1. bash / Говнокод #21841

    +5

    1. 01
    2. 02
    3. 03
    4. 04
    5. 05
    6. 06
    7. 07
    8. 08
    9. 09
    10. 10
    11. 11
    12. 12
    13. 13
    14. 14
    15. 15
    16. 16
    17. 17
    18. 18
    19. 19
    20. 20
    21. 21
    22. 22
    23. 23
    24. 24
    25. 25
    26. 26
    27. 27
    28. 28
    29. 29
    30. 30
    31. 31
    Самого говнокода у меня под рукой нет, но о его содержимом можно догадываться по результатам его работы.
    
    $ { printf 'GET / HTTP/1.1\r\nHost: '; sleep 0; printf 'konachan.com\r\nUser-Agent: netcat\r\nAccept: */*\r\n\r\n'; } | nc konachan.com 80
    HTTP/1.1 302 Found
    Connection: close
    Location: http://warning.rt.ru/?id=9&st=0&dt=5.178.68.88&rs=http://konachan.com/
         <- Подменённая питухтелекомом часть пакета кончается здесь, она узнаётся по коду 301
    g <- А это уже продолжение оригинального пакета
    Status: 200 OK
    Cache-Control: max-age=0, private, must-revalidate
    X-XSS-Protection: 1; mode=block
    X-Request-Id: 4331f357-c4e2-456f-807d-07e36c4dae4f
    X-UA-Compatible: chrome=1
    
    Попробуем что-нибудь ещё:
    
    $ { printf 'GET / HTTP/1.1\r\nHost: '; sleep 1; printf 'konachan.com\r\nUser-Agent: netcat\r\nAccept: */*\r\n\r\n'; } | nc konachan.com 80
    HTTP/1.1 200 OK
    Content-Type: text/html; charset=utf-8
    Content-Length: 5061
    Connection: keep-alive
    Vary: Accept-Encoding
    ....
    
    $ { printf 'GET / HTTP/1.1\nHost: konachan.com\nUser-Agent: netcat\nAccept: */*\n\n'; } | nc konachan.com 80
    HTTP/1.1 200 OK
    Content-Type: text/html; charset=utf-8
    Content-Length: 5062
    Connection: keep-alive
    Vary: Accept-Encoding
    ....

    Предвижу тренды 2017го года: telnet отнимает популярность у прочих браузеров!

    Запостил: CHayT, 15 Декабря 2016

    Комментарии (173) RSS

    • Но зато они свято блюдут RFC!
      Ответить
    • $ { printf 'GET / HTTP/1.1\r\nHost:  konachan.com\r\nUser-Agent: netcat\r\nAccept: */*\r\n\r\n'; } | nc konachan.com 80 | head -10
      HTTP/1.1 200 OK
      Content-Type: text/html; charset=utf-8
      Content-Length: 5062
      Connection: keep-alive
      Vary: Accept-Encoding
      Status: 200 OK
      Cache-Control: max-age=0, private, must-revalidate
      X-XSS-Protection: 1; mode=block
      X-Request-Id: 157d3bcf-ea43-4125-a3d1-e0659f28f83b
      X-UA-Compatible: chrome=1

      А ещё можно так.
      Ответить
      • Итак, опытным путём выяснилось, что "регулярка" у них точно такая, и работает она только в одном TCP сегменте: 'GET.*\nHost: %uri%\r\n'
        Теперь смотрим HTTPшный RFC и замечаем, что:

        4.2 Message Headers

        HTTP header fields, which include general-header (section 4.5),
        request-header (section 5.3), response-header (section 6.2), and
        entity-header (section 7.1) fields, follow the same generic format as
        that given in Section 3.1 of RFC 822 [9]. Each header field consists
        of a name followed by a colon (":") and the field value. Field names
        are case-insensitive. The field value MAY be preceded by any amount
        of LWS, though a single SP is preferred.

        Осталось пропатчить лису, чтобы выдавала произвольное число пробелов и кейз букв, и можно, в принципе, экономить пять баксов в месяц.
        Ответить
        • не надо патчить лису. Сделай просто прокси (можно прямо на баше и nc, ггг) локальный, который прнимает запросы от любого браузера, и шлет соответствующий запрос мимо росгомнасёра.
          Ответить
        • Пропатчил, и, о чудо! Скрепы не выдержали.
          github.com/k32/wowdpi
          Ответить
    • У МТС не работает, увы.
      Ответить
      • Что выдают подобные скрипты? Или они тупо по IP блочат?
        Ответить
        • 302 и страницу редиректа. Ошмётков родного пакета нет.
          Ответить
          • Вот прямо все скрипты из треда? Даже те, что включают пробелы, слипы и прочие изменения? Может они не умеют в url и действительно тупо по айпи (или того лучше DNS) блочат?
            Ответить
            • >>действительно тупо по айпи
              нет, иначе лесом пойдут раундробины, зато обломаются шаред хостинги
              >>(или того лучше DNS
              нет, ибо 8.8.8.8

              Transparent proxy м.б, или какой-то DPI. Правда что они с TLS делать будут -- хз
              Ответить
              • хттпс вроде по айпи банят
                Ответить
                • А если я на амазоне? Я могу завтра новую виртуальную машину завести с другим IP.
                  А сеть по маске могут забанить?
                  Ответить
                  • Завёл виртуальную машину с другим IP в твоём анусе, проверь.
                    Ответить
                • А у нас вообще перестали хттпс банить (новотелеком).
                  Ответить
                • При установке SSL туннеля передаётся имя хоста открытым текстом (строго говоря, это расширение SSL, но все браузеры так делают, чтобы shared hosting работал), так что не совсем по IP. Хотя, это может отличаться у разных провайдеров.

