[ne-vlezay80]

Есть информация, что в россии готовится законопроект об запрктк анонимайзеров:

 

http://www.ksonline.ru/281824/kudryavtsev/

 

Какие есть способы обхода данного законопроректа?

[fspi]

Туннель в тунелле,н-р,anything-over-ssh.

[ne-vlezay80]

Туннель в тунелле,н-р,anything-over-ssh.

 

А ещё можно VPN через TOR over OBFS-proxy

[snvoronkov]

Какие есть способы обхода данного законопроректа?

user@server.domain.tld# grep -E '(^Port|TcpForw)' /etc/ssh/ssd_config
Port 44444
AllowTcpForwarding yes

user2@homyak@ ssh -p 44444 -l user -D 33333 server.domain.tld

И имеем SOCKS5-сервер на 127.0.0.1:33333

[Sergey Gilfanov]

Для того, чтобы этот закон заставить работать, придется блокировать все подряд сети любых хостеров. Куда туннель-то терминировать будем?

[ne-vlezay80]

Для того, чтобы этот закон заставить работать, придется блокировать все подряд сети любых хостеров. Куда туннель-то терминировать будем?

На бордер районной больницы))) Шутка

 

Для того, чтобы этот закон заставить работать, придется блокировать все подряд сети любых хостеров. Куда туннель-то терминировать будем?

Тогда, кстати перестанет работать интернет, и будет ЕРнет

[ne-vlezay80]

Какие есть способы обхода данного законопроректа?

user@server.domain.tld# grep -E '(^Port|TcpForw)' /etc/ssh/ssd_config
Port 44444
AllowTcpForwarding yes

user2@homyak@ ssh -p 44444 -l user -D 33333 server.domain.tld

И имеем SOCKS5-сервер на 127.0.0.1:33333

А как на счёт ppp over ssh или ethernet over ssh

[Sergey Gilfanov]

А как на счёт ppp over ssh или ethernet over ssh

Если очень хочется, то можно

[ne-vlezay80]

А как на счёт ppp over ssh или ethernet over ssh

Если очень хочется, то можно

Как я понял, DPI провайдера будет видеть только, что установленна ssh-сессия?

[Ivan_83]

И имеем SOCKS5-сервер на 127.0.0.1:33333

У меня IP туннель через ссш, работает нормально.

[a290]

SSH туннель можно зарезать до 64кбит или потерь пакетов добавить - для работы в терминале хватит. OpenVPN определяется DPI (в.т.ч. и на TCP 443), TOR entry nodes по IP можно уже сейчас банить. Вроде китайцы именно так и делают. А вот с SSTP и SoftEther уже проблема - они под HTTPS маскируются, китайцы их как-то хитро банят, но алгоритм определения, разумеется, никому не говорят.

[Ivan_83]

Накорябать свою туннелировалку зашумляющую пакеты вообще не проблема.

Взять тот же нетграф, накалять ноду которая тупо пакеты aes/чача шифрует/дешифрует, и дальше делать через неё хотя бы тотже ппп в mpd5 или эзернет тунелить.

Со стороны это всё будет выглядеть как поток юдп пакетов с хз каким содержимым.

 

Хотя есть способы банальнее: тупое проксирование через тлс соединение тем же нгинхом через какой то свой сервер где то там на хостинге. Да даже без тлс, один фиг, если будут host смотреть в нгинхе оно легко переименуется и вообще энкодится, чисто правкой конфига.

 

Но лучше выбрать кого то кто это отменит, а то такими темпами дома на кухнях поставят камеры и запретят больше двоих собираться.

[snvoronkov]

SSH туннель можно зарезать до 64кбит или потерь пакетов добавить - для работы в терминале хватит.

Ага. А я потом техподдержке за жестокие тормоза sftp мозг так вые.у, что мало не покажется! :-)

[nuclearcat]

Думаю технарям на данный момент боятся нечего, было разьяснение, и по нему достаточно очевидно, что бороться будут с массовыми сервисами которые создают возможность обхода так, что воспользоваться ей может даже технически неосведомленный обыватель.

[ne-vlezay80]

SSH туннель можно зарезать до 64кбит или потерь пакетов добавить - для работы в терминале хватит. OpenVPN определяется DPI (в.т.ч. и на TCP 443), TOR entry nodes по IP можно уже сейчас банить. Вроде китайцы именно так и делают. А вот с SSTP и SoftEther уже проблема - они под HTTPS маскируются, китайцы их как-то хитро банят, но алгоритм определения, разумеется, никому не говорят.

А для работы ppp over ssh или ethernet over ssh?

 

Со стороны это всё будет выглядеть как поток юдп пакетов с хз каким содержимым.

UDP тоже хотят запретить.

Но лучше выбрать кого то кто это отменит, а то такими темпами дома на кухнях поставят камеры и запретят больше двоих собираться.

