Обхода блокировок и интернет-цензуры тред
Anonymous
No.45
Предлагаю в этом треде обсудить существующие способы обхода блокировок роскомпетуха, кто чем пользуется и кто что предпочитает. Так же хочу напомнить, что если вы не пользуетесь ничем для сокрытия своего трафика, российские провайдеры могут анализировать трафик пользователя, а с недавних пор должны его еще и сохранять для возможности покопаться в нем в будущем.
Начну с себя. Оп хуй не выебывается и пользуется обычным vpn на купленной специально для этого vps. А так как дома у него несколько компьютеров и пара телефонов, то vpn у него крутится на специально собранном для этого мощном роутере, таким образом все устройства в сети получают доступ уже в полноценный интернет.
>>45 (OP) >кто чем пользуется Раньше пердолился с впнами разной степени тормознутости, но недавно анончик мне подкинул GoodbyDPI и у меня всё стало хорошо. Оказывается, "блокировки" большинства провайдеров - это не железная стена, а тупо предупредительная ленточка, которую наши пеки стесняются перелезать. Рикамендую кароч.
>>62 GoodbyDPI хорошая программа и идея, но на сегодняшний день она уже потеряла актуальность и как серьезный способ обхода блокировок на нее расчитывать не стоит. Она до сих пор работает, но только у единиц провайдеров. dpi стали умнее, много блокируется по ip прямо на маршрутизаторах, почти всеми провайдерами перехватываются и подделываются dns запросы. Единственный надежный на сегодня вариант — vpn, не бесплатный, хотя и среди них есть годные варианты, а, желательно, поднятый лично на любом сервере, либо готовый в виде сервиса, если нет желания разбираться с самостоятельной настройкой.
>>63 >желательно, поднятый лично на любом сервере Какие плюсы у VPS? Я пытался вкинуть, мне показалось, что у VPS одни минусы: цена, адреса, безопасность, работа из коробки.
>>63 >но только у единиц провайдеров. ну хз я попробовал у меня завелось, хотя пришлось попердолиться с настройками провайдер билайн если что, вроде бы, не самый мелкий конечно это не панацея, но первый вариант из того, что стоит попробовать, ибо тут ты вообще не теряешь скорость вообще никак
>>64 >Какие плюсы у VPS? - Цена. vps обычно дешевле готовых vpn. - Безопасность. Ты сам контролируешь свой сервис и сам решаешь, что нужно лиггировать и нужно ли вообще. - Выделенный белый ip. - Неограниченное количество аккаунтов и устройств для vpn. - Возможность прокидывать порты до домашней сети (для корректной работы торрентов, если дома работают другие сервера, которые должны смотреть в интернет). - Возможность устанавливать на vps любой софт, кроме vpn. (На работе я пользовался shadowsocks). Это лишь малый список, можно придумать еще кучу того, что можно сделать с vps, но нельзя с готовым vpn. Еще добавлю, что возможность прокидывать порты это очень хорошая штука для тех, кто сидит за провайдерскими натами, но хочет держать дома, например, личное облачное хранилище. По сути это единственная возможность сделать его доступным из интернета.
Далек от этой тематике, извиняюсь, если вопросы глупые: Зачем брать vps для развертывания на нем vpn? нельзя развернуть у себя на пеке? Есть ли какие-то отличия между vps от vds?
>>69 >Зачем брать vps для развертывания на нем vpn? нельзя развернуть у себя на пеке? Для целей обхода блокировок — нельзя, потому что у тебя на компе есть доступ только в зацензуренный интернет, а на vps — в полноценный, который и будет использоваться через vpn.
>Есть ли какие-то отличия между vps от vds? vps — дешевая виртуалка, таких на одном физическом сервере может быть сотни. vds — выделенный физический сервер, очень дорого.
>>71 Он не лучше, не хуже, это просто еще один способ построения туннеля. Когда-то лучше подходит vpn, когда-то shadowsock, все зависит от ситуации. Например: Дома у меня всегда подключен vpn, почему. Потому что 1. мой роутер позволяет делать это из коробки. 2. Маршрутизация. Я всегда могу получить доступ к домашней сети, подключившись из любого другого места к своей vps. При том, что я нахожусь за провайдерским натом, это один из плюсов, которые я перечислял выше. Еще пример: Если мне надо получить доступ доступ в интернет из недоверенного места, на работе, например. Ставить там громоздкий vpn клиент, палить там ключи, не лучшая идея. В этом случае проще запустить маленькую портабельную программу shadowsocks и прописать в браузере использование локального прокси, чтобы завернуть в туннель только трафик браузера.
>>67 >Расскажи, что пришлось пердолить? Ну, тупо перебрать параметры, на которых у меня всё будет работать ок. Ибо на максималочках мой билайн показал мне писюн, хотя они были заявлены как совместимые со всеми провайдерами. На минималках, понятно, меня тоже ждал облом. ГудбайДПИ - это же по сути комплекс разных методик шаманства с пакетами и какие-то будут применимы в конкретном случае, а какие-то нет.
>>76 От недостатка знаний, я полагаю. Те, кто использует это слово, в большинстве своем предполагают под ним vps, простые виртуалки. А те, кто пользуется выделенными серверами таким сокращением не пользуются, по крайней мере мне таких не встречалось. Дедик — сокращенное от dedicated server, выделенный сервер, арендуемая физическая машина.
>>69 > Зачем брать vps для развертывания на нем vpn? нельзя развернуть у себя на пеке? Туннель от себя к себе? Какой в нём смысл? > Есть ли какие-то отличия между vps от vds? VPS (virtual private server) — контейнер в ОС хостера, песочница, другими словами. Ядро ОС на VPS ты не сможешь ни настроить, ни поменять. Хостер при этом видит твои файлы и процессы как на ладони. VDS (virtual dedicated server) — виртуальная машина, ОС в которой, включая ядро и загрузчик, полностью находится под твоим управлением.
>>70 Dedicated server (реальный выделенный сервер) и virtual dedicated server — вещи с разницей в цене на порядок.
>>78 >контейнер в ОС хостера, песочница, другими словами. Ядро ОС на VPS ты не сможешь ни настроить, ни поменять. А разве это не от типа виртуализации зависит? В OpenVZ виртуалках ядро общее, а в VMware — у каждого свое. И те, и те продаются, как VPS.
>>79 Хостер безграмотный. OpenVZ делает контейнеры, VMware — виртуальные машины.
Олсо, и тому, и другому уже есть входящие в ядро аналоги, неймспейсы (которые используют lxc, docker, systemd-nspawn и куча других реализаций контейнеров) и kvm соответственно.
> Какие плюсы у VPS? > - Цена. vps обычно дешевле готовых vpn. Не совсем, 1-5 летняя подписка на VPN обычно значительно дешевле. > - Безопасность. Ты сам контролируешь свой сервис и сам решаешь, что нужно лиггировать и нужно ли вообще. Не совсем, только при наличии квалификации!!! Для большинства безопастость падает. > - Выделенный белый ip. Скорее недостаток! > + Неограниченное количество аккаунтов и устройств для vpn. Но на недорогих тарифах просядет сеть. > + Возможность прокидывать порты до домашней сети (для корректной работы торрентов, если дома работают другие сервера, которые должны смотреть в интернет). > + Возможность устанавливать на vps любой софт, кроме vpn. (На работе я пользовался shadowsocks).
Ну и использование VPN в наше время, это повседневная гигиена.
>Выделенный белый ip. >Скорее недостаток! Если только для лохов криворуких, которые nat с firewall путают. У меня, например, дома крутится несколько сервисов, которые должны быть доступны из интернета, а провайдер белые ip адреса не дает, даже за деньги.
>>103 Как раз этим бы лохам и арендовать сервер (и IP белый, и бесперебойник надежный, и еще куча плюсов). А VPN дает хорошую псевдонимность, что несовместимо с постоянным IP.
>>63 >Она до сих пор работает, но только у единиц провайдеров. dpi стали умнее, много блокируется по ip прямо на маршрутизаторах, Чиво? Это наверное в Китае так, но в пидорахе впн не блокируют же.
>>138 IPv6 это хорошо, это будущее. В европе и сша уже до половины всего трафика по IPv6 ходит. А у нас жалкие два процента. Ведь все как думают: "нахер оно нужно, и так все работает", причем и абоненты и провайдеры, все на все болт клали.
>>255 Да ничего, если это, конечно, не бесплатные vpn. В бесплатных ты платишь своими данными, которые могут собираться и изучаться во всяких рекламных целях. Хотя с повсеместным внедрением tls это, как мне кажется, уже не очень то и эффективно.
Всю интернет активность осуществляю через торбраузер. Создал несколько профилей и в разных разные куки разных сайтов. Так как я РАБ мне приходится использовать впарашу, её держу в обычном фаерфоксе, в котором больше ничего не держу
>>46 Насколько сложен такой вариант, с учётом того, что я не айтишник и никогда с администрированием никаких серверов дел не имел? И сразу второй вопрос: как выбрать норм VPS?
