OpenGFW: versi implementasi open source dari 'Great Firewall' milik Tiongkok

xguru · 2024-03-10T10:17:01+09:00

OpenGFW adalah open source untuk Linux dari Great Firewall of China yang bisa dibuat sendiri oleh pengguna "Sekarang bukan hanya orang yang punya kekuasaan yang boleh bersenang-senang; saatnya membuat sensor bisa dilakukan siapa saja dan memberi kekuasaan kepada orang-orang" Bisa mulai melakukan pemfilteran layaknya ahli pada router di rumah, dan berperan sebagai Big Brother Perhatian: proyek ini masih berada pada tahap awal pengembangan dan harus digunakan dengan tanggung jawab pengguna sendiri Fitur Reassembly IP/TCP penuh, berbagai parser protokol (HTTP, TLS, QUIC, DNS, SSH, SOCKS4/5, WireGuard, dll.) Fitur deteksi "traffic terenkripsi sepenuhnya" seperti Shadowsocks Fitur deteksi Trojan (protokol proxy) berbasis Trojan-killer [Dalam pengerjaan] klasifikasi traffic berbasis machine learning Dukungan penuh IPv4 dan IPv6 Penyeimbangan beban multicore berbasis flow Offloading koneksi Rule engine kuat berbasis expr Rule yang bisa di-hot-reload (reload dengan sinyal SIGHUP) Framework parser dan modifier yang fleksibel Implementasi IO yang dapat diperluas (hanya mendukung NFQueue) [Dalam pengerjaan] web UI Kasus penggunaan Pemblokiran iklan Kontrol orang tua terhadap anak Perlindungan terhadap malware Pencegahan penyalahgunaan layanan VPN/proxy Analisis traffic (mode log-only) Membantu Anda mewujudkan ambisi diktatorial Anda (Help you fulfill your dictatorial ambitions) Cara pakai Build go build Jalankan export OPENGFW_LOG_LEVEL=debug ./OpenGFW -c config.yaml rules.yaml OpenWrt OpenGFW telah diuji berjalan pada OpenWrt 23.05, dan diperkirakan juga akan berjalan di versi lain, tetapi belum diverifikasi Instal dependensi: opkg install kmod-nft-queue kmod-nf-conntrack-netlink Contoh konfigurasi Mengatur jalur untuk memuat file database geoip/geosite lokal Jika tidak diatur, file akan diunduh otomatis dari https://github.com/Loyalsoldier/v2ray-rules-dat Aksi yang didukung allow: izinkan koneksi, tanpa pemrosesan tambahan block: blokir koneksi, tanpa pemrosesan tambahan drop: untuk UDP, paket yang memicu rule akan dibuang, lalu pemrosesan paket berikutnya pada flow yang sama tetap dilanjutkan. Untuk TCP, sama seperti block modify: untuk UDP, paket yang memicu rule akan dimodifikasi menggunakan modifier yang diberikan, lalu pemrosesan paket berikutnya pada flow yang sama tetap dilanjutkan. Untuk TCP, sama seperti allow

(github.com/apernet)

22 poin oleh xguru 2024-03-10 | 4 komentar | Bagikan ke WhatsApp

OpenGFW adalah open source untuk Linux dari Great Firewall of China yang bisa dibuat sendiri oleh pengguna
"Sekarang bukan hanya orang yang punya kekuasaan yang boleh bersenang-senang; saatnya membuat sensor bisa dilakukan siapa saja dan memberi kekuasaan kepada orang-orang"
Bisa mulai melakukan pemfilteran layaknya ahli pada router di rumah, dan berperan sebagai Big Brother
Perhatian: proyek ini masih berada pada tahap awal pengembangan dan harus digunakan dengan tanggung jawab pengguna sendiri

Fitur

Reassembly IP/TCP penuh, berbagai parser protokol (HTTP, TLS, QUIC, DNS, SSH, SOCKS4/5, WireGuard, dll.)
Fitur deteksi "traffic terenkripsi sepenuhnya" seperti Shadowsocks
Fitur deteksi Trojan (protokol proxy) berbasis Trojan-killer
[Dalam pengerjaan] klasifikasi traffic berbasis machine learning
Dukungan penuh IPv4 dan IPv6
Penyeimbangan beban multicore berbasis flow
Offloading koneksi
Rule engine kuat berbasis expr
Rule yang bisa di-hot-reload (reload dengan sinyal SIGHUP)
Framework parser dan modifier yang fleksibel
Implementasi IO yang dapat diperluas (hanya mendukung NFQueue)
[Dalam pengerjaan] web UI

