IRCaBot 2.1.0
GPLv3 © acetone, 2021-2022
#acetonevideo
/2022/12/20
~acetone
@qend
Most2
Ruskoye_911
anon3
cancername
fidoid
gnarl
poriori
segfault
weko
whothefuckami
zero_tolerance
acetone lTTno: читай, но не спеши действовать, ну или делай аккуратно, можешь обсуждать непонятные детали здесь или с кем-то еще
acetone Тема необъятная, всегда есть что-то новое
` Можно потренироваться сперва в майнкрафте)00
acetone В очередной раз перешаманил свое прокси-радио, сменил источник. Вроде бы играет :/
acetone Чтобы впска с выходным прокси жарилась на все сто процентов, поднял на ней публичный пир игг с HTTPS-портом: tls://23.137.249.65:443
Leopold weko: ты что, такой транзит, кабель лопнет
acetone Leopold: изолента синяя всегда на подхвате)
Leopold Ах))
acetone weko: понял штуку такую: на впске с двумя адресами второй (секретный) адрес покажет тот же хостнэйм, что и выходной
acetone Не критично, так как цель уходить на один адрес и выходить с другого, но все же
acetone Но при пытливом уме одинаковые хостнэймы наверняка дадут наводку на мысль об одной машине, если до этой информации добраться
Leopold А если не ставить хостнейм
Leopold rcupdate del hostname
acetone Leopold: не совсем тот хостнэйм, я может быть путаю терминологию)
acetone например, если под аутпрокси сейчас зайти на 2ip.ru, увидишь хостнэйм outproxy.acetone.i2p
acetone если я поставлю на эту же машину второй IP, ее хостнэйм будет идентичным, то есть тем же самым в любом случае
Leopold Vj;yj gjlvtybnm z levf.
Leopold Можно подменить я думаю
Leopold Или отключить
weko acetone: о, радио, ура, круто!
weko acetone: зачем публичный пир на ней, не понял
acetone weko: для понту дела
weko Leopold: кабель бах бабах бух бубух
weko acetone: значит нужно найти способ дать разные хостнеймы
weko acetone: а,ну ладно, лишним не будет )
acetone weko: больше шума навести, чтобы активность аутпрокси была менее выражена
acetone 443 порт тем более, больно хорошо
weko acetone: подожди, каким образом .i2p попадёт на клирнет сайт? Он же не должен ничего про это знать. Или это ты поставил такой хостнейм на машине?
acetone weko: сам поставил через админку хостера
weko А зачем
weko Какой плюс от этого
weko Нужно короче найти способ на разные интерфейсы вешать разные хостнеймы
acetone weko: ясность при анализе с обратной стороны, чтобы было понятно откуда (при этом юзеры прокси не страдают)
acetone weko: про хостнэймы это да
weko acetone: ну.... Наверное, имеет смысл :)
acetone weko: с одной стороны самореклама прокси, с другой просто часть этики, чтобы тот кого дудосят через меня мог понять что происходит
weko Вообще это уже очень параноидальная хрень, так какой шанс, что майор сможет найти два одинаковых хостнейма на разных ip... Да ещё и можно какой нибудь не очень значещее и популярное имя взять, которое ещё на куче компов
weko acetone: ну дудос через аутпрокси ш2з почти исключён... Скорости не позволят... А спам да:)
weko weko: тоесть например просто "hostname" или "server"
acetone weko: ну пусть спам) дудос же не всегда потоком трафика, может быть тяжёлые запросы идут
acetone Которые грузят бэк
weko Ну ладно, убедил что полезно)
weko В идеале кстати, будет вообще хостнейм не возвращать для публичных адресов (хотя возможно это фингерпринт)
weko Потому что он не очень то и нужен вроде как
weko Ну для публичных ip
weko Просто я вот о чём подумал
weko Могут быть ещё какие то фингерпринты
weko Или мы тут в паранойю не идём ?)
acetone weko: паранойя это двигатель всего что я делаю
weko Ну есть объективное опасение, а есть не очень объективное
acetone weko: насчет фингерпринта не знаю, но вот хостнэйм эт да
weko Просто тут больше вероятность что сам хостер выдаст информацию про два адреса, чем майор найдёт по фингерпринту
acetone Причем его отдает хостинг-провайдер насколько я понимаю, а не конкретно моя машина
weko acetone: хостнейм - как раз часть фингерпринта, самого очевидного
acetone Потому что я не через системные настройки поставил отображаемое публичное имя
weko acetone: а вот это нехорошо
weko Может эта настройка просто меняет файл hostname
weko В /etc
weko Я бы проверил
acetone weko: оттуда имя берется например для ssh сессии. Например, root@proxy
weko Потому что если это где то в недрах конфигов хостера, то вариант либо выпросить фичу либо ставить популярное имя
weko acetone: у ssh сессии есть имя?!
