Comments 60
Оказалось дело было в моем кривом конфиге файрволла и роутинга, достаточно добавить IP адреса из списка выше и все будет заблокировано. Так что не занимайтесь такой ерундой, как я :) Считайте это как пример как можно следить за любым приложением Windows и выцеплять IP адреса, которые оно использует.
нужно было автоматизировать блокировку богоненавистного Telegram
Это каким же богом ненавидим Телеграм? Яхве Иегова?
Эм, вы приложение у себя же на компьютере блокируете на уровне роутера?
Технически это шире чем просто список хостов самого телеграма, так как вы затроните прокси что используются вашим клиентом.
Но сторонние прокси и/или впн что поставлены у других участников сети на вашем клиенте никак не окажутся. (да и блокируя все соединения вы по-идее перестанете сами получать обновления адресов, плюс может повезти на разный резолв адресов для разных участников)
Эм, вы приложение у себя же на компьютере блокируете на уровне роутера?
Подозреваю, что блокировка двухступенчатая: сначала pbr'ом в туннель до vps'ки. Ну а там уже drop, конечно.
Он их не просто блокирует. Он их в ссылку за границу отправляет. Но приманку оставляет, на нее клюют новые, а он их - туда же, туда же, в ссылку, за кордон! Так их и надо!
Телеграммный пароход (с).
По аналогии с "красным ковчегом"?
Я подразумевал https://ru.wikipedia.org/wiki/Философский_пароход
А не проще ли просто прописать в Telegram прокси штатными средствами? Он же тогда только через него и будет ходить. А прокси можно хоть на localhost/роутере поднять (если хочется наружу выпускать какой-то совсем другой протокол).
Я когда-то тоже на роутере отправлял за границу только списки от zapret-info, которые потом дополнялись подсетями и целыми AS других "замедляемых" или недружественно относящихся к заходу из РФ сервисов. Но уже давно стало очевидно, что такой подход недостаточен - сколько времени ни вкладывай в поддержание актуальности такого списка, всё равно то одно, то другое перестаёт работать.
Перешёл к обратному принципу - за рубеж отправляется весь трафик, кроме того, который по GeoIP - RU (с точечными исключениями типа Хабра, который хоть и RU, но интересные статьи про VPN показывает только при заходе из-за рубежа). И стало всё прекрасно.
Моё почтение! Статья доступна с русского ip.
Раз это PowerShell, нельзя тупо блокнуть программу в firewall, чтобы от сети отвадить?
Следующий шаг Р** "скачайте .ps скрипт и добавьте в автозагрузку, ну пожалуйста" /s
И по аналогии, можно Мах замедлить.
Налицо нарушение духовного регламента: вражеский Telegram блокируют кодом на латинице. Скрепность мероприятия признана недостаточной. Ждём версию на православном ПауэрШэлл и пары кириллических переменных во славу импортозамещения: $запрет, $духовность и функция Воспретить-Окаянное? Иначе это не запрет, а какая-то либеральная маршрутизация
ПауэрШэлл
Вы хотели сказать СиловаяОболочка?)
Можно на 1С написать, там кириллица есть, всё остальное решаемо
Попросите Василису она Вам напишет код на русском, а если подружите ее с синим волком, то под Сферой никакая телега не просочится, а отчеты будете получать в былинном стиле-))))
Настоящий патриотичный код должен компилироваться исключительно на процессорах Эльбрус и доставляться на роутер почтовыми голубями)
А зачем это? В OpenWRT можно добавить просто домены ТГ. Если маршрутизация по спискам.
Дык не работает. Я в начале статье писал. Видимо Telegram обращается к каким то IP напрямую, без запроса домена
А зачем скрипт? Разве wireshark или tcpdump не сделает того же самого?
wireshark не умеет по процессу фильтровать. TCPDump да, но мне нужно чтобы IP адрес выдергивался и отправлялся автоматом в таблицу маршрутизации на openwrt (выполнение команды по ssh). TCPDump по-моему так не умеет
tcpdump по процессу фильтровать увы не умеет
Но есть ещё способ работающий почти локально на openwrt.
