Cloudflare тут может только, пользуясь своим масштабом, продавить в мир более защищенный сетевой стек, в который нельзя будет инъецировать пакеты сбоку и подсмотреть доменное имя
Это только частичное и, вероятно, временное решение проблемы.
Протоколы распознают по сигнатурам - мы отвечаем обфускацией и использованием опыта наших азиатских товарищей, страдающих от той же проблемы.
Популярных хостеров начинают блокировать целыми подсетями - бегаем между хостерами (но они же не бесконечные!). Хорошей идеей кажется прикрытие в виде иностранных residential ISPs, но для этого нужны хорошие друзья-иностранцы.
Технологии овощной маршрутизации - до сих пор не побеждены в нашей стране, несмотря на все старания блокирастов. В долгосрочной перспективе это ненадёжное решение: софт открытый (блокирасты знают какой трафик искать), структура большей части сети известна. Есть связь через мосты, но часть из них задеты блокировками подсетей иностранных хостеров или их уже спарсили.
Для окончательного решения проблемы чебурнета, на мой взгляд, нужны:
конспирация (только доверенные люди, готовые вносить какой-то вклад; софт не должен быть общедоступен; структура сети не должна быть известна всем);
агрегация множества каналов связи с низкой пропускной способностью (надеемся на то, что трафик внутри чебурнета не начнут замедлять до 64 КБ/сек; распыляем трафик между участниками внутри периметра; скрытно проносим через периметр; агрегируем трафик участника на его личном выходном узле вне периметра);
маскировка не под один вид легитимного трафика, а под десятки, и регулярное правдоподобное переключение между способами маскировки.
Из-за бана Cloudflare недоступен, например, opengl.org
Из менее безобидного - перестало работать банковское приложение одного из банков стран СНГ, через который до сих пор удавалось проводить переводы в обход санкций. Откуда я знаю, что это связано именно с баном Cloudflare? В логах входов светились айпишники исключительно из их подсетей, а не мой реальный ip-адрес.
Желательно заигнорить айпишник станции, с которой ходим на vps.
Производительность может очень сильно отличаться в зависимости от способа бана. У меня fail2ban стартовал минут 5 при 1500 забаненных айпишниках с близкой к вашей конфигурацией и банами по-дефолту через rich rules, переключил на ipset - время запуска сократилось до пары секунд.
sudo dnf install fail2ban
sudo vi /etc/fail2ban/jail.local
# приводим к виду:
[DEFAULT]
bantime = 1mo
findtime = 3600
maxretry = 2
ignoreip = 127.0.0.0/8 ::1 $MY_IP
[sshd]
enabled = true
filter = sshd
mode = aggressive
port = 22
# переключаем на баны через ipset
sudo vi /etc/fail2ban/jail.d/00-firewalld.conf
# конфиг, который был у меня по-умолчанию:
[DEFAULT]
banaction = firewallcmd-rich-rules
banaction_allports = firewallcmd-rich-rules
# приводим к виду:
[DEFAULT]
banaction = firewallcmd-ipset
banaction_allports = firewallcmd-ipset
# названия действий для iptables/nftables можно подсмотреть где-то тут:
# sudo ls -la /etc/fail2ban/action.d/
# чтобы не слетало правило фильтрации по ipset при
# выполнении sudo firewall-cmd --reload
sudo vi /etc/firewalld/firewalld.conf
# находим строку
FlushAllOnReload=yes
# заменяем на
FlushAllOnReload=no
sudo systemctl restart firewalld
sudo systemctl enable --now fail2ban
sudo iptables -L
# тут увидим новое правило:
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp -- anywhere anywhere multiport dports ssh match-set f2b-sshd src reject-with icmp-port-unreachable
sudo fail2ban-client status sshd
sudo ipset list f2b-sshd
# два способа посмотреть список банов
(это на centos9 stream, но идея должна быть понятна)
+ добавил бы про отключение логина по ssh для пользователя root (как минимум)
после принятия законопроекта россияне должны будут самостоятельно сообщать своему оператору связи о желании принимать звонки из‑за границы
Чего так нерешительно? Давайте сразу белый список иностранных собеседников, добавление номера не менее чем за две недели по справке из ФСБ, по итогам звонка - письменный отчёт о содержании беседы.
А мошенники с иностранными симками как звонили, так и дальше будут звонить через мессенджеры.
Ссылки на вконтакте указаны у 4. Ссылки на телеграм - у 11. У одного указана ссылка на тикток, ещё у одного он упомянут. У 7 ссылки не указаны (они блогеры, но это не точно).
