Уезжать всё сложнее и сложнее. Всё меньше стран и всё дороже. Те, кто раньше всех уехал, уже ПМЖ получили и решили всё свои проблемы. Кроме того, ловили "кого поймали". Многие из тех, кто уехал не на фронте только потому, что ухеали. Причём некоторые даже вернулись уже, но если бы они не ухеали тогда, то были мы мобилизованы. Очень многих не поймали и забили - наловили других.
Есть стойкое ощущение, что эта проблема давным давно решена без вот этого велосипеда. Просто нужно размеры кэшировать, а не всё заново пересчитывать. Текст-то только растёт.
Так-то не сложно: тестовое соединение на неправильный порт сервера и получение настоящего RST для обнаржуения TTL. Дальше фильтрация всех RST с меньшим значением TTL. Делается через firewall. Ресурсов есть не будет совсем.
Но работать будет плохо и можно и проще. Весь фильтруемый трафик у вас междунродный, а сейчас для всей страны он идёт буквально через несколько узлов. А ТСПУ стоит у провайдера. Поэтому для зарубежных адресов нужно отбрасывать все RST с TTL меньше чем до пограничного сервера. Это деает тривиальным правилом на nftables. То же правило может проверять, является ли адрес иностранным. Но это временно. У них наязчивая идея поставить ТСПУ на пограничные сервера. В некоторых местах даже уже стоит. Но пока не хватает производительности везде и всё фильтровать. Но и в этом случае TTL будет меньше чем у заграничного трафика.
Расположение ТСПУ, кстати, отлично вычисляется по трейсу пингов на разных протоколах. ТСПУ виден либо как кольцо в маршруте, либо по большому скачку задержки на нём . Кроме того у ТСПУ задержка и маршрут зависят от протокола - для TCP probes оно сильно чем для ICMP. Но вообще говоря, баловство это всё.
Как мы знаем, в РФ уже арестовывали человека за то, что он держал пустой листок. В материалах дела было указано, что задержанный демонстрировал антибощественные лозунги и активно призывал к нарушению общественного порядка.
Нет, военка и космос были полностью изолированы. В СССР не было микроволновок, гражданских лазеров, подугзников, автоматический коробок передач, компьютеров и ещё массы всего, чтобы было изобретено в недрах ВПК.
Закон такой до прошлой недели был - коммиссия принимает решение по брони лично по каждому и имеет право каждого для этого вызвать. Само наличие брони бзе решения коммисии никакой брони не даёт. Специально, чтобы каждого можно было вызать и сразу принять решение, что бронь не применима. Вроде бы, на прошлой неделе отменили это.
Какая фича?! PersistentKeepalive - это она и есть. С ванильного WG. Пользуйте на здоровье! На декстопе такое из-за того, что NAT где-то забывает про пробитые тонели. Если прямо супер непрерынвый отзывчивый тонель нужен, то нужно включаnь PersistentKeepalive на время меньше времени забывания NAT. То есть секунд на 70.
Да даже в ванильном WireGuard есть KeepAlive. Но проблема может быть в настройках телфона, который отправляет VPN в спячку, пока этого не отключите всё глючить будет.
Потому, что это неочевидный процесс с несильно предсказуемым результатом. Разработчк не хочет, чтобы ему потом тыкали тем, что ущербная модель не работает (а она и не должна). Урезать модель можно несколькими способами, и у кажого будут плючы и минусы. Очень понимаю разработчкиов, которые вложили кучу сил и времени совершеноствование модели и потом не хотят думать, как именно её нужно изуродывать. Как ни уродуй, результат будет очень компромисный и непредсказуемый.
Уезжать всё сложнее и сложнее. Всё меньше стран и всё дороже. Те, кто раньше всех уехал, уже ПМЖ получили и решили всё свои проблемы.
Кроме того, ловили "кого поймали". Многие из тех, кто уехал не на фронте только потому, что ухеали. Причём некоторые даже вернулись уже, но если бы они не ухеали тогда, то были мы мобилизованы. Очень многих не поймали и забили - наловили других.
Так они не пытаются обнаружить, работают ли они через VPN. Они пытаются обнаружить работает ли хоть кто-то через VPN.
