Я бы настороженно относился ко всем этим "белым VPN". Это похоже на робкие попытки и поиск подхода к чебурнетизации "домашнего" интернета. Ещё не "белый список", но уже подконтрольный канал связи.
Галочка "оригинал" и "сертификат качества" давно не являются гарантией качества или вменяемого сервиса.
С каких пор "я так делал и ничё не было" является аргументом? А я делал и у меня чёто было. Покупал тренажер в магазине за 70к. По акции под новый год была отличная цена. Без полной сборки не узнаешь работает он или нет. После сборки выяснилось, что эл.двигатель не работает в нужном режиме. Я связался с магазином и мне привезли новый, а неисправный забрали. Понятия не имею какой продавец на МП под новый год сделал бы также без многочасовой изматывающей переписки. Я не готов к пердолингу типа вскрытия на МП под камеру, рассматривания с лупой и стресс-тестам.
Интернет полон историй покупок на МП и когда что-то случилось покупатель остался наедине с трамваем, который ходит по кругу "МП" -- "Продавец".
Теперь экстраполируйте этот опыт на крупную/дорогую технику. "Хороший продавец" с МП отправил "холодильник" из Москвы в Астрахань. Вы его включаете, а он не "холодит". Или перестал "холодить" через год при гарантии в пять лет. Удачной переписки.
это киллер-фича магазинов по сравнению с МП + работа с понятным юрлицом и обязательствами. МП прикольно пока ни разу не приходилось воспользоваться гарантийным случаем. На магазин можно даже в суд подать и выиграть. МП же заявит, что они площадка без обязательств, разбирайтесь с продавцом "ИП Залупкин".
Зачем этот Fail2ban во все обзоры пихают для "защиты SSH"...
Мало того, что начиная с версии OpenSSH 9.8 появился встроенный механизм защиты от брутфорса и DDoS-атак. Так ещё одна строчка в конфиге AllowUsers username обломает ботов с порога.
Дурка какая-то + вопиющая некомпетентность. Вы на полном серьёзе сейчас это умозаключение выдали или это пранк, вышедший из-под контроля? Комментировать только портить.
Вы чушь какую-то пишете без понимая матчасти. DDoS в общем понимании это утилизация ресурсов сервера для обработки клиентского запроса. И "атакой" это выглядит только для владельца сервиса, но не для провайдера.
Например запрос страницы миллионом устройств (ПК, телефон, эл.чайник). Сервер не может обработать такое количество и "зависает". Но миллион запросов к VK, Rutube, Сбер серверы обработать в состоянии. Это можно считать DDoS по вашему мнению? Это ведь миллион запросов к сайту vk.com
curl -I https://example.com это по вашему легитимный запрос? А если раз в секунду? А с миллиона устройств? А как их отличить, если исходящий трафик на аплинках провайдера десятки (а где-то и сотни) гигабит в секунду.
А если камеры "домашние няни" шлют данные с миллионов устройств на облачные сервера, то это DDoS-атака? Или кого назначили те и DDoS?
Может быть вы подразумеваете, что DDoS = трафик? Тоже мимо. Пользователи скачивают игры из всяких стимов\пользуются торрентами и утилизирую тариф на 100%. Это легитимный трафик или надо заблокировать?
"поломать" это как? если с адреса приходят легитимные запросы, пусть и "частые" типа сканирования портов/парсинга (хотя этого провайдеры и не любят) это не считается не легитимным (вредоносным) трафиком. Отправили клиенту уведомление "проверьте свою систему на вас поступают жалобы" и чаще всего для домашнего пользователя на этом всё. Или по вашему на каждую жалобу будут отключать клиента и вызывать полицию? Как реагируют хостинги/VPS-провайдеры я не знаю (зависит от внутренней политики, наверное). На нетипичные всплески/поведение из автономной системы всегда идёт реакция, зачастую проактивная
Чтобы узнать IP абонента адреса достаточно зайти на любой LookigGlass или whois IP и увидеть принадлежность IP к провайдеру (к автономной системе, она же AS), далее пишется abuse жалоба провайдеру (владельцу автономной системы) и он сам уже разбирается на своей сети с источником паразитного трафика. Противодействие DDoS-атакам осуществляется с помощью NGFW (как по вашему с DDoS боролись без РКН?).
Ничто из этого не требует передачи сведений об IP адресах в РКН, потому что принадлежность к AS у них и так есть.
А если пользователь (что почти всегда для домашнего абонента или клиента мобильной связи) за CGNAT провайдера, то тогда как вы собрались находить "злоумышленника"? За одним IP может находится сотня абонентов. А "серый" адрес выдаётся по DHCP внутри провайдера.
