аргумент «citizen with a gun» не канает. Там вполне себе был вооружённый зам.шерифа, так он прятался за зданием, где попал на камеру:
Трамп попробовал было выйти с аргументом «а давайте учителей вооружим», но публика поинтересовалась в ответ, что типичная училка будет делать со своим короткостволом и примерно никаким обучением против вооружённого винтовкой нападающего и аргумент был слит.
Единственный более-менее подходящий пример — это пальба в Техасе в Sutherland Springs — там стрелок успел положить 26 человек и ещё 20 ранить, пока в конце не вмешался очевидец, оказавшийся (а) инструктором по стрельбе и (б) у него при себе была AR-15
Что самое интересное — за этот год города Флориды не опустели из-за разгула преступности и постоянных перестрелок банд.
за этот год во Флориде случился один из самых кровавых расстрелов в школе, вот этот вот дивный юноша скупил 10 винтовок и пострелял 17 одноклассников фатально, и ещё с десяток — ранил:
«полтора месяца назад» я уже поставил StrongSwan IKEv2 VPN. Но выяснилось, что именно Телега и именно с VPN высаживает у телефона батарею со свистом, так что пришлось для неё изобретать «костыль» срочно.
пароли были переданы в рассылке по компании на 300 человек, зачем Wireshark? Все и так знают, что пароль к прокси у ivan.ivanov — это «слово + день рождения Вани» :)
Смысл в том, чтобы Ваня понимал, что халявный прокси сделали ему персонально, и не стоит передавать информацию о халяве дальше. Просто социальная инженерия.
мне не нужно было готовый образ docker, спасибо. У меня была задача сделать 300 персональных логинов к маленькому личному серверу, для коллег и подчеркнуть персональный характер этой «халявы». Технических ограничений нет, конечно, но это понижает вероятность того, что доступ к прокси будут передавать дальше по рукам.
Так недалеко до того, что к вам внезапно половина Ирана придёт обходить блокировки — на виртуалку за два евро.
Блин, а я только SOCKS-прокси danted настроил у себя на сервере…
Чтобы не пропадало для истории — вот как установить его на обычный образ Ubuntu, с которым поставляются виртуальные серверы Hetzner Cloud:
Все последующие команды запускаются от root. Создаём файл /etc/danted.conf такого содержания
logoutput: syslog
user.privileged: root
user.unprivileged: nobody
# The listening network interface or address.
internal: 0.0.0.0 port=1080
# The proxying network interface or address.
external: eth0
# socks-rules determine what is proxied through the external interface.
# The default of "none" permits anonymous access.
socksmethod: pam.username
# client-rules determine who can connect to the internal interface.
# The default of "none" permits anonymous access.
clientmethod: none
client pass {
from: 0.0.0.0/0 to: 0.0.0.0/0
log: connect disconnect error
}
socks pass {
from: 0.0.0.0/0 to: 0.0.0.0/0
log: connect disconnect error
}
Если нужно нагенерить много пар логин-пароль из списка в Excel, делаем bash-скрипт по шаблону (я наделал логинов для всех трёх сотен сотрудников своей компании):
#!/bin/bash
rm /opt/dante/sockd.passwd
# нагенерите таких строк в Excel. Я использовал корп. логин, а в качестве пароля
# использовал буквы и даты рождения коллег
echo -n "username:" >> /opt/dante/sockd.passwd && mkpasswd --method=md5 "passw0rd" >> /opt/dante/sockd.passwd
Запускаем прокси и проверяем, что через него проходят соединения:
service danted start
curl -v -x socks5://username:passw0rd@YOURHOST:1080 http://www.google.com/
Если всё в порядке (вам на экран выплюнуло HTML-код главной страницы Гугля), активируем автозапуск прокси при старте сервера:
в статье, которую читал я, утверждается, что наблюдаемое в эксперименте количество микроньютонов дали бы млохо экранированные участки проводки суммарной длины всего лишь до 2см.
у меня есть домен, мне не жалко платить $10 за регистрацию и потом за renewal.
Задача в том, чтобы придумать конфигурацию VPN с минимальной стоимостью владения и минимальной сложностью установки конечным пользователям. В идеале — EUR 2.49 Хетцнеру и ни копейкой больше.
Решение — StrongSwan с IKEv2 и авторизацией по EAP — логин+пароль и сертификат от Let's Encrypt. Let's Encrypt на IP не выдаётся, поэтому и шли розыски самого простого wildcard DNS, не забаненного у LE.
