~acetone
@qend
Most2
Ruskoye_911
anon3
cancername
fidoid
gnarl
poriori
segfault
weko
whothefuckami
zero_tolerance
acetone
lTTno: читай, но не спеши действовать, ну или делай аккуратно, можешь обсуждать непонятные детали здесь или с кем-то еще
acetone
Тема необъятная, всегда есть что-то новое
`
Можно потренироваться сперва в майнкрафте)00
acetone
В очередной раз перешаманил свое прокси-радио, сменил источник. Вроде бы играет :/
acetone
Чтобы впска с выходным прокси жарилась на все сто процентов, поднял на ней публичный пир игг с HTTPS-портом: tls://23.137.249.65:443
Leopold
weko: ты что, такой транзит, кабель лопнет
acetone
Leopold: изолента синяя всегда на подхвате)
Leopold
Ах))
acetone
weko: понял штуку такую: на впске с двумя адресами второй (секретный) адрес покажет тот же хостнэйм, что и выходной
acetone
Не критично, так как цель уходить на один адрес и выходить с другого, но все же
acetone
Но при пытливом уме одинаковые хостнэймы наверняка дадут наводку на мысль об одной машине, если до этой информации добраться
Leopold
А если не ставить хостнейм
Leopold
rcupdate del hostname
acetone
Leopold: не совсем тот хостнэйм, я может быть путаю терминологию)
acetone
если я поставлю на эту же машину второй IP, ее хостнэйм будет идентичным, то есть тем же самым в любом случае
Leopold
Vj;yj gjlvtybnm z levf.
Leopold
Можно подменить я думаю
Leopold
Или отключить
weko
acetone: о, радио, ура, круто!
weko
acetone: зачем публичный пир на ней, не понял
acetone
weko: для понту дела
weko
Leopold: кабель бах бабах бух бубух
weko
acetone: значит нужно найти способ дать разные хостнеймы
weko
acetone: а,ну ладно, лишним не будет )
acetone
weko: больше шума навести, чтобы активность аутпрокси была менее выражена
acetone
443 порт тем более, больно хорошо
weko
acetone: подожди, каким образом .i2p попадёт на клирнет сайт? Он же не должен ничего про это знать. Или это ты поставил такой хостнейм на машине?
acetone
weko: сам поставил через админку хостера
weko
А зачем
weko
Какой плюс от этого
weko
Нужно короче найти способ на разные интерфейсы вешать разные хостнеймы
acetone
weko: ясность при анализе с обратной стороны, чтобы было понятно откуда (при этом юзеры прокси не страдают)
acetone
weko: про хостнэймы это да
weko
acetone: ну.... Наверное, имеет смысл :)
acetone
weko: с одной стороны самореклама прокси, с другой просто часть этики, чтобы тот кого дудосят через меня мог понять что происходит
weko
Вообще это уже очень параноидальная хрень, так какой шанс, что майор сможет найти два одинаковых хостнейма на разных ip... Да ещё и можно какой нибудь не очень значещее и популярное имя взять, которое ещё на куче компов
weko
acetone: ну дудос через аутпрокси ш2з почти исключён... Скорости не позволят... А спам да:)
weko
weko: тоесть например просто "hostname" или "server"
acetone
weko: ну пусть спам) дудос же не всегда потоком трафика, может быть тяжёлые запросы идут
acetone
Которые грузят бэк
weko
Ну ладно, убедил что полезно)
weko
В идеале кстати, будет вообще хостнейм не возвращать для публичных адресов (хотя возможно это фингерпринт)
weko
Потому что он не очень то и нужен вроде как
weko
Ну для публичных ip
weko
Просто я вот о чём подумал
weko
Могут быть ещё какие то фингерпринты
weko
Или мы тут в паранойю не идём ?)
acetone
weko: паранойя это двигатель всего что я делаю
acetone
:D
weko
Ну есть объективное опасение, а есть не очень объективное
acetone
weko: насчет фингерпринта не знаю, но вот хостнэйм эт да
weko
Просто тут больше вероятность что сам хостер выдаст информацию про два адреса, чем майор найдёт по фингерпринту
acetone
Причем его отдает хостинг-провайдер насколько я понимаю, а не конкретно моя машина
weko
acetone: хостнейм - как раз часть фингерпринта, самого очевидного
acetone
Потому что я не через системные настройки поставил отображаемое публичное имя
weko
acetone: а вот это нехорошо
weko
Может эта настройка просто меняет файл hostname
weko
В /etc
weko
Я бы проверил
acetone
weko: оттуда имя берется например для ssh сессии. Например, root@proxy
weko
Потому что если это где то в недрах конфигов хостера, то вариант либо выпросить фичу либо ставить популярное имя
weko
acetone: у ssh сессии есть имя?!
acetone
weko: вопрос даже не столько в популярности имени, сколько в том, что это имя совпадет, если начать анализ ВПН-коннекта и активности с выходного адреса
weko
Нифига себе
acetone
weko: костноязычен. Локальное имя хоста имею ввиду
acetone
Которое отображается в том числе в промте при коннекте через ssh
weko
acetone: так если имя совпадает не только у двух адресов, но и десятков адресов
weko
Не очень понятно, ну окей
weko
Правда, конечно может помочь знание что эти оба адреса принадлежат одному хостеру...
