В Flappy Bird Foundation сообщили, что выкупили все права на игру.
Нет, они подали заявление в патентное бюро, что торговая марка не используется, бюро это подтвердило без ответчика (оригинального автора Flappy Bird, Dong Nguyen), а после Gametech Holdings LLC заново зарегистрировали торговую марку за собой.
Профиль ИБ настолько широкий, что я затрудняюсь представить, о поиске специалистов какого конкретно направления он говорит. Может быть SOC, может аудиторов, может ещё кого.
Можно поднять 6to4-туннель, если у вас пингуется IPv4-адрес 192.88.99.1. Алгоритм примерно такой же, только в качестве IP-адреса remote указываем 192.88.99.1, а в качестве IPv6-адресов используем рассчитанный из вашего IPv4-адреса.
6to4 давно deprecated, поэтому работать может не везде. Кроме того, клиентам локальной сети необходимо раздавать какой-либо публичный диапазон (можно 2001:0DB8::/32, зарезервированный для документации и примеров), иначе он почти никогда не будет использоваться из-за низкого приоритета 6to4-адресов (ниже, чем у IPv4). Для раздачи придётся использовать one-to-one NAT (без состояния и трансляции портов).
Вторая причина — .deb-пакеты в Debian сжаты lzma (xz), и распаковываются не только долго, но еще и в один поток. Современные версии Ubuntu используют zstd с многопотоковым распаковщиком, но не Debian. Исправить можно кастомным dpkg, запускающим pixz отдельным процессом, но решение не идеальное.
Можно поднять 6to4-туннель, если у вас пингуется IPv4-адрес 192.88.99.1. Алгоритм примерно такой же, только в качестве IP-адреса remote указываем 192.88.99.1, а в качестве IPv6-адресов используем рассчитанный из вашего IPv4-адреса.
В прошлом месяце потратил некоторое время на отладку загадочных проблем с протоколами автоматического обнаружения через Wi-Fi: проблема была в старом маршрутизаторе, или, точнее, несовместимости (предположительно глючной) прошивки/чипа Wi-Fi маршрутизатора и чипа Wi-Fi устройства.
Если ваш принтер постоянно подключен к сети (и вы это видите в веб-интерфейсе роутера), но его обнаружение в сети работает только ровно 1 час, 1 день или другое круглое время, попробуйте:
Проверить маршрутизатор на наличие опции мультикаста и IGMP Snooping
Сменить режим безопасности Wi-Fi на "WPA-PSK/WPA2-PSK Mixed"
Отключить смену ключа GTK (группового ключа)
Создать отдельную (но не изолированную) сеть только для принтера
Протоколы автоматического обнаружения (mDNS/DNS-SD) используют мультикаст, который работает не так тривиально через Wi-Fi по сравнению с проводной сетью.
Wi-Fi использует разные алгоритмы шифрования и разные ключи шифрования для юникаст и широковещательного/мультикаст-трафика: индивидуальные ключи шифрования для каждого клиента для обычного юникаст-трафика (pairwise key) и отдельный общий ключ шифрования для группового трафика (group key) для броадкаст и мультикаст-трафика.
Оказывается, при некоторых условиях могут возникнуть проблемы с многоадресной рассылкой. Драйверы Intel Wi-Fi в Windows неправильно обрабатывают мультикаст-трафик после отправления компьютера в сон, а точки доступа Ubiquiti известны неправильной обработкой GTK.
Что касается IGMP Snooping: некоторые точки доступа требуют, чтобы устройство присоединилось к группе многоадресной рассылки mDNS для получения запросов mDNS. Большинство точек доступа пересылают запросы mDNS независимо от того, был ли запрос на присоединение к multicast-группе, или нет, но некоторые этого не делают или обрабатывают multicast неправильно.
Простите, я не знаю, что такое "wifi router первого звена". Все устройства (в т.ч. и роутеры, и клиенты) в моей LAN равноправны, они все в одном L2-сегменте. Все Wi-Fi-сети, аналогично, в одном (общим с ethernet) L2-сегменте. Можно подключаться в любой ethernet-порт любого роутера, либо же по Wi-Fi, и получать ровно ту же конфигурацию. Это обычная домашняя сеть.
