💡 [REQUEST] - Торрент-блокер: блокировка IP не работает за reverse proxy с PROXY protocol

[Joliz1337]

Reference Issues

Торрент-блокер добавляет реальный IP пользователя в nftables и убивает сокет через sockdestroy. Но если нода за HAProxy (или любым reverse proxy) с PROXY protocol — TCP-пакеты приходят с IP прокси, а не пользователя.

• nftables drop не срабатывает для VPN-трафика (правило матчит по source IP, а source = IP HAProxy)
• killSockets не находит сокеты (в таблице сокетов ядра peer = IP прокси, а не пользователя)
• Xray webhook срабатывает, отчёты приходят в панель, но соединение пользователя не разрывается и торренты продолжают качаться

Пользователь (реальный IP) → HAProxy (PROXY protocol) → Xray (нода)
                                                           ↓
                                              nftables блокирует реальный IP,
                                              но TCP source — IP HAProxy
                                                           ↓
                                                   Блокировка не работает

Summary

Добавить поддержку блокировки через HAProxy Runtime API. HAProxy поддерживает stick-tables с автоматическим expire — аналог nftables set с timeout. Нода при обнаружении торрента отправляет заблокированный IP на HAProxy, который блокирует его на входе — там где виден реальный IP клиента.

Нода держит persistent TCP-соединение к каждому HAProxy (с автоматическим реконнектом при обрыве). Торрент-блокер может тригериться часто — подключаться заново на каждый блок неэффективно.

Если haproxy не указан или пуст — поведение не меняется (обратная совместимость).

Basic Example

Что делает админ

1. Открывает TCP stats socket на HAProxy

HAProxy Runtime API не поддерживает аутентификацию по паролю. Безопасность — только через файрвол или VPN.

global
    # Локальный Unix socket 
    stats socket /var/run/haproxy.sock mode 660 level admin expose-fd listeners
    # TCP socket для удалённого доступа нод
    stats socket ipv4@0.0.0.0:9999 level admin

Порт 9999 обязательно закрыть файрволом для всех, кроме IP нод:

ufw allow from <node_ip_1> to any port 9999
ufw allow from <node_ip_2> to any port 9999
ufw deny 9999

Или использовать VPN/WireGuard — stats socket слушает на VPN-интерфейсе.

2. Добавляет stick-table и правила reject

Один общий backend со stick-table — все frontend'ы ссылаются на него. Это рекомендуемый паттерн для шаринга таблицы между несколькими frontend'ами:

# Общая таблица заблокированных IP (одна на весь конфиг)
backend torrent_blocklist
    stick-table type ip size 100k expire 1h store gpc0

# В каждый frontend — одна строка
frontend tcp_example
    bind *:8443
    mode tcp
    tcp-request connection reject if { src,table_gpc0(torrent_blocklist) gt 0 }
    default_backend backend_tcp_example

3. Настраивает плагин

"torrentBlocker": {
    "enabled": true,
    "blockDuration": 3600,
    "haproxy": [
        {
            "address": "tcp://1.2.3.4:9999",
            "tableName": "torrent_blocklist"
        }
    ]
}

Массив — потому что HAProxy-серверов может быть несколько.

Что делает нода

При обнаружении торрента:

1. Текущая логика (nftables + killSockets) — без изменений
2. Дополнительно для каждого HAProxy из массива отправляет команду по persistent TCP-соединению:

   set table torrent_blocklist key 85.140.85.185 data.gpc0 1
   

Что происходит на HAProxy

• IP добавляется в stick-table → HAProxy сразу дропает соединение этого клиента
• Новые подключения с этого IP отклоняются (reject)
• Через expire (1h) запись автоматически удаляется — разбан без участия ноды

Drawbacks

• HAProxy Runtime API не поддерживает TLS и аутентификацию — безопасность только через файрвол (ограничить порт IP нодами) или VPN
• Требует от пользователя ручной настройки HAProxy (stick-table + строка reject в каждом frontend)
• Работает только для HAProxy, не универсально для других прокси (nginx, Caddy)

Unresolved questions

• Безопасность API — Runtime API без TLS и без пароля. Файрвол (ограничить порт только IP нод) или VPN
• IPv6 — stick-table type ip только IPv4. Если нужен IPv6, потребуется type ipv6 и вторая таблица

[kastov]

Покажите пример конфигурации Haproxy и Inbound. Если я правильно понимаю, эту проблему можно и иначе решить.