acetone
ага, тоже верно)
acetone
две впски это конечно лучше, но накладнее)
acetone
две впски у разных хостеров
weko
Сильно уж большая замарочка для клирнет трафика то)
acetone
weko: успешно поднял клиент вг на ноуте, вечером сделаю на одноплатнике
weko
Круто
weko
Я вот мучался, хых)
weko
Там есть ещё Pre Shared key, для постквантума:)
acetone
Прикольно, что если домашний провайдер даёт ипв6, а вг туннель без ипв6 маршрута и добавленного локального адреса, ипв4 идёт через вг, а ип6 через домашнего опсоса
acetone
Так что добавил оба протокола на туннель вг и пошло как надо
weko
Ну это фаерволом фиксится....
weko
Разрешить пользоваться интерфейсом который на обсоса только вг, а всё остальное на вг
weko
В итоге всё либо не идёт, либо идёт через вг
weko
Лучше перебздеть :)
weko
Кстати ты на iptables просто делаешь?
acetone
weko: nftables на сервере
acetone
Локально только силами wg
weko
на одноплатнике самое важное настроить
weko
чтобы не текло ничего
weko
всё запретить кроме того, что проудмано
weko
продумано*
weko
ещё кстати будет хорошей идей продумат безопасный гейт с доманшним сервером, если таковой есть
weko
тоесть второй вг клиент, который будет подключаться к уже к вг на сервере
weko
или как то так
weko
не знаю, но мне кажется идея нормальная
weko
у меня так например с телефоном, у меня просто одна локальная сеть
weko
ну настройка такая, форвард идёт на основную локалку с локалки вг
weko
и обратно
acetone
weko: ищу решения, чтобы добавлять по 32-битной маске адреса для байпаса мимо вг
acetone
Для домашнего сервера как раз
weko
не лучше тогда на домашний сервер слать тоже по вг
weko
это как минимум удобнее
weko
когда доступ ко всей домашней локальной сети
weko
ну и не понятно какой порт в реальности используется, потому открыть в таком случае нужно только порт вг
weko
ну и внешних сервисов по типу i2p конечно
acetone
weko: да, подумаю над этим, звучит вполне разумно
weko
ну просто я осознал как удобно это, когда ты по сути не дома, но сеть локальная как дома
weko
до этого я пробрасывал веб морду i2pd в i2p с помошью bb32
weko
сейчас просто смотрю через локальный айпи сервера
acetone
weko: я обычно прокидыааю порт через ssh)
weko
acetone: ну вот моё мнение что это удобней, и не уступает в безопасности )
acetone
Согласен
weko
тоесть например с одноплатника будет гейт в клирнет через впску, будет доступ к частной локалке дома, будет доступ в i2p через перенаправление в i2p прокси, будет доступ в tor через tor прокси, при этом будет доступ к yggdrasil через
weko
интерфейс (тут важно настроить фаервол корректно), при это и через i2p, и через tor, и через ygg можно выйти в клирнет через аутпрокси или выходную ноду, при это можно будет через i2p аутпрокси выйти в tor и ygg через аутпрокси ну и так
weko
далее. извращение, не иначе. xDDDDDD
weko
да и при этом будет неплохо ещё обфускацию повесить или заменить вг на что-то с обфускацией.
weko
я это всё описал к тому, что это всё будет не просто контролировать и и будет сложно решать, куда отправить свой очередной трафик
weko
выбор такой большой
weko
вот и это всё нужно как то настроить и объяснить обывателю
weko
что ничего трогать не надо (иначе что-то слмаоет или что-то потечёт не туда), и что тут уже всё безопасно и не течёт
weko
выглядит как сложная задача
acetone
Я сторонник того, чтобы клиенты сетей вроде i2p или игг стояли локально на устройстве
weko
так и я про то
acetone
И дело вг - быть единым клирнет- шлюзом, без щаморочек
acetone
Разве что в локалку домой ещё прокинуть
weko
тоесть просто запустить i2pd , tor , ygg и дальше дело на клиенте если он хочет в эти сети выходить?
weko
а вдруг в клиенте дырка и что-то в клирнет течёт
weko
блин, так много мыслей по этому поводу
acetone
Шлюз-то 0.0.0.0 роутит через впску за бугром
weko
ну.... в какой-то мере это безопасней чем через майора, но не идеально
weko
в любом случае от дырки в клиенте мало что спасёт
weko
если дырка палит адрес, то хоть через i2p over ygg over tor передасся адрес, он всё равно адрес )))))
weko
я понял да
weko
а сам трафик i2p ygg tor тоже на впску пойдёт?
