Pull to refresh

Comments 49

Было несколько попыток реализовать его на С++, но, насколько знаю, до пригодного к использованию состояния не дожила ни одна.
Хотя некоторые вроде бы еще трепыхаются. Например вот этот: git.repo.i2p/w/i2pcpp.git
Но для того, чтобы понять, что это такое, надо собирать его из исходников (да еще почитать сами исходники, чтобы понять, что вообще собираешь :)).

PS. github.com/majestrate/i2pcpp/ — линк в обычном интернете
вот тут вроде человек взялся за написание оного, но там я так понял далеко еще до финиша
Он у вас floodfill? Поскольку все равно запущен 24 часа в сутки с достаточно приличной скоростью.
Руками не включал. Если автоматом захочет стать, то мешать не буду. :)
Но именно 24/7 включенным не держу, я перезагружаю его периодически. Иногда перестает сайты открывать (eepsite not found), после перезагрузки начинает.
Подскажите пожайлуста в чем может быть дело: веб интерфейс i2p роутера недоступен при попытке доступа к нему по адресу ipaddress:7657. Надо ли каким либо образом явно разрешать доступ к веб интерфейсу не только из локалхоста?
Надо. Читаем от слов " Начинаем добавлять первую дырку — делаем доступ к админке с любого хоста, без туннелей"
Спасибо! я как то упустил этот участок статьи:)
Я там теперь отдельный заголовок добавил, чтобы заметнее стало. :)
Через i2p не проходят гигазы трафика. Ну никак не проходят. Я уж и сто мегабит давал, и гигабит. Свободного сервера с 10кой пока нет, хотя есть острое желание попробовать. Не берут такой полосы. Дай бог, 300-400 килобит.

Например, с последнего апдейта (вчера ставил) прошли примерно сутки. Вот статистика:

3 с.: 0,79 / 0,66 KBps
5 мин.: 1,36 / 1,32 KBps
Всего: 1,91 / 1,91 KBps
Объем: 137,26 MB / 136,24 MB

Ну и кого с более-менее терпимыми интернетами это смущает? 136Мб/день, 4-5Гб месяц. Ни о чём. Так что пускайте сколько есть.

Кстати, позиция «мне бы только посмотреть» с одной стороны понятна (сам с этого начинал) с другой стороны несколько размывает идею чистой анонимности. Я бы всё-таки предлагал для i2p описывать отдельный профиль FF с правильным конфигом. То есть FF у которого в ярлыке указано «юзать альтернативный профиль».

Кстати, под линукс его было бы неплохо заворачивать в контейнер с отключенными сетевыми интерфейсами и принудительной проксизацией.
«Через i2p не проходят гигазы трафика. Ну никак не проходят. Я уж и сто мегабит давал, и гигабит. Свободного сервера с 10кой пока нет, хотя есть острое желание попробовать. Не берут такой полосы. Дай бог, 300-400 килобит.»

Floodfill включать не пробовали? Тогда всякая новая информация о каком либо узле будет обмениваться с вашими соседями, что резко повысит трафик.
Нет, не пробовал. Да даже если бы и включил — это же служебная информация, а не трафик сети.

Я к тому, что i2p маленький, лагливый и медленный, прям как интернет во времена dialup и альтависты. И считать его крошки трафика в современных условиях можно только у экстремальных провайдеров (мобильный/спутниковый интернеты с оплатой по трафику).
Лагает он как раз по причине того что народ все время поднимает и опускает маршутизаторы.
Вот допустим вы остановили ваш маршутизатор, а через вас куча тоннелей шло. Создатели этих тоннелей продолжают их использовать, посылая данные в никуда и ожидая ниоткуда.
Прямого способа узнать что тоннель уже не функционирует нет.
Правильным решением, по моему разумению, было бы сообщение, аналогичное сообщению для создания тоннеля, которое бы узел рассылал через все свои тоннели, что он отключается.
jfyi, это было обновление рутера вместе с системой. До этого было 62 дня аптайма без единого сбоя.
Кстати у них если такое дело, что обновляют версию и у маршутизатора меняется I2P адрес, в итоге те кто коннектятся по старым IP адресам получают отлуп.
136Мб/день

