Обновить

Комментарии 151

Прям черная бухгалтерия получается 🤣

Второй телефон, второй комп...

С компом проще - виртуалок наклепал и готово. Одна под впн, вторая для ии агентов, третья для работы с эцп

Это же сколько ОЗУ надо чтобы +- работало стабильно

Мне, пока, 32 хватает

Цены на озу кусаются довольно сильно)

32 / 4 = 8

Это у вас память для 8 компьютеров.

Еще одну запятую после "32" забыли. /s

16 а то и 32 вполне хватает. Но для работы с фотографией уже 64 нужно… Купил себе по старым ценам 128 и радуюсь)

Фига себе проще))) Проще сделать себе дома КВН-бокс который будет разграничивать трафик для наш "православный и правильный" и на "их сатанистский и вредный", а все сервисы определения IP послать ~~на~~ в "православный и правильный" сегмент

А как он будет определять, от какого приложения на десктопе пришёл запрос на конкретное подключение?

План идеальный, если тебе не жалко времени на поддержку всего этого зоопарка. Каждую виртуалку же еще и обновлять регулярно надо

На Windows получается можно wls приспособить А на linux Network Namespaces

В ряде солидных государственных организаций это нормальная штатная работа: на столе стоят два компьютера, два монитора, две клавиатуры и т.д. (или KVM для переключения их)

Один для интернета, другой чисто локальная сеть.

Дома тоже так можно, я пробовал. Даже не нужно две физически разные машины...

Ну всё-таки до уровня солидных государственных организаций опускаться не хочется.

"Одни слова для кухонь, другие — для улиц"...

Какое ICQ в 2026м?

Верните мне мой 2007

Какое ICQ в 2026м?

Ностальгическое :`)

аська всё ещё живёт за счёт энтузиастов) https://nina.chat/

Такое же только локальное(

Спасибо за статью. Такой вопрос по site based tunneling: он же не заворачивает весь трафик с сайта, а просто роутит по IP/SNI/Host, верно? Что мешает условному max.ru проверить доступность зарубежных сервисов через fetch в no-cors режиме или ещё как-то? Например, вы добавили telegram.org в список сайтов, которые должны идти через прокси. Тогда любое приложение (и даже сайты?) могут увидеть, что telegram.org доступен, хотя он явно не должен быть доступен.

Плюс с таким подходом есть проблема: шпионскому приложению достаточно на любом из распространенных сайтов, которые обычно добавляют в список проксирования (Telegram, ChatGPT, Discord, ...) найти внутреннюю ручку или уязвимость, которая раскрывает IP.

Поэтому явно безопаснее/интереснее было бы посмотреть на обзор решений с per browser tab / per desktop app routing.

Поэтому явно безопаснее/интереснее было бы посмотреть на обзор решений с per browser tab / per desktop app routing.

Ну а что тут обозревать? В одном браузере - одни настойки прокси, в другом - другие. Через один в интернет ходишь, через второй - в чебурнет. Можно ещё разные профили в рамках одного браузера попробовать. С Chromium-based браузерами, правда, не очень удобно будет, потому что они обычно не имеют индивидуальных настроек прокси.

В любом случае, на ПК сильно проще проблема решается, чем на смартфонах, хотя бы потому, что доступен полноценный firewall, есть всякие песочницы, виртуалки…

На андроиде есть Shelter(и, наверняка другие программы для управления профилем), можно поставить впн с телеграмом внутрь.

https://habr.com/ru/articles/1023352/ :

Проблема в том, что сетевой стек Android - один на всё ядро. Рабочий профиль не использует Linux network namespaces

(...)

... Android не пользуется network namespaces для профилей. VpnService, ConnectivityManager и весь сетевой фреймворк не рассчитаны на per-profile сетевую изоляцию. Чтобы песочница реально изолировала сеть, Google пришлось бы переработать сетевую подсистему. Этого нет, и в обозримом будущем не предвидится.

Поставил firefox в Shelter, проверил whatismyip.com: снаружи Shelter MTS, внутри Shelter испания. Или вы хотите сказать, что внутренний впн снаружи хоть и не доступен, но всё равно виден? Как?

А! Вы наверно думали, что я предлагаю Maкса в Shelter? В этом случае он всю сеть хоста действительно наверно видеть будет...

Упд. Вы правы, поставил на хост https://f-droid.org/ru/packages/com.termux/ без рута - действительно ifconfig показывает tun0. (и tun1 если включить впн снаружи)

Хорошая идея с vpn per browser tab.

Согласен задетектить наличие КВН они так могут, но получить IP тут будет непросто ресурс должен быть у пользователя прописан в правилах + уязвимость сервиса.

Но можно как вариант можно использовать трехзвенную структуру VPN дабы меньше париться над деаноном выходного IP: client => vps (ru/заграница) => vps(заграница)

должен быть у пользователя прописан в правилах + уязвимость сервиса


Да не нужна никакая уязвимость. Уже есть список сервисов, которые с вероятностью в 99.(9)% у всех добавлены в "туннель" и имеют ручки по раскрытию IP. https://redirector.googlevideo.com/report_mapping - вот ютуб. Или урлы вида https://chatgpt.com/cdn-cgi/trace у почти любого сайта за CDN cloudflare.

Но ведь они с allowed origin?

access-control-allow-origin: *

Воу. Почищу ка я белый список.

