Роскомпозор уже ssh блокирует?

VPN пробовал? А то может ты просто с iptables ошибся, да ssh и закрыл.

IP под блокировками, но теперь они и до ssh добрались?

А что не так? Раз заблокирован IP полностью, то и должны все порты и любой трафик быть недоступными. Так банально проще.

блокирует не РКН (у них бы мозга не хватило), а конечные провайдеры. РКН весь гемор на них свалил. а у конечных провайдеров работают не сильно продвинутые админы. накалякали блокировку по IP - и хорош с них. у правильных провайдеров обычно лишнее не блокируется (они же не враги сами себе).

кстати, у многих провайдеров можно получить второй IP, иногда даже бесплатно. или сменить IP, если это виртуальный сервер. также попробуй IPv6. его редко блокируют.

Поздравляю с разморозкой, ну или твоего с обновлением ревизора. С год назад была такая штука с ec2 и провайдером дом.ру. Эти шлимазлы слали rst, но только мне. Как временный костыль - игнор rst на iptables. Потом нашел elastic ip из незабаненного диапазона.

Нафига тебе digitalocean, возьми свмую дешевую виртуалку у vdsina.ru, у них датацентр открыт на весь мир, хоть rutracker посещай (socks proxy, ssh проброс), и канал неплох.

жить в РФ
пользоваться чем-то в зоне .ru

Глупцы, сэр.

ну, зона ру (кхм... звучит как-то двусмысленно :) ) - это зона парадоксального интернета. в нём запрещено и разрешено абсолютно всё и ничего одновременно. это как интернет шрёдингера: ты не знаешь, жив ли он, пока не пинганёшь сервер. поэтому с некоторой вероятностью люди, используя эти иррациональные и стохастические процессы, умудряются достигать относительной связности сети :)

жизнь тут не причём
в зоне .ru есть два состояния (с половиной)

1. сервис подчиняется законам рф и сдаст тебя с потрохами при первом же запросе
2. UNDELEGATED UNREGISTERED

ну и промежуточный вариант, что о сервисе ещё никто не знает, но при первом же запросе трёхбуквенных ведомств он принимает одно из вышеописанных состояний.

Вопросы?

к счастью, большинство сервисов находятся в том самом третьем неопределённом состоянии. и через эти третьи сервисы есть доступ ко всем прочим сервисам, якобы «запрещённым». кстати, насчёт разделегирования я не уверена. я спокойно захожу на любые «запрещённые» домены в зоне ру. доменные записи никуда не делись. впрочем, может, у dnscrypt свои базы - тут я хз.

так что неопределённость всё же существует. любой сайт находится в неизвестном состоянии. он одновременно запрещён и не запрещён, он может быть разделегирован (вероятно), но доступен. это и есть то самое Зазеркалье, в котором мы живём.

Так а смысл, если можно за копейки купить сервер в зарубежной юрисдикции и спать чуть спокойнее?

да я с этим не спорю. но парадокс в том, что в эрефии прокси из эрефии позволяют обходить законы зазеркалья. просто это показалось мне забавным. «откусишь с одной стороны гриба...» (С)

Таки да, в эрэфии запреты распространяются только на абонентов-физлиц.

Представь, как взвыл бы бизнес, когда в «войне с телегой» локнули пару десятков /24 того же digitalocean'а

Представь, как взвыл бы бизнес, когда в «войне с телегой» локнули пару десятков /24 того же digitalocean'а

Глас вопиющего в пустыне, не более того. 5100 адресов - капля в море.

да он бы не взвыл. он бы просто разнёс всё нафиг. поэтому на бизнес никто не наедет. никто не покусится на бабло.

Я мог промахнуться с цифрами, мне лень выгугливать точные.

Но даже до нас этот вопиющий глас дотянулся, вынуждены были брать другой диапазон на DO-нодах (а потом и вовсе выпилить, заменив на что-то другое)

Именно это я и имел в виду!

представим что с завтрашнего дня ваша дорога станет в два раза длинней

ветерок волосики треплет и освежает

у них датацентр отправил твои ключи даже участковому

Очевиднофикс.

