ne-vlezay80 Posted June 20, 2017 Есть информация, что в россии готовится законопроект об запрктк анонимайзеров: http://www.ksonline.ru/281824/kudryavtsev/ Какие есть способы обхода данного законопроректа? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fspi Posted June 20, 2017 Туннель в тунелле,н-р,anything-over-ssh. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ne-vlezay80 Posted June 20, 2017 Туннель в тунелле,н-р,anything-over-ssh. А ещё можно VPN через TOR over OBFS-proxy Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted June 20, 2017 Какие есть способы обхода данного законопроректа? user@server.domain.tld# grep -E '(^Port|TcpForw)' /etc/ssh/ssd_config Port 44444 AllowTcpForwarding yes user2@homyak@ ssh -p 44444 -l user -D 33333 server.domain.tld И имеем SOCKS5-сервер на 127.0.0.1:33333 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted June 20, 2017 Для того, чтобы этот закон заставить работать, придется блокировать все подряд сети любых хостеров. Куда туннель-то терминировать будем? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ne-vlezay80 Posted June 20, 2017 Для того, чтобы этот закон заставить работать, придется блокировать все подряд сети любых хостеров. Куда туннель-то терминировать будем? На бордер районной больницы))) Шутка Для того, чтобы этот закон заставить работать, придется блокировать все подряд сети любых хостеров. Куда туннель-то терминировать будем? Тогда, кстати перестанет работать интернет, и будет ЕРнет Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ne-vlezay80 Posted June 20, 2017 Какие есть способы обхода данного законопроректа? user@server.domain.tld# grep -E '(^Port|TcpForw)' /etc/ssh/ssd_config Port 44444 AllowTcpForwarding yes user2@homyak@ ssh -p 44444 -l user -D 33333 server.domain.tld И имеем SOCKS5-сервер на 127.0.0.1:33333 А как на счёт ppp over ssh или ethernet over ssh Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted June 20, 2017 А как на счёт ppp over ssh или ethernet over ssh Если очень хочется, то можно Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ne-vlezay80 Posted June 20, 2017 А как на счёт ppp over ssh или ethernet over ssh Если очень хочется, то можно Как я понял, DPI провайдера будет видеть только, что установленна ssh-сессия? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted June 20, 2017 И имеем SOCKS5-сервер на 127.0.0.1:33333 У меня IP туннель через ссш, работает нормально. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
a290 Posted June 20, 2017 SSH туннель можно зарезать до 64кбит или потерь пакетов добавить - для работы в терминале хватит. OpenVPN определяется DPI (в.т.ч. и на TCP 443), TOR entry nodes по IP можно уже сейчас банить. Вроде китайцы именно так и делают. А вот с SSTP и SoftEther уже проблема - они под HTTPS маскируются, китайцы их как-то хитро банят, но алгоритм определения, разумеется, никому не говорят. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted June 20, 2017 Накорябать свою туннелировалку зашумляющую пакеты вообще не проблема. Взять тот же нетграф, накалять ноду которая тупо пакеты aes/чача шифрует/дешифрует, и дальше делать через неё хотя бы тотже ппп в mpd5 или эзернет тунелить. Со стороны это всё будет выглядеть как поток юдп пакетов с хз каким содержимым. Хотя есть способы банальнее: тупое проксирование через тлс соединение тем же нгинхом через какой то свой сервер где то там на хостинге. Да даже без тлс, один фиг, если будут host смотреть в нгинхе оно легко переименуется и вообще энкодится, чисто правкой конфига. Но лучше выбрать кого то кто это отменит, а то такими темпами дома на кухнях поставят камеры и запретят больше двоих собираться. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted June 21, 2017 SSH туннель можно зарезать до 64кбит или потерь пакетов добавить - для работы в терминале хватит. Ага. А я потом техподдержке за жестокие тормоза sftp мозг так вые.у, что мало не покажется! :-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted June 21, 2017 Думаю технарям на данный момент боятся нечего, было разьяснение, и по нему достаточно очевидно, что бороться будут с массовыми сервисами которые создают возможность обхода так, что воспользоваться ей может даже технически неосведомленный обыватель. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ne-vlezay80 Posted June 21, 2017 SSH туннель можно зарезать до 64кбит или потерь пакетов добавить - для работы в терминале хватит. OpenVPN определяется DPI (в.т.ч. и на TCP 443), TOR entry nodes по IP можно уже сейчас банить. Вроде китайцы именно так и делают. А вот с SSTP и SoftEther уже проблема - они под HTTPS маскируются, китайцы их как-то хитро банят, но алгоритм определения, разумеется, никому не говорят. А для работы ppp over ssh или ethernet over ssh? Со стороны это всё будет выглядеть как поток юдп пакетов с хз каким содержимым. UDP тоже хотят запретить. Но лучше выбрать кого то кто это отменит, а то такими темпами дома на кухнях поставят камеры и запретят больше двоих собираться. А если я долбану молотком по этим камерам, или перережу у них провода? