👮 major
ilita
#4rum #acetonevideo #dev #retroshare #torrent #video2p
irc2p
#i2p-dev #i2pd-dev #ls2 #saltr
IRCaBot 2.1.0
GPLv3 © acetone, 2021-2022
#dev
/2026/05/06
~AreEnn_
~R4SAS
~acetone
~orignal
~villain
@onon
&N00B
+Xeha
CreateEnergyDecreaseEntropy
DsecT
Guest98878
Hypnosis
Lan_
Most
Nos4-Group
Opax
[---------------------------------------------]
ahiru
anontor
avele
ch
duanin2
entity
equinoxe
fidoid
ice_juice
justaperson
karamba_i2p
luvme
mareki2p
n1
nissarmeows
pinotto
poriori
profetikla
ps
qend
rumpelstilzchen
shaye
sonya
tensor
un
urist_
vade
void
плаZскуф
loveme is there a way to immediately request a new leaseset?
onon Delete it via the web console and make a new request.
onon Open destination, there will be leasesets above the list of tunnels.
Most 05<centeredhonor> > *kivayu_golovoi:* к i2pd нельзя как-нибудь присобачить готовые обфускаторы от тора? типа чтобы в рф люди могли подключать сноуфлейки в качестве клиента, а за преде <clipped message>
Most 05<centeredhonor> лами рф в качестве сервера. тут правда непонятно где хостить брокеров чтобы их н
Most 05<centeredhonor> Обфускация в NTCP2 и SSU2 уже есть под белый шум получше, чем у obfs4, наверно. Если маскировать под https, то это надо не присобачивать к транспортам, а новый транспо <clipped message>
Most 05<centeredhonor> рт выдумывать.
kivayu_golovoi при генерации b32.i2p адреса полностью случайные символы? или например там не может быть 8 буков подряд или 8 цифр подряд?
Most 05<centeredhonor> > *kivayu_golovoi:* при генерации b32.i2p адреса полностью случайные символы? или например там не может быть 8 буков подряд или 8 цифр подряд?
Most 05<centeredhonor> С новым транспортом бы куча проблем была. И сертификаты откуда брать. И порты эти root требуют. И отношеня становятся ещё более несимметричные. Клиент-серверные.
kivayu_golovoi какая-то плохая генерация, на человеческую речь вообще не похоже
orignal мжно например NTCP2 запихнуть в вебсокеты но зачем
kivayu_golovoi как обезопасить сайт от деанона? я хочу сделать небольшой бложик на темы которые лучше не обсуждать в клирнете, выбрал для этого генератор статических веб-страничек без php и прочих выполняемых на сервере скриптов, только html
kivayu_golovoi и джаваскрипт.
kivayu_golovoi завёл отдельного пользователя который отсутствует в файле sudoers, проверил на всякий случай версию ядра чтобы там была пропатчена copyfail
kivayu_golovoi нейросеть мне посоветовала вот такие правила чтобы процессы от этого пользователя принципиально не имели доступа ни к чему кроме локалхоста, тора и i2p-роутера
kivayu_golovoi sudo iptables -A OUTPUT -m owner --uid-owner restricteduser -d 192.168.1.2/24 -j ACCEPT
kivayu_golovoi sudo iptables -A OUTPUT -m owner --uid-owner restricteduser -d 127.0.0.1/24 -j ACCEPT
kivayu_golovoi sudo iptables -A OUTPUT -m owner --uid-owner restricteduser -j DROP
kivayu_golovoi что я мог забыть? может знающие люди подскажут ещё какие-то советы которые мне в голову не пришли.
kivayu_golovoi !ии javascript-скрипты выполняются только на стороне клиента или их можно выполнить и на сервере?
kivayu_golovoi упс не туда
orignal ну вот у нейросети и спрашивай
orignal ну так и спрашивай нейросеть дальше мы тут причем?
uu 192.168.1.2/24 это несколько компов
uu используй /32
uu kivayu_golovoi
orignal ну так ему же нейросеть посоветовала
orignal а люди бы посоветовали слушать сайт на 127.0.0.1 как все и делают
uu еще лучше ns сделать
uu +
kivayu_golovoi orignal: я имею в виду правильно ли я понял что если из-за уязвимости в самом сайте удастся удалённо выполнить код то сервер сам пошлёт исходящий запрос к внешнему адресу который поймает внешний айпи сайта?
uu kivayu_golovoi, это ты закрывал исходящие, а входящие ?, вдруг какойнимудь МАКС решит посканировать твой localhost ?
