Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 77
Закреплённые комментарии
Всем доброе утро, проект пилится с 30 декабря,
и к середине января у нас получился вариант,
который уже поехал в продакшене, в том числе - в Иране...
По отзывам тамошних деятелей - он превзошёл по производительности официальную C-имплементацию, а также Go и Erlang-версии... у нас нет этому доказательств и если вы можете замерить это - мы будем очень рады, чтоб понять, что ещё можно оптимизировать...
На сейчас: есть нюанс - работа с Middle-proxy,
приоритетом был перф, а не ad-tag и статистика...
поэтому, мы доделываем это сейчас:
если вы разбираетесь в высокопроизводительных асинхронных сетевых приложениях на Rust - pr welcome, актуальные ветки разработки на 12:30 MSK - 1.2.0.0-2 и 1.2.0.0-h
Возможности гестапо ограничены, там тупо не хватает времени и ресурсов, чтобы проверить всех и всё и отработать по широкому фронту. Но умники помогают, указывая приоритеты, куда приложить усилия.
Вопрос лишь в том, что гестапо в любом случае найдёт способ внедриться в любую крупную группу людей, в которую есть возможность "инвайта" и которая начинает вызывать беспокойство гестапо.
А если ты параноик и сделал тайное решение только-для-себя, то смысл в этом решении отпадает – ибо общение будет с самим собой. Зато будешь неуловимым Джо.
Есть смысл организовывать такое только на группу, в инвайт получить не так просто: например, family-based.
Плюсом к тому: family-based группы плохо интересуют гестапо до тех пор, пока не забираются массово в властные структуры. Плюсом к тому, family-based структуры плохо подвержены идеям шатания режима: у них тут пожилые родители, дети, есть что терять.
ИМХО, будущее за конфиденциальным (но не анонимным) общением в федеративных сетях типа f2f.
И поднадзорным общением между малознакомыми между собой людьми (через условный Max).
Анонимное общение рано или поздно маргинализируется с развитием технологий ТСПУ и увеличением мощностей государства.
думаете, они на ntc.party или гитхаб зайти не могут и посмотреть что как?
Их работа по затыканию дыр состоит грубо из трёх компонентов. Экспертиза - поиск возможных угроз - способов обхода, оценка степени опасности найденных угроз и приоритизация , и третье - разработка мер противодействия. Первые две задачи должен был бы выполнять хорошо понимающий в теме эксперт. Но, с помощью авторов статей с готовыми рецептами на популярных русскоязычных ресурсах их может выполнить практикант-студент. Проверить повторяемость - работоспособность и написать отчёт. Приоритизация теперь даже не вопрос. Если метод работает, и опубликован готовый рецепт с пояснениями, да ещё и на русском, значит это надо прикрывать в первую очередь.
Но зато автор статьи будет удовлетворён. Про него все узнают, что он умный. Может, даже замаячит в перспективе монетизация какая - самое приятное слово на свете.
Я благодарен автору, что есть гайд, как мне поднять тг прокси с tls и защитой от active probing. Таких гайдов нужно больше, а не меньше.
Теперь в ркн знают, что есть мимикрия под TLS с защитой от active probing (как будто раньше не знали лол). Что они будут делать с этим? Банить TLS и ломать интернет? Так они уже это делают лол.
В чем проблема-то?
Добавь в конфигурацию https://containrrr.dev/watchtower/ для автоматического обновления образов
labels:
- "com.centurylinklabs.watchtower.enable=true"
Надо только иметь в виду, что данный проект официально больше не развивается и не работает с последними версиями Docker. Есть несколько форков с фиксами, но что будет дальше пока неясно.
Спасибо! Есть ли альтернативы Watchtower?
Есть активный форк https://watchtower.nickfedor.com/
Благодарю!
зачем очередной форк, когда есть превосходящий продукт https://github.com/Quenary/tugtainer
Всем доброе утро, проект пилится с 30 декабря,
и к середине января у нас получился вариант,
который уже поехал в продакшене, в том числе - в Иране...
По отзывам тамошних деятелей - он превзошёл по производительности официальную C-имплементацию, а также Go и Erlang-версии... у нас нет этому доказательств и если вы можете замерить это - мы будем очень рады, чтоб понять, что ещё можно оптимизировать...