Скорее всего это превентивная мера для борьбы с VPN. После анонса платы за зарубежный трафик (но приостановки внедрения до выборов электоральной процедуры) владельцы начали скупать сервера для так называемых каскадных VPN. Но зарубить полностью зарубежный трафик не могут, т.к. самим тоже нужен.
PS Мда, в статье эксперты так эксперты. Такие оправдают любую дичь.
Мне кажется, что вы не будете отрицать, что в настоящее время есть практика "посадок за лайки". Хованский тоже думал, мол какой-то интернет-дурачок что-то там сказал на стриме, кому какая разница. Ан нет.
Лучше перебдеть, чем недобдеть и не давать госмашине лишнего повода и возможности
Использование reverse SSH tunnel для media relay выглядит архитектурно сомнительно. SSH не предназначен для high-throughput persistent streaming:
- TCP-over-TCP, - Дополнительный crypto overhead - Проблемы с MTU - Деградация under packet loss
Для подобных сценариев сегодня обычно используют WireGuard-based overlays: NetBird, Tailscale, ZeroTier и т.д.
Создаётся ощущение, что материал собран без понимания transport/network-level последствий предложенной схемы. ИИ здесь не проблема сам по себе — проблема в отсутствии инженерной валидации сгенерированного текста.
сказать по существу нечего вот и прицепились к “нейрослопу”
Претензии к материалу на самом деле имеются: может быть поясните зачем вы используете SSH-туннель для того чтобы гонять медиа-трафик? Помимо избыточного оверхеда и проблем с MTU вы еще можете подставить пользователя под блокировку со стороны ТСПУ из-за такого поведения. Данный протокол даже близко не для этого (название как бы намекает). И для решения конкретно этой проблемы лучше использовать что-то типа NetBird или Pangolin, Tailscale / ZeroTier.
Но какой в этом смысл, если вы выступаете в качестве посредника между читателем и GPT. На мои вопросы всё равно ответ будет сгенерирован нейросетью или фаталити-ответ: "это для новичков" / "я так вижу".
Использование нейросетей само по себе не плохо, если вы хотите разобраться в теме глубже, сделать анализ, проверить гипотезы, провести тестирование, получить результат. Но если без понимания материала генерируете нейрослоп говорит только о том, что вы не знаете предметную область, и писать "туториалы" (ещё и не правильные) — не ваш уровень.
Раньше копирайтеры "наливали воды" переписывая чужие статьи, теперь генерируют тонны мусора. Кстати на одном из форумов для копирайтеров видел тему "Должен ли копирайтер разбираться в теме о которой пишет". Были жаркие споры и пришли к выводу, что пока платят за объём и SEO, разбираться в теме необязательно.
Вот тоже не пойму, нахрена орать на всю Ивановскую?
А как по вашему происходят блокировки? С бюджетом в 60 млрд и карт-бланшем от президента РКН сидит гуглит, читает форумы и паблики? Или всё-таки способен нанять высококвалифицированных инженеров?
Меня вот это желание иметь "хату с краю" неприятно поражает. Общество и так достаточно атомизировано
дальнейшая настройка по сравнению с микротиком, небо и земля
Например какая? Мне кажется, что вы высасываете проблему из пальца. Единственная проблема которую я ещё могу объективно принять, это установка VPN клиента на роутер. На микротике это нетривиальная задача, если не использовать встроенные.
Проще один раз запарится и по гайду поставить OpenWRT
Это если устройство поддерживается и ревизия подходит, выяснение этого превращается в отдельный квест (иногда с вскрытием роутера).
Для безболезненного OpenWRT нужно использовать мини-роутеры типа NanoPi R2S, а домашний роутер как среда передачи данных. Оверпрайснутые Кинетики и остальной SOHO 6G хлам это для любителей БДСМ.
Что за дичь? Чтобы установить OpenWRT надо знать модель процессора, ревизию, чтобы было достаточно места на флешке, пердолинг с заливкой прошивки на устройство (сервисный режим). Не говоря уже о том, что в процессе роутер может окирпичиться.
В МикроТик уже давно есть Quick Set > Home AP. Три кнопки нажать. С поддержкой устройств 10 летней давности. Обновление одной кнопкой. Минусы только: надо настроить файрволл (можно загуглить) и модели с антеннами всё-таки дороговаты
не откажутся, т.к. страна большая и в ней полно мест куда кабель не дотягивается. Мобильный интернет остаётся чуть ли единственным вариантом иметь источник информации отличный от телевизора.
Я бы настороженно относился ко всем этим "белым VPN". Это похоже на робкие попытки и поиск подхода к чебурнетизации "домашнего" интернета. Ещё не "белый список", но уже подконтрольный канал связи.
Галочка "оригинал" и "сертификат качества" давно не являются гарантией качества или вменяемого сервиса.