Я не использую ByeDPI. ByeDPI работает как прокси и не предназначен для обработки маршрутизируемого трафика — его разумно применять исключительно при невозможности использования nfqws (или любого другого инструмента, работающего по пакетам и интегрирующегося в маршрутизируемый трафик) вследствие технических ограничений прошивок роутеров. На Orange Pi таких ограничений нет.
Orange PI -> Orange PI WAN
Orange Pi подключается одним проводом. У него один сетевой интерфейс. Если вы WAN'ом называете вышестоящий шлюз, на который маршрутизируется трафик, то да.
Orange Pi выступает простым маршрутизатором. Он просто маршрутизирует пакеты, полученные от других клиентов, на вышестоящий шлюз. Ну, чуть их обрабатывая с помощью nfqws, но если на минуту забыть о нём, то это самый обычный простой маршрутизатор. Без NAT, без разных сетевых сегментов, без проверки отправителя. На нём нет DHCP, нет DNS. Всё, что делает маршрутизатор при получении пакета от клиента — заменяет MAC-адрес отправителя на свой MAC, MAC-адрес назначения на MAC вышестоящего роутера, и пересылает пакет. Всё. nfqws дополнительно делает свою магию, но на непосредственно маршрутизацию это не влияет.
Но это не соответствует картинке!
Картинка нарисована для описания бага nftables, связанного с маршрутизацией внутри логического бриджа (который может состоять хоть из одного физического интерфейса, но в моём случае объединяет несколько физических портов и Wi-Fi-точку).
Стрелочки на картинке показывают путь одного исходящего пакета, отправленного с компьютера в интернет. Это не схема сети!
но не понятно его назначение (почему бы сразу не передать в WAN провайдеру с Orange PI)
Статья рассказывает об обходе блокировки дополнительным устройством в локальной сети, а не об установке обхода на роутер. Я привёл пример похожей конфигурации, более простой в настройке.
Такая конфигурация не требует ни изменения настроек на роутере (изменение dhcp option 3 не обязательно, с ним просто не придётся перенастраивать клиентов), ни перестройки физической топологии, ни замены роутера на более продвинутый. Она совместима даже с самыми базовыми моделями домашних роутеров, где нет никаких дополнительных возможностей.
Я всё настраивал удалённо и исходил из особенностей и ограничений существующей сети — невозможности установки nfqws на main router, из-за чего счёл перемаршрутизацию всего трафика через дополнительный маршрутизатор самой простой конфигурацией и меньшим из зол, хоть и не оптимальным по топологии, зато гарантированно надёжной в плане разблокировки. Если у вас есть возможность настроить обход блокировок на основном/единственном роутере — делайте на нём, конечно!
Да, и такой шлюз невозможно использовать, если хост-машина подключена к Wi-Fi-сети клиентом. Другие клиенты сети не смогут его использовать. В стандарте Wi-Fi предусмотрена передача только MAC-адреса точки, MAC-адреса Wi-Fi-клиента, и MAC-адреса получателя.
Если ваша хост-машина подключена Wi-Fi-клиентом, только её MAC-адрес может использоваться для отправки пакетов. У виртуальной машины будет свой MAC-адрес, и если она попытается отправить пакет с указанием своего MAC-адреса, то он просто будет отброшен точкой, т.к. такого подключённого к сети Wi-Fi клиента с её точки зрения нет.
Гипервизоры обходят это ограничение чем-то вроде NAT для bridge: они запоминают соединения и переписывают MAC-адрес в пакетах на MAC-адрес компьютера, а затем обратно. Это работает для IP-трафика, но маршрутизация работает на уровне L2 (на уровне MAC-адресов), поэтому невозможна.
Существуют специальные режимы Wi-Fi для wireless bridge: WDS (также известен как 4addr mode — передача 4 mac-адресов вместо 3), но обычные клиенты (смартфоны, компьютеры) не могут работать в таких сетях.
Это имеет ключевое значение — в Wi-Fi недостаточно служебных полей, чтобы он работал необходимым образом. Некоторые гипервизоры позволяют сделать бридж с Wi-Fi путём различных хаков (отправкой пакетов всем виртуальным машинам, которые нельзя надёжно идентифицировать, что создаёт проблему безопасности), но в общем случае сделать бридж между Ethernet и Wi-Fi в режиме клиента не получится. И уж точно не получится использовать виртуальную машину, если хост подключён Wi-Fi-клиентом, как шлюз.