На сейчас: есть нюанс - работа с Middle-proxy,
приоритетом был перф, а не ad-tag и статистика...
поэтому, мы доделываем это сейчас:
если вы разбираетесь в высокопроизводительных асинхронных сетевых приложениях на Rust - pr welcome, актуальные ветки разработки на 12:30 MSK - 1.2.0.0-2 и 1.2.0.0-h
не понятно несколько моментов:
как сделать несколько пользователей? (формат конфига)
как поставить за nginx с preread_ssl ?
можно ли строить цепочки telemt-telemt-[telemt]? или выход только direct или socks5 proxy?
отключить бОльшую часть логов, слишком много спама MTProto handshake successful peer=... TLS handshake successful...
и запустил не в докере, а бинарником из релизов 1.1.1.0: нет tg:// при старте, нет хелпа даже с версией... даже при старте никак версию не пишет..
маскироваться только под один домен можно? или под несколько и чтобы каждый клиент под свой домен маскировался?
не все параметры конфига понятны...
в show_link = ["maria", "ivan"]
в access.users:
[access.users]
format: "username" = "32_hex_chars_secret"
maria = "7f3576de6b42358b086fe6d624bf50fb"
ivan = "1c55adb866654d6d4f90c927bb2d2efb"
advanced - по образу и подобию
цепочки строить нельзя, это не ограничение telemt, это архитектура MTProto
textbook для пересобранного nginx и базового haproxy не успеваем пилить, будет к вечеру либо завтра днём
Сделал, на VPS в России. Работает. Но видео не показывает, а без прокси показывает. Чего-то там не хватает(( В логах ошибок нет.
Какие-то порты надо открывать на вход, кроме 443?
Посмотрел трейс, проксик постоянно, несколько раз в сек. долбит DNS сервер запросами АААА на левый домен (который вместо petrovich.ru). Тот отвечает SOA каждый раз. Исправьте.
Запрос А идёт один раз, ответ с IP адресом его устраивает.
И на порт 443 долбит левый домен много раз в сек, тот отвечает HTTP 400. Тоже исправьте, так его быстро найдут и заблокируют.
P.S. Вопросы. Если проксик размещать в РФ, то зачем вообще нужен VPS? Не лучше ли его установить прямо на телефоне? Есть такой вариант или можете сделать?
Как именно скрывается трафик между прокси и ТГ?
А зачем прокси размещать в РФ и, тем более, на телефоне? Это же выходная точка, а не входная. Смысл как раз в том, чтобы точку выхода трафика вынести в тот регион, где нет ограничений.
В первой части (ссылка в начале статьи) автор объясняет, что VPS в РФ лучше.
В датацентрах слабее блокировки, чем на мобильных телефонах. Плюс вы можете на сервер уже поставить VPN до заграницы. Опять же, у вас будет больше выбор протоколов.
вариант размещения VPS в РФ - это перебор локаций до тех пор, пока не попадете в ДЦ, на магистралях (на запад) которого либо вообще нет DPI, либо сильно перегруженный DPI, который не может ухватить все. Таким образом вы пытаетесь перепрыгнуть фильтры, которые находятся где-то на ближних к вам хопах.
И если вам везет с этим условием, а так же вас не банят, или не прикручивают фильтры в процессе - то этот вариант может быть лучше т.к. задержки и скорость могут быть приятнее
Вчера по быстрому установил официальный Docker от Telegram (https://hub.docker.com/r/telegrammessenger/proxy/). Через него всё нормально работало. Картинки/видео показывались. Сегодня решил подойти к вопросу более серьёзно, а то вчера я прокси повесил даже не на 443й порт. Взял пустую VPS (уже задолбало их клонировать). Установил всё по мануалу сверху, прокси завёлся, проверка домена работает. Красота. НО! Не грузится через него медиа. Картинки, видео. А для них прокси и нужен. Текст гоняется и без него корректно. Развернул на той же впс, на том же порту, что и вчера тот же образ, что вчера (официальный). Через него, на новой VPS картинки/видео летают. Делаю вывод, что впс не виновата. Да, VPS не в России, в Финляндии.
