В тот момент, когда вы увидите, что PBR не работает, нужно зайти через ssh на роутер и дать команду: # nft list ruleset Изучить, имеются ли прорезолвленные ip адреса указанных сайтов в множествах ip-адресов для PBR
После этого рестартануть dnsmasq и посмотреть, изменится ли поведение, командой: # service dnsmasq restart
А кроме того убедитесь, что вы не ходите через IPv6 - вдруг он у вас есть.
Не совсем понял - это вообще не моя тема, поэтому вопрос может быть тупой. Вот вы выяснили, что кто-то накручивает клики, и что дальше делать с этой инфой. Вы же не можете предъявить это рекламной платформе и потребовать вернуть клики взад?
Что делать с теми, у кого стоит uBlock, который блокирует метрики , и что будете делать с теми, кто ваш предложенный метод обнаружения будет сносить плагином, который удаляет все обработчики на событие ухода в бэкграунд.
И отдельный вопрос. Что там предлагается делать с юзерами с чистыми куками? Просто не пускать их на сайт или что?
В России очень дешевая сотовая связь. Контракт не сможет покрыть стоимость гаджета впридачу, если бОльшая часть ежемесячного платежа не будет по сути составлять стоимость гаджета.
Главным образом потому, что я могу показать своим домочадцам как им добавить нужный домен или исключение и не вытирать им сопли платочком. Естественно поставив luci-app-acl, создав юзера, у которого есть доступ только к PBR.
Готовые списки, которые вы предоставляете - это тоже такое себе решение, так как неискушенный юзер становится рабом ваших списков )))
На мой взгляд, если я живу за пределами РФ, то вообще никому из сайтов, за редким исключением, не стоит знать, что подключение выполняется извне. Плюс ко всему - у вас в списке для outside вообще нет ни одного домена .рф
Короче говоря, решение ваше я не критикую - оно, как вы правильно заметили, реализуется ровно через те же самые базовые механизмы, но слишком негибко для обычного юзера. Может быть, если б у меня был роутер с 32 Мб флэша, на котором стояла бы сборка OpenWRT без luci, то там выбора большого нет - консоль да и только.
Кстати, задача залогиниться программой на госуслуги, зная логин/пароль и даже OTP, не тривиальная - у Госуслуг стоит защита от этого по типу как Cloudflare проверяет, что заходят именно браузером.
По-моему, это больше классическая шапочка из фольги. Если бы автор провел нормальное исследование, сделал бы MITM, убедился бы, что он не имеет дело с OAuth, то можно было бы что-то обсуждать.
wg - это же обычная программа, а не какая-то магическая утилита. Если она умеет конфигурить wg-интерфейсы, значит можно написать свою программу, которая будет делать это так, как надо вам.
systemd-networkd именно по такому пути и пошел: вместо использования wg, он дёргает напрямую ядро для конфигурации сетевых интерфейсов тех типов, которые он поддерживает.
Для конфигурации сетевой подсистемы в Linux используются Netlink-сокеты. Как с ними работает утилита wg можно посмотреть в исходниках wg. Соответственно, для конфигурации awg используются похожие сообщения, но со своей "сигнатурой".
Ну нужно научить systemd-networkd дёргать Netlink-вызовы Амнезии, а не обычного WireGuard'а. Он же не использует для конфигурации команду wg, а напрямую обращается к netlink-сокету.
Если бы автор кода скормил бы в isalnum число из диапазона "значение которого должно помещаться в unsigned char, или же равняться значению макроса EOF", то никакой проблемы бы не было. А segfault случился из-за того, что в int залетело число, не попадающее в этот диапазон. А как оно могло туда попасть? Очень просто - до этого были операции с wide char'ами, в результате которых родился wchar_t, который под линуксом представляет собой UCS-32 - его-то и скормили в isalnum.
Это какой-то некропостинг, и я не буду заново читать пост и въезжать в тему, но на сколько я бегло посмотрел - у автора там linux, а на linux там UCS-32. Стало быть, я ответил, имея ввиду то, с чем он реально имеет дело.
И чтобы там в стандарте не было написано, полагаю, что вы не станете спорить с тем, что для wide char'ов надо юзать iswalnum, а не isalnum?
В тот момент, когда вы увидите, что PBR не работает, нужно зайти через ssh на роутер и дать команду:
# nft list ruleset
Изучить, имеются ли прорезолвленные ip адреса указанных сайтов в множествах ip-адресов для PBR
После этого рестартануть dnsmasq и посмотреть, изменится ли поведение, командой:
# service dnsmasq restart
А кроме того убедитесь, что вы не ходите через IPv6 - вдруг он у вас есть.