Да, такое тривиально сделать виртуальной машиной (но только при подключении компьютера кабелем — Wi-Fi это не Ethernet, Wi-Fi-клиент не может иметь несколько MAC-адресов, т.е. выступать свитчем). Подойдёт обычный OpenWrt в виртуалке.
Собственно, можно и на хосте настроить, виртуальная машина как таковая не обязательна.
Wi-Fi router на картинке и есть условная Orange Pi. Это просто некое дополнительное устройство, которое подключается в сеть, настраивается маршрутизатором и устанавливается в качестве шлюза. Картинка делалась с другой целью для другого случая, поэтому не полностью соответствует написанному, это может запутать, но суть она передаёт верно.
Вы можете подключаться к сети по Wi-Fi (сеть Wi-Fi может быть от любого другого роутера, не обязательно от Orange), по проводу в любой роутер или свитч, главное, чтобы у вас был один L2-сегмент, и Orange был шлюзом.
Orange:
Подключается в сеть самым обычным образом, как любой другой участник сети
Его IP-адрес прописывается шлюзом на других устройствах
Трафик, например, компьютера попадает на Orange, и Orange его маршрутизирует на роутер, параллельно применяя методы обхода nfqws
Orange тогда должен гейтвеить на proxy Wi-Fi роутера
Не знаю, что такое "proxy wi-fi-роутера" (в моей конфигурации нет прокси, как нет и ПО, работающего как прокси), но он действительно выступает маршрутизатором (будучи при этом в мосте, но это не столь важно)
https://flibusta.is/comment/3561973#comment-3561973
В zlibrary книги хранятся в IPFS (это такой bittorrent для web). Сам же сайт не распределён.
https://github.com/ValdikSS/GoodbyeDPI/issues/378
Да откуда вы это берёте, и нахрена? То
-e 9.5посоветуют, то-11.Осторожно, это значение включает свежие Новости Шеремета с Владом Некрасовым!
Нет, они подали заявление в патентное бюро, что торговая марка не используется, бюро это подтвердило без ответчика (оригинального автора Flappy Bird, Dong Nguyen), а после Gametech Holdings LLC заново зарегистрировали торговую марку за собой.
https://ttabvue.uspto.gov/ttabvue/v?pnam=Dong Nguyen Ha
https://x.com/SamNChiet/status/1834246569857634352
Профиль ИБ настолько широкий, что я затрудняюсь представить, о поиске специалистов какого конкретно направления он говорит. Может быть SOC, может аудиторов, может ещё кого.
Можно поднять 6to4-туннель, если у вас пингуется IPv4-адрес
192.88.99.1. Алгоритм примерно такой же, только в качестве IP-адреса remote указываем 192.88.99.1, а в качестве IPv6-адресов используем рассчитанный из вашего IPv4-адреса.6to4 давно deprecated, поэтому работать может не везде. Кроме того, клиентам локальной сети необходимо раздавать какой-либо публичный диапазон (можно
2001:0DB8::/32, зарезервированный для документации и примеров), иначе он почти никогда не будет использоваться из-за низкого приоритета 6to4-адресов (ниже, чем у IPv4). Для раздачи придётся использовать one-to-one NAT (без состояния и трансляции портов).Основная причина медленной установки Debian/Ubuntu в медленной распаковке пакетов, вызванной чрезмерно частыми вызовами fsync().
Это можно отключить с помощью eatmydata.
https://www.linux.org.ru/news/debian/16195513
https://bitbucket.org/ValdikSS/debian-iso-fastinstall/src/master/
Вторая причина — .deb-пакеты в Debian сжаты lzma (xz), и распаковываются не только долго, но еще и в один поток. Современные версии Ubuntu используют zstd с многопотоковым распаковщиком, но не Debian. Исправить можно кастомным dpkg, запускающим pixz отдельным процессом, но решение не идеальное.