weko
хотя майору значительно усложняется работа
weko
так что смысл имеет
weko
главное что впска не на обратной стороне земли, а то пинг ш2з и так убийственный, так тут ещё и +100 мс на все запросы
weko
что-то меня прорвало на 'понаписать'
zero_tolerance
Если не использовать wg-quick для поднятия интерфейса, то wireguard интерфейс можно запустить в отдельном нетворк неймспейсе. Процессы в таком неймспейсе будут видеть только lo и wg0 интерфейсы. Это удобная защита от протечек т
zero_tolerance
рафика, и в таком случае можно даже обойтись без фаервола.
acetone
zero_tolerance: интересно. Опиши подробнее запуск в таком режиме, пожалуйста
zero_tolerance
да, сейчас опишу
zero_tolerance
acetone: privatebin.i2p/?18cda30871f7e2b8#5XGbvBFqDNa55B5oifbqeLhTk3CyXBaZXMhzbLN5NkNg
zero_tolerance
в моём случае мне было удобно процессы из локальной сети держать в одном неймспейсе, в то время как вся остальная система работает через wireguard
whothefuckami
hmmmmmmm
weko
acetone: ну как там по статьёй?
acetone
weko: вопреки своему желанию, склоняюсь к публикации без дизрута, так как сегодня получил письмо, что они заняты и не обещают успеть прислать мне письмо до конца года... Но в этом году я хочу опубликовать, что есть. Если пришлют , использую когда-
acetone
нибудь потом
weko
acetone: эх, жалко.
weko
acetone: в таком случае, когда ждать выход статьи?
acetone
Кто-нибудь шарит в nftables?
acetone
сделал policy drop, но ниже в блоке указываю правило accept для определенного интерфейса, а оно все равно дропается
weko
о, придумал элегатное решение, над которым долго думал
weko
python харош конечно, но извечное желание всю сделать элегнтно замедляет работу
acetone
Оказывается для forward-цепочки в nftables мало указать accept входного интерфейса, надо явно указать в правиле откуда прием и куда... Чертова магия
weko
фаерволы - самое страшное в настройки сетей
weko
это прямо страшный сон
acetone
А хрен, рано обрадовался, нихрена не пашет форвардинг при нюполитике по умолчанию на сброс
acetone
Ненавижу)) полжизни привыкаешь к iptables, а теперь повсюду nftables
weko
как же больно , как же больно
acetone
И боль боль боль
weko
так используй iptables
acetone
Нет, решил превозмочь свою слабость
acetone
:D
weko
ну мучайся, мучайся
weko
))
acetone
Уже сейчас это Легаси, через лет 5 совсем уже не останется iptables
acetone
Так что надо мучиться
acetone
Даже на raspberry pi os свежей iptables выпелен
weko
не могу ничего сказать прямо так уж, я вообще не эксперт
acetone
Жопа полная, делаю по гайдам, а не хочет работать)))
weko
nftables это прямо полноценная замена а не надстройка? тогда надо смотреть да
weko
просто к такой штуки как фаервол очень высокие требования к качетству и удобству, и если менять то менять на что-то стоящее
weko
поэтому важно понять стоит ли оно внимание, а значит сделать вывод стоит ли доверять тем кто навызяывает эту штуку
acetone
Нфтаблес принят многими как достойная замена
weko
чтобы не было как с systemd
acetone
И да, чувствуется красота в нем
weko
я понимаю, я не гоню на него
acetone
Но после иптаблес боли вагон
weko
я просто говорю что тут важно чтобы не было как с systemd
weko
и ведь тоже компонент очень важный)
weko
тут конечно лучше ситуация так как systemd больше системный и от него зависят некоторые программы (ужас!), с фаерволом такого не будет, но переобучение всё равно проблема да
acetone
Аахахахаз тварина!!! Победил
acetone
Мануалы внимательнее читать надо
weko
ахиреть, я щас такой баг нашёл
weko
у меня пешки назад ходят
weko
АХАХХАХА
weko
назад по диагонали ЛОЛ
weko
нашёл случайно )
acetone
weko: что такое?
weko
тут проблема с методом который возвращает нужно ли просить у пользователя замену пешки
weko
is_pawn_choice_requre
weko
да он глупо написан
weko
щас буду менять
weko
хотя нет он нормальный
weko
это значит баг в другом месте
acetone
Вечером баги искать - новые создавать (с)
weko
да я тестировал новую фичу
weko
и еашёл два бага
weko
нашёл причину бага
weko
который непонятный
weko
который понятный уже пофиксил
weko
и этот тоже собственно
weko
=====GAME ENDED=====
weko
=====FIVEFOLD REPETITION=====
weko
сработало
weko
круто
weko
есть одно но, похоже что прога работает моя слишком уж медленно ((((((((((((
weko
а может это по друой причине
tst
weko: никакие wg и прокси тебя не спасут от тайминг-атак и фингерпринта траффика ;)
tst
acetone: самый удобный firewall в OpenBSD ;)
tst
когда я увидел насколько там просто все делается - iptables и трогать не охота
tst
ты разве впску не шифровал свою ?
tst
чтоб у провайдера не было доступа с терминала к ней?
tst
имя хоста прописывается в днс-записи
tst
ходить вот на эту впс без проксей опасно потому как это будет равносильно атаке с этой самой аутпрокси