У 49 указаны ссылки на профили в инстаграме, принадлежащем Meta (признана экстремистской организацией, запрещена на территории РФ). А ведь размещая на любом ресурсе контент - эти блогеры способствуют его посещаемости, тем самым позволяя ему больше зарабатывать на рекламе. То есть имеет место опосредованное финансирование экстремистской организации?!
Зрение падало с дошкольного возраста. Со 2 класса всегда за 1-2 партой и в очках. Процентов 90 нагрузки на глаза было по учёбе, а не за компом. К 11 классу зрение около -8.5. При таком зрении даже очки с пластиковыми линзами тяжелые и постоянно натирают нос и за ушами.
Дождался, когда зрение перестанет падать. На каникулах после 4 курса универа сделал коррекцию (LASIK). Прошло больше 10 лет, зрение стабильно, хотя нагрузка на глаза - 10-12 часов в день за компом.
Мелкий недостаток - при недостаточном освещении невозможно сфокусировать взгляд на нужное расстояние. Т.е. невозможно читать при свете 20-ваттной лампочки на всю комнату или использовать ночью IDE с тёмной темой, а вокруг неярких точечных источников света в темноте видны гало (это особенно заметно первые месяцы после коррекции).
Занятно, что в ответе на ваше обращение, РКН реально сослался на некие нормы законодательства. Я им отправлял запрос вида:
"Прошу разъяснить правовые основания замедления, блокировок соединений и применения иных мер ограничения доступа в отношении интернет-ресурса https://www.youtube.com/ (включая домены, обеспечивающие доступ к информации, содержащейся на этом ресурсе - googlevideo.com, ytimg.com, youtu.be, youtubei.googleapis.com и прочие). Также прошу указать наименование органа исполнительной власти и его подразделения (если известно), принявших решение об ограничении доступа к данному интернет-ресурсу."
а в ответ получил типовую отписку:
Долго руки доходили до написания жалобы в Генпрокуратуру, а после ответа Путина во время прямой линии на вопрос Влада А4 решил, что смысла в этом никакого нет. "Гаранта Конституции" всё устраивает, "контрольно-надзорные органы" видимо тоже.
Думаю, практическую пользу принесёт разработка новых способов обхода цензуры, чем больше разных инструментов и конфигураций - тем лучше. А в правовом поле - ну пусть какие-нибудь юристы пытаются дальше бодаться с системой.
Отказ от https в общем случае неприемлем.
Тем более, я шастаю в интернете не курлом, а через браузеры, а они автоматически пытаются переключиться на https.
Время жизни человека ограничено. Глупо тратить его на ожидание в тех случаях, когда ожидания можно избежать.
Cloudflare мог бы разрешить domain fronting
Это только частичное и, вероятно, временное решение проблемы.
Протоколы распознают по сигнатурам - мы отвечаем обфускацией и использованием опыта наших азиатских товарищей, страдающих от той же проблемы.
Популярных хостеров начинают блокировать целыми подсетями - бегаем между хостерами (но они же не бесконечные!). Хорошей идеей кажется прикрытие в виде иностранных residential ISPs, но для этого нужны хорошие друзья-иностранцы.
Технологии овощной маршрутизации - до сих пор не побеждены в нашей стране, несмотря на все старания блокирастов. В долгосрочной перспективе это ненадёжное решение: софт открытый (блокирасты знают какой трафик искать), структура большей части сети известна. Есть связь через мосты, но часть из них задеты блокировками подсетей иностранных хостеров или их уже спарсили.
Для окончательного решения проблемы чебурнета, на мой взгляд, нужны:
конспирация (только доверенные люди, готовые вносить какой-то вклад; софт не должен быть общедоступен; структура сети не должна быть известна всем);
агрегация множества каналов связи с низкой пропускной способностью (надеемся на то, что трафик внутри чебурнета не начнут замедлять до 64 КБ/сек; распыляем трафик между участниками внутри периметра; скрытно проносим через периметр; агрегируем трафик участника на его личном выходном узле вне периметра);
маскировка не под один вид легитимного трафика, а под десятки, и регулярное правдоподобное переключение между способами маскировки.
Сбиваться в стаи с доверенными людьми и строить Большой Распределённый Ускоритель Связи.
Из-за бана Cloudflare недоступен, например, opengl.org
Из менее безобидного - перестало работать банковское приложение одного из банков стран СНГ, через который до сих пор удавалось проводить переводы в обход санкций. Откуда я знаю, что это связано именно с баном Cloudflare? В логах входов светились айпишники исключительно из их подсетей, а не мой реальный ip-адрес.
