#acetonevideo (ilita) | Сообщество айти-просвещения | http://ff.voice.i2p/ | https://notabug.org/acetone/video/wiki/general

acetone lTTno: читай, но не спеши действовать, ну или делай аккуратно, можешь обсуждать непонятные детали здесь или с кем-то еще

acetone Тема необъятная, всегда есть что-то новое

` Можно потренироваться сперва в майнкрафте)00

acetone В очередной раз перешаманил свое прокси-радио, сменил источник. Вроде бы играет :/

acetone Чтобы впска с выходным прокси жарилась на все сто процентов, поднял на ней публичный пир игг с HTTPS-портом: tls://23.137.249.65:443

Leopold weko: ты что, такой транзит, кабель лопнет

acetone Leopold: изолента синяя всегда на подхвате)

Leopold Ах))

acetone weko: понял штуку такую: на впске с двумя адресами второй (секретный) адрес покажет тот же хостнэйм, что и выходной

acetone Не критично, так как цель уходить на один адрес и выходить с другого, но все же

acetone Но при пытливом уме одинаковые хостнэймы наверняка дадут наводку на мысль об одной машине, если до этой информации добраться

Leopold А если не ставить хостнейм

Leopold rcupdate del hostname

acetone Leopold: не совсем тот хостнэйм, я может быть путаю терминологию)

acetone например, если под аутпрокси сейчас зайти на 2ip.ru, увидишь хостнэйм outproxy.acetone.i2p

acetone если я поставлю на эту же машину второй IP, ее хостнэйм будет идентичным, то есть тем же самым в любом случае

Leopold Vj;yj gjlvtybnm z levf.

Leopold Можно подменить я думаю

Leopold Или отключить

weko acetone: о, радио, ура, круто!

weko acetone: зачем публичный пир на ней, не понял

acetone weko: для понту дела

weko Leopold: кабель бах бабах бух бубух

weko acetone: значит нужно найти способ дать разные хостнеймы

weko acetone: а,ну ладно, лишним не будет )

acetone weko: больше шума навести, чтобы активность аутпрокси была менее выражена

acetone 443 порт тем более, больно хорошо

weko acetone: подожди, каким образом .i2p попадёт на клирнет сайт? Он же не должен ничего про это знать. Или это ты поставил такой хостнейм на машине?

acetone weko: сам поставил через админку хостера

weko А зачем

weko Какой плюс от этого

weko Нужно короче найти способ на разные интерфейсы вешать разные хостнеймы

acetone weko: ясность при анализе с обратной стороны, чтобы было понятно откуда (при этом юзеры прокси не страдают)

acetone weko: про хостнэймы это да

weko acetone: ну.... Наверное, имеет смысл :)

acetone weko: с одной стороны самореклама прокси, с другой просто часть этики, чтобы тот кого дудосят через меня мог понять что происходит

weko Вообще это уже очень параноидальная хрень, так какой шанс, что майор сможет найти два одинаковых хостнейма на разных ip... Да ещё и можно какой нибудь не очень значещее и популярное имя взять, которое ещё на куче компов

weko acetone: ну дудос через аутпрокси ш2з почти исключён... Скорости не позволят... А спам да:)

weko weko: тоесть например просто "hostname" или "server"

acetone weko: ну пусть спам) дудос же не всегда потоком трафика, может быть тяжёлые запросы идут

acetone Которые грузят бэк

weko Ну ладно, убедил что полезно)

weko В идеале кстати, будет вообще хостнейм не возвращать для публичных адресов (хотя возможно это фингерпринт)

weko Потому что он не очень то и нужен вроде как

weko Ну для публичных ip

weko Просто я вот о чём подумал

weko Могут быть ещё какие то фингерпринты

weko Или мы тут в паранойю не идём ?)

acetone weko: паранойя это двигатель всего что я делаю

acetone :D

weko Ну есть объективное опасение, а есть не очень объективное

acetone weko: насчет фингерпринта не знаю, но вот хостнэйм эт да

weko Просто тут больше вероятность что сам хостер выдаст информацию про два адреса, чем майор найдёт по фингерпринту

acetone Причем его отдает хостинг-провайдер насколько я понимаю, а не конкретно моя машина

weko acetone: хостнейм - как раз часть фингерпринта, самого очевидного

acetone Потому что я не через системные настройки поставил отображаемое публичное имя

weko acetone: а вот это нехорошо

weko Может эта настройка просто меняет файл hostname

weko В /etc

weko Я бы проверил

acetone weko: оттуда имя берется например для ssh сессии. Например, root@proxy

weko Потому что если это где то в недрах конфигов хостера, то вариант либо выпросить фичу либо ставить популярное имя

weko acetone: у ssh сессии есть имя?!