НЯЗ, для медиа нужна поддержка телеговских middle proxy. Это пока не умеет ни telemt (вроде как сейчас работают над этой фичой), ни mtg v2 (в v1 поддержка есть).
И у меня с сабжем медиа не грузится, я тоже поставил официальный докер, заработало, спасибо. На VPS в России.
Интересно, этот проксик хорошо скрывает свою сущность или его заблокируют вместе с обычным телеграмом? В трейсе на внешней стороне в основном TCP на порт 8888. Не жилец, имхо.
И ещё интересно, если запустить его на VPS не в России, этот трафик быстро вызовет подозрения и блокировку IP адреса VPS?
аналогично
У меня точь в точь такая же ситуация=) Подписываюсь под каждым словом.
Спасибо за подробную инструкцию.
Потестировал сервис на разных телефонах с разными провайдерами.
Столкнулся с тем, что на мобильном интернете от зеленого оператора прокси не подключается, а на проводном от него же коннектит - но грузит еле-еле (тут скорее вопрос к vps).
Публичные MTProto из статьи тоже показывают удручающие результаты
Прокси из приложения "Телега" (@telega_proxies) пробовали?
Вопрос, возможно тупой, а можно использовать на 443 порт? Он у меня амнезией занят(
Вы, конечно, можете использовать любой другой порт, но тогда убивается смысл задумки - маскировка под обычный HTTPS-трафик, без чего в наше время любые пакеты достаточно легко режутся DPI
Можно разбирать трафик по заголовкам.
Просто поднимите Амнезию на адресе 127.0.0.1 и другом порту, и направьте туда всех клиентов настройками mask_host и mask_port.
Первое что пришло в голову, есть ли возможность маскироваться под сбер?https://sbi.sberbank.ru:9443/ic/ufs/login.html
Поясните, пожалуйста, "чайнику". В чем преимущество делать свой MTProxy, а не использовать один из готовых? Тем более, что недостатка в них нет. Только вот во времена первой битвы с телегой этот способ гарантированно помогал (знай только список проксей обновляй), а вот сейчас уже нет - медиа не загружаются или загружаются, но невыносимо медленно. Спасает только виртуальное путешествие в страну тюльпанов. Вероятно, под ударом сам протокол обмена, а не конкретные адреса?
Подскажите где берете открытые адреса? А то половина из них не работает, то фото нет, то видео.
Так в том-то и дело! Сами сервера доступны, текст через них нормально ходит, а медиа нет. Отсюда и предположение, что дело не в плохой работе серверов а в замедлении протокола обмена как такового. Отсюда и вопрос: на собственном сервере MTProxy таких проблем ни у кого нет что ли?
Это "фича" mtproto, он заброшен на стороне Telegram и больше не отвечает спецификации по media.
пинг (сам выбираешь где сервер живёт)
контроль (рекламы нет в том числе)
только твой поток данных (скорость)
Спасибо. Поднял, все работает.
Подскажите пожалуйста как смотреть статистику. Порт 9090 был занят, взял 9093. Но там пусто.
# telemt.toml
metrics_port = 9093
metrics_whitelist = ["127.0.0.1", "::1"]
# compose.yml
ports:
- "127.0.0.1:9093:9093/tcp"
# curl -sv http://127.0.0.1:9093/
* Trying 127.0.0.1:9093...
* TCP_NODELAY set
* Connected to 127.0.0.1 (127.0.0.1) port 9093 (#0)
> GET / HTTP/1.1
> Host: 127.0.0.1:9093
> User-Agent: curl/7.68.0
> Accept: */*
>
* Empty reply from server
* Connection #0 to host 127.0.0.1 left intact
Попробовал в Windows собрать, а там опять управляющие символы для цветов вместо раскрашивания. Такое же в arti происходит, но при этом gdrive, mediafire_rs и питоновый gallery_dl как-то умудряются везде одинаково цветастый вывод рисовать.
Это какая-то другая библиотека используется, которая под терминал подстраивается, или программисты другой системы? o_0
warning: `telemt` (bin "telemt") generated 234 warnings (run `cargo fix --bin "telemt" -p telemt` to apply 36 suggestions)Там в основном "is never constructed" и "is never constructed"
И не нашёл никакой информации по конфигу.