uu эта уязвимость в криптограф. апи ядра
uu твой сайт использует это api ?
orignal а с чего он пошлет?
kivayu_golovoi uu: так сам сайт на 127.0.0.1 сидит
kivayu_golovoi как приложения с телефона ему пакеты пошлют?
kivayu_golovoi orignal: ну вот я помню древний деанон когда у чела CMS позволяла загружать пхп файлы и выполнять их на стороне сервера
uu мде, я про приложения/демоны/итдитп что рядом с сайтом установлены
kivayu_golovoi uu: из под этого пользователя запущен только сайт, приложения из другого пользователя могут быть доступны даже так?
uu [14:36:14] <kivayu_golovoi> sudo iptables -A OUTPUT -m owner --uid-owner restricteduser -d 192.168.1.2/24 -j ACCEPT
uu [14:36:16] <kivayu_golovoi> sudo iptables -A OUTPUT -m owner --uid-owner restricteduser -d 127.0.0.1/24 -j ACCEPT
uu [14:36:18] <kivayu_golovoi> sudo iptables -A OUTPUT -m owner --uid-owner restricteduser -j DROP
uu эти правила только для этого пользователя
kivayu_golovoi да, из под других пользователей я сервер не запускаю
uu orignal, тут тяжко ...
kivayu_golovoi чтобы i2pd могло нормально работать с интернетом из под пользователя i2p а пользователь под которым крутится сервер не мог посылать ничего в интернет
orignal не еби мозги
kivayu_golovoi uu: я действительно плохо понимаю сетевые вопросы, если я не понимаю чего-то очевидного для тебя - скажи пожалуйста что это
uu [15:07:12] <uu> [14:36:14] <kivayu_golovoi> sudo iptables -A OUTPUT -m owner --uid-owner restricteduser -d 192.168.1.2/24 -j ACCEPT
uu [15:07:12] <uu> [14:36:16] <kivayu_golovoi> sudo iptables -A OUTPUT -m owner --uid-owner restricteduser -d 127.0.0.1/24 -j ACCEPT
uu [15:07:12] <uu> [14:36:18] <kivayu_golovoi> sudo iptables -A OUTPUT -m owner --uid-owner restricteduser -j DROP
uu этим ты ограничил ИСХОДЯЩИЕ ЗАПРОСЫ
uu нужно ограничить входящие
uu те разрешить только от роутера
kivayu_golovoi бля точно
uu ща
kivayu_golovoi но из под ssh я в этого пользователя уже не зайду?
uu с хуяли
kivayu_golovoi ну вот мой комп пошлёт входящий запрос а иптаблес его дропнет
uu в кратце: -m owner работает только для исходящего трафика, локальных приложений
uu -m owner безсмыленнен для INPUT
uu S->R->I2p
uu софт в S знает что за приложение запущено у R ?
kivayu_golovoi так подожди, я походу плохо понял всё-таки, если сервер крутится на 127.0.0.1 то может ли банковское приложение из локальной сети сканированием понять что у меня крутится сервер на другом компе? насколько я был уверен раньше - не
kivayu_golovoi должно
uu +, а я говорю про деонон от софта что установлен рядом с сайтом
kivayu_golovoi ты имеешь в виду приложения которые запущены от того же пользователя или приложения от любого пользователя с того же физически компа которые могут что-то посылать на 127.0.0.1?
uu ДА: или приложения от любого пользователя с того же физически компа которые могут что-то посылать на 127.0.0.1?
kivayu_golovoi но если ограничить входящие запросы на 127.0.0.1 то разве не будет такого что и2п роутер и сервер не смогут больше общаться?
uu я не пойму, а где роутер тогда
kivayu_golovoi доступа к файлам друг друга они не имеют потому что запущены от разных пользователей
uu в одной машине или в разных ?
kivayu_golovoi роутер и2п запущен физически на том же компе, посылает данные на 127.0.0.1:порт который указан, но процесс и2п и процесс сервера запущены от разных пользователей, которые не имеют доступа к файлам друг друга
uu тогда ок
kivayu_golovoi ну слава богу, спасибо огромное что заморочился и объяснил
kivayu_golovoi извини если вопросы были тупые, я даже хз как их сформулировать, а нейросетям я не очень доверяю в таких делах
uu да поф, ща попробую написать правила
kivayu_golovoi server {
kivayu_golovoi listen 127.0.0.1:36890 default_server;
kivayu_golovoi listen [::]:36890 default_server;
kivayu_golovoi я правильно понимаю что вот такие настройки в конфиге делают сервер недоступным ни для кого даже в локальной сети?