>>323 > Насколько сложен такой вариант Зависит от тебя прежде всего. Нужно становиться прыщеблядком, что кому-то приходится по душе и идёт как по маслу, а кто-то начинает пердолиться, рвёт пукан и идёт на борды плакаться.
Попробуй поставить себе какой-нибудь рач или gentoo на десктоп. Если порнавится углубляться в это всё, то это твоё, если нет — лучше забей и пользуйся зондосервисами.
>>323 >Насколько сложен такой вариант, с учётом того, что я не айтишник и никогда с администрированием никаких серверов дел не имел? Не сложен, если тебе только постоянный vpn нужен. Роутер делается на pfsense, там в консоль вообще лазить не надо, все из удобного web интерфеса делается. А на vps openvpn по мануалам, которых сотни, ставится, тоже ничего сложного. Есть даже какие-то специальные пакеты для автоматического развертывания, где вообще ничего настраивать самому не нужно.
>как выбрать норм VPS? Гуглишь просто самые распространенные в странах европы, в пределах несколько евро в месяц, читаешь отзывы.
>>326 Openvpn — медленное и в некоторых случаях глючное говно, особенно при поднятии на soho-роутерах. Работая в userspace, он в принципе не может конкурировать по эффективности с ядерными решениями. Если важно быстродействие, стоит обратить внимание либо wireguard (новый vpn на ядерном модуле, релизов ещё не было), либо на туннелирование протоколов более высокого уровня (socks через ssh).
Для установки ядерных модулей VPS не подходит, нужен VDS.
>>340 >Openvpn — медленное и в некоторых случаях глючное говно, особенно при поднятии на soho-роутерах. На копеечных soho-роутерах, да, про vpn можно забыть. В остальном на линках до 100 мегабит с ним нет никаких проблем, я уже несколько лет пользуюсь так.
Вот я хочу настроить этот ваш впн, но т.к. я РАБ мне нужен вконтакт и вотсапп, как пустить две ссанины мимо впна? Причём последний я ещё могу использовать на выделенном устройстве, а первый нет.
>>349 Нужно настраивать маршрутизацию, чтобы трафик до сетей ссанины шел через провайдера напрямую. Определелить диапазон адресов впараши можно например, тут: https://bgp.he.net/dns/vk.com#_ipinfo (87.240.128.0/18). А как узнать адреса ватсапа, я не знаю, тоже интересно. У меня тоже так сделано, для всяких госсайтов и сбербанка онлайн в основном. Но у меня pfsense, там это все из web интерфейса в два клика делается.
>>350 >Спермобляди в обоих случаях соснули: у них просто нет нужных инструментов. Зачем работу роутера делегировать рабочему компьютеру? Все сетевые дела должен делать отдельный компьютер и только их и больше ничего. Тогда вопрос того, что там в сети дальше, шиндовс или линукс, просто отпадает.
>>354 В таком случае тебе понадобится два компьютера в разных VLAN'ах (или иным сбособом организованных разных сетях): один для работы через VPN, другой для работы напрямую.
>>357 А зачем вообще может понадобиться отдельная сеть для прямого доступа мимо vpn? Нет, можно, конечно и так, например две wi-fi сети сделать, одна напрямую, вторая через vpn. Но мне за несколько лет это ни разу не понадобилось. У меня прямо на самом роутере прописаны диапазоны ip адресов, которые маршрутизируются мимо vpn. Для устройств внутри сети все вообще прозрачно и не требует никаких переключений.
>>358 > А зачем вообще может понадобиться отдельная сеть для прямого доступа мимо vpn? Чтобы сделать надёжное разделение контекстов с VPN и без. Чтобы трафик из контекста с VPN не попал в сеть напрямую, обеспечив тем самым потенциальный деанон. > У меня прямо на самом роутере прописаны диапазоны ip адресов, которые маршрутизируются мимо vpn. Такое решение подходит только в том случае, если VPN используется не для обеспечения приватности, а просто для доступа к ресурсам.
>>359 >Такое решение подходит только в том случае, если VPN используется не для обеспечения приватности, а просто для доступа к ресурсам. У меня для этого и используется, ну и приватность все же какая-никакая соблюдается. А для чего-то большего есть Tor и всякие другие способы.
>>360 > приватность все же какая-никакая соблюдается. Ну вот смотри, ты открываешь vk.com напрямую, а на нём куча ресурсов с других серверов, к которым у тебя трафик идёт через vpn: vk.com → https://connect.facebook.net/en_US/sdk.js vk.com → https://top-fwz1.mail.ru/js/code.js vk.com → https://counter.yadro.ru/hit?<набор_данных> vk.com → https://www.tns-counter.ru/… vk.com → https://www.tns-counter.ru/… vk.com → https://sb.scorecardresearch.com/… В результате владелец обоих сервисов (vk.com и mail.ru, например) может идентифицировать тебя как ходящего с обоих ip-адресов (прямого и vpn'а).
> А для чего-то большего есть Tor и всякие другие способы. С разграничением контекстов уровня настройки прокси-сервера в браузере? См. >>5.
>>361 Не пользуюсь всяким говном (vk.com), да и мимо vpn у меня только личный кабинет провайдера и несколько росийских сайтов, вроде сбербанка и nalog.ru. Теоретически то, о чем ты говоришь, возможно, но на практике я бы не переживал об этом при повседневном обычном использовании интернета.
>С разграничением контекстов уровня настройки прокси-сервера в браузере? Есть отдельный браузер, с закрытым фаерволом доступом в интернет напрямую, есть виртуалки.
>>362 > мимо vpn у меня только личный кабинет провайдера и несколько росийских сайтов, вроде сбербанка и nalog.ru. Как будто они не обмазаны всякими счётчиками и прочим cdn-говном.
Странно, что убрали google analytics. Раньше оно было даже на страницах личного кабинета. www.sberbank.ru → https://www.googletagmanager.com/gtm.js?id=...: DENY www.sberbank.ru → https://www.googletagmanager.com/gtm.js?id=...: DENY www.sberbank.ru → https://mc.yandex.ru/metrika/watch.js: DENY www.sberbank.ru → https://ibbe.group-ib.ru/api/fl/id55: DENY www.sberbank.ru → https://ibbe.group-ib.ru/api/fl?u=...: DENY www.sberbank.ru → https://ibbe.group-ib.ru/api/fl?u=...: DENY
> Есть отдельный браузер, с закрытым фаерволом доступом в интернет напрямую А что будет, если по действию из него (например, по открытию ссылающегося на внешние ресурсы документа) в сеть обратится другое приложение? > есть виртуалки. Как из них организована маршрутизация?
>>365 Ну, ими пока ещё можно и оффлайн пользоваться. А ещё можно накрыться тазом в квартире родителей, заползти под ванну и влачить там жалкое существование.
>>367 >Как будто они не обмазаны всякими счётчиками и прочим cdn-говном. Мне совершенно не важно, что там будет видно во всяких левых cdn. Сделав прямой доступ мимо vpn до этих сайтов я имею цель скрыть не настоящий ip, а наоборот, ip своего vpn сервера. Да, всякие эти сайты имеют целые подсети и всякие поддомены с разными ip, поэтому фильровать их надо не по адресу сайта, а по подсетям.
>в сеть обратится другое приложение Ничего не будет, у меня к сети имеет доступ только ограниченный список приложений из белого листа фаервола. Да и не дурак я запускать всякое, что может иметь в себе скрипты.
>Как из них организована маршрутизация? Как угодно, либо напрямую, либо через vpn прямо в ней, либо через vpn на соседней виртуалке и изолированной сети между ними.
>>367 >ими пока ещё можно и оффлайн пользоваться. Не всегда. Пример - покупка осаго на машину, что делается без проблем онлайн и было невозможно сделать пару лет назад или возможно, но с переплатой в несколько раз. Да и какой смысл не пользоваться сбербанком онлайн, например, имея при этом саму сбербанковскую карточку?
>>369 > Сделав прямой доступ мимо vpn до этих сайтов я имею цель скрыть не настоящий ip, а наоборот, ip своего vpn сервера. Так IP твоего vpn-сервера же видно на счётчиках. > фильровать их надо не по адресу сайта, а по подсетям. Тоже такое себе. Нужно не фильтровать по подсетям, а роутить по источнику трафика.
> у меня к сети имеет доступ только ограниченный список приложений из белого листа фаервола Тоже такое себе. Приложения могут запускать друг друга и таким образом обходить эти твои ограничения. Собственно, поэтому в линуксах нет фильтрации трафика по приложениям¹: она ненадёжна.