С каких пор "я так делал и ничё не было" является аргументом? А я делал и у меня чёто было. Покупал тренажер в магазине за 70к. По акции под новый год была отличная цена. Без полной сборки не узнаешь работает он или нет. После сборки выяснилось, что эл.двигатель не работает в нужном режиме. Я связался с магазином и мне привезли новый, а неисправный забрали. Понятия не имею какой продавец на МП под новый год сделал бы также без многочасовой изматывающей переписки. Я не готов к пердолингу типа вскрытия на МП под камеру, рассматривания с лупой и стресс-тестам.
Интернет полон историй покупок на МП и когда что-то случилось покупатель остался наедине с трамваем, который ходит по кругу "МП" -- "Продавец".
Теперь экстраполируйте этот опыт на крупную/дорогую технику. "Хороший продавец" с МП отправил "холодильник" из Москвы в Астрахань. Вы его включаете, а он не "холодит". Или перестал "холодить" через год при гарантии в пять лет. Удачной переписки.
это киллер-фича магазинов по сравнению с МП + работа с понятным юрлицом и обязательствами. МП прикольно пока ни разу не приходилось воспользоваться гарантийным случаем. На магазин можно даже в суд подать и выиграть. МП же заявит, что они площадка без обязательств, разбирайтесь с продавцом "ИП Залупкин".
Зачем этот Fail2ban во все обзоры пихают для "защиты SSH"...
Мало того, что начиная с версии OpenSSH 9.8 появился встроенный механизм защиты от брутфорса и DDoS-атак. Так ещё одна строчка в конфиге
AllowUsers usernameобломает ботов с порога.Ещё и новость уровня "Юлия Якубеня уронила отварную сосиску"
Дурка какая-то + вопиющая некомпетентность. Вы на полном серьёзе сейчас это умозаключение выдали или это пранк, вышедший из-под контроля? Комментировать только портить.
Вы чушь какую-то пишете без понимая матчасти. DDoS в общем понимании это утилизация ресурсов сервера для обработки клиентского запроса. И "атакой" это выглядит только для владельца сервиса, но не для провайдера.
Например запрос страницы миллионом устройств (ПК, телефон, эл.чайник). Сервер не может обработать такое количество и "зависает". Но миллион запросов к VK, Rutube, Сбер серверы обработать в состоянии. Это можно считать DDoS по вашему мнению? Это ведь миллион запросов к сайту vk.com
curl -Ihttps://example.comэто по вашему легитимный запрос? А если раз в секунду? А с миллиона устройств? А как их отличить, если исходящий трафик на аплинках провайдера десятки (а где-то и сотни) гигабит в секунду.А если камеры "домашние няни" шлют данные с миллионов устройств на облачные сервера, то это DDoS-атака? Или кого назначили те и DDoS?
Может быть вы подразумеваете, что DDoS = трафик? Тоже мимо. Пользователи скачивают игры из всяких стимов\пользуются торрентами и утилизирую тариф на 100%. Это легитимный трафик или надо заблокировать?
"поломать" это как? если с адреса приходят легитимные запросы, пусть и "частые" типа сканирования портов/парсинга (хотя этого провайдеры и не любят) это не считается не легитимным (вредоносным) трафиком. Отправили клиенту уведомление "проверьте свою систему на вас поступают жалобы" и чаще всего для домашнего пользователя на этом всё. Или по вашему на каждую жалобу будут отключать клиента и вызывать полицию? Как реагируют хостинги/VPS-провайдеры я не знаю (зависит от внутренней политики, наверное). На нетипичные всплески/поведение из автономной системы всегда идёт реакция, зачастую проактивная
Чего, ятЪ?
Чтобы узнать IP абонента адреса достаточно зайти на любой LookigGlass или whois IP и увидеть принадлежность IP к провайдеру (к автономной системе, она же AS), далее пишется abuse жалоба провайдеру (владельцу автономной системы) и он сам уже разбирается на своей сети с источником паразитного трафика. Противодействие DDoS-атакам осуществляется с помощью NGFW (как по вашему с DDoS боролись без РКН?).
Ничто из этого не требует передачи сведений об IP адресах в РКН, потому что принадлежность к AS у них и так есть.
А если пользователь (что почти всегда для домашнего абонента или клиента мобильной связи) за CGNAT провайдера, то тогда как вы собрались находить "злоумышленника"? За одним IP может находится сотня абонентов. А "серый" адрес выдаётся по DHCP внутри провайдера.
Скорее всего это превентивная мера для борьбы с VPN. После анонса платы за зарубежный трафик (но приостановки внедрения до
выборовэлекторальной процедуры) владельцы начали скупать сервера для так называемых каскадных VPN. Но зарубить полностью зарубежный трафик не могут, т.к. самим тоже нужен.PS Мда, в статье эксперты так эксперты. Такие оправдают любую дичь.
Кто "мы"? Пользователи хабра стали вашей личной армией? Я не нуждаюсь в покачивании ЧСВ написанием нейрослопа ради плюсиков.