orignal правильно мыслишь
uu [::] это все адреса ipv6+ipv4
uu +ipv4 включается/выключается с sysctl
uu второе убери
uu (RFC 4291 «IPv4-mapped»)
uu вот почитай
orignal для i2p ipv6 вообше не нужен
orignal проброс по 4 и всеэ
kivayu_golovoi uu: спасибо, попробую
uu 2.5.5.2. IPv4-Mapped IPv6 Address
uu datatracker.ietf.org/doc/html/rfc4291#section-2.5.5.2
uu kivayu_golovoi, это зачем 192.168.1.2/24
kivayu_golovoi uu: я думал без этого я не смогу по ssh зайти в этого пользователя
kivayu_golovoi uu: эта ссылка про то что в ip6 есть костыль позволяющий представлять ip4 адреса как ip6 адреса у которых просто в левой части много нулей?
uu да, и при бинде на такой ipv6 адрес, на него можно попасть с ipv4
kivayu_golovoi если да то я не очень понял какое это имеет отношение к защите i2p-сайта от деанона
phanter да, и при бинде на такой ipv6 адрес, на него можно попасть с ipv4
uu ебать
uu это как
uu тут чел написал точно то что я
kivayu_golovoi может это и есть ты
uu я в ахуе
kivayu_golovoi для меня это выглядит так как будто ты тут сидишь с двух клиентов
uu да и не говори
uu веб сервер на 127.0.0.1:36890 запущен от пользователя user_serv
uu веб сервер логируем,блочим
uu i2pd не использует ipv6 запущен от пользователя user_i2p
uu i2pd должен подключаться к другим пирам через интерфейс eth1e11
uu i2pd должен подключаться к веб серверу
uu i2pd логируем,блочим
uu sudo iptables -A OUTPUT -m owner --uid-owner user_i2p -o lo -d 127.0.0.1/32 -p tcp --dport 36890 -j ACCEPT
uu sudo iptables -A OUTPUT -m owner --uid-owner user_i2p -o eth1e11 -j ACCEPT
uu sudo iptables -A OUTPUT -m owner --uid-owner user_i2p -j LOG --log-prefix "NETFILTER_i2p_v4_drop: " --log-level 4
uu sudo iptables -A OUTPUT -m owner --uid-owner user_i2p -j DROP
uu sudo ip6tables -A OUTPUT -m owner --uid-owner user_i2p -j LOG --log-prefix "NETFILTER_i2p_v6_drop: " --log-level 4
uu sudo ip6tables -A OUTPUT -m owner --uid-owner user_i2p -j DROP
uu sudo iptables -A OUTPUT -m owner --uid-owner user_serv -j LOG --log-prefix "DROP_serv_ipv4: " --log-level 4
uu sudo iptables -A OUTPUT -m owner --uid-owner user_serv -j DROP
uu sudo ip6tables -A OUTPUT -m owner --uid-owner user_serv -j LOG --log-prefix "DROP_serv_ipv6: " --log-level 4
uu sudo ip6tables -A OUTPUT -m owner --uid-owner user_serv -j DROP
uu eth1e11 типо твой gateway интерфейс
uu ща input пришлю
uu sudo iptables -A INPUT -i lo-p tcp --dport 36890 -j ACCEPT
uu чет у меня тупизм начался
uu INPUT расписывать без смысла
kivayu_golovoi|2 uu: меня выкинуло по таймауту, можешь в личку послать эти правила?
uu ок
Most 05<centeredhonor> Про одну фишку против деанонимизации habr.com/ru/articles/571720 multihoming.
Most 05<centeredhonor> Вооще стоит сначала почитать на хабре что acetone и другие писали.
ananas > в кратце: -m owner работает только для исходящего трафика, локальных приложений
ananas интересная подробность. Надо запомнить (или лучше запишу чтоб наверняка не забыть..)
loveme does "bandwidth" settings affect my max bandwidth or the bandwidth allocated to transitting for others?
orignal transit only
orignal your own trafiic is not limited
onon Я же говорю нужно лимит делать
orignal хуевая идея
onon Почему
orignal это тогда как то надо на уровне стримов лимитировать
onon Я про транзит
loveme so whats the point of share% is bandwidth setting is for transit?
loveme if*
orignal transit limit depends on your usage
orignal someone asked for this feature
orignal don't remeber why