А в свежем OpenWrt PBR умеет работать через ipset? Не проверял, если умеет, то замечательно - не понятно только для чего в тикете народ тогда так изголялся.
С ним есть проблема, которая заключается в том, что AdGuard Home не умеет в nft set. В тиките описан сетап, в котором AdGuard Home резолвит через локально запущенный dnsmasq, который формирует уже nft set. Попробуйте сделать так же.
Во-первых, статья - перевод. Не стреляйте в толмача и не варите его в кипятке!
Во-вторых, в статье добрая её часть посвящена кейсу домена .su. Статью не читай, быстрее камент пиши? )
На сколько я понимаю, с .su применяется идея, что закон обратной силы не имеет. Не было таких правил на момент развала. И задним числом их не форсят поэтому.
В тот момент, когда вы увидите, что PBR не работает, нужно зайти через ssh на роутер и дать команду: # nft list ruleset Изучить, имеются ли прорезолвленные ip адреса указанных сайтов в множествах ip-адресов для PBR
После этого рестартануть dnsmasq и посмотреть, изменится ли поведение, командой: # service dnsmasq restart
А кроме того убедитесь, что вы не ходите через IPv6 - вдруг он у вас есть.
Не совсем понял - это вообще не моя тема, поэтому вопрос может быть тупой. Вот вы выяснили, что кто-то накручивает клики, и что дальше делать с этой инфой. Вы же не можете предъявить это рекламной платформе и потребовать вернуть клики взад?
Что делать с теми, у кого стоит uBlock, который блокирует метрики , и что будете делать с теми, кто ваш предложенный метод обнаружения будет сносить плагином, который удаляет все обработчики на событие ухода в бэкграунд.
И отдельный вопрос. Что там предлагается делать с юзерами с чистыми куками? Просто не пускать их на сайт или что?
В России очень дешевая сотовая связь. Контракт не сможет покрыть стоимость гаджета впридачу, если бОльшая часть ежемесячного платежа не будет по сути составлять стоимость гаджета.
Главным образом потому, что я могу показать своим домочадцам как им добавить нужный домен или исключение и не вытирать им сопли платочком. Естественно поставив luci-app-acl, создав юзера, у которого есть доступ только к PBR.
Готовые списки, которые вы предоставляете - это тоже такое себе решение, так как неискушенный юзер становится рабом ваших списков )))
На мой взгляд, если я живу за пределами РФ, то вообще никому из сайтов, за редким исключением, не стоит знать, что подключение выполняется извне. Плюс ко всему - у вас в списке для outside вообще нет ни одного домена .рф
Короче говоря, решение ваше я не критикую - оно, как вы правильно заметили, реализуется ровно через те же самые базовые механизмы, но слишком негибко для обычного юзера. Может быть, если б у меня был роутер с 32 Мб флэша, на котором стояла бы сборка OpenWRT без luci, то там выбора большого нет - консоль да и только.
Кстати, задача залогиниться программой на госуслуги, зная логин/пароль и даже OTP, не тривиальная - у Госуслуг стоит защита от этого по типу как Cloudflare проверяет, что заходят именно браузером.
По-моему, это больше классическая шапочка из фольги. Если бы автор провел нормальное исследование, сделал бы MITM, убедился бы, что он не имеет дело с OAuth, то можно было бы что-то обсуждать.
wg - это же обычная программа, а не какая-то магическая утилита. Если она умеет конфигурить wg-интерфейсы, значит можно написать свою программу, которая будет делать это так, как надо вам.
systemd-networkd именно по такому пути и пошел: вместо использования wg, он дёргает напрямую ядро для конфигурации сетевых интерфейсов тех типов, которые он поддерживает.
Для конфигурации сетевой подсистемы в Linux используются Netlink-сокеты. Как с ними работает утилита wg можно посмотреть в исходниках wg. Соответственно, для конфигурации awg используются похожие сообщения, но со своей "сигнатурой".
Самый правильный enter, так как над ним самый правильный слэш/пайп. Для прогеров это важно. Геймерам, наверное, пофиг.
Видимо, речь про оплату обычной банковской картой
Привет! А куда пропало приложение с Google Play?
В общем если умеет, то на страничке PBR в этом (https://habrastorage.org/r/w1560/getpro/habr/upload_files/719/002/c67/719002c6790eb3e2e3a2d43b89832d7a.png) месте появится в дропдауне adguard home
А в свежем OpenWrt PBR умеет работать через ipset? Не проверял, если умеет, то замечательно - не понятно только для чего в тикете народ тогда так изголялся.