Не совсем понял - это вообще не моя тема, поэтому вопрос может быть тупой. Вот вы выяснили, что кто-то накручивает клики, и что дальше делать с этой инфой. Вы же не можете предъявить это рекламной платформе и потребовать вернуть клики взад?
Что делать с теми, у кого стоит uBlock, который блокирует метрики , и что будете делать с теми, кто ваш предложенный метод обнаружения будет сносить плагином, который удаляет все обработчики на событие ухода в бэкграунд.
И отдельный вопрос. Что там предлагается делать с юзерами с чистыми куками? Просто не пускать их на сайт или что?
"Скоро всей вашей Америке кирдык" (с)
В России очень дешевая сотовая связь. Контракт не сможет покрыть стоимость гаджета впридачу, если бОльшая часть ежемесячного платежа не будет по сути составлять стоимость гаджета.
Главным образом потому, что я могу показать своим домочадцам как им добавить нужный домен или исключение и не вытирать им сопли платочком. Естественно поставив luci-app-acl, создав юзера, у которого есть доступ только к PBR.
Готовые списки, которые вы предоставляете - это тоже такое себе решение, так как неискушенный юзер становится рабом ваших списков )))
На мой взгляд, если я живу за пределами РФ, то вообще никому из сайтов, за редким исключением, не стоит знать, что подключение выполняется извне. Плюс ко всему - у вас в списке для outside вообще нет ни одного домена .рф
Короче говоря, решение ваше я не критикую - оно, как вы правильно заметили, реализуется ровно через те же самые базовые механизмы, но слишком негибко для обычного юзера. Может быть, если б у меня был роутер с 32 Мб флэша, на котором стояла бы сборка OpenWRT без luci, то там выбора большого нет - консоль да и только.
Кстати, задача залогиниться программой на госуслуги, зная логин/пароль и даже OTP, не тривиальная - у Госуслуг стоит защита от этого по типу как Cloudflare проверяет, что заходят именно браузером.
Как вы определили, что BalancePay посылает пароль на свой сервер, а не на Госуслуги?
Просто недавно столкнулся с таким же чуваком в каком-то чате телеги. Он втирал такую же фигню про ГосУслуги дом.
По-моему, это больше классическая шапочка из фольги. Если бы автор провел нормальное исследование, сделал бы MITM, убедился бы, что он не имеет дело с OAuth, то можно было бы что-то обсуждать.
Это приложение - Госуслуги.ДОМ?
Это какой-то.... Позор
Ничего не мешает сделать это самому и послать им pull request )
wg - это же обычная программа, а не какая-то магическая утилита. Если она умеет конфигурить wg-интерфейсы, значит можно написать свою программу, которая будет делать это так, как надо вам.
systemd-networkd именно по такому пути и пошел: вместо использования wg, он дёргает напрямую ядро для конфигурации сетевых интерфейсов тех типов, которые он поддерживает.
Для конфигурации сетевой подсистемы в Linux используются Netlink-сокеты. Как с ними работает утилита wg можно посмотреть в исходниках wg. Соответственно, для конфигурации awg используются похожие сообщения, но со своей "сигнатурой".
Ну нужно научить systemd-networkd дёргать Netlink-вызовы Амнезии, а не обычного WireGuard'а. Он же не использует для конфигурации команду wg, а напрямую обращается к netlink-сокету.
Осталось systemd-networkd подружить с amneziawg также как он дружит с обычным wg. И будет счастье )
Если бы автор кода скормил бы в isalnum число из диапазона "значение которого должно помещаться в unsigned char, или же равняться значению макроса EOF", то никакой проблемы бы не было. А segfault случился из-за того, что в int залетело число, не попадающее в этот диапазон. А как оно могло туда попасть? Очень просто - до этого были операции с wide char'ами, в результате которых родился wchar_t, который под линуксом представляет собой UCS-32 - его-то и скормили в isalnum.
Это какой-то некропостинг, и я не буду заново читать пост и въезжать в тему, но на сколько я бегло посмотрел - у автора там linux, а на linux там UCS-32. Стало быть, я ответил, имея ввиду то, с чем он реально имеет дело.
И чтобы там в стандарте не было написано, полагаю, что вы не станете спорить с тем, что для wide char'ов надо юзать iswalnum, а не isalnum?
И на Луну могли слетать, только внезапно стало не интересно. И реактор точно такой же, но другой, и не построили. Советы всему голова.
Книга как фикшн, норм, но назвать её настольной книгой хакера - бред. "Полный root", ИМХО, больше в эту сторону.
удалено, дубль