Пробовал ставить "fast_mode = false", и клиент переставал подключаться. "secure = true" вроде никак не влияет. Описание подобного находил только в конфиге "mtprotoproxy", который на питоне.
Спасибо за статью! Инструмент мне понравился, не знал что такой есть. Настроил, запустил. С домашнего интернета телеграм удивляет скоростью. Но если подключиться от мобильного интернета, то начинаются глюки: то вообще к прокси не подключается, то сообщения не доходят. В общем, при подключении с мобильного одни беды. Может это как то решается? Можете подсказать как?
может кто знает, все поднял, у меня лично все идеально работает, но у некоторых друзей медиа грузит только в лс, заходят в тг каналы - медиа не грузит. из за чего может быть?Может, кто знает, всё поднял, у меня лично всё идеально работает, но у некоторых друзей медиа грузит только в ЛС, заходят в тг-каналы — медиа не грузит. С кем то провайдер даже одинаковый. Из-за чего может быть?
Для владельцев routeros (проверено на 7.21.2 chr, под arm64 образ тоже есть):[general.modes]
classic = true
[server]
port = 8443
Создаем каталог docker в нем каталог telemt. В docker/telemt закидываем telemt.toml.
В терминале ros:
/interface veth
add address=172.17.0.2/24 dhcp=no
gateway=172.17.0.1 gateway6="" name=
veth-telemt
/interface bridge
add name=bridge-docker
/interface bridge port add interface=veth-telemt bridge=bridge-docker
/ip address
add address=172.17.0.1/24 interface=bridge-docker network=172.17.0.0
/ip firewall nat
add action=dst-nat chain=dstnat comment=telemt dst-port=443 in-interface=ether1
protocol=tcp to-addresses=172.17.0.2 to-ports=8443
/container config
set registry-url=https://registry-1.docker.io tmpdir=/docker/tmp
/container envs
add key=RUST_LOG list=telemt_env value=info
/container mounts
add dst=/etc/telemt.toml list=telemt_config read-only=yes src=
/docker/telemt/telemt.toml
/container
add cmd="/telemt /etc/telemt.toml" dns=8.8.8.8 envlists=telemt_env interface=
veth-telemt layer-dir="" mountlists=telemt_config name=telemt remote-image=
whn0thacked/telemt-docker:latest root-dir=/docker/telemt/root
start-on-boot=yes workdir=/home/nonroot
Возможно надо будет запустить повторно.
Всем привет!
А работает ли прокси для звонков? Поднял на хостинге в германии на socks5, в приложении tg под ios дернул чекбокс "использовать для звонков", но на моменте установления соединения при звонке оно спустя время рвется (так и не соединившись). Или для звонков остается единственный вариант - использование vpn?
Поигрался с официальным докером и telemt в обоих случаях проблемы с медиа, практически не грузятся, пробовал и мобильном интернете и wifi
Парни, там telemt обновился пересоберите плиз образ whn0thacked/telemt-docker:latest
собрал,поставил, настроил- запущено, пинг есть, подключение есть. Сообщения отправляются, принимаются. Фото - не отправляется, не скачивается, файлы- не скачиваются, не отправляются,
Здравствуйте. Я автор mtg. Я очень рад за telemt, это прекрасный проект, но когда вы расказываете об mtg, давайте не будем врать.
У nineseconds/mtg на это нет ответа. Если клиент приходит без правильного секрета, mtg просто дропает соединение. Краулер это видит и делает выводы.
Это ложь. У mtg активная защита работает как минимум лет 5. Более того, у меня там есть и защита от replay-аттак, и подписки на черные и белые списки, и многое другое.
Провел эксперимент. Завел виртуальную машину, скопировал mtg и конфиг. Сгенерировал секрет.
root@ubuntu-s-1vcpu-512mb-10gb-ams3-01:~# ./mtg-2.1.9-linux-amd64/mtg generate-secret vultr.com
7giQTW41NdKt0_4VuxDrG_p2dWx0ci5jb20
Поменял секрет в конфиге, поставил 443 порт как у вас. Запустил
root@bee:~# curl -ki --resolve vultr.com:443:68.183.5.244 https://vultr.com HTTP/2 301
server: nginx
date: Mon, 16 Feb 2026 20:15:43 GMT
content-type: text/html
content-length: 162
location: https://www.vultr.com/ expires: Tue, 17 Feb 2026 20:15:43 GMT
cache-control: max-age=86400
strict-transport-security: max-age=63072000
x-content-type-options: nosniff
x-vid: 9120349
301 Moved Permanently
nginx
Все работает ровно так, как и ожидается. Я даже не знаю, как сделать так, чтобы оно не работало так, как ожидается. Возвращается ответ, побайтово идентичный ответу сервера.