> Да и не дурак я запускать всякое, что может иметь в себе скрипты. Ну вот смотри. Качаешь mp3-файл, а там на самом деле m3u-плейлист со ссылкой и произвольным текстом в комментариях для раздутия файла до адекватного размера. Плееру разрешён доступ в инет, т.к. ты с его помощью слушаешь интернет-радио. Ничего не подозревая, ты открываешь этот файл плеером, а он сходу ломится в инет по ссылке.
> через vpn на соседней виртуалке и изолированной сети между ними. Не слишком ли много виртуалок? Намного эффективнее использовать легковесные контейнеры.
> какой смысл не пользоваться сбербанком онлайн, например, имея при этом саму сбербанковскую карточку? Я вообще предпочитаю услугами сбербанка не пользоваться. Есть смысл не пользоваться банк-клиентами: — из окружений, в которых ты хочешь обеспечить приватность и анонимность; — из окружений, которым не доверяешь. ____ ¹ По крайней мере, без AppArmor или SELinux.
Анон, нид хелп, первый блин пошёл комом. Арендовал я короче себе VPS на CentOS 7, далее копирую всё буква в буква из статьи в "Хакере". Пробую запустить OpenVPN и вижу пикрелейтед. Куда копать?
>>375 Выкинь статью в «хакере» (которая скорее всего устарела) и читай документацию от мэйнтейнера пакета (в ней описаны особенности его интеграции в систему) и самого openvpn (ссылки на неё у тебя на скриншоте).
Вангую, что ты его настраивал под скрипты инициализации единственного инстанса, а с переходом на systemd в centos прикрутили поддержку нескольких (после собаки указывается конкретный, для которого должен быть подготовлен отдельный конфиг).
Подробнее смотри в логах: journalctl -u openvpn-server@\*
local 127.0.0.1 port 1194 proto tcp dev tun ca ca.crt cert openvpn-server.crt key openvpn-server.key dh none tls-auth ta.key 0 tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-CHACHA20-POLY1305-SHA256 cipher AES-256-GCM server 10.8.8.0 255.255.255.0 push "redirect-gateway def1" push "route 94.140.116.190 255.255.255.255 net_gateway" push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.222.220" duplicate-cn keepalive 10 120 user nobody group nobody persist-key persist-tun status /dev/null log /dev/null verb 0
лог
фев 19 22:46:26 2338860a22 systemd[1]: openvpn-server@openvpn-server.service holdoff time over, scheduling фев 19 22:46:26 2338860a22 systemd[1]: Stopped OpenVPN service for openvpn/server. фев 19 22:46:26 2338860a22 systemd[1]: Starting OpenVPN service for openvpn/server... фев 19 22:46:26 2338860a22 systemd[1]: openvpn-server@openvpn-server.service: main process exited, code=ex фев 19 22:46:26 2338860a22 systemd[1]: Failed to start OpenVPN service for openvpn/server. фев 19 22:46:26 2338860a22 systemd[1]: Unit openvpn-server@openvpn-server.service entered failed state. фев 19 22:46:26 2338860a22 systemd[1]: openvpn-server@openvpn-server.service failed. фев 19 22:46:31 2338860a22 systemd[1]: openvpn-server@openvpn-server.service holdoff time over, scheduling фев 19 22:46:31 2338860a22 systemd[1]: Stopped OpenVPN service for openvpn/server. фев 19 22:46:31 2338860a22 systemd[1]: Starting OpenVPN service for openvpn/server... фев 19 22:46:31 2338860a22 systemd[1]: openvpn-server@openvpn-server.service: main process exited, code=ex фев 19 22:46:31 2338860a22 systemd[1]: Failed to start OpenVPN service for openvpn/server. фев 19 22:46:31 2338860a22 systemd[1]: Unit openvpn-server@openvpn-server.service entered failed state. фев 19 22:46:31 2338860a22 systemd[1]: openvpn-server@openvpn-server.service failed.
В логе текст повторяется овер 9000 раз, такое чувство что он постоянно пытается снова запуститься.
>>391 > задачь Надеюсь, русский — не твой родной язык.
По существу. SOCKS (прокси протоколов TCP и UDP) и VPN (туннель протоколов IP или Ethernet) решают сходные задачи и во многом являются взаимозаменяемыми, особенно при использовании SOCKS в сочетании с SSH и перенаправлением трафика в redsocks фаерволом.
status /var/log/openvpn_status.log log /var/log/openvpn_server.log verb 1
push "redirect-gateway def1" push "dhcp-option DNS 1.1.1.1" push "dhcp-option DNS 8.8.8.8"
И несколько уточнений. Лучше использовать udp, а не tcp. Лучше использовать tls-crypt, а не tls-auth. В папке keys все ключи должны быть сгенерированы.
>>392 Более того, в тех случаях, когда достаточно возможностей протокола SOCKS (а таковых большинство, т.к. туннелирование отличных от TCP и UDP протоколов мало кому нужно), его использование является предпочтительным, т.к. инкапсуляция высокого уровня является более эффективной.
>>397 Ну я не знаю, ты там выше зачем-то его с vpn сравниваешь. А в контексте использования его лишь как транспорта до основного туннеля (ssh или shadowsocks) это сравнение выглядит еще более странным.
>>398 Наоборот, я предлагаю использовать SSH как транспорт для SOCKS. При этом, если не требуется туннелирование UDP, можно использовать встроенный в большинство реализаций SSH SOCKS-сервер.
Кстати, помимо SOCKS, OpenSSH умеет также туннелирование IP и Ethernet, т.е. является полноценной реализацией VPN.
>>399 >Кстати, помимо SOCKS, OpenSSH умеет также туннелирование IP и Ethernet, т.е. является полноценной реализацией VPN. Круто, не знал. Но для повседневного использования в режиме настроил и забыл, openvpn все равно удобнее.
>>400 > Но для повседневного использования в режиме настроил и забыл, openvpn все равно удобнее. Особенно учитывая трах с сертификатами, да. В отличие от, SSH при использовании в качестве SOCKS-сервера вообще настраивать не надо, всё работает из коробки. При использовании в качестве VPN требуется настройка tun или tap-интерфейсов с обоих сторон, но она не сложнее обычной настройки сети.
>>401 >Особенно учитывая трах с сертификатами Всмысле трах? Я их один раз сгенерировал, когда все настраивал, и все. Дальше я вообще не принимаю участия в работе сети.
>>402 > Всмысле трах? https://community.openvpn.net/openvpn/wiki/HOWTO#SettingupyourownCertificateAuthorityCAandgeneratingcertificatesandkeysforanOpenVPNserverandmultipleclients Когда-то я это ещё без EasyRSA проделывал, там вообще жесть с кривой документацией, в которой сходу ничего не понятно. В отличие от, в OpenSSH для настройки шифрования вообще ничего делать не надо, оно всё само генерирует и не задаёт при этом десятка идиотских вопросов для метаданных сертификата.
>>403 Я не выбираю инструменты по принципу "там, где ничего делать не надо". Мне не трудно настроить все единожды, даже если это достаточно сложный процесс (хотя ничего сложного там нет), чтобы потом пользоваться этим много лет и не вспоминать. У меня есть подготовленные конфиги и сертификаты, которые я, при необходимости, просто закидываю на свое новое устройство.
>>405 >А кто притащил аргумент о сложности настройки? Не знаю, ты что-то про сложность там говорил. А я говорю, что сложность инструмента для меня не является основным критерием выбора.
>>410 Верно. Сейчас все провайдеры их перехватывают, а ответы на заблокированные адреса подделывают. Ну и логгируют, наверняка. И если ip адрес в логах подключений может не сказать о ресурсе ничего, то логи dns запросов - это список посещенных сайтов открытым текстом. А все потому, что протокол DNS не шифрованный и его очень легко перехватывать.
>>413 Примечательно, что по ссылке неправильный способ исправления (простой, но обнуляющийся обновлением, т.к. правится файл в не предназначенном для этого системном каталоге) получил больше плюсов, чем правильный. Убунтята такие убунтята.
Анон, спасибо за помощь, OpenVPN удалось запустить. Теперь споткнулся об новый камень при установке stunnel. Скачал исходники, делаю ./configure, мне выдаёт следующее:
Заголовок спойлера
configure: error: Could not find your TLS library installation dir Use --with-ssl option to fix this problem
>>418 > stunnel Есть в основном репозитории Debian. > configure: error: > Could not find your TLS library installation dir Вероятно, ему нужны заголовочные файлы от OpenSSL. Надеюсь, ты там не задумал делать make install от рута прямо в систему?
>>421 Сервер на CentOS 7, stunnel есть в репозиториях, но старая версия. Автор гайда, который я читаю, говорит, что она мол не поддерживает верификацию клиента на стороне сервера или что-то вроде этого, поэтому предлагает скачать свежий rpm-пакет и установить его. Но это мне проделать не удаётся, потому, что библиотеки от которых он зависит тоже старые. Как я понял, если устанавливать их исходников, то всё должно нормально взлететь с текущими версиями. OpenSSL уже установлен и почему он не находит нужные файлы я не пони. На самом деле, именно это я и планировал. А какие подводные? И что тогда делать, самому rpm-пакет собирать?