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fspi Posted June 21, 2017 А как на счёт ppp over ssh или ethernet over ssh Если очень хочется, то можно Как я понял, DPI провайдера будет видеть только, что установленна ssh-сессия? HTTPS сейчас блочат по SNI,потому что не возможности расковырять шифрование и увидеть,что в payload лежит. с SSH - аналогично. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fspi Posted June 21, 2017 и будет ЕРнет Чебурнет будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
a290 Posted June 21, 2017 Накорябать свою туннелировалку зашумляющую пакеты вообще не проблема. Взять тот же нетграф, накалять ноду которая тупо пакеты aes/чача шифрует/дешифрует, и дальше делать через неё хотя бы тотже ппп в mpd5 или эзернет тунелить. Со стороны это всё будет выглядеть как поток юдп пакетов с хз каким содержимым. Ну так китайский метод и тут работает. Всё что похоже на VPN - режем скорость до 64-128кбит. Главное чтобы так делать заставить всех и сразу. Иначе абонент уйдет к другому провайдеру, который VPN не режет. Хотя есть способы банальнее: тупое проксирование через тлс соединение тем же нгинхом через какой то свой сервер где то там на хостинге. Да даже без тлс, один фиг, если будут host смотреть в нгинхе оно легко переименуется и вообще энкодится, чисто правкой конфига. Ну вот SSTP и SoftEther через SSL и работают. Внешне неотличимы от нормального HTTPS трафика. Ещё stunnel есть, в который можно тот же OpenVPN завернуть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted June 21, 2017 UDP тоже хотят запретить. Ну есть GRE и ещё 250+ типов пейлоада для IP :) Но в целом это вызовет вой у кучи народа, тут и сип и гамеры и хз кто ещё. Ну так китайский метод и тут работает. Всё что похоже на VPN - режем скорость до 64-128кбит. Главное чтобы так делать заставить всех и сразу. Иначе абонент уйдет к другому провайдеру, который VPN не режет. Ну это не большая проблема. В своём софте можно сделать вид что у тебя два хттп соединения по одному ты типа выкачиваешь файл неизвестного размера а по второму отправляешь чего то пусть типа известного размера но превышающее или много чего то известного и правильного размера. Формально к такому не прикопатся, да и сигнатур не будет. Но мне всем этим заниматься не хочется, я лучше поддержу нормальных кандидатов деньгами и голосами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ne-vlezay80 Posted June 21, 2017 Но мне всем этим заниматься не хочется, я лучше поддержу нормальных кандидатов деньгами и голосами. Каких кондидатов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ne-vlezay80 Posted June 21, 2017 и будет ЕРнет Чебурнет будет. Вот сайты, которые будут доступны в будущем: http://*.kremlin.ru/ http://updrf.ru/ http://gosuslugi.ru/ http://storonniki.info/ http://er.ru/ http://www.mger2020.ru/ А остальные сайты будут заблокированны! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
gibbon Posted June 21, 2017 и будет ЕРнет Чебурнет будет. Вот сайты, которые будут доступны в будущем: http://*.kremlin.ru/ http://updrf.ru/ http://gosuslugi.ru/ http://storonniki.info/ http://er.ru/ http://www.mger2020.ru/ А остальные сайты будут заблокированны! Еще будут vk.com и ok.ru, чтобы ФСБ было удобнее следить за людьми! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ne-vlezay80 Posted June 21, 2017 и будет ЕРнет Чебурнет будет. Вот сайты, которые будут доступны в будущем: http://*.kremlin.ru/ http://updrf.ru/ http://gosuslugi.ru/ http://storonniki.info/ http://er.ru/ http://www.mger2020.ru/ А остальные сайты будут заблокированны! Еще будут vk.com и ok.ru, чтобы ФСБ было удобнее следить за людьми! Тогда наверное, придётся делать альтернативный интернет или тянуть кабель из за границы Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fspi Posted June 21, 2017 и будет ЕРнет Чебурнет будет. Вот сайты, которые будут доступны в будущем: http://*.kremlin.ru/ http://updrf.ru/ http://gosuslugi.ru/ http://storonniki.info/ http://er.ru/ http://www.mger2020.ru/ А остальные сайты будут заблокированны! Еще будут vk.com и ok.ru, чтобы ФСБ было удобнее следить за людьми! Регистрация в которых будет исключительно по паспорту. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted June 21, 2017 Еще будут vk.com и ok.ru, чтобы ФСБ было удобнее следить за людьми! Один из моих бывших коллег, поработавши в ранге начальника сектора в одной из ведущих наших инетконтор в столице, на мои вопросы о том, чего нельзя спрашивать, просто хмурился и уходил от ответов. Это был не его сектор работы, но тем не менее. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...