XuLaLa.Tech

OpenGFW是一个概念性项目，旨在为研究人员和技术爱好者提供一个开放的平台，用于了解、研究和模拟互联网防火墙（如中国的“防火长城”GFW）的工作机制。通过开放源代码，OpenGFW帮助用户深入理解网络审查和内容过滤的技术原理，促进对抗审查技术的发展。需要强调的是，研究和开发OpenGFW应严格遵守当地法律法规，确保其使用仅限于合法的教育和研究目的。

• 官网地址：

• 1. 一、GFW的基本工作原理
• 2. 二、如何自建自己的“GFW”？
  • 2.1. I. 准备硬件和软件环境
  • 2.2. II. 设置DNS过滤
  • 2.3. III. 实现IP封锁
  • 2.4. IV. 配置关键字过滤
  • 2.5. V. 引入深度包检测（DPI）
  • 2.6. VI. 监控和优化

  3. 三、注意事项4. 四、总结

一、GFW的基本工作原理

要理解如何自建类似GFW的系统，首先需要了解其核心功能和技术实现：

1. DNS污染和劫持
   

   GFW通过干扰DNS解析，将用户访问特定域名的请求重定向到错误的IP地址。当用户尝试访问被封锁的网站时，GFW会返回一个错误的IP地址，从而阻断实际访问。

2. IP封锁
   

   GFW可以在出境的网关上添加伪造的路由规则，直接屏蔽特定的IP地址，使用户无法访问特定网站或服务器。这种方法高效且直接，常用于封锁被认为传播敏感内容的服务器。

3. 关键字过滤
   

   GFW实时监控网络内容。一旦检测到预设的敏感关键词，相关内容或连接可能被中断。对于明文协议（如HTTP、POP3、SMTP、FTP），GFW会检测其中的关键字，如果发现敏感词汇，就会给连接的双方发送TCP RST的重置命令，终止通信。

4. 协议识别与干扰
   GFW利用深度包检测（DPI）技术，识别特定协议（如VPN、Tor、Shadowsocks）的流量特征，并进行干扰或封锁。对于加密连接，GFW可能通过中间人攻击（MITM）或发送RST数据包来干扰连接，限制加密流量的正常通信。
5. 流量分析与大数据
   

   GFW积累了大量的数据，并可能利用人工智能和大数据分析技术，对网络流量进行深入分析，识别异常或敏感行为，从而采取相应的封锁措施。

二、如何自建自己的“GFW”？

如果您希望搭建一个功能类似的系统，可以参考以下步骤，但请确保仅用于研究或内部网络管理：

I. 准备硬件和软件环境

• 服务器：选择高性能服务器，确保具备足够的网络处理能力，以应对大量并发连接和数据包分析。
• 防火墙软件：常用的开源工具包括iptables（用于Linux系统的命令行防火墙工具）、pfSense（基于FreeBSD的开源防火墙和路由器软件）和Snort（开源网络入侵检测系统）。
• 监控工具：如Wireshark（网络协议分析工具），用于捕获和分析网络流量，帮助制定过滤规则。

linux系统

export CGO_ENABLED=0
go build
export OPENGFW_LOG_LEVEL=debug
./OpenGFW -c config.yaml rules.yaml

其中 config.yaml 是配置文件，rules.yaml 是规则文件。

OpenWrt

OpenGFW 在 OpenWrt 23.05 上测试可用（其他版本应该也可以，暂时未经验证）。

opkg install nftables kmod-nft-queue kmod-nf-conntrack-netlink

样例配置:

io:
queueSize: 1024
queueNum: 100
table: opengfw
connMarkAccept: 1001
connMarkDrop: 1002
rcvBuf: 4194304
sndBuf: 4194304
local: true
rst: false
workers:
count: 4
queueSize: 64
tcpMaxBufferedPagesTotal: 65536
tcpMaxBufferedPagesPerConn: 16
tcpTimeout: 10m
udpMaxStreams: 4096
# 指定的 geoip/geosite 档案路径
# 如果未设置，将自动从 https://github.com/Loyalsoldier/v2ray-rules-dat 下载
# ruleset:
#   geoip: geoip.dat
#   geosite: geosite.dat
replay:
realtime: false

II. 设置DNS过滤

• 配置DNS服务器：部署自己的DNS服务器（如Bind9或Unbound），以控制域名解析过程。
• 创建黑名单：建立包含被禁止访问的域名列表。
• 实施过滤：配置DNS服务器，使其在解析被列入黑名单的域名时，返回错误的IP地址或引导至警告页面，实现DNS污染效果。

III. 实现IP封锁

• 确定目标IP：收集需要封锁的IP地址或IP段。
• 配置防火墙规则：使用iptables或类似工具，创建规则阻止与这些IP地址的通信。
• 路由黑洞：对于特定IP段，设置路由将其指向不可达的黑洞路由，阻止数据包的传输。

IV. 配置关键字过滤

• 部署代理服务器：如Squid（开源代理服务器），用于管理和控制HTTP/HTTPS流量。
• 集成内容过滤插件：如SquidGuard，与Squid配合使用，实现URL过滤和关键字过滤。
• 定义过滤规则：设置敏感关键词列表和对应的阻断或重定向策略。

V. 引入深度包检测（DPI）

• 选择DPI工具：集成开源DPI工具（如OpenDPI或nDPI），对网络流量进行实时分析。
• 配置协议识别：设置规则，识别并阻止特定协议的流量，如VPN、Tor等。
• 实时监控：持续监控网络流量，及时发现和处理异常或违规行为。

VI. 监控和优化

• 日志记录：启用详细的日志记录，监控被阻断的访问尝试和过滤规则的命中情况。
• 规则更新：根据最新的威胁情报和网络环境，定期更新关键字和IP封锁列表。
• 性能优化：监测系统性能，优化规则配置，确保网络延迟和资源消耗在可接受范围内。

三、注意事项

1. 合法性
   

   请确保所有操作符合法律许可范围内。自建“GFW”系统仅限用于企业内部网络管理、学术研究或技术学习。

2. 隐私保护
   

   在分析网络流量时，注意保护用户隐私，不得存储或泄露敏感数据。

3. 透明性
   

   如果用于企业环境，应向用户告知过滤和监控的存在，并明确用途。

四、总结

OpenGFW的核心价值在于帮助技术爱好者和研究人员理解网络内容过滤和管理的技术。然而，模仿GFW的行为需谨慎而为，避免侵犯他人权益或违反法律规定。