>>441 > если устанавливать их исходников, то всё должно нормально взлететь с текущими версиями. Если на уровне API зависимости удовлетворены, то да. > OpenSSL уже установлен и почему он не находит нужные файлы я не пони. Либо установлена неподходящая версия, либо не установлены заголовочные файлы (те, что в /usr/include/) и конфиги pkgconfig (/usr/lib/pkgconfig/). В debian последние ставятся отдельно пакетами с суффиксом -dev.
> А какие подводные? Из полностью контролируемой пакетным менеджером сущности система превратится в спермопомойку, которая будет разваливаться от обновлений.
Логика работы пакетного менеджера основана на том, что ему известна вся информация о зависимостях установленного в систему софта и в /usr (за исключением /usr/local) нет ничего лишнего, что можно было бы повредить обновлениями. Это его вотчина, где всё подлежит учёту и контролю, и лезть в неё своими грязными руками не стоит.
> И что тогда делать, самому rpm-пакет собирать? Либо так, либо ставить софт от пользователя (без предоставления скриптам установки прав рута). Ещё вариант — запилить отдельный контейнер и сотворить помойку в нём. Я бы на твоём месте достал исходники того rpm-пакета и собрал их с зависимостями из твоей ОС.
>>45 (OP) У меня три способа обхода блокировок. Обычно, чтобы посмотреть информацию на заблоченном ресурсе - пользуюсь тором. Если нужно что-то написать, а тор заблочен и на ресурсе не хочется оставлять отпечатки, то пользуюсь соксами или прокси. Если всё выше не работает, то пользуюсь VPN.
Плюсую именно VPN сервисы, а не свой на VPS. Плюсы - цена, безлимитный трафик, куча IP на выбор, оплата криптой и отсутствие необходимости вводить персональные данные. VPS дает гибость и меньше шансов что при блокировке впн сервисов будут охотится за личными впн. Но когда до этого дойдет, тогда и буду таким заниматься.
>>846 Плюсы vpn сервисов ограничиваются в простоте использования, не нужно самому ничего настраивать, и в возможности смены ip, хотя это кому плюс, кому минус. Больше плюсов нет.
>>850 За лишний IP заплати, за лишний пакет трафика тоже. Дешевые только с необходимостью вводить адрес, да ещё без оплаты криптой. Такие минимум от $10/месяц начинаются в самом паршивом варианте.
>>852 Например в моем случае ip не лишний, а нужный. Мой провайдер не дает внешний ip, а он мне нужен. С помощью vps я получаю доступ к своей сети. С vpn сервисом такое бы не прокатило.
Ну что же вы, обходильщики блокировок, есть кто живой? Арендовал я значит VPS, настроил shadowsocks и теперь столкнулся с тем, что гуглокапча шлёт меня нахуй. Тестировал в частности на сосаче, там выдаёт сотню капч одну за другой, затем "Постинг запрещён" и tinyeye.com - там никаких изображений нет, просто спустя X времени вижу сообщение, мол, наш сайт думает, что вы робот. Кто-нибудь ещё тут с этим сталкивался?
>>1289 Я пробовал смотреть во всяких онлайн сервисах, не увидел, чтобы он был в какие-то спам-списки внесён. Могут как-то сами гуглозонды детектить, что я скрываю реальный IP?
Насколько анонимен i2p? Где то пишут что он не анонимнее любого прокси и чесночное шифрование это булшит, а где то что это неибацо шифропансковская мегахуёвина, которую собирают из говна и палок и этим ебут в рот цензуру Как в китае смогли заблокировать 60% узлов?Прочитал тут в треде Провайдер видит что я им пользуюсь? У него есть перспективы?
Для особо одарённых тунелли i2p - это ssh, и единственное что тебя может спалить в использовании i2p - это обращение к серверу за списком хостов, которой можно прописать самому
>>1411 А тут важен контекст, на нестандартном порту DPI будет блокировать SSH, если он стандартно используется для анонимной сети. А утверждение "тунелли i2p - это ssh" - бред.
>>1413 Вопрос был не в том "блокирует dpi типа SSH или нет", а в том, что для провайдера трафик i2p не отличается от ssh, по этому в Китае все еще живёт i2p, притом что по заверениям он должен был быть покрамсан в ноль, и весь банхамер DPI собственно и исходит из соотнесения с портами в белом листе. Но в Эрафии даже не надейся на такой гулаг, просто взгляни ту сборную солянку которую они вводили на скорую руку, мастеря инфраструктуру "великороссийского фаервола" из говна, палок и 100500 стандартов.
Так что жопой не виляй
И да. Перспектив у него есть, но шанс на них призрачный, тк люди дауны, а делают его действительно 1.5 шифропанка без бабок и на коленке. Надежда на Монеро и Коври, если они его доделают и запустят транзакции, сеть моментально на несколько десятков тысяч хостов развернется, если не сотен...
>>1416 Пилили свой клиент-транзакций на основе i2pd, разраб повёл себя крайне неадекватночто можно объяснить либо тем что он истеричка, либо фсб, ибо невыгодно полностью анонимную сеть транзакций под боком иметьввод госта намекает
Сейчас решается судьба i2p по факту, либо она так и останется сетью на 1.5 шифропанка3.8к узлов, против стандартных 20к года 1.5 назад, 40к 3 года назад либо стартанет и развернётся. Либо Коври уедет в итенграцию с i2p(java) либо останется под угрозой смены лицензии и "я вам всю малину обосру" i2pd... либо, уйдут в Локинет и Тор
Но гит с января этого года не обновлялся. Посмотрим, но i2pd знатно всей сети нагадило так нагадило
ps Закладки фсб в i2pd хуйня истеричек, Монеро весь код перебрали, а ввод подментовского госта просто позволяет на измененном протоколе шифрования одновременно запустить альтернативную сеть. Возможно майор действительно курирует его и создают для себя возможность развернуть в Европе и США канал для себя, скрытый в трафике i2p.
Заебавшись добавлять всё новые и новые сайты в список, перешёл на ТОР+ВПН на постоянной основе, но списки не убрал, поэтому получаются целые цепочки тор-впн-тор, или тор-впн-впн. В играх правда поднялся пинг и потери пакетов, но хз как его только для игр выключить. Всё идёт к тому, что без шифрования вообще опасно будет жить.
>>1417 в монеро сейчас насколько я понимаю коври уже особо не планируют. Вплили интеграции с i2p и tor, i2p - tiny-i2p или вроде того, не знаю что это. Так что скорее коври уже никуда не полетит.
>>1419 Добро пожаловать. Я не знаю, как вообще люди умудряются пользоваться интернетом в россии без vpn. тор-впн-тор это конечно перебор, я считаю, но дело твое. Для vpn на постоянке удобнее всего использовать отдельный роутер на основе обычного компа, там и клиента можно запустить, не переживая за ресурсы, и маршрутизацию как надо настроить, чтобы трафик до игросерверов пустить напрямую, например.
>>1425 Сам нашел Kovri is a C++ implementation of the I2P network. Kovri is currently in heavy, active development and not yet integrated with Monero. When Kovri is integrated into your Monero node, your transactions will be more secure than ever before.
Первоначально учения по «обеспечению устойчивого, безопасного и целостного функционирования» интернета в России планировали провести 19 декабря. Но, как уточняет «ЗаТелеком», учения перенесли на 23 декабря. Официально это не подтверждено.
>>350 Поясните за эту тему пожалуйста. Вот допустим настроен shadowsocks прокси. Как сделать так, чтобы приложения запускаемые в определенном network namespace выходили в сеть через этот прокси?
Сразу сделаю небольшую, но таки важную пометку-я домохозяйка, на *unix`ах недавно.
Как вы организуете свою безопасность на локальном уровне? Я имею ввиду работу в самой системе. Больше всего меня интересует как изолировать пользователей, а в особенности доступ оных к сети? Загружаете i2p/tor/клирнет с отдельных виртуальных машин, или контейнеров? Как сделать, и собственно настроить docker я не выкупил, виртуалка-слишком зажористо(ну относительно). У виртуальной машины есть несомненный плюс конечно-можно после каждого "сеанса" откатывать состояние до изначально заданного, но как я говорил выше-я хозяин некропеки, которая держать 2 виртуалки заскрепит, а Docker заскрипел уже я.
Как я понимаю, можно на vps развернуть i2p/tor и подключаться к оным через vpn/ssh/ss но я к тому-же и нищенка, не могу купить впс, совсем не могу.
Как лучше организовать сеть в таком случае? Есть еще одна некропека, по началу я хотел использовать его в роли файрволла до роутера, создать на нем несколько пользователей (для i2p/tor/dnscrypt и iptables для каждого). Вот почему я указал в начале то что я домохозяйка, прошу не пинать. Можете поделиться ссылками на гайды по сия теме? Да-да, маны читал, хабр читал, нихуя не понял.