В общем, 2 ip/заграничных vps или warp исправят положение.

client => vps (ru/заграница) => vps(заграница)

Не поможет, ркн узнаёт адрес выходной ноды и блокирует ее, результат тот же.

У него в схеме промежуточный сервер должен быть только заграничным, тогда на блок выходной ноды будет наплевать.

Ещё лучше идея использовать просто другой браузер для впн)

ещё в incy можно так сделать) но она сейчас не очень работает у меня...)

На INCY интерфейс непохож. Что за программа?

на скрине v2rayn

вопрос по site based tunneling: он же не заворачивает весь трафик с сайта, а просто роутит по IP/SNI/Host, верно? Что мешает условному max.ru проверить доступность

Думаю, что с no-cors вы даже переусложняете.

В том же хроме давно известно наличие WebRTC leak. И перекрыть её одними настройками, насколько помню (пользуюсь в основном файрфоксом), невозможно, нужно расширение.

И разные сайты "check your IP / privacy / etc." при помощи того же WebRTC умеют определять реальный айпи. При подключении через SOCKS айпи точно виден.

Тоже беспокоит, что браузеры не очень защищены. Шпионы также могут пиксель с зарубежного CDN в сайт рунета встроить и по нему пробовать IP палить, яндекс-метрика эта еще вездесущая может притаиться на зарубежных сайтах и сравнивать IP. Также судя по существованию в uBlock Origin опции “Block Outsider Intrusion into LAN” они теоретически и весь лан могут отсканить на предмет торчащих портов прокси (насчет возможности соединения к ним - не уверена).

Для Firefox теоретически хороши контейнеры + traffic control через Containerise, Conductor или Container Traffic Control. Если в контейнер с прокси идут зарубежные ресурсы, а остальные используют ванильный инет, то безопаснее чтобы и в системе не было сплита по IP/доменам. С Сhromium сложнее, видимо там в отдельных профилях придется как-то блокировать либо ру зону, либо внешку, чтобы не открыть случайно не то не там. Еще с браузерами мысль - локальный прокси сервер раздает профилю браузера/контейнеру ванильный инет, но тут остаются риски утечки IP при использовании прокси в браузере, я не разбираюсь в утечках DNS и WebRTC, но видимо придется. Ну и в целом аккуратное точечное туннелирование выглядит надежнее, чем просто байпасс ру зоны внутри туннеля.

Сплит по аппам/процессам в винде хорошо умеет WireSock, он это делает через WFP и умеет работать без создания виртуального сетевого адаптера - здесь тоже есть потенциал для нас. Но этот клиент поддерживает только WG/AWG, для других протоколов надо изучать, есть ли уже подобное.

В Firefox есть контейнеры и с помощью foxyproxy можно настроить разные прокси для контейнеров. Создаёшь контейнер для ру сайтов, он идёт без прокси по любому запросу. Дефолтный контейнер идёт через прокси. В правилах x-ray/sing-box дополнительно блокируешь запросы к ру сайтам, чтобы случайно не зайти на них в дефолтном контейнере.

Сильно сомневаюсь, что на все это российское ПО нет нормальных аналогов - уникальных функций там ноль. А вот если в веб-версиях российских серфисов будут убирать функциональность, по отношению к их приложениям - некоторым будет тяжко.

Какие есть нормальные аналоги озона/вайлберизз/яндекс такси? Был сегодня в магните, так там для подтверждения возраста надо либо сотрудника позвать, либо через мах авторизоваться. Многие сервисы это просто доступ к оффлайн услугам и их не заменишь.

на десктопе это все просто сайты.

В наших деревнях всегда сотрудник стоит и следит, чтобы я что-то не украл. Так что я даже телефон не успею достать, он уже готов подтвердить возраст

site-based tunneling может сыграть с вами злую шутку. Ибо что мешает сайту-стукачу в фоне отправлять “пинги” с фингерпринтом и на российский, и на зарубежный хосты? Будет легко задетектить “альтернативный” IP пользователя. application-based tunneling мне кажется более разумным выбором.

Это вроде опаснее? Достаточно нарваться на один мелкий скрипт в браузере "под ютуб" и ты всё засветил.

Стоит отметить, что сам Хабр стучится и в Яндекс и в ВК.

6. Яндекс Диск 

Окей, хорошая мысль. Своей беспринципностью яндекс в целом известен и ничего не помешает им начать сливать когда велят сливать.

Приложение диска с пк удалил, содержимое по большей части тоже.

9. Яндекс Музыка 

https://habr.com/ru/news/441176/
Между прочим конкретно это приложение ещё и устанавливается самостоятельно (как обсуждается в новости по ссылке) как минимум на десятку до сих пор, так что возможно оно у вас есть а вы не в курсе. Осторожно.


Остальными приложениями отечественных разработчиков на домашнем компьютере не пользуюсь и вам не советую.

Так ими физически невозможно пользоваться, любые местные "разработчики" хуже индусов делают

Антивирус Асперского? Не? По-моему, это самый серьезный импостер на любом компьютере.

Яндекс Музыка ... устанавливается самостоятельно (как обсуждается в новости по ссылке) как минимум на десятку до сих пор

Пользуюсь десяткой много лет (а яндекс-музыкой еще больше)), первый раз слышу. Новость 2019 года. Надо было яндекс-бар еще вспомнить.

