OpenGFW: 中国の「Great Firewall」のオープンソース実装版

xguru · 2024-03-10T10:17:01+09:00

OpenGFWは、ユーザー自身で構築できる中国の大規模ファイアウォール（Great Firewall of China）のLinux向けオープンソース「今や権力を持つ者だけが楽しむ必要はなく、検閲を誰にでも可能にして人々に権力を与える時だ」家庭内のルーターで専門家のようにフィルタリングを始め、ビッグ・ブラザー役を試すことができる注意：このプロジェクトはまだ開発初期段階にあり、利用は自己責任機能 IP/TCPの完全な再構築、各種プロトコルアナライザー（HTTP、TLS、QUIC、DNS、SSH、SOCKS4/5、WireGuard など） Shadowsocksのような「完全に暗号化されたトラフィック」の検出機能 Trojan-killerをベースにしたTrojan（プロキシプロトコル）の検出機能 [作業中] 機械学習ベースのトラフィック分類 IPv4およびIPv6を完全サポートフロー単位のマルチコア負荷分散コネクションオフロード exprベースの強力なルールエンジンホットリロード可能なルール（SIGHUPシグナルでリロード）柔軟なアナライザーおよびモディファイアのフレームワーク拡張可能なIO実装（NFQueueのみサポート） [作業中] Web UI ユースケース広告ブロック保護者による子どもの利用制限マルウェア対策 VPN/プロキシサービスの不正利用防止トラフィック分析（ログ専用モード）独裁者としての野望の実現を支援（Help you fulfill your dictatorial ambitions）使い方ビルド go build 実行 export OPENGFW_LOG_LEVEL=debug ./OpenGFW -c config.yaml rules.yaml OpenWrt OpenGFWはOpenWrt 23.05で動作確認されており、他のバージョンでも動作すると見込まれるが未検証依存関係のインストール: opkg install kmod-nft-queue kmod-nf-conntrack-netlink 設定例ローカルのgeoip/geositeデータベースファイルを読み込むパスを設定設定しない場合は自動的にhttps://github.com/Loyalsoldier/v2ray-rules-dat からダウンロードされるサポートされる動作 allow: 接続を許可し、追加処理なし block: 接続を遮断し、追加処理なし drop: UDPでは、ルールをトリガーしたパケットを破棄し、同じフローの以後のパケット処理は継続。TCPではblockと同じ modify: UDPでは、ルールをトリガーしたパケットを指定されたモディファイアで変更し、同じフローの以後のパケット処理は継続。TCPではallowと同じ

(github.com/apernet)

22 ポイント投稿者 xguru 2024-03-10 | 4件のコメント | WhatsAppで共有

OpenGFWは、ユーザー自身で構築できる中国の大規模ファイアウォール（Great Firewall of China）のLinux向けオープンソース
「今や権力を持つ者だけが楽しむ必要はなく、検閲を誰にでも可能にして人々に権力を与える時だ」
家庭内のルーターで専門家のようにフィルタリングを始め、ビッグ・ブラザー役を試すことができる
注意：このプロジェクトはまだ開発初期段階にあり、利用は自己責任

機能

IP/TCPの完全な再構築、各種プロトコルアナライザー（HTTP、TLS、QUIC、DNS、SSH、SOCKS4/5、WireGuard など）
Shadowsocksのような「完全に暗号化されたトラフィック」の検出機能
Trojan-killerをベースにしたTrojan（プロキシプロトコル）の検出機能
[作業中] 機械学習ベースのトラフィック分類
IPv4およびIPv6を完全サポート
フロー単位のマルチコア負荷分散
コネクションオフロード
exprベースの強力なルールエンジン
ホットリロード可能なルール（SIGHUPシグナルでリロード）
柔軟なアナライザーおよびモディファイアのフレームワーク
拡張可能なIO実装（NFQueueのみサポート）
[作業中] Web UI

ユースケース

広告ブロック
保護者による子どもの利用制限
マルウェア対策
VPN/プロキシサービスの不正利用防止
トラフィック分析（ログ専用モード）
独裁者としての野望の実現を支援（Help you fulfill your dictatorial ambitions）

使い方

ビルド

  go build

実行

  export OPENGFW_LOG_LEVEL=debug  
  ./OpenGFW -c config.yaml rules.yaml

OpenWrt

OpenGFWはOpenWrt 23.05で動作確認されており、他のバージョンでも動作すると見込まれるが未検証
依存関係のインストール:
opkg install kmod-nft-queue kmod-nf-conntrack-netlink

設定例

ローカルのgeoip/geositeデータベースファイルを読み込むパスを設定
設定しない場合は自動的にhttps://github.com/Loyalsoldier/v2ray-rules-dat からダウンロードされる

サポートされる動作

allow: 接続を許可し、追加処理なし
block: 接続を遮断し、追加処理なし
drop: UDPでは、ルールをトリガーしたパケットを破棄し、同じフローの以後のパケット処理は継続。TCPではblockと同じ
modify: UDPでは、ルールをトリガーしたパケットを指定されたモディファイアで変更し、同じフローの以後のパケット処理は継続。TCPではallowと同じ

4件のコメント

2024-03-10

[このコメントは非表示になっています。]

slimeyslime 2024-03-15

ｗｗｗｗｗｗｗｗｗｗｗｗｗ

nemorize 2024-03-10

（笑）面白いですね

xguru 2024-03-10

Hacker Newsのコメント

Twitterでこのプロジェクトを嘲笑する人たちを見たが、実際にこれを必要としている人たちもいる。製品が怪しいデータをホームサーバーへ送信するのを止めようとしたが、Wiresharkの前に座っていてもすべてのDoHサーバーを見つけ出すことはできなかったからだ。このプロジェクトのおかげで、DoHを使っていてもTLSホワイトリストにドメインを追加せずにブロックできる日が来ることを期待している。
「完全に暗号化されたトラフィック」という用語は、文脈が正確であって初めて正しく理解できる、紛らわしい表現だ。「完全に暗号化された」よりも、"High Entropy"（HighE）のような用語のほうが、より具体的だというのが個人的な提案。
このプロジェクトがWar Thunderのようなことになると面白そうだ。実際のGFWの動作方式と違うという理由で、中国の公務員が腹を立ててプルリクエストを送ってくる事態が起きるかもしれない。
機能一覧の「あなたの独裁者としての野望を満たします」という項目に笑った。
こういう製品には本当のユースケースがある。たとえば学校では、妨害を最小限に抑えるためにこうした製品が必要だ。ただ、マルウェアについては心配している。このプロジェクトの背後にいるチームを、誰が検証できるのだろうか。
何かがどのように動くのかについてのモデルを持つことは、緩和策を探るうえでとても役に立つ。
このプロジェクトは、イランや北朝鮮のような政権にとってのオープンソースのミサイルのようなものだ。私はこれを評価しているが、一部の政府はこれを悪用して自由を抑圧する可能性がある。
中国本土の外にいる人々が、中国人がオンラインで体験していることを体験するのにとても向いている。
これでイラン政府は、この技術を使ってイラン人が開かれたインターネットへアクセスするのを遮断するために中国へ支払っている費用を、もう払わなくて済む。オープンソースが開放を目指しながら、まったく逆の結果をもたらしうるのは皮肉だ。
このプロジェクトが、ほかの独裁政府にとって実装のハードルを下げる助けになるかもしれない点を、誰も心配していないことに衝撃を受ける。