LINUX.ORG.RU
ФорумTalks

Блокировки РКН действуют на ssh трафик

 ,


0

3

Докладываю.

15 января вечером я не мог зайти по ssh на сервера от хостера с дата-центром в nyc. После ввода логина соединение замедляется так сильно, что я сперва подумал на проблемы на хосте. Пытаешься запустить top, он показывает процессы и после этого уже не обновляет и ни на что не реагирует. Хостер же смог зацепиться без проблем. Минут через 30 все заработало.

Я тогда подумал, что ученья идут, но не был уверен на 100%. Сегодня прочитал, что действительно так и было:

https://habr.com/ru/companies/xeovo/articles/787106/

Наверное я не один это прочувствовал. В связи с чем вопрос: а чем вы пользуетесь в таких ситуациях вместо ssh?


Ответ на: комментарий от einhander

Все основные протоколы vpn блокируется

Наглое 4.2

CrX ★★★★★
()
Ответ на: комментарий от C

Судя по уровню исполнения блокировок, xray в обозримом будущем блокировать не осилят. Если только белый список, но то отдельная тема.

ddidwyll ★★★★
()
Ответ на: комментарий от CrX

Плюс, без vpn'а большая часть нужного мне не работает, поэтому выключать смысла нет.

ddidwyll ★★★★
()

xeovo

, наверное, если ещё не вынес все важные ворклоады из России и теперь во время каждого многотысячного протеста сидишь без ssh.

t184256 ★★★★★
()
Ответ на: комментарий от ddidwyll

Зарезать скорость ко всем неподконтрольным диапазонам IP думаю осилят, вроде бы уже такое было. Не сразу чтобы всё ломалось, а при превышении определённого лимита.

snizovtsev ★★★★★
()

GOST (не ГОСТ РФ ессно) и различные клоны XRay?

sanyo1234
()
Ответ на: комментарий от ddidwyll

Когда ж до вас (не знаю как назвать - тех кто рассуждает о глупом некомпетентном ркн) дойдёт, что вопроса осилят/не осилят там не стоит. Если нужна будет блокировка - она будет, с надёжностью соответствующей требованию поступившей в ркн директивы, вопрос только в том сколько побочных проблем она создаст. Если скажут «заблокируйте впн ddidwyll’у без шансов», и ради блокировки твоего впн надо будет закрыть трансграничные каналы - их закроют, и наплюют на последствия - они за последствия не отвечают. То, что этого не делают - это не потому, что «не могут», а потому что такой команды не поступало.

Впрочем, команды что-то блокировать персонально тебе - разумеется не будет. Блокируют массам. Те, кто содействует и агитирует эти «прятки» в массах - по факту провоцируют большее количество побочных эффектов ради надёжности блокировок.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от firkax

Я прекрасно понимаю, что лишить меня или всех доступа к сети возможно, но я уверен, что делать этого не станут по совокупности факторов. В т.ч. и недостаточной квалификации для противодействия современным способам обхода.

агитирует

Тут обсуждается техническая сторона вопроса.

ради надёжности блокировок

Ты о чём? Что, уже применяли какую-то блокировку которую нельзя обойти за пару часов гугления?

ddidwyll ★★★★
()
Последнее исправление: ddidwyll (всего исправлений: 1)
Ответ на: комментарий от ddidwyll

через cloudflare. Если и его побанят

Вчера перестал работать warp wireguard со всем диапазоном 162.159.193.0/24 и нештатными портами у двух провайдеров из трёх.

yandrey ★★
()
Ответ на: комментарий от ddidwyll

Что, уже применяли какую-то блокировку которую нельзя обойти за пару часов гугления?

Наверно это странно, но я внезапно захотел, чтобы забанили гугль к чортовой матери. Чтобы поизвелись, блин персонажи, решающие любые технические вопросы не своей головой а путём гугления.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

Зачем мне придумывать способ обхода, если можно поискать готовый?

ddidwyll ★★★★
()
Ответ на: комментарий от ddidwyll

Какие диапазоны забанены у cdn?

В реестре запрещенных присутствуют почти все, как только станут массовыми ESNI, ECH или подобное, забанят.

yandrey ★★
()
Ответ на: комментарий от ddidwyll

Все CDN вроде бы запрещают проксирование в своих ToS. Отдельно для гика-линуксоида оно проктит конечно, но массовый сервис для всех так уже не сделать.

snizovtsev ★★★★★
()
Ответ на: комментарий от snizovtsev

А децентрализованный, когда каждый запускает свой локальный Ansible/Terraform скриптик со случайными адресами ещё пока не созданных облачных хостов, случайными портами, протоколами, автоматическим перебором и подбором вариантов комбинаций туннелирования?

sanyo1234
()
Ответ на: комментарий от Stanson

Хм, как ты решишь ЛЮБЫЕ технические вопросы без поисковика?

