OpenGFW: phiên bản triển khai mã nguồn mở của 'Great Firewall' của Trung Quốc

xguru · 2024-03-10T10:17:01+09:00

OpenGFW là mã nguồn mở cho Linux về phiên bản "Tường lửa vĩ đại" của Trung Quốc mà người dùng có thể tự xây dựng "Giờ đây không chỉ những người nắm quyền mới cần được vui thú; đã đến lúc trao quyền cho mọi người bằng cách khiến việc kiểm duyệt trở nên khả thi với bất kỳ ai" Bạn có thể bắt đầu lọc trên router tại nhà như một chuyên gia và thử đóng vai Big Brother Lưu ý: dự án này vẫn đang ở giai đoạn phát triển ban đầu và bạn phải tự chịu trách nhiệm khi sử dụng Tính năng Tái lắp ráp đầy đủ IP/TCP, nhiều bộ phân tích giao thức khác nhau (HTTP, TLS, QUIC, DNS, SSH, SOCKS4/5, WireGuard, v.v.) Khả năng phát hiện "lưu lượng được mã hóa hoàn toàn" như Shadowsocks Khả năng phát hiện Trojan (giao thức proxy) dựa trên Trojan-killer [Đang thực hiện] phân loại lưu lượng dựa trên máy học Hỗ trợ đầy đủ IPv4 và IPv6 Cân bằng tải đa lõi dựa trên luồng Offloading kết nối Công cụ quy tắc mạnh mẽ dựa trên expr Quy tắc có thể hot-reload (reload bằng tín hiệu SIGHUP) Framework bộ phân tích và bộ sửa đổi linh hoạt Triển khai IO có thể mở rộng (chỉ hỗ trợ NFQueue) [Đang thực hiện] giao diện web Trường hợp sử dụng Chặn quảng cáo Kiểm soát con cái của phụ huynh Bảo vệ khỏi phần mềm độc hại Ngăn chặn việc lạm dụng dịch vụ VPN/proxy Phân tích lưu lượng (chế độ chỉ ghi log) Giúp bạn thỏa mãn tham vọng độc tài của mình (Help you fulfill your dictatorial ambitions) Cách dùng Build go build Chạy export OPENGFW_LOG_LEVEL=debug ./OpenGFW -c config.yaml rules.yaml OpenWrt OpenGFW đã được kiểm thử hoạt động trên OpenWrt 23.05; dự kiến cũng sẽ chạy trên các phiên bản khác nhưng chưa được xác minh Cài đặt phụ thuộc: opkg install kmod-nft-queue kmod-nf-conntrack-netlink Cấu hình ví dụ Thiết lập đường dẫn để tải các tệp cơ sở dữ liệu geoip/geosite cục bộ Nếu không cấu hình, chúng sẽ tự động được tải xuống từ https://github.com/Loyalsoldier/v2ray-rules-dat Các hành động được hỗ trợ allow: cho phép kết nối, không xử lý thêm block: chặn kết nối, không xử lý thêm drop: với UDP, loại bỏ gói tin đã kích hoạt quy tắc và tiếp tục xử lý các gói tin tương lai trong cùng luồng. Với TCP, giống block modify: với UDP, sửa đổi gói tin đã kích hoạt quy tắc bằng bộ sửa đổi được chỉ định và tiếp tục xử lý các gói tin tương lai trong cùng luồng. Với TCP, giống allow

(github.com/apernet)

22 điểm bởi xguru 2024-03-10 | 4 bình luận | Chia sẻ qua WhatsApp

OpenGFW là mã nguồn mở cho Linux về phiên bản "Tường lửa vĩ đại" của Trung Quốc mà người dùng có thể tự xây dựng
"Giờ đây không chỉ những người nắm quyền mới cần được vui thú; đã đến lúc trao quyền cho mọi người bằng cách khiến việc kiểm duyệt trở nên khả thi với bất kỳ ai"
Bạn có thể bắt đầu lọc trên router tại nhà như một chuyên gia và thử đóng vai Big Brother
Lưu ý: dự án này vẫn đang ở giai đoạn phát triển ban đầu và bạn phải tự chịu trách nhiệm khi sử dụng

Tính năng

Tái lắp ráp đầy đủ IP/TCP, nhiều bộ phân tích giao thức khác nhau (HTTP, TLS, QUIC, DNS, SSH, SOCKS4/5, WireGuard, v.v.)
Khả năng phát hiện "lưu lượng được mã hóa hoàn toàn" như Shadowsocks
Khả năng phát hiện Trojan (giao thức proxy) dựa trên Trojan-killer
[Đang thực hiện] phân loại lưu lượng dựa trên máy học
Hỗ trợ đầy đủ IPv4 và IPv6
Cân bằng tải đa lõi dựa trên luồng
Offloading kết nối
Công cụ quy tắc mạnh mẽ dựa trên expr
Quy tắc có thể hot-reload (reload bằng tín hiệu SIGHUP)
Framework bộ phân tích và bộ sửa đổi linh hoạt
Triển khai IO có thể mở rộng (chỉ hỗ trợ NFQueue)
[Đang thực hiện] giao diện web

