OpenGFW: Çin'in "Great Firewall"unun açık kaynaklı uygulama sürümü

xguru · 2024-03-10T10:17:01+09:00

OpenGFW, kullanıcıların bizzat kurabileceği, Çin'in Büyük Güvenlik Duvarı'nın (Great Firewall of China) Linux için açık kaynaklı bir sürümü "Artık sadece gücü elinde tutanların eğlenmesine gerek yok; sansürü herkes için mümkün kılıp insanlara güç verme zamanı" Evinizdeki router'da uzman gibi filtreleme yapmaya başlayıp Big Brother rolünü üstlenebilirsiniz Uyarı: Bu proje hâlâ geliştirmenin erken aşamasındadır ve kullanım sorumluluğu kullanıcıya aittir Özellikler Tam IP/TCP yeniden birleştirme, çeşitli protokol ayrıştırıcıları (HTTP, TLS, QUIC, DNS, SSH, SOCKS4/5, WireGuard vb.) Shadowsocks gibi "tamamen şifrelenmiş trafik" algılama özelliği Trojan-killer tabanlı Trojan (proxy protokolü) algılama özelliği [Devam ediyor] makine öğrenimi tabanlı trafik sınıflandırması Tam IPv4 ve IPv6 desteği Akış tabanlı çok çekirdekli yük dengeleme Bağlantı offloading expr tabanlı güçlü kural motoru Hot-reload destekli kurallar (SIGHUP sinyaliyle yeniden yükleme) Esnek ayrıştırıcı ve değiştirici framework'ü Genişletilebilir IO uygulaması (yalnızca NFQueue desteklenir) [Devam ediyor] web UI Kullanım senaryoları Reklam engelleme Ebeveynlerin çocuk kontrolü Kötü amaçlı yazılım koruması VPN/proxy hizmetlerinin kötüye kullanımını önleme Trafik analizi (yalnızca log modu) Diktatörce hırslarınızı gerçekleştirmenize yardımcı olur (Help you fulfill your dictatorial ambitions) Kullanım Derleme go build Çalıştırma export OPENGFW_LOG_LEVEL=debug ./OpenGFW -c config.yaml rules.yaml OpenWrt OpenGFW'nin OpenWrt 23.05 üzerinde çalıştığı test edildi; diğer sürümlerde de çalışması bekleniyor, ancak doğrulanmadı Bağımlılıkları yükleme: opkg install kmod-nft-queue kmod-nf-conntrack-netlink Örnek yapılandırma Yerel geoip/geosite veritabanı dosyalarını yüklemek için yol ayarlanır Ayarlanmazsa otomatik olarak https://github.com/Loyalsoldier/v2ray-rules-dat adresinden indirilir Desteklenen eylemler allow: bağlantıya izin verilir, ek işlem yok block: bağlantı engellenir, ek işlem yok drop: UDP için, kuralı tetikleyen paket düşürülür ve aynı akıştaki gelecekteki paketlerin işlenmesine devam edilir. TCP için block ile aynıdır modify: UDP için, kuralı tetikleyen paket verilen değiştirici kullanılarak değiştirilir ve aynı akıştaki gelecekteki paketlerin işlenmesine devam edilir. TCP için allow ile aynıdır

(github.com/apernet)

22 puan yazan xguru 2024-03-10 | 4 yorum | WhatsApp'ta paylaş

OpenGFW, kullanıcıların bizzat kurabileceği, Çin'in Büyük Güvenlik Duvarı'nın (Great Firewall of China) Linux için açık kaynaklı bir sürümü
"Artık sadece gücü elinde tutanların eğlenmesine gerek yok; sansürü herkes için mümkün kılıp insanlara güç verme zamanı"
Evinizdeki router'da uzman gibi filtreleme yapmaya başlayıp Big Brother rolünü üstlenebilirsiniz
Uyarı: Bu proje hâlâ geliştirmenin erken aşamasındadır ve kullanım sorumluluğu kullanıcıya aittir

Özellikler

Tam IP/TCP yeniden birleştirme, çeşitli protokol ayrıştırıcıları (HTTP, TLS, QUIC, DNS, SSH, SOCKS4/5, WireGuard vb.)
Shadowsocks gibi "tamamen şifrelenmiş trafik" algılama özelliği
Trojan-killer tabanlı Trojan (proxy protokolü) algılama özelliği
[Devam ediyor] makine öğrenimi tabanlı trafik sınıflandırması
Tam IPv4 ve IPv6 desteği
Akış tabanlı çok çekirdekli yük dengeleme
Bağlantı offloading
expr tabanlı güçlü kural motoru
Hot-reload destekli kurallar (SIGHUP sinyaliyle yeniden yükleme)
Esnek ayrıştırıcı ve değiştirici framework'ü
Genişletilebilir IO uygulaması (yalnızca NFQueue desteklenir)
[Devam ediyor] web UI