acetone weko: вопрос даже не столько в популярности имени, сколько в том, что это имя совпадет, если начать анализ ВПН-коннекта и активности с выходного адреса
weko Нифига себе
acetone weko: костноязычен. Локальное имя хоста имею ввиду
acetone Которое отображается в том числе в промте при коннекте через ssh
weko acetone: так если имя совпадает не только у двух адресов, но и десятков адресов
weko Не очень понятно, ну окей
weko Правда, конечно может помочь знание что эти оба адреса принадлежат одному хостеру...
acetone ага, тоже верно)
acetone две впски это конечно лучше, но накладнее)
acetone две впски у разных хостеров
weko Сильно уж большая замарочка для клирнет трафика то)
acetone weko: успешно поднял клиент вг на ноуте, вечером сделаю на одноплатнике
weko Круто
weko Я вот мучался, хых)
weko Там есть ещё Pre Shared key, для постквантума:)
acetone Прикольно, что если домашний провайдер даёт ипв6, а вг туннель без ипв6 маршрута и добавленного локального адреса, ипв4 идёт через вг, а ип6 через домашнего опсоса
acetone Так что добавил оба протокола на туннель вг и пошло как надо
weko Ну это фаерволом фиксится....
weko Разрешить пользоваться интерфейсом который на обсоса только вг, а всё остальное на вг
weko В итоге всё либо не идёт, либо идёт через вг
weko Лучше перебздеть :)
weko Кстати ты на iptables просто делаешь?
acetone weko: nftables на сервере
acetone Локально только силами wg
weko на одноплатнике самое важное настроить
weko чтобы не текло ничего
weko всё запретить кроме того, что проудмано
weko продумано*
weko ещё кстати будет хорошей идей продумат безопасный гейт с доманшним сервером, если таковой есть
weko тоесть второй вг клиент, который будет подключаться к уже к вг на сервере
weko или как то так
weko не знаю, но мне кажется идея нормальная
weko у меня так например с телефоном, у меня просто одна локальная сеть
weko ну настройка такая, форвард идёт на основную локалку с локалки вг
weko и обратно
acetone weko: ищу решения, чтобы добавлять по 32-битной маске адреса для байпаса мимо вг
acetone Для домашнего сервера как раз
weko не лучше тогда на домашний сервер слать тоже по вг
weko это как минимум удобнее
weko когда доступ ко всей домашней локальной сети
weko ну и не понятно какой порт в реальности используется, потому открыть в таком случае нужно только порт вг
weko ну и внешних сервисов по типу i2p конечно
acetone weko: да, подумаю над этим, звучит вполне разумно
weko ну просто я осознал как удобно это, когда ты по сути не дома, но сеть локальная как дома
weko до этого я пробрасывал веб морду i2pd в i2p с помошью bb32
weko сейчас просто смотрю через локальный айпи сервера
acetone weko: я обычно прокидыааю порт через ssh)
weko acetone: ну вот моё мнение что это удобней, и не уступает в безопасности )
acetone Согласен
weko тоесть например с одноплатника будет гейт в клирнет через впску, будет доступ к частной локалке дома, будет доступ в i2p через перенаправление в i2p прокси, будет доступ в tor через tor прокси, при этом будет доступ к yggdrasil через
weko интерфейс (тут важно настроить фаервол корректно), при это и через i2p, и через tor, и через ygg можно выйти в клирнет через аутпрокси или выходную ноду, при это можно будет через i2p аутпрокси выйти в tor и ygg через аутпрокси ну и так
weko далее. извращение, не иначе. xDDDDDD
weko да и при этом будет неплохо ещё обфускацию повесить или заменить вг на что-то с обфускацией.
weko я это всё описал к тому, что это всё будет не просто контролировать и и будет сложно решать, куда отправить свой очередной трафик
weko выбор такой большой
weko вот и это всё нужно как то настроить и объяснить обывателю
weko что ничего трогать не надо (иначе что-то слмаоет или что-то потечёт не туда), и что тут уже всё безопасно и не течёт
weko выглядит как сложная задача
acetone Я сторонник того, чтобы клиенты сетей вроде i2p или игг стояли локально на устройстве
weko так и я про то
acetone И дело вг - быть единым клирнет- шлюзом, без щаморочек
acetone Разве что в локалку домой ещё прокинуть
weko тоесть просто запустить i2pd , tor , ygg и дальше дело на клиенте если он хочет в эти сети выходить?
weko а вдруг в клиенте дырка и что-то в клирнет течёт
weko блин, так много мыслей по этому поводу
acetone Шлюз-то 0.0.0.0 роутит через впску за бугром
weko ну.... в какой-то мере это безопасней чем через майора, но не идеально
weko в любом случае от дырки в клиенте мало что спасёт
weko если дырка палит адрес, то хоть через i2p over ygg over tor передасся адрес, он всё равно адрес )))))
weko я понял да
weko а сам трафик i2p ygg tor тоже на впску пойдёт?