Я понимаю диск, но для музыки-то нафига программу ставить? Это ж просто веб-вью с прибитым гвоздями интерфейсом.

Я 10 лет собираю компы по долгу сисадминства. Не прям каждый день но в том числе очень недавно был комп. Вот я ставлю десятку с исо с официального сайта майкрософт (опустим вопрос почему не 11ю), отпускаю в интернет накачать последних доступных обновлений для себя и офиса а так же базы для дефендера; и вуаля - яндекс музыка появляется если регион россия-русский.

Это ж просто веб-вью с прибитым гвоздями интерфейсом.

Да. А ещё теперь потенциально следит какой у вас впн 😃

На 11-ой тоже Я.Муз ставится после *создания* учётной записи пользователя.

Я кстати даже не подумал о том, что сижу через Яндекс, это было для меня так удобно. А ведь по сути он один из главных кто может сообщить что пользователь ходит на всякие неугодные ресуры...

Я бы ещё полазил в списке расширений, на подобии Госключ и прочих. Имеют ли они вообще доступ к выполнению подобных команд, и могут ли отсылать запросы.

Есть "Госплагин" - он самостоятельно вылезает вообще везде. Я его убрал из автозагрузки, а потом смотрю - в трее светится его иконка. Только когда вырубил плагин в браузере, оно перестало появляться в трее.

Хотя, все эти "Гос****" вполне могут повесить свою службу и проверять что угодно и когда угодно. Тот же "Госплагин" стал требовать админские права для установки. Раньше плагин ставился в папку пользователя и не требовал повышения привилегий.

это означает, что нужно использовать разные браузеры для разных сайтов.

ну или использовать два vds: один для входа и другой для выхода.

Достаточно двух ip на самом деле :)

Но если забанят подсеть, а IP принадлежат этой подсети, что часто бывает у одного поставщика VDS, то недостаточно.

А ещё можно использовать proxy.pac (есть даже готовые).

В простейшей конфигурации, как мне видится, можно поднять ВМ локально и держать в ней туннель "туда" (или сделать то же самое на роутере - если позволяет), поставить какой-нибудь privoxy/squid/dante/etc., а в ОС прописать скрипт автоконфигурации прям в системе (Win) или в строке/скрипте запуска бравзера если вы на Linux.

В таком случае у вас буквально будут белые списки на pac-файле, руками прописанные прокси для тех приложений где это действительно надо, а все остальные шпиёны будут ходить в рунет так как провайдер разрешает.

А что если наоборот? Наверняка для тех, у кого уже настроен сплит на роутере, актуально именно раздать некоторым приложениям немного чистого чебурнета. Но вероятно как и с любым другим прокси есть риски утечки (DNS/IPv6/WebRTC), чем обратная схема менее надежна.

2gis десктопный не обновляется уже много лет. Хотя, конечно, нельзя исключить наличие исполняемых модулей в базах городов...

НЛО прилетело и опубликовало эту надпись здесь

Можно. Но тот же яндекс браузер как правило имеет вирусный характер своего распространения где пользователь клянётся что не ставил ничего и лапки показывает.

Это происходит так -
1) пропихнули на уровне антимонопольности в майкрософт требование поисковой системой в браузере по умолчанию для россии сделать яндекс.
2) если что то искать в яндексе с нулёвого браузера (это эдж без блокировщиков рекламы и прочего) на весь экран всплывает ПРЯМ ПОСЕРЕДИНЕ мешая работать окно УСТАНОВИТЬ ЯНДЕКС БРАУЗЕР "чтобы было лучше веселее точнее самые лучшие результаты поиска и прочее" (они периодически меняют текст и дизайн, но суть в том что это окно ТРЕБУЕТ действия и блокирует всю остальную страницу затенением).
3) пользователь неподкованный нажимает машинально или чтоб от него отстали.
4) браузер ставится полностью автоматически без дальнейших запросов и уточнений, не требуя прав администратора - в папку пользователя, копирует настройки, закладки, пароли с имеющихся браузеров и вуаля.

Как Cymothoa exigua бл.

В итоге он (браузер) запросто может быть на компьютере родственника с которым вы по доброте или по реферальности поделились своим средством обхода блокировок.

НЛО прилетело и опубликовало эту надпись здесь

По заветам еще более старых олдов, чем я - всегда, когда меня просят "посмотри, что с моим компом" - первым делом удаляю лишний софт типа Яндекс браузера и прочего самоустанавливающегося шлака.

А потом как только вы закрыли за собой дверь, родственники такие, раз - и качают в пять потоков, и яндекс, и браузер амиго, и сисиклинер, и "ускорительинтернета-3000". Кнопки "Да" и "Согласен" в эти минуты нажимаются как никогда быстро.

Эта музыка будет вечной.

Поэтому, родственники достаточно часто зовут меня в гости...

В firefox можно per-tab proxy сделать через контейнер с прописанным прокси или через расширения вроде SmartProxy.

Для линуксов есть еще решения на базе cgroups + iproute2. По сути, app-based.