Нужны как минимум доки. Например, DevOps стек представлен в основном открытыми инструментами на Github, где находятся важные разделы типа Issues и Discussions.

sanyo1234
()
Ответ на: комментарий от ddidwyll

В т.ч. и недостаточной квалификации для противодействия современным способам обхода.

Ты так пишешь, как будто РКН сами что-то там разрабатывают для блокировок. Это не так работает. Поступает сверху задача. На её решение выделяется бюджет, ищется подрядчик, который разработает программно-аппаратную часть. В РКН на местах просто в формочку забивают настроечки под каждый конкретный запрос и решение суда.

То, что задачи пока ставятся такие, что возможно без труда обойти блокировки, никак не свидетельствует об уровне квалификации.

ЗЫЖ Уже года 4 можно конкретному ddidwyll залочить весь интернет кроме kremlin.ru. Технически проблемы нет.

skiminok1986 ★★★★★
()
Ответ на: комментарий от skiminok1986

Это не так работает

Да, пилят на каждом этапе и в итоге реализация достаётся студенту за еду.

Технически проблемы нет

Есть и заключается она в побочных эффектах таких действий.

ddidwyll ★★★★
()
Ответ на: комментарий от ddidwyll

Да, пилят на каждом этапе и в итоге реализация достаётся студенту за еду.

Не совсем так. Первая половина фразы верна, вторая – нет.

Есть и заключается она в побочных эффектах таких действий.

Они переоценены.

skiminok1986 ★★★★★
()
Ответ на: комментарий от yandrey

И сколько всего сломается? Тут и так во всех сферах на ладан дышит.

ddidwyll ★★★★
()

По ощущениям, блочат скорее ip и сети, чем целиком протоколы. Не испытывал до сих пор проблем ни с wg, ни с ssh, ни с openvpn в Европу.

yu-boot ★★★★★
()
Ответ на: комментарий от yu-boot

Возможно, что-то радикально поменялось за два года, сколько я не имею отношения к этой галиматье.

Два года назад были блокировки исключительно по ip, сетям и доменам. Осенью заходил к бывшим коллегам, вроде как ничего особо не поменялось с тех пор.

Разговоры о блокировке протоколов идут, кстати, давно. Чуть ли не с начала всей этой истории. Однако, по факту пока не было реальных таких задач. Так что, если не раздувать и не набрасывать, то проблемы, получается, и нет.

skiminok1986 ★★★★★
()
Ответ на: комментарий от skiminok1986

Два года назад были блокировки исключительно по ip, сетям и доменам.

Ну да, на прошлой до сих пор стоит карбон-редуктор и больше ничего. Слушает весь трафик и при запросах на запрещённые РКН адреса пытается клиенту ответить сбросом соединения раньше самого сайта.

Так-то с московских провайдеров до сих пор через задницу, но работает тор. Без впн, напрямую. Достаточно режимы бриджей пощёлкать и подождать минуту-две.

yu-boot ★★★★★
()
Последнее исправление: yu-boot (всего исправлений: 1)
Ответ на: комментарий от yu-boot

А что если сделать более мощный туннель (самонастраивающийся интеллектуальный робот управления GOST+Xray и т.п.) для разблокировок по сравнению с этими нубскими попсовыми VPN, но выдавать его только тем, у кого есть серты и/или дипломы айти специальностей типа программистов, DevOps-ов и т.п. и на выходе поставить фильтр на базе AI, который будет блокировать политоту?

Чтобы можно было хотя бы спокойно работать, читать документацию, ходить на Github и вот это всё, а то бывает, сроки сдачи работ горят, а тут на тебе, какая-нибудь блокировка в самый неподходящий момент.

sanyo1234
()
Последнее исправление: sanyo1234 (всего исправлений: 2)
Ответ на: комментарий от sanyo1234

Я думаю, в итоге будет как сейчас. Инфу про vpn для домохозяек будут из яндекса выпиливать, а на сами vpn забьют, особенно на самодельные. Совсем рунет изолировать это парализовать работу кучи организаций. Кодеры импортозамещающие пострадают без гитхаба, и вот это всё. А если кому-то выборочно дырки приоткрывать, через них ходить будут не только на гитхаб и снова будет как сейчас, ну может менее доступно с улицы.

yu-boot ★★★★★
()
Последнее исправление: yu-boot (всего исправлений: 2)
Ответ на: комментарий от skiminok1986

Ты так пишешь, как будто РКН сами что-то там разрабатывают для блокировок. Это не так работает.