weko хотя майору значительно усложняется работа
weko так что смысл имеет
weko главное что впска не на обратной стороне земли, а то пинг ш2з и так убийственный, так тут ещё и +100 мс на все запросы
weko что-то меня прорвало на 'понаписать'
zero_tolerance Если не использовать wg-quick для поднятия интерфейса, то wireguard интерфейс можно запустить в отдельном нетворк неймспейсе. Процессы в таком неймспейсе будут видеть только lo и wg0 интерфейсы. Это удобная защита от протечек т
zero_tolerance рафика, и в таком случае можно даже обойтись без фаервола.
acetone zero_tolerance: интересно. Опиши подробнее запуск в таком режиме, пожалуйста
zero_tolerance да, сейчас опишу
zero_tolerance в моём случае мне было удобно процессы из локальной сети держать в одном неймспейсе, в то время как вся остальная система работает через wireguard
weko acetone: ну как там по статьёй?
acetone weko: вопреки своему желанию, склоняюсь к публикации без дизрута, так как сегодня получил письмо, что они заняты и не обещают успеть прислать мне письмо до конца года... Но в этом году я хочу опубликовать, что есть. Если пришлют , использую когда-
acetone нибудь потом
weko acetone: эх, жалко.
weko acetone: в таком случае, когда ждать выход статьи?
acetone Кто-нибудь шарит в nftables?
acetone сделал policy drop, но ниже в блоке указываю правило accept для определенного интерфейса, а оно все равно дропается
weko о, придумал элегатное решение, над которым долго думал
weko python харош конечно, но извечное желание всю сделать элегнтно замедляет работу
acetone Оказывается для forward-цепочки в nftables мало указать accept входного интерфейса, надо явно указать в правиле откуда прием и куда... Чертова магия
weko фаерволы - самое страшное в настройки сетей
weko это прямо страшный сон
acetone А хрен, рано обрадовался, нихрена не пашет форвардинг при нюполитике по умолчанию на сброс
acetone Ненавижу)) полжизни привыкаешь к iptables, а теперь повсюду nftables
weko как же больно , как же больно
acetone И боль боль боль
weko так используй iptables
acetone Нет, решил превозмочь свою слабость
weko ну мучайся, мучайся
acetone Уже сейчас это Легаси, через лет 5 совсем уже не останется iptables
acetone Так что надо мучиться
acetone Даже на raspberry pi os свежей iptables выпелен
weko не могу ничего сказать прямо так уж, я вообще не эксперт
acetone Жопа полная, делаю по гайдам, а не хочет работать)))
weko nftables это прямо полноценная замена а не надстройка? тогда надо смотреть да
weko просто к такой штуки как фаервол очень высокие требования к качетству и удобству, и если менять то менять на что-то стоящее
weko поэтому важно понять стоит ли оно внимание, а значит сделать вывод стоит ли доверять тем кто навызяывает эту штуку
acetone Нфтаблес принят многими как достойная замена
weko чтобы не было как с systemd
acetone И да, чувствуется красота в нем
weko я понимаю, я не гоню на него
acetone Но после иптаблес боли вагон
weko я просто говорю что тут важно чтобы не было как с systemd
weko и ведь тоже компонент очень важный)
weko тут конечно лучше ситуация так как systemd больше системный и от него зависят некоторые программы (ужас!), с фаерволом такого не будет, но переобучение всё равно проблема да
acetone Аахахахаз тварина!!! Победил
acetone Мануалы внимательнее читать надо
weko ахиреть, я щас такой баг нашёл
weko у меня пешки назад ходят
weko АХАХХАХА
weko назад по диагонали ЛОЛ
weko нашёл случайно )
acetone weko: что такое?
weko тут проблема с методом который возвращает нужно ли просить у пользователя замену пешки
weko is_pawn_choice_requre
weko да он глупо написан
weko щас буду менять
weko хотя нет он нормальный
weko это значит баг в другом месте
acetone Вечером баги искать - новые создавать (с)
weko да я тестировал новую фичу
weko и еашёл два бага
weko нашёл причину бага
weko который непонятный
weko который понятный уже пофиксил
weko и этот тоже собственно
weko =====GAME ENDED=====
weko =====FIVEFOLD REPETITION=====
weko сработало
weko круто
weko есть одно но, похоже что прога работает моя слишком уж медленно ((((((((((((
weko а может это по друой причине
tst weko: никакие wg и прокси тебя не спасут от тайминг-атак и фингерпринта траффика ;)
tst acetone: самый удобный firewall в OpenBSD ;)
tst когда я увидел насколько там просто все делается - iptables и трогать не охота
tst ты разве впску не шифровал свою ?
tst чтоб у провайдера не было доступа с терминала к ней?
tst имя хоста прописывается в днс-записи
tst ходить вот на эту впс без проксей опасно потому как это будет равносильно атаке с этой самой аутпрокси