Делается отдельная wifi сеть и fw зона с правилами
пропускать дхцп-днс
пропускать к гуглу и прочему телефонному
блокировать ипсет telegram
пропускать все, но с занесением в журнал
В сеть подключается одинокий телефон и набирается статистика для 2. Затем на него ставится телега а на роутере запускается скрипт, перекладывающий ип из логов 4. В ипсет 3.
Время от времени правило 3 можно отключать, чтоб клиент мог свежих ipшников глотнуть (впрочем их тогда в основном пушами доставляли, насколько понимаю).
Ещё во время первой блокировки телеграма чисто по приколу развлекался. Сугубо спортивный интерес "зачем кладут полинета (что в те времена было багом, а не фичей)
а телеграм заблочить не могут"
есть список подсетей, по нему всё работает. берете и баните! так его! уууууъъъх
Не стал мучаться с тем что же ещё нужно будет со временем блокировать и заблокировал весь трафик на роутере. И точечно обхожу блокировку для торрентов и избранных приложений через установку tos в ip-пакетах.
Эта статья как переосмысление хитрости времён сухого закона в Америке. Вот вам концентраты, которые «ни в коем случае нельзя разводить в воде, чтобы не получить вино»😁
костыли какие то,все уже придумано до вас
на ПК:
New-NetQosPolicy -Name “telegram” -AppPathNameMatchCondition “telegram.exe” -NetworkProfile All -IPProtocol Both -DSCPAction 40 -Precedence 127
на роутере:
/ip firewall mangle add action=mark-packet chain=forward dscp=40 new-packet-mark=for-blocking passthrough=no
сарказм сарказмом но инфа неверна
достаточно 149.154.167.0/24 и никуда и никогда он не войдёт
дурик сдулся и об 2018г можно только вспоминать
теперь только пустые словеса и никакой технической стороны вопроса
Гонять тяжелый цикл на powershell каждые три секунды, чтобы дергать роутер по ssh - это отвратительная архитектура. Она жрет процессорное время на компе и убивает флеш-память роутера постоянными записями в таблицы iptables
А почему просто не посмотреть на список AS в которых явно указан телеграм? Там значительно больше подсетей, чем указано в начале статьи
Подскажите ссылочку, я искал, не нашел
Вот здесь в csv, если мне не изменяет память. https://github.com/iplocate/ip-address-databases/tree/main/ip-to-asn
Именно эти IP адреса и приводятся в начале статье, но что то они у меня не сработали как правила маршрутизации при помощи nft. А индивидуальные адреса работают. Хз.
А так вы абсолютно правы
Список не полон. В реальности еще одну сеть отловил по ASN, другую — на приложении. Итого, 10 CIDR пока что.
А нет пока на гитхабе актуального списка? Было бы классно, если бы ловили адреса и туда добавляли..
Нигде не видел актуального.
https://core.telegram.org/resources/cidr.txt Ранее было 8 CIDR, но потом добавили 185.76.151.0/24, и стало 9. Но до сих пор не хватает 95.161.64.0/20. Итого 10 CIDR'ов.
Оказалось дело было в моем кривом конфиге файрволла и роутинга, достаточно добавить IP адреса из списка выше и все будет заблокировано. Так что не занимайтесь такой ерундой, как я :) Считайте это как пример как можно следить за любым приложением Windows и выцеплять IP адреса, которые оно использует.
А зачем скрипты? Если Procmon от Susinternals, которая давно уже MS, ловит активность с фильтрами по протоколам, приложениям и другим полям. Работает быстро и очень гибко настраивается. Есть экспорт в csv.
Какой хороший человек, настоящий патриот!
Хабр - Торт! :)
Если кому-то нужно сделать то же самое, но с приложением в android, то есть неплохое приложение Pcapdroid
Как выяснить актуальные IP Telegram и «завернуть их»