Blackhole route for VPN configuration.

luci-app-ruantiblock: UI changes for settings.js. ruantiblock-mod-lua, ruantiblock-mod-py: Added BLLIST_CIDR_EXCLUDED option.
2026-05-14 14:40:58 +00:00 · 2025-09-15 18:25:20 +03:00
parent 493cc103b8
commit 4f68d13026
15 changed files with 440 additions and 255 deletions
@@ -5,7 +5,7 @@
 include $(TOPDIR)/rules.mk

 PKG_NAME:=ruantiblock
-PKG_VERSION:=2.1.7
+PKG_VERSION:=2.1.8
 PKG_RELEASE:=1
 PKG_MAINTAINER:=gSpot <https://github.com/gSpotx2f/ruantiblock_openwrt>

@@ -121,6 +121,10 @@ BLLIST_IP_FILTER_FILE="/etc/ruantiblock/ip_filter"
 BLLIST_IP_EXCLUDED_ENABLE=0
 ### Файл с записями IP/CIDR для опции BLLIST_IP_EXCLUDED_ENABLE
 BLLIST_IP_EXCLUDED_FILE="/etc/ruantiblock/ip_excluded"
+### Включение опции исключения IP входящих в подсети CIDR
+BLLIST_CIDR_EXCLUDED_ENABLE=0
+### Файл с записями IP/CIDR для опции BLLIST_CIDR_EXCLUDED_ENABLE
+BLLIST_CIDR_EXCLUDED_FILE="/etc/ruantiblock/cidr_excluded"
 ### Лимит субдоменов для группировки. При достижении, в конфиг dnsmasq будет добавлен весь домен 2-го ур-ня вместо множества субдоменов (0 - выкл)
 BLLIST_SD_LIMIT=16
 ### Файл с SLD не подлежащими группировке при оптимизации (одна запись на строку)
@@ -157,6 +157,10 @@ export BLLIST_IP_FILTER_FILE="${CONFIG_DIR}/ip_filter"
 export BLLIST_IP_EXCLUDED_ENABLE=0
 ### Файл с записями IP/CIDR для опции BLLIST_IP_EXCLUDED_ENABLE
 export BLLIST_IP_EXCLUDED_FILE="${CONFIG_DIR}/ip_excluded"
+### Включение опции исключения IP входящих в подсети CIDR
+export BLLIST_CIDR_EXCLUDED_ENABLE=0
+### Файл с записями IP/CIDR для опции BLLIST_CIDR_EXCLUDED_ENABLE
+export BLLIST_CIDR_EXCLUDED_FILE="${CONFIG_DIR}/cidr_excluded"
 ### Лимит субдоменов для группировки. При достижении, в конфиг dnsmasq будет добавлен весь домен 2-го ур-ня вместо множества субдоменов (0 - выкл)
 export BLLIST_SD_LIMIT=0
 ### Файл с SLD не подлежащими группировке при оптимизации (одна запись на строку)
@@ -22,8 +22,8 @@ CheckIfaceStatus() {
 }

 VpnRouteInstanceStatus() {
-    local _vpn_route_table_id=$1
-    [ -n "$($IP_CMD route show table $_vpn_route_table_id 2> /dev/null)" ] && return 0
+    local _route_table_id=$1
+    $IP_CMD route show table $_route_table_id 2> /dev/null | $AWK_CMD 'BEGIN {code=1} /^(default|local)/ {code=0} END {exit code}' && return 0
    return 1
 }

@@ -62,11 +62,12 @@ NftRouteAdd() {
            echo 0 > "/proc/sys/net/ipv4/conf/${_if_vpn}/rp_filter"
            NftRouteDelete "$_route_table_id" 2> /dev/null
            $IP_CMD rule add fwmark "$_pkts_mark" table "$_route_table_id" priority "$VPN_RULE_PRIO"
-            $IP_CMD route add default via "$_vpn_ip" table "$_route_table_id"
+            $IP_CMD route add default via "$_vpn_ip" table "$_route_table_id" metric 100
            if [ $? -ne 0 ]; then
                echo "  Error! An error occurred while adding the route. Routing table id=${_route_table_id}, VPN gateway IP=${_vpn_ip}" >&2
                MakeLogRecord "err" "Error! An error occurred while adding the route. Routing table id=${_route_table_id}, VPN gateway IP=${_vpn_ip}"
            fi
+            $IP_CMD route add blackhole default table "$_route_table_id" metric 200

            if [ $DEBUG -ge 1 ]; then
                echo "  nft_functions.NftRouteAdd: ${IP_CMD} rule add fwmark ${_pkts_mark} table ${_route_table_id} priority ${VPN_RULE_PRIO}" >&2
@@ -80,7 +81,7 @@ NftRouteAdd() {

 NftRouteStatus() {
    local _route_table_id=$1
-    [ -n "$($IP_CMD route show table "$_route_table_id" 2> /dev/null)" ] && return 0
+    $IP_CMD route show table $_route_table_id 2> /dev/null | $AWK_CMD 'BEGIN {code=1} /^(default|local)/ {code=0} END {exit code}' && return 0
    return 1
 }

@@ -90,7 +91,9 @@ NftAddBaseChains() {
    $NFT_CMD add chain $NFT_TABLE "$NFT_BLLIST_CHAIN"
    $NFT_CMD add chain $NFT_TABLE "$NFT_FPROXY_CHAIN" { type filter hook prerouting priority ${_chain_prio_fproxy}\; policy accept\; }
    $NFT_CMD add chain $NFT_TABLE "$NFT_ALLOWED_HOSTS_CHAIN" { type filter hook prerouting priority ${_chain_prio_first}\; policy accept\; }
+    NftCmdWrapper $NFT_CMD add rule $NFT_TABLE "$NFT_FPROXY_CHAIN" meta iif lo return
    NftCmdWrapper $NFT_CMD add rule $NFT_TABLE "$NFT_FPROXY_CHAIN" ip daddr "@${NFTSET_FPROXY_PRIVATE}" return
+    NftCmdWrapper $NFT_CMD add rule $NFT_TABLE "$NFT_ALLOWED_HOSTS_CHAIN" meta iif lo return
    NftCmdWrapper $NFT_CMD add rule $NFT_TABLE "$NFT_ALLOWED_HOSTS_CHAIN" "$NFT_ALLOWED_HOSTS_PATTERN"
    if [ "$BYPASS_MODE" = "1" ]; then
        for _set in "$NFTSET_BYPASS_IP" "$NFTSET_BYPASS_FQDN"