Про образ
mtg тоже distroless. Контейнеры весят 4 мегабайта, внутри - сертификаты, конфиг + статически собранный бинарник: https://hub.docker.com/r/nineseconds/mtg + https://github.com/9seconds/mtg/pkgs/container/mtg
У mtg есть 2 режима - полноценный конфиг (тоже в TOML, раз вы об этом упомянули как о чем-то важно) + упрощенный режим, чтобы одной командой - и полетели. Даже называются так: run и simple-run.
Пользователи - да, один секрет. Это идеалогия проекта. Нет никакого практического смысла иметь больше. Прокси в современном мире - эфемерная штука, которая живет считанные дни, разводить разделение прав и тп - глупости.
Апстрим - в том числе и SOCKS5. В этом можно убедиться, если прочитать хотя бы 20 строчек README + заглянуть в конфиги.
Статус проекта - правда что ли заброшен? Ну дела! Новая версия вышла несколько часов назад.
даже с 5го смешно стало.
я что-ли теперь обязан обновлять статью по каждому вашему чиху?
в целом рад что не закреплял ваш комент под моим предыдущем посте - спасибо за минус карму в профиль) улыбнуло
Предлагаю сесть на пк и написать статью самому, c радостью гляну.
Просто не было большой нужды обновлять. Активность и заинтересованность пользователей сильно спала после предыдущей разблокировки Телеграма. Какие-то проблемы были, но неясно как было их решать, либо они были скорее необязательными хотелками. Я надеялся, что все, никому больше ничего не нужно в целом. Накачивать фичами ради фич я не люблю.
Моя претензия в том, что вы в своей табличке сравнили 2 проекта. Один все может, а второй — камень. Тогда как по факту еще с 21 года (5 лет как) mtg умеет все из вышеперечисленного. Кроме того, сравнение про active probing ну уж совсем возмутительное. Пробуем — не работает, ха-ха, фу. Одновременно с тем, оно работает уже с 2019, что ли года, и более того, об этом написано чуть не в первых строчках README.
Ваша замечательная статья больше похоже на некрасивое продвижение прекрасного проекта, и в чем-то отбрасывает на него тень.
Или я что не так настроил, или одно из двух. Сегодня клиент начал вот такое рисовать и отключать. Версия 6.5.1. Коммит 43990c9
До этого несколько дней всё работало исправно.
После выхода версии 3 на днях не смог заставить работать. Старая версия заработала сразу.
А кто нибудь делал аудит whn0thacked/telemt-docker?
Хоть на VPS, но все равно запускать неизвестное.... =)
https://habr.com/ru/articles/994934/comments/#comment_29510624
Тут есть автор, можешь связаться :)
К сожалению и myg, и telemt работают крайне не стабильно - то вдруг всё летает, то становится колом. По крайней мере на VPS в России.
А если запрос от клиента содержит секрет, то как будет строиться TLS? И будет ли? Сертификат ведь будет уже другой. Разве это не является явным признаком, что соединение одних клиентов с одним и тем же SNI будут с одним сертификатом сервера, а у других запросов (активной пробы), без секрета - с другим сертификатом? Это ведь очевидный признак скрытого прокси. Или я что-то не понял.
Ну и сам секрет - он ведь будет в запросе до TLS-хэндшейка? А значит сам по себе является маркером для выявления со стороны DPI.
Непонятно как самому в данной системе добавлять спонсируемый канал, нужно из шага 2 брать ключ и передавать его боту? Или тот ключ что выдался юзеру по ссылке? Раньше уже натыкался на гитхабе на проект. Проект классный, но побольше бы документации, про show_link к примеру узнал только из статьи
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Партизанский Telegram: как поднять прокси-невидимку, прикидываясь онлайн-магазином