Jump to content
Калькуляторы

Обойти закон о блокировке анонимайзеров

Есть информация, что в россии готовится законопроект об запрктк анонимайзеров:

 

http://www.ksonline.ru/281824/kudryavtsev/

 

Какие есть способы обхода данного законопроректа?

Share this post


Link to post
Share on other sites

Какие есть способы обхода данного законопроректа?

user@server.domain.tld# grep -E '(^Port|TcpForw)' /etc/ssh/ssd_config
Port 44444
AllowTcpForwarding yes

user2@homyak@ ssh -p 44444 -l user -D 33333 server.domain.tld

И имеем SOCKS5-сервер на 127.0.0.1:33333

Share this post


Link to post
Share on other sites

Для того, чтобы этот закон заставить работать, придется блокировать все подряд сети любых хостеров. Куда туннель-то терминировать будем?

Share this post


Link to post
Share on other sites

Для того, чтобы этот закон заставить работать, придется блокировать все подряд сети любых хостеров. Куда туннель-то терминировать будем?

На бордер районной больницы))) Шутка

 

Для того, чтобы этот закон заставить работать, придется блокировать все подряд сети любых хостеров. Куда туннель-то терминировать будем?

Тогда, кстати перестанет работать интернет, и будет ЕРнет

Share this post


Link to post
Share on other sites

Какие есть способы обхода данного законопроректа?

user@server.domain.tld# grep -E '(^Port|TcpForw)' /etc/ssh/ssd_config
Port 44444
AllowTcpForwarding yes

user2@homyak@ ssh -p 44444 -l user -D 33333 server.domain.tld

И имеем SOCKS5-сервер на 127.0.0.1:33333

А как на счёт ppp over ssh или ethernet over ssh

Share this post


Link to post
Share on other sites

А как на счёт ppp over ssh или ethernet over ssh

Если очень хочется, то можно

Как я понял, DPI провайдера будет видеть только, что установленна ssh-сессия?

Share this post


Link to post
Share on other sites

SSH туннель можно зарезать до 64кбит или потерь пакетов добавить - для работы в терминале хватит. OpenVPN определяется DPI (в.т.ч. и на TCP 443), TOR entry nodes по IP можно уже сейчас банить. Вроде китайцы именно так и делают. А вот с SSTP и SoftEther уже проблема - они под HTTPS маскируются, китайцы их как-то хитро банят, но алгоритм определения, разумеется, никому не говорят.

Share this post


Link to post
Share on other sites

Накорябать свою туннелировалку зашумляющую пакеты вообще не проблема.

Взять тот же нетграф, накалять ноду которая тупо пакеты aes/чача шифрует/дешифрует, и дальше делать через неё хотя бы тотже ппп в mpd5 или эзернет тунелить.

Со стороны это всё будет выглядеть как поток юдп пакетов с хз каким содержимым.

 

Хотя есть способы банальнее: тупое проксирование через тлс соединение тем же нгинхом через какой то свой сервер где то там на хостинге. Да даже без тлс, один фиг, если будут host смотреть в нгинхе оно легко переименуется и вообще энкодится, чисто правкой конфига.

 

Но лучше выбрать кого то кто это отменит, а то такими темпами дома на кухнях поставят камеры и запретят больше двоих собираться.

Share this post


Link to post
Share on other sites

SSH туннель можно зарезать до 64кбит или потерь пакетов добавить - для работы в терминале хватит.

Ага. А я потом техподдержке за жестокие тормоза sftp мозг так вые.у, что мало не покажется! :-)

Share this post


Link to post
Share on other sites

Думаю технарям на данный момент боятся нечего, было разьяснение, и по нему достаточно очевидно, что бороться будут с массовыми сервисами которые создают возможность обхода так, что воспользоваться ей может даже технически неосведомленный обыватель.

Share this post


Link to post
Share on other sites

SSH туннель можно зарезать до 64кбит или потерь пакетов добавить - для работы в терминале хватит. OpenVPN определяется DPI (в.т.ч. и на TCP 443), TOR entry nodes по IP можно уже сейчас банить. Вроде китайцы именно так и делают. А вот с SSTP и SoftEther уже проблема - они под HTTPS маскируются, китайцы их как-то хитро банят, но алгоритм определения, разумеется, никому не говорят.

А для работы ppp over ssh или ethernet over ssh?

 

Со стороны это всё будет выглядеть как поток юдп пакетов с хз каким содержимым.

UDP тоже хотят запретить.

Но лучше выбрать кого то кто это отменит, а то такими темпами дома на кухнях поставят камеры и запретят больше двоих собираться.

А если я долбану молотком по этим камерам, или перережу у них провода?