Можно поднять 6to4-туннель, если у вас пингуется IPv4-адрес
192.88.99.1. Алгоритм примерно такой же, только в качестве IP-адреса remote указываем192.88.99.1, а в качестве IPv6-адресов используем рассчитанный из вашего IPv4-адреса.В нюансы добавить можно следующее:
В прошлом месяце потратил некоторое время на отладку загадочных проблем с протоколами автоматического обнаружения через Wi-Fi: проблема была в старом маршрутизаторе, или, точнее, несовместимости (предположительно глючной) прошивки/чипа Wi-Fi маршрутизатора и чипа Wi-Fi устройства.
Если ваш принтер постоянно подключен к сети (и вы это видите в веб-интерфейсе роутера), но его обнаружение в сети работает только ровно 1 час, 1 день или другое круглое время, попробуйте:
Проверить маршрутизатор на наличие опции мультикаста и IGMP Snooping
Сменить режим безопасности Wi-Fi на "WPA-PSK/WPA2-PSK Mixed"
Отключить смену ключа GTK (группового ключа)
Создать отдельную (но не изолированную) сеть только для принтера
Протоколы автоматического обнаружения (mDNS/DNS-SD) используют мультикаст, который работает не так тривиально через Wi-Fi по сравнению с проводной сетью.
Wi-Fi использует разные алгоритмы шифрования и разные ключи шифрования для юникаст и широковещательного/мультикаст-трафика: индивидуальные ключи шифрования для каждого клиента для обычного юникаст-трафика (pairwise key) и отдельный общий ключ шифрования для группового трафика (group key) для броадкаст и мультикаст-трафика.
Оказывается, при некоторых условиях могут возникнуть проблемы с многоадресной рассылкой. Драйверы Intel Wi-Fi в Windows неправильно обрабатывают мультикаст-трафик после отправления компьютера в сон, а точки доступа Ubiquiti известны неправильной обработкой GTK.
Что касается IGMP Snooping: некоторые точки доступа требуют, чтобы устройство присоединилось к группе многоадресной рассылки mDNS для получения запросов mDNS. Большинство точек доступа пересылают запросы mDNS независимо от того, был ли запрос на присоединение к multicast-группе, или нет, но некоторые этого не делают или обрабатывают multicast неправильно.
https://qna.habr.com/answer?answer_id=2447978#answers_list_answer
Это какие? Назовите два популярных, пожалуйста. И я не про лишнее слово "лишь".
Чем выше версия, тем младше (по количеству дней с момента релиза) прошивка. Старее, действительно, решает двусмысленность.
Простите, я не знаю, что такое "wifi router первого звена". Все устройства (в т.ч. и роутеры, и клиенты) в моей LAN равноправны, они все в одном L2-сегменте. Все Wi-Fi-сети, аналогично, в одном (общим с ethernet) L2-сегменте. Можно подключаться в любой ethernet-порт любого роутера, либо же по Wi-Fi, и получать ровно ту же конфигурацию. Это обычная домашняя сеть.
Я не использую ByeDPI. ByeDPI работает как прокси и не предназначен для обработки маршрутизируемого трафика — его разумно применять исключительно при невозможности использования nfqws (или любого другого инструмента, работающего по пакетам и интегрирующегося в маршрутизируемый трафик) вследствие технических ограничений прошивок роутеров. На Orange Pi таких ограничений нет.
Orange Pi подключается одним проводом. У него один сетевой интерфейс. Если вы WAN'ом называете вышестоящий шлюз, на который маршрутизируется трафик, то да.
Orange Pi выступает простым маршрутизатором. Он просто маршрутизирует пакеты, полученные от других клиентов, на вышестоящий шлюз. Ну, чуть их обрабатывая с помощью nfqws, но если на минуту забыть о нём, то это самый обычный простой маршрутизатор. Без NAT, без разных сетевых сегментов, без проверки отправителя. На нём нет DHCP, нет DNS. Всё, что делает маршрутизатор при получении пакета от клиента — заменяет MAC-адрес отправителя на свой MAC, MAC-адрес назначения на MAC вышестоящего роутера, и пересылает пакет. Всё. nfqws дополнительно делает свою магию, но на непосредственно маршрутизацию это не влияет.
Картинка нарисована для описания бага nftables, связанного с маршрутизацией внутри логического бриджа (который может состоять хоть из одного физического интерфейса, но в моём случае объединяет несколько физических портов и Wi-Fi-точку).
Стрелочки на картинке показывают путь одного исходящего пакета, отправленного с компьютера в интернет. Это не схема сети!