Trường hợp sử dụng

Chặn quảng cáo
Kiểm soát con cái của phụ huynh
Bảo vệ khỏi phần mềm độc hại
Ngăn chặn việc lạm dụng dịch vụ VPN/proxy
Phân tích lưu lượng (chế độ chỉ ghi log)
Giúp bạn thỏa mãn tham vọng độc tài của mình (Help you fulfill your dictatorial ambitions)

Cách dùng

Build

  go build

Chạy

  export OPENGFW_LOG_LEVEL=debug  
  ./OpenGFW -c config.yaml rules.yaml

OpenWrt

OpenGFW đã được kiểm thử hoạt động trên OpenWrt 23.05; dự kiến cũng sẽ chạy trên các phiên bản khác nhưng chưa được xác minh
Cài đặt phụ thuộc:
opkg install kmod-nft-queue kmod-nf-conntrack-netlink

Cấu hình ví dụ

Thiết lập đường dẫn để tải các tệp cơ sở dữ liệu geoip/geosite cục bộ
Nếu không cấu hình, chúng sẽ tự động được tải xuống từ https://github.com/Loyalsoldier/v2ray-rules-dat

Các hành động được hỗ trợ

allow: cho phép kết nối, không xử lý thêm
block: chặn kết nối, không xử lý thêm
drop: với UDP, loại bỏ gói tin đã kích hoạt quy tắc và tiếp tục xử lý các gói tin tương lai trong cùng luồng. Với TCP, giống block
modify: với UDP, sửa đổi gói tin đã kích hoạt quy tắc bằng bộ sửa đổi được chỉ định và tiếp tục xử lý các gói tin tương lai trong cùng luồng. Với TCP, giống allow

4 bình luận

2024-03-10

[Bình luận này đã bị ẩn.]

slimeyslime 2024-03-15

kkkkkkkkkkkkkkkkkkk

nemorize 2024-03-10

Hahaha, thú vị đấy.

xguru 2024-03-10

Ý kiến trên Hacker News

Tôi đã thấy nhiều người chế giễu dự án này trên Twitter, nhưng cũng có những người thực sự cần nó. Tôi từng cố chặn một sản phẩm gửi dữ liệu đáng ngờ về máy chủ gia đình, nhưng thất bại khi ngồi trước Wireshark để tìm ra tất cả các máy chủ DoH. Nhờ dự án này, tôi hy vọng sẽ có ngày có thể chặn được ngay cả khi dùng DoH mà không cần thêm tên miền vào whitelist TLS.
Cụm từ "lưu lượng được mã hóa hoàn toàn" là một thuật ngữ dễ gây nhầm lẫn, chỉ có thể hiểu đúng khi đặt trong đúng ngữ cảnh. Theo đề xuất cá nhân của tôi, các thuật ngữ như "High Entropy" (HighE) cụ thể hơn so với "mã hóa hoàn toàn".
Sẽ khá vui nếu dự án này trở thành như War Thunder. Có thể sẽ xuất hiện tình huống một quan chức Trung Quốc bực tức gửi pull request vì nó khác với cách GFW thực sự hoạt động.
Mục "đáp ứng tham vọng độc tài của bạn" trong danh sách tính năng đã làm ngày của tôi vui hơn
Có những trường hợp sử dụng thực sự cho loại sản phẩm này. Ví dụ, trong trường học, người ta cần sản phẩm như vậy để giảm thiểu xao nhãng. Tuy nhiên, tôi lo về malware. Ai có thể xác minh đội ngũ đứng sau dự án này?
Có một mô hình về cách một thứ gì đó hoạt động sẽ rất hữu ích khi tìm kiếm các biện pháp giảm thiểu.
Dự án này giống như một tên lửa mã nguồn mở dành cho các chế độ như Iran và Triều Tiên. Tôi tôn trọng điều đó, nhưng một số chính phủ có thể lạm dụng nó để đàn áp tự do.
Nó rất phù hợp để những người ngoài Trung Quốc đại lục có thể trải nghiệm những gì người Trung Quốc phải chịu trên mạng.
Giờ thì chính phủ Iran có thể ngừng trả tiền cho Trung Quốc để dùng công nghệ này nhằm chặn người Iran truy cập internet mở. Thật thú vị khi mã nguồn mở vốn hướng tới sự cởi mở nhưng lại có thể dẫn đến kết quả hoàn toàn ngược lại.
Tôi sốc vì dường như không ai lo lắng về việc dự án này có thể giúp các chính phủ độc tài khác hạ thấp rào cản triển khai.