                  Скорее всего по IP заворачивают трафик на систему DPI, а дальше кто во что горазд.
                  Ответить
              • >> нет, ибо 8.8.8.8
                нет, ибо UDP:53 часто заворачивают на свои DNS-сервера независимо от адреса назначения.
                Ответить
                • Так ответ ведь придёт с другого ip, или нет?

                  Как можно самому роутить dns, не сильно заморачиваясь?
                  Ответить
                  • 3,1415тух отлип.
                    Ответить
                  • Не факт. Наверняка какой-нибудь маскарад имеет место быть.
                    DNS не позволяет менять порт, DNSSEC ЕМНИП позволит только обнаружить подмену - и то, пойди найди клиент и сервер, который его умеет.
                    Я просто поднял свой кэширующий DNS сервер рядом с VPN и настроил клиентов на его использование. Таким образом все DNS запросы гарантированно идут через туннель.
                    Ответить
              • >нет, ибо 8.8.8.8

                Кстати пару лет назад заметил что в хроме не работают /etc/hosts. Оказалось эта сука игнорит и юзает свой dns.

                Гугл следит за тобой и без всяких 8.8.8.8 юзернейм.
                Ответить
            • Вот прямо все. Блок не по айпи, на 5.178.68.88 открывается нгинксовая 404 с того конца. Видимо, эти люди либо нормально пишут регулярки, либо просто честно парсят протокол.
              Ответить
              • Раз слипы не помогают, скорее всего пров заморочился с какой-то stateful системой. Это дороже, и в теории может выйти ему боком, если кто-то кучу висящих коннекшнов насоздаёт.
                Ответить
                • Зато у них в DNS зоне прописана звездочка, а провайдер тупой, и потому можно зайти

                  http://roskompozer-ebal-svoy-mamy.konachan.com/
                  и оно откроется)

                  Это с ходу опровергает рассуждения про DNS и IP
                  Ответить
                  • Это не провайдер тупой. Это в реестре РКН (пока) не прописываются домены со звёздочкой.

                    Говорят, какие-то сервисы этим пользовались («Грани», Фонд Навального), создавая 100500 поддоменов, пока их не начинали блокировать по IP.
                    Ответить
                    • ну тогда нужно купить сетку и устроить раундробин. Или они умеют блочить не только по /32?
                      Ответить
                      • Можно сделать сайт IPv6-only. Сейчас адреса IPv6 не вносятся в реестр Роскомнадзора, хотя провайдерские DPI с ними работать умеют.

                        Заблокировать по URL или по домену Роскомнадзор может, а по айпишнику — нет, если сайт IPv6-only.
                        Ответить
                        • а как туда люди будут ходить? toredo настраивать?
                          Ответить
                          • Вариантов много: кто-то по Teredo, кто-то через провайдерский туннель, кто-то нативом... Ну не через прокси же туда ходить?

                            Через сетку IPv4 можно собрать больше пользователей (особенно пользователей мобильников), но только с каждым днём такую сетку получить труднее.
                            Ответить
                        • > сейчас адреса IPv6 не вносятся в реестр
                          Да тупо потому что прецедентов нет, да и юзеры на эти ipv6 сайты только специально могут попасть. Добавить в базу/xml ещё одно поле несложно, особенно если "провайдерские DPI с ними работать умеют".
                          Ответить
                  • > Зато у них в DNS зоне прописана звездочка
                    Версия 4.7 от 04.07.2016
                    В приложении 1 для атрибута blockType тега content добавлено дополнительное возможное значение «domain-mask», указывающее на блокировку реестровой записи по маске доменного имени. При этом значение доменного имени в реестровой записи с блокировкой типа «domain-mask» будет указано с маской в виде «*.domain.com».