Больше всего боюсь утечек трафика, типа tor решит сходить куда не надо, или отправит запрос на dns сервер другой сессии.
В общем, как-то так. Буду благодарен любой помощи.
>>1983 > Вот допустим настроен shadowsocks прокси. > Как сделать так, чтобы приложения запускаемые в определенном network namespace выходили в сеть через этот прокси? Задача не вполне тривиальна, т.к. network namespace — это про сетевые интерфейсы (которыми оперируют, например, VPN'ы), а socks — это про TCP-соединения. Тем не менее, она решаема. Между хостом и контейнером создаётся пара связанных между собой veth-интерфейсов (в случае с systemd-nspawn это делается опцией --network-veth, она же -n), обоим присваиваются ip-адреса из одной подсети, на интерфейсе со стороны хоста поднимается socks, который настраивается в приложениях контейнера. С VPN всё проще: достаточно переместить в контейнер созданный им интерфейс (--network-interface=tun0 у systemd-nspawn).
Описанное справедливо как для полноценных контейнеров, которые используют полный набор выделенных неймспейсов, так и для запуска программ на хосте с отдельным доступом к сети (например, при помощи unshare).
>>1984 Как при этом исключить, например, утечку предназначенных для одной сети dns-запросов через другую сеть?
>>1985 > как изолировать пользователей, а в особенности доступ оных к сети? Только контейнеры. Фаервол — решение для бедных: во первых, он может перехватывать не все протоколы¹, которыми может воспользоваться пользователь, а во вторых, из-за какой-нибудь ошибки может оказаться не настроен и по умолчанию разрешить всё.
> docker Это распиаренное средство для декларативной конфигурации классических дистрибутивов, не уверен, что тебе нужно именно это. Докер требует организации кучи всякой хуерги вроде многослойного хранения файловой системы: оно, конечно, полезно, но при этом съедает мозг ожидающего привычного поведения ФС пользователя с потрохами. К тому же, с настройкой сети в докере я не знаком и подсказать по ней не смогу.
> виртуалка-слишком зажористо Верно. В отличие от виртуалок, контейнеры вообще не расходуют лишних ресурсов, они могут состоять исключительно из запускаемого в них софта, либо в минимальном окружении вроде init-демона и шелла.
> У виртуальной машины есть несомненный плюс конечно-можно после каждого "сеанса" откатывать состояние до изначально заданного Рекомендую организовать это снэпшотами btrfs. Использование btrfs несколько снижает производительность относительно ext4, но возможность без дополнительных накладных расходов жонглировать снэпшотами это многократно окупает.
> Как лучше организовать сеть в таком случае? У меня сделан контейнер с тор-роутером и dhcp-сервером, который одним интерфейсом (vb-torUplink) роутится через хост в инет, а другим (eth0) сидит в бридже хоста br-tor и раздаёт через него торифицированный доступ в сеть, которым пользуются другие контейнеры, виртуальные машины и прочее, что мне захочется засунуть в вышеупомянутый бридж: туда можно запихнуть хоть реальную сетевуху и раздавать тор на реальные железяки.
Конфиг всего этого дела для NixOS
{ config, pkgs, ... }: { # create bridge with lan 192.168.0.0/24 behind tor
# ipv6 filtering not implemented yet, so disable it boot.kernel.sysctl = { "net.ipv6.conf.all.disable_ipv6" = true; "net.ipv6.conf.all.autoconf" = false; };
Для работы X11 с хоста в контейнер нужно импортировать кук X11 с соответствующим хостнеймом: touch .Xauthority xauth add $(hostname)/unix:0 MIT-MAGIC-COOKIE-1 $cookie Получить его на хосте можно командой xauth l.
Для работы звука можно прокинуть unix-сокет pulseaudio: pulseaudio --disallow-module-loading -L module-alsa-sink -L module-native-protocol-unix auth-anonymous=1 --exit-idle-time=64000 & sudo machinectl bind --mkdir ib /run/user/1000/pulse , который в контейнере указать переменной среды: export PULSE_SERVER=/run/user/1000/pulse/native
¹ Помимо IPv4 и IPv6 бывают всякие IPX, X25 и прочие страшные звери различной древности, о которых мы даже не слышали.
В общем, я попробовал сделать контейнер на основе LXC.
Не получилось, ну точнее создать то получилось, и даже зайти в его шелл, но иксы и сеть пробросить не смог.
В остальном, как понимаю контейнер это не полная виртуализация, система в контейнере таки взаимодействует с ядром хоста, просто это такой ультра-крутой chroot который и сеть и все-все изолировать может?
А насчет твоего конфига-все стало теперь еще сложнее...
В общем, попробую на виртуалке еще раз, если не получится-видимо пока что буду использовать только виртуальные машины.
>>1996 > иксы и сеть пробросить не смог Для иксов достаточно смонтировать (bind mount) в контейнер каталог /tmp/.X11-unix, прописать пользователю переменную среды DISPLAY и запихнуть cookie.
Настройка сети должна быть детально описана в документации lxc.
И да, совет. Чем мучаться с конфигурацией и глюками lxc, возьми лучше systemd-nspawn, у которого конфигурации вообще нет (всё указывается параметрами командной строки). Если, конечно, ОС на хосте использует systemd — в противном случае systemd-nspawn просто не будет работать.
> В остальном, как понимаю контейнер это не полная виртуализация, система в контейнере таки взаимодействует с ядром хоста, просто это такой ультра-крутой chroot который и сеть и все-все изолировать может? Контейнер — это набор неймспейсов, причём произвольный (например, если не использовать сетевой неймспейс, контейнер будет использовать сеть хоста).
> А насчет твоего конфига-все стало теперь еще сложнее... Он вроде как человекочитаем полностью, т.е. даже без nixos можно понять, что требуется поднять и как сконфигурировать. Разве что конфигурация фаервола контейнера с тором сделана через функции на шелле с ходу не совсем очевидным образом. Ты роутер из хоста на линуксе когда-нибудь лепил руками?
Контейнеры nixos используют systemd-nspawn и многие директивы их конфигурации повторяют его опции.
>>1998 > на линуксах я совсем недавно Ну вот, с этого бы и начал, для общего развития: слепи роутер, который будет раздавать DHCP с DNS и натить трафик из подсети в интернет. В приведённом конфиге nixos сделано два роутера: один из хоста для предоставления tor'у доступа в сеть, другой из контейнера с tor'ом для предоставления доступа в тор другим контейнерам. Но ты на это особо не засматривайся, а установи и настрой dhcpd, bind и фаервол сам — только после этого написанное в конфиге станет простым и понятным.
> вдруг-что получится Ничего толкового не получится пока не вкуришь основы сетевой маршрутизации.
>>1997 >systemd-nspawn Зачем связываться с дерьмовым кодом systemd, если тебе нужна именно контейнеризация и изоляция от системы(на нормальную виртуалку не хватает ресурсов машины)? Это для девопсов, которым на нормальную изоляцию наплевать, а нужна оркестрация контейнеров. Docker и kubernetes они почему-то не используют.
При этом, чтобы получить чистый дебиан(или девиан) в lxc или docker нужно помучиться. Нет простого средства, чтобы запустить в контейнере какую-то произвольную папку, как в chroot. Я не нашел в man команды которая это делает. Нужно искать обходной путь. В docker предлагают пользоваться их контейнером(который не соответствует чистому дебиану), в lxc используется debootstrap, но он создается bash-скриптом на 1000 строк, который выключает selinux и делает прочие гадости в которых я не разобрался. Может, кто-нибудь знает как мою директорию с debian запустить в контейнере lxc?
>>2003 > Зачем связываться с дерьмовым кодом systemd Где он дерьмовый-то? > на нормальную виртуалку не хватает ресурсов машины Виртуалка в любом случае медленнее, а её возможности по использованию ресурсов ОС на хосте ограничены: например, в неё не просунуть /dev/drm и сокет иксов.
> Это для девопсов, которым на нормальную изоляцию наплевать, а нужна оркестрация контейнеров. В systemd-nspawn ничего такого нет, там чисто изоляция с организацией сети и прочих ресурсов. Ман по нему открой.
> (второй абзац) Именно поэтому я использую systemd-nspawn: он ничего лишнего не делает кроме монтирования внутрь контейнера tmpfs после поднятия bind'ов, из-за чего /tmp/.X11-unix пришлось прокидывать в другой каталог и прикручивать симлинком.
> Может, кто-нибудь знает как мою директорию с debian запустить в контейнере lxc? cd /path/to/container systemd-nspawn Чтобы запустить не шелл, а init, укажи --boot; после этого, если в контейнере есть systemd и dbus, можно попросить от них шелл: machinectl shell $container-directory-name По умолчанию изоляция ресурсов минимальная (используется сеть и UID/GID'ы хоста).