Есть стойкое ощущение, что эта проблема давным давно решена без вот этого велосипеда. Просто нужно размеры кэшировать, а не всё заново пересчитывать. Текст-то только растёт.
Zero слабенький совсем. Канал слабый получается. Даже на Orange Pi 3b, который в разы быстрее Zero это очень грустно выходит.
Роутинг для 127/8 работает иначе ("loopback is on Mars")- будут проблемы с безопасностью.
Magisk уже больше года ни хрена ни с одним банковским приложением не работает.
6000..8000 не хотите?
Да они тут на Хабре сидят и статьи пишут. Энтузиасты! Интересные задачи решают!
К тому времени (даже сильно раньше) зарубежный интерент будет только по паспорту и только специальному разрешению и никаких "дырочек" не будет.
Так-то не сложно: тестовое соединение на неправильный порт сервера и получение настоящего RST для обнаржуения TTL. Дальше фильтрация всех RST с меньшим значением TTL. Делается через firewall. Ресурсов есть не будет совсем.
Но работать будет плохо и можно и проще. Весь фильтруемый трафик у вас междунродный, а сейчас для всей страны он идёт буквально через несколько узлов. А ТСПУ стоит у провайдера. Поэтому для зарубежных адресов нужно отбрасывать все RST с TTL меньше чем до пограничного сервера. Это деает тривиальным правилом на nftables. То же правило может проверять, является ли адрес иностранным.
Но это временно. У них наязчивая идея поставить ТСПУ на пограничные сервера. В некоторых местах даже уже стоит. Но пока не хватает производительности везде и всё фильтровать.
Но и в этом случае TTL будет меньше чем у заграничного трафика.
Расположение ТСПУ, кстати, отлично вычисляется по трейсу пингов на разных протоколах. ТСПУ виден либо как кольцо в маршруте, либо по большому скачку задержки на нём . Кроме того у ТСПУ задержка и маршрут зависят от протокола - для TCP probes оно сильно чем для ICMP.
Но вообще говоря, баловство это всё.
Как мы знаем, в РФ уже арестовывали человека за то, что он держал пустой листок. В материалах дела было указано, что задержанный демонстрировал антибощественные лозунги и активно призывал к нарушению общественного порядка.
Так не соврали же. Так же плата не "за VPN", а за "зарубежный трафик свыше 15 ГБ".
А как Kiro связан с Sonnet?
Нет, военка и космос были полностью изолированы. В СССР не было микроволновок, гражданских лазеров, подугзников, автоматический коробок передач, компьютеров и ещё массы всего, чтобы было изобретено в недрах ВПК.
Эрения-Буран стоила от 16 до 18 млрд.
Закон такой до прошлой недели был - коммиссия принимает решение по брони лично по каждому и имеет право каждого для этого вызвать. Само наличие брони бзе решения коммисии никакой брони не даёт. Специально, чтобы каждого можно было вызать и сразу принять решение, что бронь не применима. Вроде бы, на прошлой неделе отменили это.
Какая фича?! PersistentKeepalive - это она и есть. С ванильного WG. Пользуйте на здоровье!
На декстопе такое из-за того, что NAT где-то забывает про пробитые тонели. Если прямо супер непрерынвый отзывчивый тонель нужен, то нужно включаnь PersistentKeepalive на время меньше времени забывания NAT. То есть секунд на 70.
Да даже в ванильном WireGuard есть KeepAlive. Но проблема может быть в настройках телфона, который отправляет VPN в спячку, пока этого не отключите всё глючить будет.
Потому, что это неочевидный процесс с несильно предсказуемым результатом. Разработчк не хочет, чтобы ему потом тыкали тем, что ущербная модель не работает (а она и не должна). Урезать модель можно несколькими способами, и у кажого будут плючы и минусы. Очень понимаю разработчкиов, которые вложили кучу сил и времени совершеноствование модели и потом не хотят думать, как именно её нужно изуродывать. Как ни уродуй, результат будет очень компромисный и непредсказуемый.
Прямо перекличка ИИ-ботов в комментариях :)