Kullanım senaryoları

Reklam engelleme
Ebeveynlerin çocuk kontrolü
Kötü amaçlı yazılım koruması
VPN/proxy hizmetlerinin kötüye kullanımını önleme
Trafik analizi (yalnızca log modu)
Diktatörce hırslarınızı gerçekleştirmenize yardımcı olur (Help you fulfill your dictatorial ambitions)

Kullanım

Derleme

  go build

Çalıştırma

  export OPENGFW_LOG_LEVEL=debug  
  ./OpenGFW -c config.yaml rules.yaml

OpenWrt

OpenGFW'nin OpenWrt 23.05 üzerinde çalıştığı test edildi; diğer sürümlerde de çalışması bekleniyor, ancak doğrulanmadı
Bağımlılıkları yükleme:
opkg install kmod-nft-queue kmod-nf-conntrack-netlink

Örnek yapılandırma

Yerel geoip/geosite veritabanı dosyalarını yüklemek için yol ayarlanır
Ayarlanmazsa otomatik olarak https://github.com/Loyalsoldier/v2ray-rules-dat adresinden indirilir

Desteklenen eylemler

allow: bağlantıya izin verilir, ek işlem yok
block: bağlantı engellenir, ek işlem yok
drop: UDP için, kuralı tetikleyen paket düşürülür ve aynı akıştaki gelecekteki paketlerin işlenmesine devam edilir. TCP için block ile aynıdır
modify: UDP için, kuralı tetikleyen paket verilen değiştirici kullanılarak değiştirilir ve aynı akıştaki gelecekteki paketlerin işlenmesine devam edilir. TCP için allow ile aynıdır

4 yorum

2024-03-10

[Bu yorum gizlendi.]

slimeyslime 2024-03-15

Hahahahahahahahahahahaha

nemorize 2024-03-10

Hahahaha, ilginçmiş.

xguru 2024-03-10

Hacker News yorumları

Twitter'da bu projeyle alay eden insanlar gördüm, ama buna gerçekten ihtiyaç duyanlar da var. Bir ürünün ev sunucusuna şüpheli veriler göndermesini engellemeye çalıştım, ancak Wireshark başında oturup tüm DoH sunucularını bulmakta başarısız oldum. Bu proje sayesinde, DoH kullanılsa bile alan adını TLS allowlist'ine eklemeden engelleyebileceğimiz günün gelmesini umuyorum.
"Tamamen şifrelenmiş trafik" ifadesi, ancak bağlam doğru olduğunda doğru anlaşılabilen kafa karıştırıcı bir terim. Kişisel önerim, "tamamen şifrelenmiş" yerine "High Entropy" (HighE) gibi bir terimin daha spesifik olduğu yönünde.
Bu projenin War Thunder gibi bir şeye dönüşmesi komik olurdu. Gerçek GFW'nin nasıl çalıştığından farklı olduğu için kinlenip pull request açan bir Çinli memur durumu bile yaşanabilir.
Özellik listesindeki "diktatörlük heveslerinizi tatmin eder" maddesi günümü güzelleştirdi.
Bu tür bir ürün için gerçek kullanım senaryoları var. Örneğin okullarda, dikkat dağınıklığını en aza indirmek için böyle bir ürüne ihtiyaç duyulabilir. Ancak kötü amaçlı yazılım konusunda endişeliyim. Bu projenin arkasındaki ekibi kim doğrulayabilir?
Bir şeyin nasıl çalıştığına dair bir modele sahip olmak, hafifletme yöntemlerini araştırmada çok yardımcı olur.
Bu proje, İran ve Kuzey Kore gibi rejimler için açık kaynaklı bir füze gibi. Buna saygı duyuyorum, ama bazı hükümetler bunu özgürlükleri bastırmak için kötüye kullanabilir.
Çin ana karası dışındaki insanların, Çinlilerin internette yaşadıklarını deneyimleyebilmesi için çok uygun.
Artık İran hükümeti, İranlıların açık internete erişmesini engellemek için bu teknoloji karşılığında Çin'e para ödemeyi bırakabilir. Açık kaynağın açıklığı hedeflerken tam tersi bir sonuca da yol açabilmesi ilginç.
Bu projenin, diğer otoriter hükümetlerin bunu uygulama eşiğini düşürmesine yardımcı olabileceği konusunda kimsenin endişelenmemesi beni şaşırtıyor.