Kasus penggunaan

Pemblokiran iklan
Kontrol orang tua terhadap anak
Perlindungan terhadap malware
Pencegahan penyalahgunaan layanan VPN/proxy
Analisis traffic (mode log-only)
Membantu Anda mewujudkan ambisi diktatorial Anda (Help you fulfill your dictatorial ambitions)

Cara pakai

Build

  go build

Jalankan

  export OPENGFW_LOG_LEVEL=debug  
  ./OpenGFW -c config.yaml rules.yaml

OpenWrt

OpenGFW telah diuji berjalan pada OpenWrt 23.05, dan diperkirakan juga akan berjalan di versi lain, tetapi belum diverifikasi
Instal dependensi:
opkg install kmod-nft-queue kmod-nf-conntrack-netlink

Contoh konfigurasi

Mengatur jalur untuk memuat file database geoip/geosite lokal
Jika tidak diatur, file akan diunduh otomatis dari https://github.com/Loyalsoldier/v2ray-rules-dat

Aksi yang didukung

allow: izinkan koneksi, tanpa pemrosesan tambahan
block: blokir koneksi, tanpa pemrosesan tambahan
drop: untuk UDP, paket yang memicu rule akan dibuang, lalu pemrosesan paket berikutnya pada flow yang sama tetap dilanjutkan. Untuk TCP, sama seperti block
modify: untuk UDP, paket yang memicu rule akan dimodifikasi menggunakan modifier yang diberikan, lalu pemrosesan paket berikutnya pada flow yang sama tetap dilanjutkan. Untuk TCP, sama seperti allow

4 komentar

2024-03-10

[Komentar ini disembunyikan.]

slimeyslime 2024-03-15

Wkwkwkwkwkwkwkwk

nemorize 2024-03-10

hahaha lucu ya

xguru 2024-03-10

Komentar Hacker News

Saya melihat orang-orang mengejek proyek ini di Twitter, tetapi ada juga orang yang benar-benar membutuhkannya. Saya pernah mencoba memblokir produk yang mengirim data mencurigakan ke home server, tetapi gagal menemukan semua server DoH sambil duduk di depan Wireshark. Berkat proyek ini, saya berharap akan datang hari ketika pemblokiran tetap bisa dilakukan meskipun menggunakan DoH, tanpa harus menambahkan domain ke whitelist TLS.
Istilah "lalu lintas yang sepenuhnya terenkripsi" adalah istilah yang membingungkan dan hanya bisa dipahami dengan benar jika konteksnya tepat. Saran pribadi saya, istilah seperti "High Entropy" (HighE) lebih spesifik daripada "sepenuhnya terenkripsi".
Akan lucu jika proyek ini berakhir seperti War Thunder. Bisa saja ada situasi ketika pejabat Tiongkok menyimpan dendam lalu membuat pull request karena cara kerja GFW yang sebenarnya berbeda.
Butir "memenuhi ambisi diktator Anda" dalam daftar fitur benar-benar membuat hari saya menyenangkan.
Ada use case nyata untuk produk seperti ini. Misalnya, sekolah memerlukan produk seperti ini demi meminimalkan gangguan. Namun saya khawatir soal malware. Siapa yang bisa memverifikasi tim di balik proyek ini?
Memiliki model tentang bagaimana sesuatu bekerja sangat membantu saat menjajaki metode mitigasi.
Proyek ini seperti rudal open source untuk rezim seperti Iran dan Korea Utara. Saya menghargainya, tetapi sebagian pemerintah bisa menyalahgunakannya untuk menindas kebebasan.
Sangat cocok untuk memungkinkan orang-orang di luar Tiongkok daratan merasakan apa yang dialami warga Tiongkok saat online.
Sekarang pemerintah Iran bisa berhenti membayar Tiongkok untuk menggunakan teknologi ini guna memblokir akses warga Iran ke internet terbuka. Menarik bahwa open source yang bertujuan pada keterbukaan justru bisa menghasilkan dampak yang sepenuhnya berlawanan.
Saya terkejut tidak ada yang khawatir bahwa proyek ini bisa membantu menurunkan hambatan implementasi bagi pemerintah otoriter lainnya.