Какая mesh-сеть? Какой координационный сервер? Какая чушь!
sudo apt get install netbirdПуговицы какие-то... Посчитайте лучше человеко-часы =)
PS Беседа зашла в тупик. Всего хорошего.
Мне кажется, что вы не будете отрицать, что в настоящее время есть практика "посадок за лайки". Хованский тоже думал, мол какой-то интернет-дурачок что-то там сказал на стриме, кому какая разница. Ан нет.
Лучше перебдеть, чем недобдеть и не давать госмашине лишнего повода и возможности
У меня нет проблем с самооценкой, и циферки под комментариями для меня не имеют значения. Сегодня -8, завтра +8.
Фаталити-ответ: “я так вижу”. Начать с Nextcloud и закончить "просто включить бойлер". Поясните пожалуйста зачем весь этот пердолинг вместо:
sudo apt get install netbirdВы и штаны можете через голову надевать
https://habr.com/ru/articles/1038422/
Видимо это ваш брат-близнец с такой же проблемой и такими же аргументами целесообразности такой схемы
Использование reverse SSH tunnel для media relay выглядит архитектурно сомнительно. SSH не предназначен для high-throughput persistent streaming:
- TCP-over-TCP,
- Дополнительный crypto overhead
- Проблемы с MTU
- Деградация under packet loss
Для подобных сценариев сегодня обычно используют WireGuard-based overlays: NetBird, Tailscale, ZeroTier и т.д.
Создаётся ощущение, что материал собран без понимания transport/network-level последствий предложенной схемы. ИИ здесь не проблема сам по себе — проблема в отсутствии инженерной валидации сгенерированного текста.
Претензии к материалу на самом деле имеются: может быть поясните зачем вы используете SSH-туннель для того чтобы гонять медиа-трафик? Помимо избыточного оверхеда и проблем с MTU вы еще можете подставить пользователя под блокировку со стороны ТСПУ из-за такого поведения. Данный протокол даже близко не для этого (название как бы намекает). И для решения конкретно этой проблемы лучше использовать что-то типа NetBird или Pangolin, Tailscale / ZeroTier.
Но какой в этом смысл, если вы выступаете в качестве посредника между читателем и GPT. На мои вопросы всё равно ответ будет сгенерирован нейросетью или фаталити-ответ: "это для новичков" / "я так вижу".
Использование нейросетей само по себе не плохо, если вы хотите разобраться в теме глубже, сделать анализ, проверить гипотезы, провести тестирование, получить результат. Но если без понимания материала генерируете нейрослоп говорит только о том, что вы не знаете предметную область, и писать "туториалы" (ещё и не правильные) — не ваш уровень.
Раньше копирайтеры "наливали воды" переписывая чужие статьи, теперь генерируют тонны мусора. Кстати на одном из форумов для копирайтеров видел тему "Должен ли копирайтер разбираться в теме о которой пишет". Были жаркие споры и пришли к выводу, что пока платят за объём и SEO, разбираться в теме необязательно.
Это ваши домыслы или официальная услуга? Я кроме платных
менторовинфоцыган с сомнительными регалиями от мира HR там не видел.Всё с вами понятно
А как по вашему происходят блокировки? С бюджетом в 60 млрд и карт-бланшем от президента РКН сидит гуглит, читает форумы и паблики? Или всё-таки способен нанять высококвалифицированных инженеров?
Меня вот это желание иметь "хату с краю" неприятно поражает. Общество и так достаточно атомизировано
Например какая? Мне кажется, что вы высасываете проблему из пальца. Единственная проблема которую я ещё могу объективно принять, это установка VPN клиента на роутер. На микротике это нетривиальная задача, если не использовать встроенные.
Это если устройство поддерживается и ревизия подходит, выяснение этого превращается в отдельный квест (иногда с вскрытием роутера).
Для безболезненного OpenWRT нужно использовать мини-роутеры типа NanoPi R2S, а домашний роутер как среда передачи данных. Оверпрайснутые Кинетики и остальной SOHO 6G хлам это для любителей БДСМ.
Что за дичь? Чтобы установить OpenWRT надо знать модель процессора, ревизию, чтобы было достаточно места на флешке, пердолинг с заливкой прошивки на устройство (сервисный режим). Не говоря уже о том, что в процессе роутер может окирпичиться.
В МикроТик уже давно есть Quick Set > Home AP. Три кнопки нажать. С поддержкой устройств 10 летней давности. Обновление одной кнопкой. Минусы только: надо настроить файрволл (можно загуглить) и модели с антеннами всё-таки дороговаты
не откажутся, т.к. страна большая и в ней полно мест куда кабель не дотягивается. Мобильный интернет остаётся чуть ли единственным вариантом иметь источник информации отличный от телевизора.