Статья рассказывает об обходе блокировки дополнительным устройством в локальной сети, а не об установке обхода на роутер. Я привёл пример похожей конфигурации, более простой в настройке.
Такая конфигурация не требует ни изменения настроек на роутере (изменение dhcp option 3 не обязательно, с ним просто не придётся перенастраивать клиентов), ни перестройки физической топологии, ни замены роутера на более продвинутый. Она совместима даже с самыми базовыми моделями домашних роутеров, где нет никаких дополнительных возможностей.
Я всё настраивал удалённо и исходил из особенностей и ограничений существующей сети — невозможности установки nfqws на main router, из-за чего счёл перемаршрутизацию всего трафика через дополнительный маршрутизатор самой простой конфигурацией и меньшим из зол, хоть и не оптимальным по топологии, зато гарантированно надёжной в плане разблокировки. Если у вас есть возможность настроить обход блокировок на основном/единственном роутере — делайте на нём, конечно!
Да, и такой шлюз невозможно использовать, если хост-машина подключена к Wi-Fi-сети клиентом. Другие клиенты сети не смогут его использовать. В стандарте Wi-Fi предусмотрена передача только MAC-адреса точки, MAC-адреса Wi-Fi-клиента, и MAC-адреса получателя.
Если ваша хост-машина подключена Wi-Fi-клиентом, только её MAC-адрес может использоваться для отправки пакетов. У виртуальной машины будет свой MAC-адрес, и если она попытается отправить пакет с указанием своего MAC-адреса, то он просто будет отброшен точкой, т.к. такого подключённого к сети Wi-Fi клиента с её точки зрения нет.
Гипервизоры обходят это ограничение чем-то вроде NAT для bridge: они запоминают соединения и переписывают MAC-адрес в пакетах на MAC-адрес компьютера, а затем обратно. Это работает для IP-трафика, но маршрутизация работает на уровне L2 (на уровне MAC-адресов), поэтому невозможна.
Существуют специальные режимы Wi-Fi для wireless bridge: WDS (также известен как 4addr mode — передача 4 mac-адресов вместо 3), но обычные клиенты (смартфоны, компьютеры) не могут работать в таких сетях.
Это имеет ключевое значение — в Wi-Fi недостаточно служебных полей, чтобы он работал необходимым образом. Некоторые гипервизоры позволяют сделать бридж с Wi-Fi путём различных хаков (отправкой пакетов всем виртуальным машинам, которые нельзя надёжно идентифицировать, что создаёт проблему безопасности), но в общем случае сделать бридж между Ethernet и Wi-Fi в режиме клиента не получится. И уж точно не получится использовать виртуальную машину, если хост подключён Wi-Fi-клиентом, как шлюз.
Да, такое тривиально сделать виртуальной машиной (но только при подключении компьютера кабелем — Wi-Fi это не Ethernet, Wi-Fi-клиент не может иметь несколько MAC-адресов, т.е. выступать свитчем). Подойдёт обычный OpenWrt в виртуалке.
Собственно, можно и на хосте настроить, виртуальная машина как таковая не обязательна.
Wi-Fi router на картинке и есть условная Orange Pi. Это просто некое дополнительное устройство, которое подключается в сеть, настраивается маршрутизатором и устанавливается в качестве шлюза. Картинка делалась с другой целью для другого случая, поэтому не полностью соответствует написанному, это может запутать, но суть она передаёт верно.
Вы можете подключаться к сети по Wi-Fi (сеть Wi-Fi может быть от любого другого роутера, не обязательно от Orange), по проводу в любой роутер или свитч, главное, чтобы у вас был один L2-сегмент, и Orange был шлюзом.
Orange:
Подключается в сеть самым обычным образом, как любой другой участник сети
Его IP-адрес прописывается шлюзом на других устройствах
Трафик, например, компьютера попадает на Orange, и Orange его маршрутизирует на роутер, параллельно применяя методы обхода nfqws
Не знаю, что такое "proxy wi-fi-роутера" (в моей конфигурации нет прокси, как нет и ПО, работающего как прокси), но он действительно выступает маршрутизатором (будучи при этом в мосте, но это не столь важно)
https://ntc.party/t/ищутся-волонтёры-проект-по-мониторингу-сети/5939/