Если вы готовы спокойно разговаривать, я, как верующий человек, православный христианин могу пояснить, в чем это оскорбление и почему оно затрагивает чуть больше чем 2.5 человек, находящихся тогда в храме.
Про выделенный APN в курсе. Про Реал IP теперь в курсе. В посте упоминалось — нужно было быстро. А как известно, все временные решения, они бывают самые постоянные в итоге.
Потому что контора-конторе рознь. Есть такие, где можно собрать на коленке тазик с линуксом, выставить его куда надо и оно работает. А есть такие, где усе по проекту, серверов может быть как грязи, но роли у них все расписаны, их сетевые включения — регламентированы, ничего просто так выставить никуда нельзя и вообще. Вот если бы рутер умел OpenVPN — тогда да. Но это не суть. Топик не об этом. Есть ведь вообще решения, трафик инкапсулирующие в обычный http и шифрующие на L7 своими средствами. Варианты всегда можно найти. Вопрос именно в неких политиках и технических решениях оператора, которые предоставляют интерес, да и просто любопытно :)
Это все понятно. По правильному лучше вообще закрытую APN заиметь у сотового оператора и организовать IPSEC между железками. OpenVPN на хосте удаленного объекта можно поставить, но вот принимать его на какой-то сервер в головном — очень неудобно. Да и решение требовалось очень быстрое (счет шел на часы и даже менее), а на головном объекте роутер умел pptp и это уже было настроено и использовалось.
Ну, с трейсами там вообще все плохо, а на счет НАТ-а я думал. pptp, он ведь как ftp, через нат работает с хитростями. Но ведь это сейчас умеют даже железки уровня SOHO, не говоря о брендах. Тем более, что изначально все работало через один IP.
Здесь вроде на хабре про политику не принято, но раз уж пошел такой разговор… Я работал в провайдерской конторе и к нам приходили… и приносили соотв. бумажки, по которым мы отрабатывали (ибо СОРМ такая штука, по крайней мере в прошлом, что если и стоит — то на половину не работает). Бумажки как положено. Не надо демонизировать. И преувеличивать технические возможности тоже не надо.
Об этом хорошо тут написано infowatch.livejournal.com/324407.html
Если бы я не раз не убеждался в верности афоризма «Глупость, а не заговор» или если более развернуто «Никогда не приписывай злонамеренности тому, что вполне объясняется глупостью; но не исключай злонамеренности» я бы топик по другому назвал. «Кровавая гебня душит интернет», например :)
Ну, точности ради, в pptp с MS-CHAPv2 вообще нет сертификатов. Это challenge-response схема. Но человек-посередине возможен. Вопрос не в технической возможности, а в сложившихся практиках, целесообразности и законности. Ну я еще понял бы, в отношении конкретного лица в силу какой-то оперативной разработки, но массово, автоматически и на потоке? Не верится. Да и незаконно это наверное было бы. В этот вариант верить не хочется.
Не исключено. Но в том виде, в каком я соприкоснулся с СОРМ-ом году так в 2007 оно это или не умело, или таких требований не было конкретно к нам. Все, что от нас требовалось — зеркалить на нужную железку трафик. Как понимаете, это не разрыв, MitM не организуешь.
А, ну да, и кэширование (а значит возможность просмотра и изучения не просто истории серфинга, но и контента) так же на пользу моей приватности и анонимности.
Кэширование зло для клиента. Уж поверьте. Резать заголовки — здорово, только это как бы не должно быть заботой провайдера. Я их, допустим, из соображений дополнительной безопасности подделал, а мне их срезали. Некоторые сайты, кстать, вообще могут не пустить в итоге. Эффективное кэширование требует хороших ресурсов. В наше время гигабитных каналов и прочего подобного это (даваемая кэшированием экономия трафика и увеличение скорости отдачи контента) неактуально даже для пионернетов. А вот в чем действительно эта технология эффективна — в журналировании, модифицировании контента и прочем подобном. Для vpn, используемого с целями анонимности и приватности не самые жизненные задачи, не находите?
Опять же, когда «деревья были большими» а контора, в которой я работал относительно мала и шла борьба за каждого клиента, логи прокси помогали понять (как один из наглядных примеров), что там у человека обновилось и съело его месячную абонентку. Одного ип и порта для этого понимания не достаточно, url тут очень кстати и не только он. Да и вообще, много случаев можно припомнить, когда это требовалось и хорошо выручало. И мы ничего не воровали :) И кстати, при общении с упр. К выручало тоже.
Одна строчка в иптаблес точно не даст того уровня логгирования, что дает прокси. Об этом и речь, что осадочек остается. А на счет защиты от спама (массовых рассылок уж точно) действительно средств того же иптаблес вполне хватит. Глубже анализа на L3-4 можно и не спускаться.
Точно, про это. Можете сказать — спасибо, кэп :)
Я вот может тупой, но я не понимаю, зачем сейчас провайдеру (любому) кэширующий прокси, кроме как для логгирования HTTP. Я работал в провайдерской конторе городского масштаба. И таки да, мы использовали кэширующий прокси. Года так до 2004. Это имело хоть какой-то смысл во времена, когда «деревья были большими», т.е. времена безлимитов только в «столицах», пользовательских ценах за трафик в районе 2 рублей за мб… эх, ностальгия. Потом отдача от этого прокси стала стремиться к нулю, а затрат он требовал, что бы тянуть нагрузку. Когда апргейды уже не помогали и надо было масштабировать, все это дело просто послали лесом. В конце-концов это просто лишняя точка отказа.
И что со спамом? Мне кажется, что это как-то странно — держать подобный сервис и потом героически пытаться защититься от, скажем так, не вполне благонадежных пользователей. Да даже если пользователь благонадежен (и наивен), он от подобного сервиса если и не ждет характеристик абозоустойчивого злосервиса, но уж на какие-то нормы приличия рассчитывает. Говоря короче — ведут netflow — пускай, но проксировать — это как-то…
Об этом хорошо тут написано infowatch.livejournal.com/324407.html
Если бы я не раз не убеждался в верности афоризма «Глупость, а не заговор» или если более развернуто «Никогда не приписывай злонамеренности тому, что вполне объясняется глупостью; но не исключай злонамеренности» я бы топик по другому назвал. «Кровавая гебня душит интернет», например :)
habrahabr.ru/post/148200/#reply
Я вот может тупой, но я не понимаю, зачем сейчас провайдеру (любому) кэширующий прокси, кроме как для логгирования HTTP. Я работал в провайдерской конторе городского масштаба. И таки да, мы использовали кэширующий прокси. Года так до 2004. Это имело хоть какой-то смысл во времена, когда «деревья были большими», т.е. времена безлимитов только в «столицах», пользовательских ценах за трафик в районе 2 рублей за мб… эх, ностальгия. Потом отдача от этого прокси стала стремиться к нулю, а затрат он требовал, что бы тянуть нагрузку. Когда апргейды уже не помогали и надо было масштабировать, все это дело просто послали лесом. В конце-концов это просто лишняя точка отказа.
И что со спамом? Мне кажется, что это как-то странно — держать подобный сервис и потом героически пытаться защититься от, скажем так, не вполне благонадежных пользователей. Да даже если пользователь благонадежен (и наивен), он от подобного сервиса если и не ждет характеристик абозоустойчивого злосервиса, но уж на какие-то нормы приличия рассчитывает. Говоря короче — ведут netflow — пускай, но проксировать — это как-то…