Share this post


Link to post
Share on other sites

А как на счёт ppp over ssh или ethernet over ssh

Если очень хочется, то можно

Как я понял, DPI провайдера будет видеть только, что установленна ssh-сессия?

 

HTTPS сейчас блочат по SNI,потому что не возможности расковырять шифрование и увидеть,что в payload лежит. с SSH - аналогично.

Share this post


Link to post
Share on other sites

Накорябать свою туннелировалку зашумляющую пакеты вообще не проблема.

Взять тот же нетграф, накалять ноду которая тупо пакеты aes/чача шифрует/дешифрует, и дальше делать через неё хотя бы тотже ппп в mpd5 или эзернет тунелить.

Со стороны это всё будет выглядеть как поток юдп пакетов с хз каким содержимым.

 

Ну так китайский метод и тут работает. Всё что похоже на VPN - режем скорость до 64-128кбит. Главное чтобы так делать заставить всех и сразу. Иначе абонент уйдет к другому провайдеру, который VPN не режет.

Хотя есть способы банальнее: тупое проксирование через тлс соединение тем же нгинхом через какой то свой сервер где то там на хостинге. Да даже без тлс, один фиг, если будут host смотреть в нгинхе оно легко переименуется и вообще энкодится, чисто правкой конфига.

Ну вот SSTP и SoftEther через SSL и работают. Внешне неотличимы от нормального HTTPS трафика. Ещё stunnel есть, в который можно тот же OpenVPN завернуть.

Share this post


Link to post
Share on other sites

UDP тоже хотят запретить.

Ну есть GRE и ещё 250+ типов пейлоада для IP :)

Но в целом это вызовет вой у кучи народа, тут и сип и гамеры и хз кто ещё.

 

Ну так китайский метод и тут работает. Всё что похоже на VPN - режем скорость до 64-128кбит. Главное чтобы так делать заставить всех и сразу. Иначе абонент уйдет к другому провайдеру, который VPN не режет.

Ну это не большая проблема.

В своём софте можно сделать вид что у тебя два хттп соединения по одному ты типа выкачиваешь файл неизвестного размера а по второму отправляешь чего то пусть типа известного размера но превышающее или много чего то известного и правильного размера.

Формально к такому не прикопатся, да и сигнатур не будет.

 

Но мне всем этим заниматься не хочется, я лучше поддержу нормальных кандидатов деньгами и голосами.

Share this post


Link to post
Share on other sites

Но мне всем этим заниматься не хочется, я лучше поддержу нормальных кандидатов деньгами и голосами.

Каких кондидатов?

Share this post


Link to post
Share on other sites

и будет ЕРнет

 

Чебурнет будет.

Вот сайты, которые будут доступны в будущем:

http://*.kremlin.ru/
http://updrf.ru/
http://gosuslugi.ru/
http://storonniki.info/
http://er.ru/
http://www.mger2020.ru/

 

А остальные сайты будут заблокированны!

Share this post


Link to post
Share on other sites

и будет ЕРнет

 

Чебурнет будет.

Вот сайты, которые будут доступны в будущем:

http://*.kremlin.ru/
http://updrf.ru/
http://gosuslugi.ru/
http://storonniki.info/
http://er.ru/
http://www.mger2020.ru/

 

А остальные сайты будут заблокированны!

Еще будут vk.com и ok.ru, чтобы ФСБ было удобнее следить за людьми!

Share this post


Link to post
Share on other sites

и будет ЕРнет

 

Чебурнет будет.

Вот сайты, которые будут доступны в будущем:

http://*.kremlin.ru/
http://updrf.ru/
http://gosuslugi.ru/
http://storonniki.info/
http://er.ru/
http://www.mger2020.ru/

 

А остальные сайты будут заблокированны!

Еще будут vk.com и ok.ru, чтобы ФСБ было удобнее следить за людьми!

Тогда наверное, придётся делать альтернативный интернет или тянуть кабель из за границы

Share this post


Link to post
Share on other sites

и будет ЕРнет

 

Чебурнет будет.

Вот сайты, которые будут доступны в будущем:

http://*.kremlin.ru/
http://updrf.ru/
http://gosuslugi.ru/
http://storonniki.info/
http://er.ru/
http://www.mger2020.ru/

 

А остальные сайты будут заблокированны!

Еще будут vk.com и ok.ru, чтобы ФСБ было удобнее следить за людьми!

 

Регистрация в которых будет исключительно по паспорту.

Share this post


Link to post
Share on other sites

Еще будут vk.com и ok.ru, чтобы ФСБ было удобнее следить за людьми!

Один из моих бывших коллег, поработавши в ранге начальника сектора в одной из ведущих наших инетконтор в столице, на мои вопросы о том, чего нельзя спрашивать, просто хмурился и уходил от ответов. Это был не его сектор работы, но тем не менее.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.