Емнип у них и разработчики есть, кто-то даже вроде с ЛОРа признавался. Во всяком случае, сформулировать ТЗ для решения задачи и проконтролировать правильность выполнения, отладить это дело на практике - тоже нужна квалификация.

praseodim ★★★★★
()
Ответ на: комментарий от ddidwyll

В массе людям блокировки и не мешают.

Мешают. Ну кроме может совсем ухомяченных, которым кроме нескольких одобренных соцсеточек и нескольких онлайн-магазинов ничего не надо. Впрочем, может таких уже и в самом деле большинство...

praseodim ★★★★★
()
Последнее исправление: praseodim (всего исправлений: 1)
Ответ на: комментарий от yu-boot

По ощущениям, блочат скорее ip и сети, чем целиком протоколы. Не испытывал до сих пор проблем ни с wg, ни с ssh, ни с openvpn в Европу.

Везет с провайдерами и/или местом, они как-то относительно географически выборочно блочат протоколы. Одно время они блочили DHT трафик, похоже побочно, вряд ли он сам целью был, так с этим столкнулся реально.

praseodim ★★★★★
()
Ответ на: комментарий от Stanson

Наверно это странно, но я внезапно захотел, чтобы забанили гугль к чортовой матери. Чтобы поизвелись, блин персонажи, решающие любые технические вопросы не своей головой а путём гугления.

гугол уже давно не нужен для гугления, можно банить

leopold
()
Ответ на: комментарий от praseodim

Впрочем, может таких уже и в самом деле большинство…

Во-первых, таких и правда большинство. Из сайтов под угрозой блокировок популярный только один - это ютуб, ну и его соответственно не блокируют.

Во-вторых, я не пользуюсь соцсетями, но мне блокировки не мешают.

firkax ★★★★★
()
Ответ на: комментарий от ddidwyll

Забаненый клаудфлар это будет праздник. Хотя бы в одной стране, хотя в идеале его вообще ликвидировать надо.

firkax ★★★★★
()
Ответ на: комментарий от thunar

Я не против, чтобы читали всесторонние обзоры происходящих событий. Я против, чтобы сервис ускоренно банили.

sanyo1234
()
Ответ на: комментарий от firkax

Забаненый клаудфлар это будет праздник.

Почему?

Хотя бы в одной стране, хотя в идеале его вообще ликвидировать надо.

Зачем?

sanyo1234
()
Ответ на: комментарий от firkax

Затем что это наглый митм

Почему наглый? Разве санкционированное владельцем сайта действие может быть наглым?

IMHO наглым является тайный MITM, когда вредители вторгаются в трафик несанкционированно. А Cloudflare приносит немало пользы (ускорение, децентрализация, защита от DDOS и т.п.).

(не говоря уж про монополизм),

У Cloudflare нет конкурентов?

который совсем забыл границы приличия.

А чем должны быть обозначены такие границы?

sanyo1234
()
Ответ на: комментарий от thunar

Суть сообщения была в том, чтобы те, кто занимаются решениями политических проблем, «перетягивая одеяло» каждый в свою сторону, не мешали мне работать с зарубежными сайтами и клиентами.

Я против, чтобы какая-либо политика (без разницы какой страны) причиняла мне вред.

sanyo1234
()
Последнее исправление: sanyo1234 (всего исправлений: 1)
Ответ на: комментарий от firkax

Во-вторых, я не пользуюсь соцсетями, но мне блокировки не мешают.

Лукавишь скорее всего. Даже на чисто технические темы, чем дальше тем чаще сталкиваюсь с блокировками. Например, частенько натыкаюсь на статьи на medium.com. Недавно оказалось, что https://lists.gnu.org/ заблокирован из-за какого-то почти 20-летней давности письма в хранящихся рассылках и подобных примеров полно. Практически по любому вопросу при активном поиске постоянно натыкаюсь на какие-то закрытые страницы.

С другой стороны, там тоже банят, например, Intel. И для доступа естественно нужен обход.

praseodim ★★★★★
()
Ответ на: комментарий от firkax

Те, кто содействует и агитирует эти «прятки» в массах

Правильно, агитировать нужно не прятки, а кое-что другое.

hakavlad ★★★
()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)