У меня половина впсок тогда отвалилась, включая девелоперскую, у которой даже домена нет. Кто будет думать о каком-то там бизнесе, ты что, в эту чушь поверил про «поднимать бизнесы»? Все кабанчиком айпишники живые купили и все.

Да. Мой ip заблокировали за непубличный mtproxy (забыл включить рандом паддинг), теперь приходится ходить по ssh в обход.

P.S. Раньше за mtproxy банили на пару часов (по размеру пакета), а теперь навечно в реестр задним решением суда. Так можно любой чужой ip туда засунуть, если слать на него такие пакеты.

Ты хошь сказать они банят не когда отвечают на запрещенном порту, а когда спрашивают? Это не только кретинизм, в который еще можно поверить, но и технически сложнее. Не будет же провайдер вычислять, куда клиенты шлют мтпрото-салюты, и в каких масштабах. Ему заняться больше не чем штоле.

жить

Это так. Порт был рандомный, ключ тоже.

Обсуждали на хабре и других ресурсах, могу поискать за тебя чуть позже.

https://habr.com/ru/post/414099/ прошлогоднее, но тогда не добавляли в реестр (отдельные провайдеры банили на короткое время).

В этом году: https://forum.nag.ru/index.php?/topic/146511-rkn-nahodit-i-banit-chastnye-tel... тут многие комментарии некорректны, т.к. люди думают что бот-чекер может подключиться к mtproxy без ключа (это не так). https://habr.com/ru/post/437024/#comment_19649634 отзыв человека у которого забанили пачку индивидуальных прокси.

Мой ip забанили в январе 2019, там не было ничего кроме mtproxy (правда, с выключенной рандомизацией длины пакета - я тоже не верил, что могут забанить).

конченые провайдеры

#fixed

у правильных провайдеров обычно

и то что должно быть заблокировано, не совсем полным списком блокируется :)

У меня приватная mtproxy на рандомном порту с момента появления висит, никто ничего не заблокировал.

Поздравляю, тебе повезло. У меня около месяца прожила всего.

висит

Надеюсь, с dd.

да он бы не взвыл. он бы просто разнёс всё нафиг.

Бизне разнёс всё нафиг, серьёзно ты так думаешь? Где дальнобойщики? Где палаточники? Ах, они слишком маленькие? Где Газпром? Где этот алюминиевый концерн? Ещё раз, кто бы там и что разнёс? Ах, эти какие-то нечестные? Где наш алигарх, директор магнита и его команда? Единственный нормальный человек среди «этих». Насколько мне известно, нормальные защитнички есть только у Кадырова. И ему, скорее-всего, плевать на 96-98% бизнеса в Эрафии, как и на блокировку ssh. Кто бы там что разнёс?

поэтому на бизнес никто не наедет. никто не покусится на бабло.

Как можно наехать на компьютер? А на гладильную доску? А на образование опилок у станка? И, самое главное, зачем? Совсем уже что ли? Наезжают на людей, и переезжают их же. Люди «переезжают» людей. Причём никто не взвоет о тех, кого переехали. Менталитет такой у граждан, не важно даже кого переезжают, результат один: «Дело утопающих, это дело рук самих утопающих»; «Тебе больше всех надо?» и тому подобное. Внятные законы регулирующий орган так и не предоставил по поводу DO &Co. Возможно, вам они известны?

конченые граждане

#fixed

Поздравляю, тебе повезло. У меня около месяца прожила всего.

Думаешь РКН сканирует все порты на всех серверах? Скорее всего диапазон заблочили.

dd

dd?

Если речь про обновления - спасибо, обновился.

Так это «у тебя» , а не у большого бизнеса.
Того, который поднимать уже не нужно.

Думаешь РКН сканирует все порты на всех серверах? Скорее всего диапазон заблочили.

Я ведь даже ссылки привел, тебе лень почитать, перед ответом? Блокируют конкретные ip конкретно за mtproxy с паролем. А если точнее - серверу даже не надо отвечать на пакеты определенного размера (см. линк на хабр).

Думаешь РКН сканирует все порты на всех серверах?

Хоть обсканируйся, без пароля ты не поймешь, что это mtproxy.

dd?

Random padding Due to some ISPs detecting MTProxy by packet sizes, random padding is added to packets if such mode is enabled.

It's only enabled for clients which request it.