А смысл? РКН блокирует подключения к серверам googlevideo в Будапеште и Стокгольме. Заблокируют и к Варшаве. На законность происходящего РКН плевать.
По настройке fail2ban пара комментариев:
Желательно заигнорить айпишник станции, с которой ходим на vps.
Производительность может очень сильно отличаться в зависимости от способа бана. У меня fail2ban стартовал минут 5 при 1500 забаненных айпишниках с близкой к вашей конфигурацией и банами по-дефолту через rich rules, переключил на ipset - время запуска сократилось до пары секунд.
(это на centos9 stream, но идея должна быть понятна)
+ добавил бы про отключение логина по ssh для пользователя root (как минимум)
ОсведомиТел
Надеюсь, обычные добрые люди из банков начнут с особым остервенением осуществлять мероприятия ПОД/ФТ в отношении всех тех, кто причастен к цензуре...
Да, Силуанов в прошлом году говорил, что правительство будет продавать национализированные компании.
Чего так нерешительно? Давайте сразу белый список иностранных собеседников, добавление номера не менее чем за две недели по справке из ФСБ, по итогам звонка - письменный отчёт о содержании беседы.
А мошенники с иностранными симками как звонили, так и дальше будут звонить через мессенджеры.
(подумалось) шейпинг можно обходить распылением трафика через кучу turn серверов
Кто-нибудь, расскажите министру как идёт переход на отечественное ПО в ВТБ!
Внимание, состав этого "совета блогеров": https://sovet-blogerov.ru/uchastniki
Ссылки на вконтакте указаны у 4. Ссылки на телеграм - у 11. У одного указана ссылка на тикток, ещё у одного он упомянут. У 7 ссылки не указаны (они блогеры, но это не точно).
У 49 указаны ссылки на профили в инстаграме, принадлежащем Meta (признана экстремистской организацией, запрещена на территории РФ). А ведь размещая на любом ресурсе контент - эти блогеры способствуют его посещаемости, тем самым позволяя ему больше зарабатывать на рекламе. То есть имеет место опосредованное финансирование экстремистской организации?!
p.s. не пробивайте меня по базе, пожалуйста
Зато к letters.kremlin.ru наконец-то (!) присобачили https. Сертификат от Lets Encrypt
Зрение падало с дошкольного возраста. Со 2 класса всегда за 1-2 партой и в очках. Процентов 90 нагрузки на глаза было по учёбе, а не за компом. К 11 классу зрение около -8.5. При таком зрении даже очки с пластиковыми линзами тяжелые и постоянно натирают нос и за ушами.
Дождался, когда зрение перестанет падать. На каникулах после 4 курса универа сделал коррекцию (LASIK). Прошло больше 10 лет, зрение стабильно, хотя нагрузка на глаза - 10-12 часов в день за компом.
Мелкий недостаток - при недостаточном освещении невозможно сфокусировать взгляд на нужное расстояние. Т.е. невозможно читать при свете 20-ваттной лампочки на всю комнату или использовать ночью IDE с тёмной темой, а вокруг неярких точечных источников света в темноте видны гало (это особенно заметно первые месяцы после коррекции).
Видимо, задели самолюбие депутата
Занятно, что в ответе на ваше обращение, РКН реально сослался на некие нормы законодательства. Я им отправлял запрос вида:
"Прошу разъяснить правовые основания замедления, блокировок соединений и применения
иных мер ограничения доступа в отношении интернет-ресурса https://www.youtube.com/
(включая домены, обеспечивающие доступ к информации, содержащейся на этом ресурсе -
googlevideo.com, ytimg.com, youtu.be, youtubei.googleapis.com и прочие). Также прошу
указать наименование органа исполнительной власти и его подразделения (если известно),
принявших решение об ограничении доступа к данному интернет-ресурсу."
а в ответ получил типовую отписку:
Долго руки доходили до написания жалобы в Генпрокуратуру, а после ответа Путина во время прямой линии на вопрос Влада А4 решил, что смысла в этом никакого нет. "Гаранта Конституции" всё устраивает, "контрольно-надзорные органы" видимо тоже.
Думаю, практическую пользу принесёт разработка новых способов обхода цензуры, чем больше разных инструментов и конфигураций - тем лучше. А в правовом поле - ну пусть какие-нибудь юристы пытаются дальше бодаться с системой.