Роскомнадзор запустил систему проверки поисковиков и средств обхода блокировок
Anonymous
No.2130
Роскомнадзор запустил новую автоматизированную систему мониторинга поисковых систем, прокси- и VPN-сервисов, которые позволяют обходить блокировки в России.
Пресс-службе надзорного ведомства сообщает:
«В настоящее время система функционирует в режиме опытной эксплуатации. Система позволяет оперативно в установленные законом сроки проводить проверки поисковых систем и сервисов обхода блокировок (виртуальные частные сети, прокси-серверы, анонимайзеры разных типов) на предмет ограничения доступа к ресурсам, доступ к которым ограничен, по полному перечню таких ресурсов».
В РКН отдельно подчеркнули, что система не предназначена для блокировок данных сервисов, включая VPN.
В апреле 2019 года для создания новой системы выбрали подрядчика и заключили с ним договор. Победителем конкурса стал ФИЦ «Информатика и управление» РАН. Контракт изначально оценивали в 25 млн рублей, но в итоге цена снизилась до 19,92 млн рублей.
Акт приема-передачи подписали в конце декабря прошлого года. Систему планируется ввести в промышленную эксплуатацию в течение 2020 года.
Напомним, недавно ФГУП «Главный радиочастотный центр» (ГРЧЦ) — заказало исследование возможности блокировки запрещенной информации в сетях Tor, Telegram Open Network (блокчейн-платформа, которая готовится к запуску командой Павла Дурова) и интернете вещей.
Целью исследования является определение, а также анализ угроз и рисков при обеспечении ограничения доступа в соответствии с законодательством РФ, связанных с внедрением перспективных информационных технологий и протоколов.
Я сменил днс провайдера на 1.1.1.1 и заработали все сайты включая древний русрекер.орг. Как думаете сорм возьмет на галочку для проверочки майором, если я буду видео в онлайн кинотеатрах смотреть, лазать по торрент помойкам, и натыкатся на заблокированные мемы и хентайные картинки? Очко жим-жим
>>2155 Зашел на имиджборду - галочка. Используешь слишком сложные методы обхода блокировкок - галочка. Установил тор - галочка. Установил впн - галочка. Идет непонятный трафик - галочка. Зашел на сосач - все посты заносятся в личное дело.
Вообще, если что-то пишешь на имиджбордах, помечаешься как потенциально неблагонадежный. Могут потом на работу в определенные места не взять. Но причину ты не узнаешь.
>>2156 И сколько надо галочек, чтобы тащкапитан пригласил на бутылочку шампанского? Серьёзно в гугл картинках полно мемов, сайты которых заблокированы, это галочка?
>>2155 Нет. Всем похуй, даже твоему провайдеру, раз он даже не заморочился установокой всяких dpi, за блокировку только по dns его и самого оштрафовать могут. Пока на тебя конкретно не поступит запрос из органов, всем похуй, чем ты там занимаешься и что качаешь. А он на тебя не поступит, если ты не будешь писать ниприятное про власть со страницы впараше или слать письма с угрозами минирования с личного email адреса.
>>2158 Тащкапитан пригласит на бутылочку, когда сможет за счет тебя подняться по службе или хорошо заработать. От количества галочек это не зависит. Достаточно одной.
Товарищ майор не ставит на галочку, если ты заходишь в вконтакте с хрома и десятки. Потому у него и так есть на тебя всё. Будешь плохо писать про власть или делать что-то нехорошее - посадят, а у майора будет ещё одна звездочка.
«Ростелеком», возможно, проводил тренировочные блокировки
Через анонсирование префиксов «Ростелеком» сообщил российским операторам, что ресурсы, которые находятся на IP-адресах крупных IT-компаний, размещены у него.
1 апреля крупнейший российский провайдер «Ростелеком» стал анонсировать в интернете префиксы, принадлежащие известным интернет-компаниям, например, Akamai, Cloudflare, Hetzner, Digital Ocean, Amazon AWS и др., сообщает Qrator. Маршрутизация между пользователями и крупнейшими облачными сетями таким образом была нарушена. Проблема затронула 8870 подсетей, принадлежащих почти 200 автономным системам.
Ошибка, допущенная «Ростелекомом», демонстрирует уязвимости протокола BGP-маршрутизации при злонамеренных действиях со стороны крупных операторов. Анонсирование префиксов означает следующее: «Ростелеком» сообщил российским операторам, что ресурсы, которые находятся на IP-адресах вышеупомянутых компаний, размещены у него. Как следствие, российские операторы начинают отправлять пакеты трафика не на нужные IP-адреса, а на роутеры «Ростелекома».
ИТ-эксперт Владислав Здольников объяснил в своем telegram-канале, что в качестве возможных причин может рассматриваться как банальная ошибка, так сознательная блокировка ресурсов. «Дело в том, что фейковые маршруты — это один из способов блокировки ресурсов», — пишет он. Сам эксперт склоняется ко второму варианту. По его мнению, если бы инцидент был случайностью, то префиксы выкладывались бы оригинальными размерами, но они были мельче, чем у автономных систем. «Очень похоже, что список анонсированных префиксов — результат работы скрипта, который сделал специальную таблицу маршрутизации исходя из ресурсов, которые необходимо заблокировать», — говорит Здольников. Список из-за ошибки утёк из служебной таблицы маршрутизации другим провайдерам, делает вывод эксперт.
Подобные действия Ростелекома могут свидетельствовать о попытках тренировочных блокировок со стороны Ростелекома, которые он может предпринять в случае требований со стороны государства.
Вчера, в 22:28 МСК Ростелеком начал анонсировать в интернет тысячи префиксов, среди которых — сети Akamai, Cloudflare, Hetzner, Digital Ocean, Amazon AWS и многих других, чем примерно на 10 минут нарушил работу сотен тысяч сервисов и сайтов во всём мире.
Это означает, что Ростелеком стал указывать, что сети этих сервисов находятся у него, тем самым заворачивая на себя трафик до них от пользователей.
Причины у этого могут быть следующие: — Банальные кривые руки. — Утечка из системы «радикальной» блокировки в определённый момент — например, во время протестов. Дело в том, что фейковые маршруты — это один из способов блокировки ресурсов, но в штатном режиме они не утекают за пределы сети оператора.
Очень похоже, что список анонсированных префиксов — результат работы скрипта, который сделал специальную таблицу маршрутизации исходя из ресурсов, которые необходимо заблокировать. Просто этот список из-за ошибки утёк из служебной таблицы маршрутизации — другим провайдерам.
От себя: Вообще, это, конечно, позорище, что в 2020 году два самых критических для интернета протокола — DNS и BGP — не используют шифрование и цифровые подписи, позволяя всяким пидорам, вроде China Telecom и теперь уже Ростелекому, абузить интернет (это про BGP). Про DNS-спуфинг даже говорить не приходится, это воспринимается как нечто нормальное. Мой провайдер, например, использует его, что подсовывать мне рекламу. Он, конечно, делает это крайне редко, но все же.
P.S. На пике ответ пресс-секретаря (sic!) Ростелекома
Где найти хорошие прокси, которые не находятся на слишком популярных ресурсах? Хочу на Лурке и Вики зарегаться, а там некоторые сайты парсятся и блочутся прокси.
>>2219 Зачем вообще что-то взламывать, когда можно купить себе свою vps и поднимать там что хочешь. Не подставляешься и ни от чего не зависишь. Придумали себе каких-то надуманных проблем.
>>2231 Если очень нужно (а впска вещь вообще полезная), то можно и заморочиться. Многие хостеры принимают биткойны и это на данный момент один из самых удобных способов оплаты. Биткойны можно купить и переводом со своей карты на localbitcoins, не вижу в этом вообще никаких проблем, не надо доводить паранойу до крайностей. Есть в продаже предоплаченные карты с фиксированной на них суммой, тоже как вариант, но там достаточно большая переплата получается. Платить то за услуги всё равно как-то надо.
>>2232 Думаешь, такое уж это доведение до крайностей? Мне однажды звонила служба безопасности моего банка по поводу покупки перевода на левый кошелёк, спрашивали всё ли в порядке, покупаю ли я битки, проверял ли обменник на бестэксчендже, etc. Если энное количество переводов одному и тому же получателю от различных, не связанных с ним казалось бы людей является поводом для внимания, не является ли таким же поводом для внимания и последующего отстука факт регулярного закупания человеком битков, при том, что они видят, что ты никакой не брокер, например. Вообще конечно с одной стороны рептилиям наверное действительно похуй, что ты там оплачиваешь себе какой-то сервак или даже покупаешь себе грамм мефедрона раз в неделю. Но что если представить себе гипотетического гражданина, которому действительно есть что скрывать от своих любящих властей?
Вопрос к знатокам. Если несколько приложений одновременно используют тор, траффик от них идёт через одну и ту же цепочку или для каждого из них будет создана отдельная?