Пара примеров:
https://gist.github.com/level323/54a921216f0baaa163127d960bfebbf0 https://gist.github.com/kriswebdev/a8d291936fe4299fb17d3744497b1170

Отличная статья, жаль, все усилия бессмысленны. Вы адреса VPN не сольёте, Ваш сосед, не столь квалифицированный, как Вы - запросто. Я полистал давеча отзывы на озоне на роутер Routerich. Почти все отрицательные сводятся либо к "не могу настроить", либо к "youtube через день перестал грузиться, не знаю, что делать"

Причем site-based tunneling надо обязательно настраивать в режиме «белого списка»

Очень неудобно. Один крупный сайт требует вводить десятки разных доменов в белый список. Список доменов еще меняется каждый месяц.

Использовать TUN режим и не шастать по отечественным сайтам (про приложения уже давно понятно, особенно яндекс браузер - с нескрываемой малварью внутри) . А собственно что на них ловить? Госуслуги - единственный нужный сервис можно на телефоне использовать а больше ничего и не нужно.

Тогда, не ходи на хабр и везде где есть яндекс метрика

  1. Режется без проблем расширениями браузера.

  2. Маршрутизация построена нормально

Мля это жесть какая-то. Кажется уже проще 2 линии интернета проводить и использовать 2 машины, одну под интернет, другую под чебурнет

Так надо передавать им адреса, это же довольно просто: легко определить к какому сервису эти шпионы запросы шлют. броузер наш так что легко сделать сертификат tls, DNS тоже наш, так что пусть https://api.ipify.org резолвится в нужный адрес и сервис по этому адресу отдаёт нужный адрес. каждую секунду проверяет? замечательно, 60 адресов в минуту можно им скармливать, пусть блокируют.

и нужен лист всех сервисов определения IP, так же как сейчас есть лист заблокированного.

Увы, эта идея разбивается об наличие репортящих ip точек у вполне ванильных сервисов типа ютубы и чатгпт. Попробуйте уговорить гугл зарепортить все свои апи-точки с таким поведением.

Скриншот

Рекомендую для WG и AWG 1.5-2.0 программу WireSock. Он умеет туннелировать или исключать из туннелирования отдельные программы/процессы и ip адреса.

Автор есть на хабре, кстати. https://habr.com/ru/companies/amnezia/articles/1014636/comments/#comment_29721636

Если бы я обладал определенной долей юмора, я бы сделал для сайтов-стукачей mitm и через сервисы типа api.ipify.org скармливал им левые ядреса типа fbi, cia. Не знаю зачем.

Лучше, адреса российских сервисов, пусть сами себя заблокируют :)

а если кто то в курсе и может поделиться, для каких адресов можно прописать block на уровне xray на openwrt, чтобы в них не уходили потенциальные запросы в РКП ? что то вроде такого формата

domain(geosite:category-ads) -> block

domain(api.ipify.org, api4.ipify.org, api6.ipify.org, ifconfig.me, ifconfig.io, ifconfig.co, icanhazip.com, ipinfo.io, ipapi.co, ip-api.com, checkip.amazonaws.com, checkip.dyndns.com, wtfismyip.com, api.my-ip.io, myexternalip.com, ipecho.net, 2ip.io)->block

в итоге пока так сделал на уровне роутера, понятно что не серебряная пуля, но хотя бы что то

И эти и еще тысячи не столь известных:

https://habr.com/ru/articles/1023224/#comment_29838636

угу, универсально не получится сделать, ну какую то часть хоть бы заблочить, раз есть такая опция

Список софта, конечно, интересный. Никогда не возникало желание что-то из этого поставить себе.

А у большей части софта кажется нет даже десктоп версий под linux.

Яндекс музыку вот недавно упаковали и то только в deb пакет

Browser

У меня так: стоит два Firefox - один для всего, что должно работать без VPN, второй, портабельный, для всего, что должно работать через VPN. И все. Не надо мучиться с переключением. А чтобы их не перепутать случайно, сменил иконку и сделал разные темы.

Два фаирфокса одновременно вроде не хотели работать. Или что за сборка portable? У меня для этой цели LibreWolf вторым поставлен.

Два фаирфокса одновременно вроде не хотели работать

Просто сначала открываю портаьельный, потом обычный. И все норм.

что за сборка portable

Она только одна - с portable apps

Два фаирфокса одновременно вроде не хотели работать. Или что за сборка portable?

Вы правы. Как работает у @Lord_of_Rings мне тоже неясно.

Мне нужно было два браузера ещё давным давно и главная портабельная сборка (PortableApps) не даст запустить два браузера, у которых основной .exe называется одинаково.

Т.е. пока запущен firefox.exe от ПортаблАппс, другой не запустится. А если умудритесь запустить, будут лютые баги, в т.ч. с профилем. Переносной улетит на диск C:\ (или ваш системный), с профилем установленного браузера будет неясно что.

Так что нужны те же LibreWolf, WaterFox, и т.п. Т.е. форки, которые сменили и название.

Прямо сейчас у меня работает связка обычной лисы и портабельной. Никаких проблем нет, сначала запускаю портабельную лису, потом обычную. С профилями тоже нет проблем

Никаких проблем нет, сначала запускаю портабельную лису, потом обычную

Это очень неожиданно.

И у вас при запуске второго не выскакивает предупреждение типа "Firefox.exe is already running"?

Я то же самое пробовал несколько лет назад, запустить всё-таки сумел, но последствия были неприятными. Хорошо, что у меня на флешке дубликат был.