С ним есть проблема, которая заключается в том, что AdGuard Home не умеет в nft set. В тиките описан сетап, в котором AdGuard Home резолвит через локально запущенный dnsmasq, который формирует уже nft set. Попробуйте сделать так же.
Во-первых, статья - перевод. Не стреляйте в толмача и не варите его в кипятке!
Во-вторых, в статье добрая её часть посвящена кейсу домена .su. Статью не читай, быстрее камент пиши? )
На сколько я понимаю, с .su применяется идея, что закон обратной силы не имеет. Не было таких правил на момент развала. И задним числом их не форсят поэтому.
В тот момент, когда вы увидите, что PBR не работает, нужно зайти через ssh на роутер и дать команду:
# nft list ruleset
Изучить, имеются ли прорезолвленные ip адреса указанных сайтов в множествах ip-адресов для PBR
После этого рестартануть dnsmasq и посмотреть, изменится ли поведение, командой:
# service dnsmasq restart
А кроме того убедитесь, что вы не ходите через IPv6 - вдруг он у вас есть.
Не совсем понял - это вообще не моя тема, поэтому вопрос может быть тупой. Вот вы выяснили, что кто-то накручивает клики, и что дальше делать с этой инфой. Вы же не можете предъявить это рекламной платформе и потребовать вернуть клики взад?
Что делать с теми, у кого стоит uBlock, который блокирует метрики , и что будете делать с теми, кто ваш предложенный метод обнаружения будет сносить плагином, который удаляет все обработчики на событие ухода в бэкграунд.
И отдельный вопрос. Что там предлагается делать с юзерами с чистыми куками? Просто не пускать их на сайт или что?
"Скоро всей вашей Америке кирдык" (с)
В России очень дешевая сотовая связь. Контракт не сможет покрыть стоимость гаджета впридачу, если бОльшая часть ежемесячного платежа не будет по сути составлять стоимость гаджета.
Главным образом потому, что я могу показать своим домочадцам как им добавить нужный домен или исключение и не вытирать им сопли платочком. Естественно поставив luci-app-acl, создав юзера, у которого есть доступ только к PBR.
Готовые списки, которые вы предоставляете - это тоже такое себе решение, так как неискушенный юзер становится рабом ваших списков )))
На мой взгляд, если я живу за пределами РФ, то вообще никому из сайтов, за редким исключением, не стоит знать, что подключение выполняется извне. Плюс ко всему - у вас в списке для outside вообще нет ни одного домена .рф
Короче говоря, решение ваше я не критикую - оно, как вы правильно заметили, реализуется ровно через те же самые базовые механизмы, но слишком негибко для обычного юзера. Может быть, если б у меня был роутер с 32 Мб флэша, на котором стояла бы сборка OpenWRT без luci, то там выбора большого нет - консоль да и только.
Кстати, задача залогиниться программой на госуслуги, зная логин/пароль и даже OTP, не тривиальная - у Госуслуг стоит защита от этого по типу как Cloudflare проверяет, что заходят именно браузером.
Как вы определили, что BalancePay посылает пароль на свой сервер, а не на Госуслуги?
Просто недавно столкнулся с таким же чуваком в каком-то чате телеги. Он втирал такую же фигню про ГосУслуги дом.
По-моему, это больше классическая шапочка из фольги. Если бы автор провел нормальное исследование, сделал бы MITM, убедился бы, что он не имеет дело с OAuth, то можно было бы что-то обсуждать.
Это приложение - Госуслуги.ДОМ?
Это какой-то.... Позор
Ничего не мешает сделать это самому и послать им pull request )
wg - это же обычная программа, а не какая-то магическая утилита. Если она умеет конфигурить wg-интерфейсы, значит можно написать свою программу, которая будет делать это так, как надо вам.
systemd-networkd именно по такому пути и пошел: вместо использования wg, он дёргает напрямую ядро для конфигурации сетевых интерфейсов тех типов, которые он поддерживает.
Для конфигурации сетевой подсистемы в Linux используются Netlink-сокеты. Как с ними работает утилита wg можно посмотреть в исходниках wg. Соответственно, для конфигурации awg используются похожие сообщения, но со своей "сигнатурой".