>>2245 Через одну и ту же: tcp-сокеты не позволяют различать обратившиеся на них приложения. Если хочешь пустить приложения через разные цепочки, открой для них отдельные порты.
man torrc
SocksPort [address:]port|unix:path|auto [flags] [isolation flags] Open this port to listen for connections from SOCKS-speaking applications. Set this to 0 if you don’t want to allow application connections via SOCKS. Set it to "auto" to have Tor pick a port for you. This directive can be specified multiple times to bind to multiple addresses/ports. If a unix domain socket is used, you may quote the path using standard C escape sequences. (Default: 9050)
NOTE: Although this option allows you to specify an IP address other than localhost, you should do so only with extreme caution. The SOCKS protocol is unencrypted and (as we use it) unauthenticated, so exposing it in this way could leak your information to anybody watching your network, and allow anybody to use your computer as an open proxy.
The isolation flags arguments give Tor rules for which streams received on this SocksPort are allowed to share circuits with one another. Recognized isolation flags are:
IsolateClientAddr Don’t share circuits with streams from a different client address. (On by default and strongly recommended when supported; you can disable it with NoIsolateClientAddr. Unsupported and force-disabled when using Unix domain sockets.)
IsolateSOCKSAuth Don’t share circuits with streams for which different SOCKS authentication was provided. (For HTTPTunnelPort connections, this option looks at the Proxy-Authorization and X-Tor-Stream-Isolation headers. On by default; you can disable it with NoIsolateSOCKSAuth.)
IsolateClientProtocol Don’t share circuits with streams using a different protocol. (SOCKS 4, SOCKS 5, TransPort connections, NATDPort connections, and DNSPort requests are all considered to be different protocols.)
IsolateDestPort Don’t share circuits with streams targeting a different destination port.
IsolateDestAddr Don’t share circuits with streams targeting a different destination address.
KeepAliveIsolateSOCKSAuth If IsolateSOCKSAuth is enabled, keep alive circuits while they have at least one stream with SOCKS authentication active. After such a circuit is idle for more than MaxCircuitDirtiness seconds, it can be closed.
SessionGroup=INT If no other isolation rules would prevent it, allow streams on this port to share circuits with streams from every other port with the same session group. (By default, streams received on different SocksPorts, TransPorts, etc are always isolated from one another. This option overrides that behavior.)
Поясните за wireshark пожалуйста. В большинстве гайдов его использование описано максимально сухо, в духе кек-пук вот короче тут запускаем, тут смотрим, ага, какой-то левый айпишник - это зонд пытается отстучать куда надо. На деле пробую запустить его у себя, за полчаса бездействия устанавливается туева хуча каких-то непонятных соединений. Как вообще понять, что из этого ок, а что - нет? В статистике например вижу в списке зарезовленых адресов какие торрент-трекеры, которые непонятно откуда там вообще высрались. И это всё только часть из нескольких тысяч адресов попавших в дамп.
>>2254 Программы должны генерировать сетевую активность ровно тогда, когда ты от них это требуешь. Всё сверх этого — подозрительная сетевая активность, в т.ч. работа встроенных в софт анальных зондов. Рекомендую выбирать тот софт, который подобным не занимается, при запуске которого не появляется непонятного трафика.
>>2258 Прикол в том, что я тестировал всё это дело на убунте, весь установленный софт - попенсорсный, и казалось бы ничего такого не должен делать. Или должен и я чего-то не понимаю.
>>2259 > тестировал всё это дело на убунте Которая сама по себе — коммерческий дистрибутив, причём открыто использующий анальные зонды. > весь установленный софт - попенсорсный И что? Вон, firefox и chromium — тоже опенсорс, но это не мешает им включать в себя всё увеличивающийся список методов телеметрии. Открытость исходников ничего не гарантирует, она лишь даёт возможность детально изучить внутренности софта и модифицировать их под свои нужды.
>>2262 Насколько мне известно туда только поиск от амазона вставляли и какую-то телеметрию самого каноникал, но в результате мощного шитшторма, убрали либо сделали отключаемым. И прикручено всё это дело было к юнити, а у меня KDE. Плюс, некоторые адреса, которые я вижу абсолютно точно не могут быть серверами для сбора телеметрии. Короче, мне бы разобраться, как это всё должно работать, но пока что даже не знаю с чего начать.
>>2263 Выявить процессы-источники трафика можно при помощи auditd. Вангую какую-нибудь гадость в профиле вайна.
> у меня KDE. Кажется, в кубунте из коробки три пакета для отправки телеметрии. Было пару лет назад, когда я её в последний раз тыкал.
> мне бы разобраться, как это всё должно работать, но пока что даже не знаю с чего начать. Начни с установки минимальной ОС вместо убунтопомойки с кедами. Вместо толстого и неудобного wireshark'а возьми tcpdump — он работает из консоли и помимо показа трафика умеет сохранять его в формате pcap для дальнейшего разбора wireshark'ом или чем-то другим. Постепенно добавляя софт, следи чтоб на сетевом интерфейсе не начиналось вакханалии.
>>2275 Ты конфиг сам написал или спиздил откуда? Там указан шифр, который в твоей сборке отсутствует. И это очевидно просто из чтения лога, без знания shadowsocks'а.
>>2276 Конфиг я спиздил, но ошибка про файл если что не всегда третьей строкой появляется, может и четвёртой например, так что я бы не был так уверен. Плюс, этот шифр должен быть в библиотеке libsodium, которая у меня установлена.
>>2278 > Конфиг я спиздил Будет тебе уроком. Не пизди конфиги, а правь под свои нужды поставляемые в пакете.
> ошибка про файл если что не всегда третьей строкой появляется, может и четвёртой например, так что я бы не был так уверен Какая разница? Это говорит лишь о том, что программа инициализируется многопоточно.
>>2279 Орли, и что именно в данном случае я должен был поменять под свои нужды, чтобы это работало? Дефолтное шифрование chacha20-ietf-poly1305, если указать его, выдаёт в точности то же самое. И если ничего не указывать тоже выдаёт, потому, что он всё равно будет пытаться его применить. Можно конечно предположить, что у меня вообще нахуй никакое не поддерживается, но как я уже написал, за это вроде бы как должна отвечать библиотека, которая у меня уже установлена. Хотя возможно я чего-то ещё не знаю и было бы супер классно, если бы тут нашёлся кто-нибудь, кто в этом что-то понимает.
>>2280 Как я и ожидал, с конфигом было всё в порядке, проблема была с плагином simple-obfs, который какого-то хера не устанавливается корректно из репозитория и мне пришлось собрать его из исходников.
>>2301 > проблема была с плагином simple-obfs, который какого-то хера не устанавливается корректно из репозитория и мне пришлось собрать его из исходников. Лол. Я ж не ванга, чтобы понять, что ты помимо левого конфига ещё и насрал в систему непонятно как и для чего собранным плагином в надежде, что он будет работать с установленным из репы пакетом.
Тебе надо было не пердолиться, а выяснить причину, по которой не устанавливался пакет из репозитория. Я посмотрел и тут же увидел: в репе debian есть несколько сборок shadowsocks, из которых одновременно может быть установлена только одна; simple-obfs же требует не любую из них, а конкретную.
Блокировки и зависимости пакетов репозитория сделаны не чтобы ставить палки в колёса пользователю, а чтобы облегчить ему жизнь, не дав поставить софт в заведомо неработоспособной комплектации. Следует не убегать от них, устанавливая тот же софт в обход пакетного менеджера, а смотреть на них внимательней и дружиться с ними.
>>2307 Братан, пынимаешь, там в этом конфиге несколько строчек всего и простора для изобретательства остаётся не особо много. А не работал как раз плагин "установленный" из репозитория, потому, что репами очевидно какой-то ёбнутый занимался. То есть, он там помечен как removed package, но увидеть это ты можешь только во время поиска. Если ты просто пробуешь его установить пакетным менеджером, он не моргнув глазом его "устанавливает" не выдав никакой ошибки, при этом по факту никаких файлов в нём тупо нет. Зачем и почему так - хуй проссыт. А вот "непонятно как и для чего собранный" плагин как раз-таки отлично работает. Так что не знаю, зачем ты мне постоянно пытаешься намекнуть, что я долбоёб. Я блин просто раньше делал это с точно таким же конфигом и теми же версиями тех же пакетов на другом дистрибутиве и всё работало, кто ж знал, что тут такая специфика.
>>2309 > он там помечен как removed package В последнем релизе Debian всё нормально с этим пакетом. Что за дистрибутив у тебя?
> Так что не знаю, зачем ты мне постоянно пытаешься намекнуть, что я долбоёб. Но кто-то ведь в этой ситуации допустил ошибку. Я исхожу из того, что в дистрибутиве поставляется заведомо работоспособная комплектация из демонов, их плагинов и конфигов, а подмена чего либо из этого — прямой способ нарушить эту работоспособность. Чтобы избежать её нарушения (и упростить поддержку системы в дальнейшем), я вношу в поставляемые с дистрибутивом конфиги минимальные нужные мне изменения.