Add dd prefix to secret (cafe...babe => ddcafe...babe) to enable this mode on client side.

То, что тебя не забанили - вопрос везения. Посмотри issue разных реализаций mtproxy на гитхабе - в Иране их моментально лочат уже давно (без dd), у нас начали недавно.

Забыл упомянуть. https://github.com/9seconds/mtg умеет «Support only clients with secure mode (i.e only clients with dd-secrets)»

Так это «у тебя» , а не у большого бизнеса.

Примеры приведи, пустослов. Компания Магнит, это большой бизнес?

Того, который поднимать уже не нужно.

Похоже, мне остаётся только хохотать, какой это бизнес в РФ поднимать некуда или ненужно? Пустослов, даю тебе шанс привести любой пример по миру такого бизнеса, а потом спросить у владельца, согласен ли он с тобой, лол.

Спасибо, добавил dd.

Но все равно это звучит как бред - провайдеры не обязаны искать прокси через DPI. До ревизора они вообще клали болт на блокировки.

Не знаю как там в Иране, но уверен что у нас никто не ищет прокси по сигнатуре и это просто совпадения.

ну да, люди понимают, что с дурдомом надо что-то делать. как-то спасать ситуацию. у провайдеров тоже нормальные люди работают. просто их поставили в дурацкое положение, когда они вынуждены выглядеть либо врагами народа, либо клоунами.

Не знаю как там в Иране, но уверен что у нас никто не ищет прокси по сигнатуре и это просто совпадения.

Мало ли в чем ты уверен. У многих побанило ip, и у меня в том числе.

Детект основан на размерах пакетов. Если содержимое пакетов заменить на случайный набор байт того же размера, то соединение всё равно разрывается.

Размер пакетов клиента существенен — если случайно его менять, то соединение перестаёт разрываться.

Размер пакетов сервера никак не влияет — если сервер вообще не отправляет ответов, то соединение всё равно разрывается.

«Симуляция» трафика mtproto была сделана следующим образом: https://github.com/darkk/poormansmtproto/blob/master/nqtg.py

На сервере никакого активного проббинга помимо трафика клиента не осуществляется.

провайдеры не обязаны искать прокси через DPI

Конечным провайдерам и не надо этого делать, все равно все упирается в ростелеком.

IP под блокировками, но теперь они и до ssh добрались?

Если IP под блокировками, почему должно хоть что-то работать? Вот если бы только http/https под блокировками, то то да.

Конечным провайдерам и не надо этого делать,

Это заблуждение. Услугами вышестоящего провайдер по блокировке можно пользоваться только если вышестоящий только один.

все равно все упирается в ростелеком.

Вот как раз Ростелеком операторский трафик не фильтрует.

также попробуй IPv6. его редко блокируют.

Его не блокировали, пока в выгрузке не было. С осени сети v6 в выгрузке есть, и за неблокировку тот же штраф. Не знаю правда, может ли уже коробочка v6 проверять.

когда в «войне с телегой» локнули пару десятков /24 того же digitalocean'а

Их локнули гораздо больше. И бизнес таки выл. Ну и вот ещё: https://moisha-liberman.livejournal.com/73187.html?nojs=1

Не будет же провайдер вычислять, куда клиенты шлют мтпрото-салюты, и в каких масштабах. Ему заняться больше не чем штоле.

Совершенно верно. Данная обязанность на провайдерах не висит.

Вот как раз Ростелеком

https://habr.com/ru/post/414099/

https://habr.com/ru/post/414099/

Мне не нужен хабр, у меня есть операторский канал от Ростелекома. И не только от него. Ростелеком фильтрует только трафик обычных клиентов.

Ясно, значит я все выдумал.

Чтобы не быть голословным, выдержка из ссылки выше, «взгляд со стороны»:

«Хочу обратить внимание, что ограничение доступа к ресурсам по результатам анализа трафика незаконно. Обтекаемые формулировки репрессивного российского законодательства в области ограничения доступа к информации всё равно создают определенные рамки для оснований для блокировок и способов блокировки. Ничего похожего ни на ковровые блокировки, ни на анализ пакетов там нет. Это строго противозаконно»." (с) Специалист по блокировкам Филипп Кулин, владелец хостинг-компании DiPHOST