А если я долбану молотком по этим камерам, или перережу у них провода?

[fspi]

А как на счёт ppp over ssh или ethernet over ssh

Если очень хочется, то можно

Как я понял, DPI провайдера будет видеть только, что установленна ssh-сессия?

 

HTTPS сейчас блочат по SNI,потому что не возможности расковырять шифрование и увидеть,что в payload лежит. с SSH - аналогично.

[fspi]

и будет ЕРнет

 

Чебурнет будет.

[a290]

Накорябать свою туннелировалку зашумляющую пакеты вообще не проблема.

Взять тот же нетграф, накалять ноду которая тупо пакеты aes/чача шифрует/дешифрует, и дальше делать через неё хотя бы тотже ппп в mpd5 или эзернет тунелить.

Со стороны это всё будет выглядеть как поток юдп пакетов с хз каким содержимым.

 

Ну так китайский метод и тут работает. Всё что похоже на VPN - режем скорость до 64-128кбит. Главное чтобы так делать заставить всех и сразу. Иначе абонент уйдет к другому провайдеру, который VPN не режет.

Хотя есть способы банальнее: тупое проксирование через тлс соединение тем же нгинхом через какой то свой сервер где то там на хостинге. Да даже без тлс, один фиг, если будут host смотреть в нгинхе оно легко переименуется и вообще энкодится, чисто правкой конфига.

Ну вот SSTP и SoftEther через SSL и работают. Внешне неотличимы от нормального HTTPS трафика. Ещё stunnel есть, в который можно тот же OpenVPN завернуть.

[Ivan_83]

UDP тоже хотят запретить.

Ну есть GRE и ещё 250+ типов пейлоада для IP :)

Но в целом это вызовет вой у кучи народа, тут и сип и гамеры и хз кто ещё.

 

Ну так китайский метод и тут работает. Всё что похоже на VPN - режем скорость до 64-128кбит. Главное чтобы так делать заставить всех и сразу. Иначе абонент уйдет к другому провайдеру, который VPN не режет.

Ну это не большая проблема.

В своём софте можно сделать вид что у тебя два хттп соединения по одному ты типа выкачиваешь файл неизвестного размера а по второму отправляешь чего то пусть типа известного размера но превышающее или много чего то известного и правильного размера.

Формально к такому не прикопатся, да и сигнатур не будет.

 

Но мне всем этим заниматься не хочется, я лучше поддержу нормальных кандидатов деньгами и голосами.

[ne-vlezay80]

Но мне всем этим заниматься не хочется, я лучше поддержу нормальных кандидатов деньгами и голосами.

Каких кондидатов?

[ne-vlezay80]

и будет ЕРнет

 

Чебурнет будет.

Вот сайты, которые будут доступны в будущем:

http://*.kremlin.ru/
http://updrf.ru/
http://gosuslugi.ru/
http://storonniki.info/
http://er.ru/
http://www.mger2020.ru/

 

А остальные сайты будут заблокированны!

[gibbon]

и будет ЕРнет

 

Чебурнет будет.

Вот сайты, которые будут доступны в будущем:

http://*.kremlin.ru/
http://updrf.ru/
http://gosuslugi.ru/
http://storonniki.info/
http://er.ru/
http://www.mger2020.ru/

 

А остальные сайты будут заблокированны!

Еще будут vk.com и ok.ru, чтобы ФСБ было удобнее следить за людьми!

[ne-vlezay80]

и будет ЕРнет

 

Чебурнет будет.

Вот сайты, которые будут доступны в будущем:

http://*.kremlin.ru/
http://updrf.ru/
http://gosuslugi.ru/
http://storonniki.info/
http://er.ru/
http://www.mger2020.ru/

 

А остальные сайты будут заблокированны!

Еще будут vk.com и ok.ru, чтобы ФСБ было удобнее следить за людьми!

Тогда наверное, придётся делать альтернативный интернет или тянуть кабель из за границы

[fspi]

и будет ЕРнет

 

Чебурнет будет.

Вот сайты, которые будут доступны в будущем:

http://*.kremlin.ru/
http://updrf.ru/
http://gosuslugi.ru/
http://storonniki.info/
http://er.ru/
http://www.mger2020.ru/

 

А остальные сайты будут заблокированны!

Еще будут vk.com и ok.ru, чтобы ФСБ было удобнее следить за людьми!

 

Регистрация в которых будет исключительно по паспорту.

[YuryD]

Еще будут vk.com и ok.ru, чтобы ФСБ было удобнее следить за людьми!

Один из моих бывших коллег, поработавши в ранге начальника сектора в одной из ведущих наших инетконтор в столице, на мои вопросы о том, чего нельзя спрашивать, просто хмурился и уходил от ответов. Это был не его сектор работы, но тем не менее.