acetone weko: вопрос даже не столько в популярности имени, сколько в том, что это имя совпадет, если начать анализ ВПН-коннекта и активности с выходного адреса

weko Нифига себе

acetone weko: костноязычен. Локальное имя хоста имею ввиду

acetone Которое отображается в том числе в промте при коннекте через ssh

weko acetone: так если имя совпадает не только у двух адресов, но и десятков адресов

weko Не очень понятно, ну окей

weko Правда, конечно может помочь знание что эти оба адреса принадлежат одному хостеру...

acetone ага, тоже верно)

acetone две впски это конечно лучше, но накладнее)

acetone две впски у разных хостеров

weko Сильно уж большая замарочка для клирнет трафика то)

acetone weko: успешно поднял клиент вг на ноуте, вечером сделаю на одноплатнике

weko Круто

weko Я вот мучался, хых)

weko Там есть ещё Pre Shared key, для постквантума:)

acetone Прикольно, что если домашний провайдер даёт ипв6, а вг туннель без ипв6 маршрута и добавленного локального адреса, ипв4 идёт через вг, а ип6 через домашнего опсоса

acetone Так что добавил оба протокола на туннель вг и пошло как надо

weko Ну это фаерволом фиксится....

weko Разрешить пользоваться интерфейсом который на обсоса только вг, а всё остальное на вг

weko В итоге всё либо не идёт, либо идёт через вг

weko Лучше перебздеть :)

weko Кстати ты на iptables просто делаешь?

acetone weko: nftables на сервере

acetone Локально только силами wg

weko на одноплатнике самое важное настроить

weko чтобы не текло ничего

weko всё запретить кроме того, что проудмано

weko продумано*

weko ещё кстати будет хорошей идей продумат безопасный гейт с доманшним сервером, если таковой есть

weko тоесть второй вг клиент, который будет подключаться к уже к вг на сервере

weko или как то так

weko не знаю, но мне кажется идея нормальная

weko у меня так например с телефоном, у меня просто одна локальная сеть

weko ну настройка такая, форвард идёт на основную локалку с локалки вг

weko и обратно

acetone weko: ищу решения, чтобы добавлять по 32-битной маске адреса для байпаса мимо вг

acetone Для домашнего сервера как раз

weko не лучше тогда на домашний сервер слать тоже по вг

weko это как минимум удобнее

weko когда доступ ко всей домашней локальной сети

weko ну и не понятно какой порт в реальности используется, потому открыть в таком случае нужно только порт вг

weko ну и внешних сервисов по типу i2p конечно

acetone weko: да, подумаю над этим, звучит вполне разумно

weko ну просто я осознал как удобно это, когда ты по сути не дома, но сеть локальная как дома

weko до этого я пробрасывал веб морду i2pd в i2p с помошью bb32

weko сейчас просто смотрю через локальный айпи сервера

acetone weko: я обычно прокидыааю порт через ssh)

weko acetone: ну вот моё мнение что это удобней, и не уступает в безопасности )

acetone Согласен

weko тоесть например с одноплатника будет гейт в клирнет через впску, будет доступ к частной локалке дома, будет доступ в i2p через перенаправление в i2p прокси, будет доступ в tor через tor прокси, при этом будет доступ к yggdrasil через

weko интерфейс (тут важно настроить фаервол корректно), при это и через i2p, и через tor, и через ygg можно выйти в клирнет через аутпрокси или выходную ноду, при это можно будет через i2p аутпрокси выйти в tor и ygg через аутпрокси ну и так

weko далее. извращение, не иначе. xDDDDDD

weko да и при этом будет неплохо ещё обфускацию повесить или заменить вг на что-то с обфускацией.

weko я это всё описал к тому, что это всё будет не просто контролировать и и будет сложно решать, куда отправить свой очередной трафик

weko выбор такой большой

weko вот и это всё нужно как то настроить и объяснить обывателю

weko что ничего трогать не надо (иначе что-то слмаоет или что-то потечёт не туда), и что тут уже всё безопасно и не течёт

weko выглядит как сложная задача

acetone Я сторонник того, чтобы клиенты сетей вроде i2p или игг стояли локально на устройстве

weko так и я про то

acetone И дело вг - быть единым клирнет- шлюзом, без щаморочек

acetone Разве что в локалку домой ещё прокинуть

weko тоесть просто запустить i2pd , tor , ygg и дальше дело на клиенте если он хочет в эти сети выходить?

weko а вдруг в клиенте дырка и что-то в клирнет течёт

weko блин, так много мыслей по этому поводу

acetone Шлюз-то 0.0.0.0 роутит через впску за бугром

weko ну.... в какой-то мере это безопасней чем через майора, но не идеально

weko в любом случае от дырки в клиенте мало что спасёт

weko если дырка палит адрес, то хоть через i2p over ygg over tor передасся адрес, он всё равно адрес )))))

weko я понял да

weko а сам трафик i2p ygg tor тоже на впску пойдёт?