Вам бы посоветовал всё-таки сделать копии профилей обоих браузеров.

Просто поставьте дополнительно Firefox Developer Edition. Я так делаю уже много лет, и всё ОК.

Просто поставьте дополнительно Firefox Developer Edition

Блин, парадоксально, но я именно им и пользуюсь. Больше настроек в эбаут:конфиг и синяя иконка мне нравится.

Но у него файл тоже firefox.exe называется, так что у меня было то, что описал выше.

И у вас при запуске второго не выскакивает предупреждение

Нет. Уже давно так пользуюсь, никаких проблем нет

В firefox есть менеджер профилей, в командной строке добавить -P, и сколько хочешь разных копий браузеров запускай.

В Windows 10/11 можно сделать так - один FF установить из MS Store, другой - обычный. Работают независимо друг от друга.

Уж на десктопе-то сам бог велел иметь два браузера, для Интернета и Чебурнета. В Интернетовском хотя бы заблокировать домен ru в адблоке, а в Чебурнетном иметь прямой доступ и DNS от Яндекса.

Непонятно только, куда теперь девать Хабр. из Чебурнета он многое не показывает, а в Интернет отнести не даёт то, что логин только через капчу от Яндекс.

что логин только через Яндекс

что мешает логину через почту с паролем, а не через YA.ID?

Капча, которая всё равно от яндекс. Из браузера с заблокированным доменом ru залогинится невозможно.

Еще один вариант, наверное чисто для Линукса:

sudo adduser minime
sudo passwd minime

Потом скриптик

#!/bin/sh

xhost +SI:localuser:minime
su -l minime -c 'DISPLAY=:0 firefox'

И сидите на своем Дзене скока угодно. Без проксей и ВПНов, с заблокированными инстаграмами, всё как начальство требует.

Очень странная конструкция. Зачем? Для любого объяснения есть вариант проще, при этом такой подход не обойдёт системный VPN или тем более VPN на роутере.

ip rule show

from all uidrange 1501-1501 lookup main

В линуксе есть возможность маршрутизировать трафик определенного пользователя куда надо.

Я также сделал, как выше написано.

Могу еще посоветовать вспомнить такую древность как uMatrix. Покрылась пылью, но работает как часы.

Куда уж проще-то? Штатные средства, никакого дополнительного софта, изоляция прокси-детекторов в песочнице.

А "VPN на роутере" вообще зло в этом смысле: это хорошо для нормальных условий, когда вам нужно просто соединить 2 офиса в сеть, и никому постороннему до этого дела нет.
Как раньше было.

У FireFox есть плагин FoxyProxy, там прописываются правила куда через какой прокси идти. Я настроил ютуб через nodpi, запрещенку через vpn, остальное напрямую.

Я им пользуюсь, но не вполне понимаю: можно ли его настроить так, чтобы прокси определялся по домену базовой страницы, а не индивидуально для каждого ресурса внутри страницы. Есть всякие технические штуки, типа gstatic, обращение к которым хотелось бы чтобы шло к прокси в контексте основной страницы, а не к строго прибитому прокси.

В хроме — нельзя.

В фф обещают per tab proxy, но у меня основной браузер — таки brave...

В фф обещают per tab proxy

Оно уже есть. В виде расширения. Называется Smart Proxy.

Проще всего держать два FF, причём один из них - Developer Edition. Иконки у них изначально разного цвета. Прокси настроить у одного из них.

Два мало. У меня 4 прокси сейчас разных ;)

Почитал тут , это же капец геморой, в фф ставите multi-account container и прям счастье, сколько хотите контейнеров отдельные куки , прокси к каждому контейнеру, хоткеи, можно делать в 1 клик открывать такой-то сайт в таком-то контейнере, sync настроек между устройствами через учетку фф.

Купите второй IP для вашего VPS. Первый только для маскировки VLESS и ничего больше, второй для выхода в интернет и любых других сервисов.

У меня так и сделано. Причем первый - российского хостера, как ни странно) (но в Германии)

Да ладно засветить IP еще понятно.

Но у меня прям какие-то реальные нововведения пошли, обычные SSH коннекты к серверам рвутся раз в 5 минут, такое ощущение, что прям натуральный бан на прилетает минут на 5-10.

Причем это легитимная консоль сервера, не используется как туннель - просто сижу обновляю OS на сервере - идёт стандартная портянка пересборки в консоли - опа - отключает, и минут 5 - 10 минут порт тупо недоступен для реконнекта.

И это не разовый глюк, на разных серверах та же картина.

Теперь что, для апдейтов скрипты на cron подвешивать , блин, как работать-то ?
Ваша сессия в консоли больше 5 минут ? Страдайте!

Но у меня прям какие-то реальные нововведения пошли, обычные SSH коннекты к серверам рвутся раз в 5 минут
И это не разовый глюк, на разных серверах та же картина.

Всё так, как вы пишете.

Я тут в комментариях с конца марта спрашиваю людей, которые потенциально могут разбираться, о том, можно ли что-то сделать, чтобы просто нормальную работу SSH вернуть без горожения дополнительных огородов. Пока безрезультатно.

И, кстати, у меня 5-10 минут нет. Рвётся либо в самом начале, либо успеваю ввести ровно одну команду, не больше, затем обрыв.