Afraid — плохо, там регистрироваться надо, лишний шаг. Wildcard DNS — проще.
Ещё раз — вы докапываетесь к словам, не понимая задачи. Поверьте, я разбираюсь в функционировании CA и отличия IP от доменного имени.
пожалуйста, читайте сообщения целиком. Задача состояла в том, чтобы как-то заполучить SSL-сертификат Let's encrypt, не тратясь на домен. Конечно, есть no-ip, .tk и прочь., но wildcard DNS тупо проще.
There were too many requests of a given type :: Error creating new cert :: too many certificates already issued for: xip.io: see letsencrypt.org/docs/rate-limits
а вот certbot certonly --standalone --agree-tos --email me@example.com -d N.N.N.N.sslip.io — сработало!
— Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/N.N.N.N.sslip.io/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/N.N.N.N.sslip.io/privkey.pem
Your cert will expire on 2018-07-17. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
«certbot renew»
то есть SSL-сертификат на голый IP-адрес выписать МОЖНО, то есть можно организовать IPSec VPN без покупки домена, и не надо клиентам ставить сертификат, достаточно пары логин-пароль!
Cat 6 в пересчёте на погонный метр обходится дешевле
В штатах на этот случай есть целая National rifle association, её задача именно в том и состоит, чтобы форсить. Правда, предъявить мало есть чего
Трамп попробовал было выйти с аргументом «а давайте учителей вооружим», но публика поинтересовалась в ответ, что типичная училка будет делать со своим короткостволом и примерно никаким обучением против вооружённого винтовкой нападающего и аргумент был слит.
Единственный более-менее подходящий пример — это пальба в Техасе в Sutherland Springs — там стрелок успел положить 26 человек и ещё 20 ранить, пока в конце не вмешался очевидец, оказавшийся (а) инструктором по стрельбе и (б) у него при себе была AR-15
за этот год во Флориде случился один из самых кровавых расстрелов в школе, вот этот вот дивный юноша скупил 10 винтовок и пострелял 17 одноклассников фатально, и ещё с десяток — ранил:
Смысл в том, чтобы Ваня понимал, что халявный прокси сделали ему персонально, и не стоит передавать информацию о халяве дальше. Просто социальная инженерия.
Так недалеко до того, что к вам внезапно половина Ирана придёт обходить блокировки — на виртуалку за два евро.
Чтобы не пропадало для истории — вот как установить его на обычный образ Ubuntu, с которым поставляются виртуальные серверы Hetzner Cloud:
Все последующие команды запускаются от root. Создаём файл /etc/danted.conf такого содержания
устанавливаем:
Если нужно нагенерить много пар логин-пароль из списка в Excel, делаем bash-скрипт по шаблону (я наделал логинов для всех трёх сотен сотрудников своей компании):
Запускаем прокси и проверяем, что через него проходят соединения:
Если всё в порядке (вам на экран выплюнуло HTML-код главной страницы Гугля), активируем автозапуск прокси при старте сервера:
Задача в том, чтобы придумать конфигурацию VPN с минимальной стоимостью владения и минимальной сложностью установки конечным пользователям. В идеале — EUR 2.49 Хетцнеру и ни копейкой больше.
Решение — StrongSwan с IKEv2 и авторизацией по EAP — логин+пароль и сертификат от Let's Encrypt. Let's Encrypt на IP не выдаётся, поэтому и шли розыски самого простого wildcard DNS, не забаненного у LE.
Afraid — плохо, там регистрироваться надо, лишний шаг. Wildcard DNS — проще.
Ещё раз — вы докапываетесь к словам, не понимая задачи. Поверьте, я разбираюсь в функционировании CA и отличия IP от доменного имени.
пожалуйста, читайте сообщения целиком. Задача состояла в том, чтобы как-то заполучить SSL-сертификат Let's encrypt, не тратясь на домен. Конечно, есть no-ip, .tk и прочь., но wildcard DNS тупо проще.
а вот
certbot certonly --standalone --agree-tos --email me@example.com -d N.N.N.N.sslip.io— сработало!то есть SSL-сертификат на голый IP-адрес выписать МОЖНО, то есть можно организовать IPSec VPN без покупки домена, и не надо клиентам ставить сертификат, достаточно пары логин-пароль!
лучше полагаться не на сознательность пользователей…
это LTE Advanced МегаФона