Так это же хорошо. :)

размывает идею чистой анонимности

У меня этой идеи и нет. Пока, по крайней мере. Смотри заглавную картинку.
А чистую анонимность надо начинать вообще с добычи отдельного компьютера — чтобы даже из буфера обмена ничего лишнего в браузер не просочилось. :)

При выключенном JS'е клипбоард недоступен сайту.
От дырок в ПО и ошибок никто не застрахован.
В этом случае «отдельный комп» не спасёт никаким образом — один запрос по http, и от всей анонимности остаётся СОРМ с прихвостиком. Контейнеры в этом смысле лучше, т.к. network namespace полностью изолирует приложение от «лишних» сетевых интерфейсов. То есть дырка в ядре или i2p-роутере остаётся, но тривиальный http мимо прокси уже не уйдёт подлому экстремистки-суициидальному детско-порнографическому авторскоправа-нарушающему гуглу.
У меня для этого есть иная идея: все http запросы в I2P через встроенный web-сервер, который используется для администирования, работающий по принципу анонимайзера. И все ссылки в получаемых страницах заменяются на него и адрес в качестве параметров.
Тогда все обращения к I2P адресам будут обеспечивать должную анонимность, а обращения к обычным адресам дальше собственного узла не уйдут.
Слишком тонкая и сложная изоляция. Много мест, где можно сделать «не так» и пропустить какой-то тип запросов. Favicon, там, или gopher, или хитрый композитный url в веб-шрифтах в media в css.

Закрыть доступ приложению к сети (кроме tun-интерфейса до i2p-router'а) куда грубее и надёжнее. (тюк — и нет проблемы).
На самом деле эта идея продиктована в первую очередь упрощением работы с I2P.
Надо вам попасть на какой то ресурс внутри сети, вы не заморачиваетесь с прокси, а запускаете маршутизатора и с той же страницы, где у вас настройки идете по нужному вам I2P адресу.
Если мы всё-таки думаем про анонимость, то лучше запускать браузер в браузере. Что-то типа браузера на canvas/js. Будет изолировано. Сколько-то.
Спасет от вставки случайно оставшейся в буфере приватной информации. Я имел ввиду глюки браузера и юзера, а не i2p.

Кстати, дополнительное звено для безопасности — на том же самом хостинге поднимаем сервер терминалов (если железка позволяет) и запускаем браузер непосредственно на нём. В таком случае ваш клиентский компьютер светиться вообще не должен никаким образом.
Можешь чуть более подробно описать организацию такой схемы?

Я тут на днях разжился домашним сервером, как раз есть возможность для экспериментов. Насколько я понял, ставим гипервизор и несколько виртуалок:
первая — i2p роутер, тут основная трабла, кого, как и чем ограничивать.
вторая — браузер, в котором выключен JS, настроен прокси на первую виртуалку.
Я попробую написать гвайд по конфигурации вокруг i2p, пока что набираюсь опыта. Не раньше лета-осени.
Со скоростью там чтото странное. Несколько недель назад держалась в районе 300-700KBps. Потом после очередной перезагрузки сервера стала ниже 100.
Последнее время средняя скорость примерно как на скриншоте:
Через i2p не проходят гигазы трафика. Ну никак не проходят. Я уж и сто мегабит давал, и гигабит.
ну не знаю… 200Gb туда обратно за 9 дней аптайма.
habrastorage.org/storage3/a67/6f1/ece/a676f1ecefaa73f37e2ec531aff2e413.png
habrastorage.org/storage3/2e2/d3c/d71/2e2d3cd7100613c59497b9c6cdcfb00d.png

хабр почему-то не дает разместить пруфпики, поэтому только ссылки.
Uptime: 6 days
Used: 1,54 GB / 1,41 GB

Никаких лимитов не выставлял.
У меня сейчас аптайм 6 дней. Трафик «Used: 25,68 GB / 25,18 GB».
Так что разрешенные 128 килобит утилизируются почти полностью.
128 кбит -да, однако если чуть побольше выставить такой нагрузки просто нет, и никакой утилизации тоже нет.
«Тут никаких особых требований нет, VDS или просто арендованный сервер — в зависимости от потребностей и финансовых возможностей. Лишь бы была машинка с root-доступом, которая тянула бы java.»