сижу обновляю OS на сервере - идёт стандартная портянка пересборки в консоли - опа

Кстати, попробуйте для такого вывод в файл. Т.е., чтобы даже небольшого потока текстового трафика не было. Может быть так у вас фильтр не триггернётся.

У вас скорее звучит как 16кб блок. Тестируйте в hyperion dpi checker и в Runnin4ik dpi-detector, если ваши сервера - на ASN под блоком, то это оно. Дальше поможет гугление этой блокировки и софта что работает с DPI. А еще были прецеденты когда интернет-провайдер выводил точечно из блока по запросу, но сильно зависит от провайдера.

Та же фигня. Заворчаиваю их теперь туда же (через socks5-порт), куда и https, полёт отличный.

Использовать tmux или screen. Я и в обычной работе их использую, потому что то вайфай отвалится, то ещё что.

У вас ServerAliveInterval нормально настроен? Просто 5 минут больше похоже на tcp idle timeout, который могли поставить с обновлением везде, от вашего роутера, до сервера хостинга.

Хз, из-за чего может быть пятиминутный бан. Может fail2ban? Если несколько портов открыть, все сразу банятся или только тот, к которому подключались?

У меня такая схема на ПК: крутится виртуалка на линукс, в виртуалке стоит клиент впн и прокси сервер, весь трафик из виртуалки идет в впн(пока так), в основной системе на винде в браузере установлено расширение, которое позволяет определенные сайты(по маске) направлять через прокси. Так можно и конкретные приложения пустить через впн(прокси) и сайты в браузере. Клиент впн - амнезия.

Извиняйте, что влезаю со своим особо ценным мнением, но винда в вашей схеме - абсолютно лишняя. Уберите.

Засвет IP для домашнего интернета вообще не проблема. Нынче провайдеры принудительно меняют IP раз в сутки чтобы те, кому надо постоянный IP за него доплачивали.

Так проблема не в засвете локального IP от провайдера. Это хрен бы с ним, всё равно у нас давно интернет по паспорту. Проблема в том, что засвечен будет IP зарубежного VPS на котором настроен туннель. В потенциале ч последующей блокировкой.

раз этот код на который вы ссылаетесь у вас работает

async function getPublicIP() { try { /* IP может извлекаться на стороне бэкенда сайта и передаваться в РКН, в случае запрета запроса к чужим доменам (CSP) */ const response = await fetch('https://api.ipify.org?format=json'); const data = await response.json(); return data.ip; } catch (error) { console.error(error); }}// каждую секунду проверяем текущий ip пользователяsetTimeout(() => { getPublicIP().then(ip => console.log('Public ip', ip));}, 1000);

значит ваш впн - авно
проверил свой и дальше не читал ))

Как сделано у меня.

Стоит микротик.

Созданы 2 адреслиста

OpenVPN- Sites - сюда добавляем все сайты, которые хотим видеть через PNV. Есть проблемы с нахождением полноценных списков доменов. Но F12 у браузере помогает ловить ошибки открытия страниц. Вот их и добавляем.

OpenVPN-PC - сюда добавляю локальные машины. Например когда нужно обновит сервер DELL. Фиг его знает куда ему там нужно.

На микротике создано подключение прям до VPS в германии.

Маркируем трафик меткой OpenVPN.

Весть маркированный траффик заворачиваем в PNV.

Сайты не из списка открываются как обычно. Те сбер иипрочие видят траффик и IP России.

Yotube видит Германию и поэтому меня уже бесит реклама.

Если блокирнут.

Поставлю OPENVPN на микротик и буду по РОССИИ к нему подключаться. А уже он будет разруливать весь мой траффик и тогда они хрен узнают IP Германии или Италии.

Пока телефоны у меня на прямую в Германию как и микротик.

Но я готов к следующему ходу.

 Но F12 у браузере помогает ловить ошибки открытия страниц. Вот их и добавляем.

Это поможет только на пару месяцев, потом опять добавлять. Все же домены иногда меняются.

Есть решения, где списки доменов собраны за вас и обновляются автоматически, но насчет под микротик - не уверена. Но вы главное упускаете - это никак не мешает шпионскому сайту или аппу получить ваш IP, запросив завернутый вами же ресурс, например у сайтов под CF /cdn-cgi/trace палит к сожалению. Я надеюсь это уже на следующем ходу придется решать, ибо в методичке так далеко не заходили. Но небезызвестный мессенджер уже упражнялся. Оптимальнее будет именно изолировать аппы/браузеры/сайты подручными средствами, хоть это и безусловно менее удобно чем сплит на роутере.

В браузере просто расширение ставиться по типу "Обход блокировок Рунета", в нем указывается локальный прокси на котором висит некобокс или еще че-то. Потом нужные сайты просто одним кликом добавляются в список проксируемых в расширении.
В телеге этот же прокси указываем.

Shadowsocks с авторизацией все это время - просто работает. За все годы пришлось один раз установить v2ray и один раз добавить фейк по sni. Фильтрация из коробки и в плагине для браузера switchyomega, и в shadowsocks для телефона. Не могу понять, зачем люди продолжают метаться по амнезиям и что-то дополнительно кодить. Дополнительно стоит proxifier, где тоже прописываются правила и можно воткнуть блокировку обращений на порт с socks5 по приложениям

Начнешь городить эти правила для каждого домена, так половина сайтов просто перестанет грузить статику с CDN

Мне кажется к осени тут будут статьи как настроить какой нибудь waf для слежки за трафиком и запросам приложений или собственный dpi, который будет следить за подозрительным движем и в итоге придём к тому что в России будут самые сложные, высокоинтеллектуальное и защищённые домашние сети в мире .