[Joliz1337]

HAProxy

global
    stats socket /var/run/haproxy.sock mode 660 level admin expose-fd listeners

defaults
    mode tcp
    timeout connect 5s
    timeout client 30m
    timeout server 30m
    timeout tunnel 2h

resolvers mydns
    nameserver dns1 1.1.1.1:53
    nameserver dns2 8.8.8.8:53
    resolve_retries 3
    timeout resolve 1s
    timeout retry 1s

frontend tcp_node1
    bind *:8090
    mode tcp
    default_backend backend_node1

backend backend_node1
    mode tcp
    server srv1 node1.example.com:8090 resolvers mydns resolve-prefer ipv4 init-addr none send-proxy check inter 5s fall 3 rise 2

frontend tcp_node2
    bind *:8092
    mode tcp
    default_backend backend_node2

backend backend_node2
    mode tcp
    server srv1 node2.example.com:8092 resolvers mydns resolve-prefer ipv4 init-addr none send-proxy check inter 5s fall 3 rise 2

Xray Inbound

{
    "tag": "example",
    "port": 8090,
    "protocol": "vless",
    "settings": {
        "clients": [],
        "decryption": "none"
    },
    "sniffing": {
        "enabled": true,
        "destOverride": ["tls", "quic"]
    },
    "streamSettings": {
        "network": "tcp",
        "security": "reality",
        "tcpSettings": {
            "acceptProxyProtocol": true
        },
        "realitySettings": {
            "dest": "google.com:443",
            "show": false,
            "shortIds": ["0123456789abcdef"],
            "privateKey": "...",
            "serverNames": ["google.com"]
        }
    }
}

Банить IP HAProxy в nftables нельзя — через него идут все клиенты, заблокируются все.

[SpilexX]

Сейчас ещё выяснится, что кто-то использует не haproxy, а какой-нибудь nginx stream, envoy, traefik и т.д., возможных вариантов вагон и маленькая тележка. Давайте будем под каждый из них делать свою интеграцию, ага.

Вебхук от панели прилетает с реальным айпишником юзера. Если у вас есть в этом потребность - почему бы не реализовать блокировку юзера в haproxy своими силами через отдельный микросервис, который будет ловить вебхуки от панели? Та же нейронка, что написала этот issue, такой микросервис напишет за пару промптов. Почему панель должна учитывать все нюансы вашей инфраструктуры и под неё подстраиваться?

Кстати блокировка через nft на сервере с haproxy будет более эффективной, в таком случае коннекты от проблемного юзера даже не будут доходить до haproxy. И попытки поднять tcp соединения будут не просто отклоняться, пакеты будут полностью дропаться. На стороне юзера это будет затяжной таймаут, а не моментальный режект. И ретраев от клиента будет меньше.

[Joliz1337]

Зачем всем делать блокировку свою под свой способ, если можно реализовать это в панели и использовать как стандарт так скажем. Haproxy это самое лучше средство для проксирования трафика. Легко настроить, стабилен, многофункциональный и не ест много ресурсов, он просто идеален для xray как минимум(если быть точнее под впн). Если кто-то использует что-то другое пускай пишет своё или просто перейдёт на хапрокси.

Не по приколу же выбран haproxy

[Joliz1337]

Тоже самое как и торент блокер, у меня был свой торент блокер. В панели его сделали сразу встроенным, что упрощает настройку и будет куда удобнее всё в одном чем одно тут другое там. В любом случае если добавили торент блокер в панель его нужно довести до ума, что бы он блокировал даже с прокси протоколом. Я лишь привел пример как это можно сделать со своей стороны. Если есть способы лучше, то для этого тут коменты и пишутся