Вопрос заключается в том будет ли VDS поддерживать инструкции процессора AES-NI, а то без них все станет весьма нерадостно, поскольку I2P это по сути своей многослойное AES шифрование.
Сколько там этого шифрования в секунду? проценты от загрузки процессора. Кроме того, доверять интеловскому шифрованию в наше время, мягко говоря, не есть быть хорошая идея.
Зависит от трафика, вестимо. Каждый пакет фактически шифруется 5 раз: чеснок, стандартный 3-узловой тоннель и транспорт, ну и соответственно в другую сторону.
Чем плохо интеловское шифрование не в плане спрятаться от всех, а в плане обхода цензуры?
Это копейки по процессору. На моём стареньком core 2 quad вся ява кушает 10% CPU. На современных процессорах это будет меньше 7-8%, то есть ни о чём.

Интел плох тем, что это не шифрование, а филькина грамота. Для обхода цензуры достаточно прокси, i2p — анонимность.
>Это копейки по процессору. На моём стареньком core 2 quad вся ява кушает 10% CPU. На современных процессорах это будет меньше 7-8%, то есть ни о чём

Я полагаю, это зависит от того, что вы запускаете. Кроме того мало знаком с джавой, возможно там ограничивается принудительно. Обычным же бинарным приложением я забью все доступные ядра процессора вмиг.
По поводу «копеек», я наглядно вижу как мой Raspberry PI все время тратит на шифрование при интенсивной работе с I2P.

>Интел плох тем, что это не шифрование, а филькина грамота.

Обоснуйте. Хотите сказать что на выходе команда aesenc будет выдавать другие данные чем если бы это было реализовано программно? Тогда как же другая сторона с тем же самым ключом и другой реализацией AES успешно расшифровывает?
Я вполне могу поверить что есть некая закладка «срисовывающая» содержимое некоторых регистров при выполнении этой команда и передающая «куда нужно», но вот в то, что там какой то другой AES — нет.
Чтобы забить «все ядра в миг» надо иметь столько байтов для шифрования, а где вы столько байтов возьмёте в потоке в i2p?

Сравнивать производительность i2p и интеловских процессоров (выше атома) просто нелепо, там разница на порядки.

Никто не знает, что происходит внутри интеловского проца. Этого одного достаточно, чтобы не доверять его шифрованию. Как и любому другому аппаратному, без доступной принципиальной и электронных схем.
>а где вы столько байтов возьмёте в потоке в i2p?
Активным зондированием, запрашивая одновременно сотни floodfill-ов, например.

А когда -нибудь начнут распространять торренты, тут аппаратное шифрование весьма пригодится.
Спасибо, отлично все заработало. Правда вместо настройки правил в плагине foxyproxy, я использовал privoxy, как описано здесь help.ubuntu.com/community/I2P
Скажите, aik, если вы все равно держите I2P на хостинге, не хотели бы вы помочь всей сети подняв также и обновляемую страницу со списком узлов, с которой бы вновь подключающиеся участники получали этот список. Как оказалось, в России нет ни одного такого узла.
Я бы сделал, но у меня ADSL и очень низкая скорость отдачи. КПД низкий.
Тут главное не скорость отдачи, а доступность 24/7.
Согласен, но если я буду кроме транзитного трафика отдавать еще и адресные книги, то мне будет проблематично пользоваться «обычным» интернетом.
Speedtest
Сегодня вообще не айс, обычно Download 15 мб/с, а вот Upload всегда такой.

Мой хостинг не в России.
Добавьте проброс порта на удаленный сервер через plink

plink -ssh user@server -P порт_ssh -l пользователь -pw пароль -L локальный порт:127.0.0.1:удаленный порт


Можно еще опции -С (компрессия) и -N (не запускать shell) использовать.
Sign up to leave a comment.

Articles