Защита от сканирования портов локалхоста с использованием JavaScript шпионских веб страниц.

ставим баузер firefox
устанавливаем расширение firefox multi-account container
в адресной строке браузера вводим - about:config
в появившемся окне в строке вводим -
network.proxy.type устанавливаем значение 2 (означает использовать файл настроек у нас это будет BLOCK.PAC чуть ниже)
network.proxy.allow_hijacking_localhost устанавливаем значение true (разрешить работу с локалхост)
теперь создаем файл BLOCK.PAC следующего содержания:

function FindProxyForURL(url, host) {
if (shExpMatch(host, "127.0.0.1") ||
shExpMatch(host, "localhost") ||
shExpMatch(host, "[::1]") ||
shExpMatch(host, "0.0.0.0")) {
return "PROXY 127.0.0.1:9"; // отправляем в шоколадный глаз

}
// Всё остальное — напрямую
return "DIRECT";
}

теперь вводим там-же
network.proxy.autoconfig_url и устанавливаем значение - путь к файлу BLOCK.PAC
в таком виде: file:///F:/firefox_conf/block.pac

далее выбираем контейнер в котором будут открываться сайты которым необходим proxy и устанавливаем в его настройках наш прокси сервер - 127.0.0.1:1080 (порт меняем на тот который вы используете)
в остальных контейнерах прокси не устанавливаем.
Ну и далее при выборе ссылки указываем в каком контейнере ее открывать.
Следующее открытие этой ссылки попросит вас подтвердить, что эту ссылку нужно открывать в выбранном вами контейнере всегда. Далее этот сайт всегда будет открываться в выбранном контейнере.

Итог все что открывается в контейнере с установленным прокси идет через прокси, все что открывается без контейнеров или в других контейнерах идет прямо в сетевой интерфейс.
JS запущенный на любой веб страничке (кроме открытой в контейнере с установленным прокси) не видит прокси сервера.

Всем бобра!

На андроиде и смартфоне работать будет?

НЕТ, на адроиде даже чтобы воспользоваться прокси сервером нужно ставить firefox nightly у обычных версий браузеров нет даже возможности устанавливать прокси сервер.

сейчас для андроида есть пара программ которые заткнули дырку в прокси и на которых работает раздельное маршрутизирование для приложений - teapod и incy, вторая доступна на google play

Понимаю что совет не для каждого подойдёт, но я решил проблему через app-based фильтрацию путём использования второго браузера. На основном стоит запрет ВПН, когда что то нужно посмотреть в ютубе или ИИшке - запускаю второй.

Приложения - понятно.

А что насчет российских linux? Могут что-то встроить в Astra, Alt, RedOS, Rosa?

А почему нет то? В астру разве что наверное не всё, т к некоторые техники "определения" того самого из трёх букв граничат с нарушением безопасности (когда ОС шлёт запросы не пойми куда, вряд ли такой дистрибутив может соответствовать названию "безопасный", но посмотрим, даже интересно)

М-дя. Придется, видимо, на что-то переходить. Жаль, я привык к Symply от "Альта".

А если продолжить мысль, то - любой популярный российский софт от крупных компаний априори будет под подозрением.

И популярные роутеры NetCrazy, возможно, тоже.

У меня есть предположение что если Keemetic'и можно перепрошивать в OpenWRT, то и Netcraze тоже можно перепрошить.

А некоторые клиенты, например, Amnezia не умеют работать с масками аля *.site.ru.

А что, никто не пользуется proxy autoconfiguration? Вниманию тех, кто пользуется, предлагается функция на JScript для поиска прокси из ассоциативного массива, соответствующего наиболее детальному домену из указанных, типа most detailed route, которая может до определённой степени заменить поиск прокси по шаблону имени хоста.

Функция может с успехом использоваться в дебрях proxy autoconfiguration file.

// URI прокси даны для примера
// Прокси socks v5
const socks         = 'SOCK5 127.0.0.1:1080';
// Локальный кэширующий прокси
const cache         = 'PROXY 127.0.0.1:8080';
// Доступ, минуя любые прокси
const direct        = 'DIRECT';

const default_proxy = direct;

const proxy_type =
{
  'imap.gmail.com':             socks,
  'smtp.gmail.com':             socks,
  'gmail.com':                  cache
};

// Функция проверяет в цикле, нет ли в ассоциативном 
// массиве obj ключа, соответствующего host, и если есть —
// — возвращает ассоциированное с ним значение.
//
// Если нет — отщипывает от host левую часть до первой точки
// вместе с ней и повторяет цикл с новым значением host.
// 
// В результате получается поиск наиболее детального
// поддомена среди ключей obj и возврат прокси URI,
// ассоциированного с этим поддоменом.
//
// Данная функция может использоваться вместо поиска
// подоменов по шаблону: если некий domain.tld указан 
// в качестве ключа obj, то функция вернёт ассоциированный
// с ним URI прокси для любого поддомена domain.tld
// за исключением явно указанных в obj поддоменов вида
// subX.domain.tld. Для них она вернёт ассоциированные
// с ними прокси URI.
// 
// Если значение host и всех доменов верхнего уровня 
// среди ключей obj отсутствует, функция вернёт undefined.
//
// Так, для указанных выше данных, функция вернёт
// значение socks для imap.gmail.com и smtp.gmail.com, но cache —
// — для просто gmail.com.