> Я блин просто раньше делал это с точно таким же конфигом и теми же версиями тех же пакетов на другом дистрибутиве и всё работало В этом и дело: пакет может быть собран иначе, а от особенностей сборки может зависеть работоспособность директив конфига.
>>2311 Видимо, у мэйнтейнеров этого дистра не хватило ресурсов на поддержку обсуждаемого плагина, и они его удалили. Странно только, что их пакетный менеджер ведёт себя таким образом, не показывает этого факта явно. К apt из debian тоже есть претензии (например, оставление неподдерживаемых пакетов, включая демоны, после обновления релиза), но по крайней мере такой хуйни он не делает. В gentoo же вообще с этим строго: при наличии в world'е удалённого пакета ты не сможешь провести полное обновление системы пока его оттуда не уберёшь.
Мой компьютер же не является выходной нодой теперь? Я вроде четко прописал ExitPolicy reject : и ExitPolicy reject6 :
Просто после запуска такой ноды, Гугл меня считает "подозрительным трафиком" и стал часто предлагать капчу. Вот я думаю, может быть, кто-то пускает весь трафик сквозь меня, хотя я вроде не дал разрешение быть выходной нодой?
>>2515 > Tor Experts Bundle Не слышал о таком. Ванильный тор по умолчанию не поднимает ни релэй, ни выходную ноду, т.е. твои директивы ExitPolicy излишни и даже вредны: из-за их наличия выходная нода регистрируется, хоть и с запретом всего трафика.
man torrc
ExitRelay 0|1|auto Tells Tor whether to run as an exit relay. If Tor is running as a non-bridge server, and ExitRelay is set to 1, then Tor allows traffic to exit according to the ExitPolicy option, the ReducedExitPolicy option, or the default ExitPolicy (if no other exit policy option is specified).
If ExitRelay is set to 0, no traffic is allowed to exit, and the ExitPolicy and ReducedExitPolicy options are ignored.
If ExitRelay is set to "auto", then Tor checks the ExitPolicy and ReducedExitPolicy options. If either is set, Tor behaves as if ExitRelay were set to 1. If neither exit policy option is set, Tor behaves as if ExitRelay were set to 0. (Default: auto)
> Просто после запуска такой ноды, Гугл меня считает "подозрительным трафиком" и стал часто предлагать капчу. При доступе в интернет напрямую или через тор?
> твои директивы ExitPolicy излишни и даже вредны: из-за их наличия выходная нода регистрируется, хоть и с запретом всего трафика Спасибо, прописал в torcc "ExitRelay 0" и переустановил сервис. Добра!
> При доступе в интернет напрямую или через тор? Вот именно, что при доступе через свой настоящий айпи-адрес, с браузера, который не добавлен в SocksCap. Поэтому мне немного стало жутковато, вдруг с моего компьютера ЦП раздают, а я и не знаю.
Спасибо, анон, за совет, мне кажется, это именно то, что нужно было
>>2521 > прописал в torcc "ExitRelay 0" Можешь убрать: при отсутствии директив ExitPolicy оно по умолчанию 0, см. последний абзац куска мана про него.
> мне немного стало жутковато, вдруг с моего компьютера ЦП раздают, а я и не знаю. Не раздавали, но зато твой ип попадал в кучу обновляемых из общедоступного списка exit-нод тора блэклистов. Может быть, где-то его даже запомнили надолго.
У меня интернет безусловно платный, даже в минус уходит, если баланс не пополнять. Тупо списывают каждый день, пока не напишеь заяву о преостановлении договора. Ну и соответственно, мне просто вырубят pppoe и я систему наебать не смогу, сети не будет вовсе. На ведре yota анлимная не оплачена. Но там без оплаты только сайт ёты доступен и сбера. Сработает в этом случае? Или эта херня только останавливает счетчик трафика тем, кто заплатил за безлимитные сервисы типа ютуба при оплаченном тарифе?
Думаю, что последнее. Потому что при неоплаченном тарифе уже по ip ограничат соединения сбером, у сбера их не так много. А не по SNI.
Поясните для тупых. Вот допустим, я арендовал VPS, напердолил на нём прокси и могу теперь посещать запрещённые в Российской Федерации сайты. Однако, мой провайдер же будет видеть что я периодически подключаюсь к какому-то серваку и потом можно будет сопоставить его адрес и адрес с которого например некто написал на анонимном форуме пост, огорчающий ветеранов. Как скрыть сам факт наличия у меня VPS?
>>2557 Если будешь обыкновенный прокси юзать, проследи, чтобы в нём не было X-Forwarded-For, потому что в таком случае и сопоставлять не надо ничего. Прокся расскажет твой IP серверу конечного назначения. Во всех публичных бесплатных соксах IP сливается таким образом. Это легко проверить.
А то о чём ты говоришь, можно решить дополнительным IP на твоём VPS. Чтобы вход и выход был в разных подсетях. или надежнее через даблВПН.
Что касается самого впн, то у меня знакомый вот пересел на Wireguard. Он быстрый очень. Ещё ikev2 норм, он уже встроен в винду. На ведре вроде его нет, я там pptp юзаю, но pptp скомпромитирован и я его накатил только потому, что он гораздо лешче чем openvpn и стабильнее работает на мобильном соединении с падениями сети. И опять же есть из коробки.
Можно ещё через удаленное управление в графической ОС сидеть на первом сервере, а оттуда подключаться по впн на следующий. ну это извращение немножко, к тому же ты пооставляешь там файлы чужому дядьке и я что-то сомневаюсь, что можно надежно закриптовать свой удаленный кусок hdd. Доступ к памяти-то у гипервизора же есть.
Я если что не погромист и даже не учусь. сам я максимум делал простейший shadowsocks по мануалам.
>>2537 По моему легче купить ётовский самый дешевый безлимит для смартфонов и развернуть vpn (у меня так резервирование интернета сделано), чем пердолиться ради неясных результатов, которые скорее всего будут в итоге пресечены.
>>2557 >и потом можно будет сопоставить его адрес и адрес с которого например некто написал на анонимном форуме пост Чтобы сопоставить провайдер должен будет иметь административный доступ к форуму, чего конечно же, не будет, он даже не будет знать что ты там на каком-то форуме пишешь и на каком, потому что vpn. Алсо провайдеру похер на тебя, чтобы что-то хотеть сопостовлять - он тебе просто трубу в интернет продаёт за деньги.
1. Ребята со своими тcпу научились определять трафик распространнённых vpn-протоколов, от старых, до более новых openvpn/wireguard. 2. Из-за этого все бесплатные vpn посыпались сразу все почти. 3. Даже если я поставлю на своём (арендованном) сервере vpn, то все увидят, что это похоже на трафик wireguard, а так как я не подключаюсь к базе запрещённых сайтов, то мой сервер заблочат так же как и публичный через очень короткое время. 4. Как итог - мне нужен сервер с айпишником, про который никто не будет знать, что это vpn + мне нужен протокол, про который никто не поймёт что это vpn-трафик. 5. Имеющиеся решения с прокидыванием wireguard через ssh или другое шифрование не кроссплатформены, я не смогу настроить их на виндоус, на андроид или ещё куда-то. Смогу настроить из коробки только на linux, что мне не особо нужно, по linux вообще решений больше и на любой вкус.
В каком пункте и что я напутал?
---
А теперь вопрос 2, что делать?
Вводная: я разработчик, но я по микроконтроллерам на си или видеокартам, что там с интернетом не совсем не понимаю. Для меня очень легко написать клиент/сервер, которые смогут пакет данных превратить в шифрованную бессмысленную кашу из байтов с равномерным распределением всех значений, передать это, и вернуть этому осмысленный вид на другой стороне, так с большой вероятностью никакие способы анализа не позволят понять что и кому я передаю (ну, кроме айпишника сервера), но я не понимаю следующее: 1. Взаимодействие клиента со своим устройством. Каким образом собрать все запросы от всех программ, чтобы они попадали в мою программу. Скорее всего нужно виртуальное сетевое соединение делать, как-то его в системе регистрировать, и после задача станет простой, ну, по крайне мере такое на виндоусе делают другие vpn. 2. Наверное, в запросах содержаться айпишники и порты, и на прокси-сервере нужно будет во всех пакетах подменять айпишники и порты, если они как-то меняются, верно? 3. Некоторые близкие мне люди используют не только пк, поэтому первый пункт для андроидов и айфонов. Я не писал под айфоны, под андроид писал несколько часов, что не считается. Почти точно не будет проблемы с языком, почти точно будет проблема с взаимодействием с местной ос. Особенно если там будет как winapi по неудобности, только своё собственное на айфоне и на андроиде. 4. Возможно будет проще взять код какого-то открытого проекта, и в нём перед отправкой дописать код шифрования нужный, и вообще не разбираться со всем вышеуказанным?