weko хотя майору значительно усложняется работа

weko так что смысл имеет

weko главное что впска не на обратной стороне земли, а то пинг ш2з и так убийственный, так тут ещё и +100 мс на все запросы

weko что-то меня прорвало на 'понаписать'

zero_tolerance Если не использовать wg-quick для поднятия интерфейса, то wireguard интерфейс можно запустить в отдельном нетворк неймспейсе. Процессы в таком неймспейсе будут видеть только lo и wg0 интерфейсы. Это удобная защита от протечек т

zero_tolerance рафика, и в таком случае можно даже обойтись без фаервола.

acetone zero_tolerance: интересно. Опиши подробнее запуск в таком режиме, пожалуйста

zero_tolerance да, сейчас опишу

zero_tolerance acetone: privatebin.i2p/?18cda30871f7e2b8#5XGbvBFqDNa55B5oifbqeLhTk3CyXBaZXMhzbLN5NkNg

zero_tolerance в моём случае мне было удобно процессы из локальной сети держать в одном неймспейсе, в то время как вся остальная система работает через wireguard

whothefuckami hmmmmmmm

weko acetone: ну как там по статьёй?

acetone weko: вопреки своему желанию, склоняюсь к публикации без дизрута, так как сегодня получил письмо, что они заняты и не обещают успеть прислать мне письмо до конца года... Но в этом году я хочу опубликовать, что есть. Если пришлют , использую когда-

acetone нибудь потом

weko acetone: эх, жалко.

weko acetone: в таком случае, когда ждать выход статьи?

acetone Кто-нибудь шарит в nftables?

acetone сделал policy drop, но ниже в блоке указываю правило accept для определенного интерфейса, а оно все равно дропается

weko о, придумал элегатное решение, над которым долго думал

weko python харош конечно, но извечное желание всю сделать элегнтно замедляет работу

acetone Оказывается для forward-цепочки в nftables мало указать accept входного интерфейса, надо явно указать в правиле откуда прием и куда... Чертова магия

weko фаерволы - самое страшное в настройки сетей

weko это прямо страшный сон

acetone А хрен, рано обрадовался, нихрена не пашет форвардинг при нюполитике по умолчанию на сброс

acetone Ненавижу)) полжизни привыкаешь к iptables, а теперь повсюду nftables

weko как же больно , как же больно

acetone И боль боль боль

weko так используй iptables

acetone Нет, решил превозмочь свою слабость

acetone :D

weko ну мучайся, мучайся

weko ))

acetone Уже сейчас это Легаси, через лет 5 совсем уже не останется iptables

acetone Так что надо мучиться

acetone Даже на raspberry pi os свежей iptables выпелен

weko не могу ничего сказать прямо так уж, я вообще не эксперт

acetone Жопа полная, делаю по гайдам, а не хочет работать)))

weko nftables это прямо полноценная замена а не надстройка? тогда надо смотреть да

weko просто к такой штуки как фаервол очень высокие требования к качетству и удобству, и если менять то менять на что-то стоящее

weko поэтому важно понять стоит ли оно внимание, а значит сделать вывод стоит ли доверять тем кто навызяывает эту штуку

acetone Нфтаблес принят многими как достойная замена

weko чтобы не было как с systemd

acetone И да, чувствуется красота в нем

weko я понимаю, я не гоню на него

acetone Но после иптаблес боли вагон

weko я просто говорю что тут важно чтобы не было как с systemd

weko и ведь тоже компонент очень важный)

weko тут конечно лучше ситуация так как systemd больше системный и от него зависят некоторые программы (ужас!), с фаерволом такого не будет, но переобучение всё равно проблема да

acetone Аахахахаз тварина!!! Победил

acetone Мануалы внимательнее читать надо

weko ахиреть, я щас такой баг нашёл

weko у меня пешки назад ходят

weko АХАХХАХА

weko назад по диагонали ЛОЛ

weko нашёл случайно )

acetone weko: что такое?

weko тут проблема с методом который возвращает нужно ли просить у пользователя замену пешки

weko is_pawn_choice_requre

weko да он глупо написан

weko щас буду менять

weko хотя нет он нормальный

weko это значит баг в другом месте

acetone Вечером баги искать - новые создавать (с)

weko да я тестировал новую фичу

weko и еашёл два бага

weko нашёл причину бага

weko который непонятный

weko который понятный уже пофиксил

weko и этот тоже собственно

weko =====GAME ENDED=====

weko =====FIVEFOLD REPETITION=====

weko сработало

weko круто

weko есть одно но, похоже что прога работает моя слишком уж медленно ((((((((((((

weko а может это по друой причине

tst weko: никакие wg и прокси тебя не спасут от тайминг-атак и фингерпринта траффика ;)

tst acetone: самый удобный firewall в OpenBSD ;)

tst когда я увидел насколько там просто все делается - iptables и трогать не охота

tst ты разве впску не шифровал свою ?

tst чтоб у провайдера не было доступа с терминала к ней?

tst имя хоста прописывается в днс-записи

tst ходить вот на эту впс без проксей опасно потому как это будет равносильно атаке с этой самой аутпрокси