function FindMostDetailed(obj, host)
{
  let dot_pos		            = 0;
  let result                    = undefined;

  do
  {
    result                      = obj[host.substr(dot_pos)];
    if (result)                 { break; }
  }
  while ((dot_pos = host.indexOf(".", dot_pos) + 1) > 0)

  return result;
}

// Противодействие сканированию localhost
// с подачи @alex_1065

const blackhole                 = 'PROXY 127.0.0.1:9'

const per_host_proxy =
{
  '127.0.0.1':                  blackhole,
  '[::1]':                      blackhole,
  'localhost':                  blackhole,
  '0.0.0.0':                    blackhole
}

function FindProxyForURL(url, host)
{
  let proxy = per_host_proxy[host];
  if (proxy) { return proxy; }
  
  if (isInNet (host, "127.0.0.0", "255.0.0.0.")) { return blackhole; }
  
  proxy = FindMostDetailed (proxy_type, host);
  if (proxy) { return proxy; }

  return default_proxy;
}

Упс. В строку

 if (isInNet (host, "127.0.0.0", "255.0.0.0.")) { return blackhole; }

закралась лишняя точка после 255.0.0.0 . Должно быть:

 if (isInNet (host, "127.0.0.0", "255.0.0.0")) { return blackhole; }

"Как не передать свой IP..."

А, если передашь, то что будет?

Что, извините, "заблокируют", и кто заблокирует?

Поделюсь личным опытом, может кому пригодится

  1. Если на Android amnesia лично у меня вопросов не вызывает, то на Винду давно переехал на wiresock. Есть возможности чёрных/белых списков по IP (в ТЧ подсети) и, что очень важно, по приложениям (имя процесса, путь до файла, и даже целая папка)

  2. Исходя из первого пункта - ставим второй браузер, кидаем его в байпас по приложению и спокойно ходим по РФ сайтам. я исторически использую хром, и проблему второго браузера решаю установкой chrome beta. Для удобства немного прибиваю синхронизацию и натягиваю другую тему, чтобы визуально быстро можно было отличить байпас браузер.

Это не про скрипты, не списки IP

Это про удобство в ежедневной работе

PS. Другие приложения как правило WebView, так что идут лесом. Яндекс диск нормально работает только версия 2.х, которая не обновляется уже чёрт знает сколько, 3 версия - кусок кода неюзабельный.

PS2. Уморительно что изначально всё это настраивалось для того чтобы беспардонно качать софт и документацию с враждебных mouser, digikey, analog.com etc

Я не продвинутый linux пользователь, но сразу гуглиться это, почему об этом никто не говорит? (Сам пользуюсь Windows в быту)

Для этой задачи Network Namespaces (метод №1) — идеальное решение. Вы создаете отдельный «коридор», в котором существует только VPN-интерфейс, и запускаете там нужные приложения. Остальные приложения остаются в основной системе и VPN не видят. Вот пошаговый план, как это реализовать:

1. Создание пространства имен

Создаем пространство с именем vpn_zone:

sudo ip netns add vpn_zone

2. Перенос VPN-интерфейса

Когда вы подключаете VPN (например, OpenVPN или WireGuard), в системе появляется интерфейс tun0. Его нужно «отдать» в созданное пространство:

sudo ip link set tun0 netns vpn_zone

После этого tun0 исчезнет из общего списка ip addr и появится только внутри vpn_zone.

3. Настройка сети внутри пространства

Нужно поднять интерфейс и указать ему, что весь трафик должен идти через него:

Поднимаем интерфейс и локальную петлю (lo)

sudo ip netns exec vpn_zone ip link set lo up sudo ip netns exec vpn_zone ip link set tun0 up

Назначаем tun0 маршрутом по умолчанию

sudo ip netns exec vpn_zone ip route add default dev tun0

4. Запуск приложений

Теперь вы разделяете приложения при запуске:

  • Обычный запуск (без VPN): firefox — пойдет через ваш обычный провайдер (eth0/wlan0).

  • Запуск через VPN: sudo ip netns exec vpn_zone sudo -u $USER firefox — пойдет строго через tun0.

Почему это лучше других способов:

  1. Полная изоляция: Приложение в vpn_zone физически не видит ваш реальный IP и интерфейс eth0. Если VPN упадет, интернет у приложения просто пропадет (эффект Kill Switch из коробки).

  2. DNS-безопасность: Внутри namespace можно прописать отдельные DNS-серверы в /etc/netns/vpn_zone/resolv.conf, чтобы избежать утечек DNS.

  3. Удобство: Вам не нужно настраивать сложные правила маршрутизации для каждого отдельного IP-адреса.

Нюанс: Если вы используете WireGuard, его можно настроить так, чтобы он сам создавал интерфейс сразу внутри нужного namespace (параметр Namespace в конфиге), что еще удобнее. Хотите прислать конфиг вашего VPN (OpenVPN или WireGuard), чтобы я помог составить готовый скрипт для запуска?

Не хотим

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации