fuer youtube reichen, bei
  mir kam das video jedenfalls meist von xxx.googlevideo.com
- TTL von einem Tag... sinnvoll?


naja, koennt ihr ja mal mit spielen ;)

=;p/ud

Mehr Informationen über die Mailingliste Berlin