                    > умеют блочить не только по /32
                    ipSubnet - подсеть (в формате «1.2.3.4/24»)
                    Ответить
              • http://poo.konachan.com/
                а так?
                Ответить
      • Свистнул у знакомого мтс-овский свисток. C ним всё куда интереснее.
        1) Они матчат поле Host в GET'ах, причём для всех IP-адресов и всех TCP-портов (!) (что, кстати, здорово упрощает реверсинг их питушни + ведь можно было деньги сэкономить, не пуская всё подряд через DPI):
        $ { printf 'GET / HTTP/1.1\r\nHoSt:              '; sleep $sleep; printf 'konachan.com\r\n\r\n'; sleep $sleep2; } | nc google.com 80
        HTTP/1.1 302 Found
        Date: Fri, 14 Jun 2013 12:02:40 GMT
        Server: Apache/2.2.9 (Debian) PHP/5.3.3-7+squeeze14 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8o
        X-Powered-By: PHP/5.3.3-7+squeeze14
        Location: http://block.jumpit.ru:81
        Content-Type: text/html; charset=UTF-8
        Content-Length: 0
        Connection: close
        Cache-Control: no-store, no-cache, must-revalidate
        Pragma: no-cache

        То же самое происходит, если запустить тупой эхо сервер на произвольном порту:
        $ { printf "GET / fvfvdfvdfvdfvdfbfgbhfb f \t\nHost: konachan.com\r\n\r\n"; } | nc XXXXXXX 3000
        HTTP/1.1 302 Found
        Date: Fri, 14 Jun 2013 12:02:40 GMT
        Server: Apache/2.2.9 (Debian) PHP/5.3.3-7+squeeze14 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8o
        X-Powered-By: PHP/5.3.3-7+squeeze14
        Location: http://block.jumpit.ru:81
        Content-Type: text/html; charset=UTF-8
        Content-Length: 0
        Connection: close
        Cache-Control: no-store, no-cache, must-revalidate
        Pragma: no-cache

        Но при этом они осилили RFC2616 лучше (полностью?), регулярка у них примерно такая:
        ^GET / .*\nHost: <badsite>\r?\n

        2) Самое интересное. У них полноценный TCP session hijacking, впрочем, судя по проскакивающим иногда пакетам со странными sequence-numbers, шанс локального (без прокси) опетушивания этой системы может быть. Позже попробую потыкать их через raw sockets.
        Ответить
        • Свистнул у знакомого мтс-овский свисток. C ним всё куда интересное. У них полноценный TCP session hijacking, впрочем, судя по проскакивающим иногда пакетам со странными sequence-numbers, шанс локальный, которые отдавали тело документа))
          Видимо, эти люди либо нормально пишут регулярки, либо просто прокси) опетушивания этой системы может выйти ему боком, если запустить тупой эхо сервер на произвольное число пробелов и кейз букв, и можно, в принципе, экономить пять баксов в мес, не понял? за впн > за впн > за впн
          Тост? Нет, выпью я сегодня за Путина, потому можно зайти

          http://roskompozer-ebal-svoy-mam#вореции
          Ответить
          • #скрылбота долбоеба
            Ответить
          • Ха! Кстати, каких высот добились коллеги в вореционном исчислении за последние полгода?
            Ответить
            • Кто-то должен запилить аналог deep dream для текстов.
              Ответить
              • Слышал вореционная установка от MS еще весной предсказала победу Трампа и её отключили.

                http://protivkart.org/main/7963-iskusstvennyy-intellekt-microsoft-za-sutki-vyyasnil-realnye-nastroeniya-v-ssha-za-chto-i-byl-zakryt.html
                Ответить
          • Понял, что вореции, по несбалансированным скобкам, которые не похожи из контекста на смайлики.
            Ответить
        • Просто у опсосов DPI появился задолго до запрета няшек. Они же его для своих грязных целей юзали - брать плату за посещение некоторых урлов, шейпить трафик в зависимости от протокола и т.п.
          Ответить
          • >брать плату за посещение некоторых урлов
            Што?
            Ответить
            • Есть у них платные говносайты. А за джва входа на некоторые - вообще подписку вешают рублей на 20 в день. Я однажды случайно ткнул в рекламный баннер и словил себе такую говноподписку.
              Ответить
              • Лол, это их собственные или от третьих лиц?
                Ответить
                • Мне попадался собственный, но вроде и сторонние могут договориться.
                  Ответить
    • у меня тоже не работает

      АФАЙК росгомпозёр имеет говноапи со списком гнущих скрепы сайтов, а каждый горе говноадминушка сам по нему настраивает оборудование. Ну вот в каких ISP более лучшие админы, в каких-то нет.

      ps: была еще байка про чуваков, которые отдавали 302, и в ТОМ ЖЕ ответе отдавали тело документа))
      Ответить
    • Видимо, провайдер ОПа реализовал блокировку через баш-скрипт в кроне вида
      curl http://eais.rkn.gov.ru/... | grep | sed | perl | awk '{ print "Host:",$1; }' | xargs -I{} iptables -A FORWARD -p tcp -m tcp --dport 80 -m string --string '{}' -j КУКАРЕКУ
      Ответить
    • Объясните, что происходит. На чем "экономить пять баксов в месяц"? В этом треде пидорашек опять выебало их правительство?
      Ответить
      • На просмотре анимешных няшек.
        Ответить
        • За что платить пять баксов в мес, не понял?
          Ответить
          • за впн
            Ответить
            • > за впн
              Тост?
              Ответить
            • А сколько в рашке за тор платят? Я как-то тест скорости сделал - метр в секунду получилось.
              Ответить
              • Гугли Hamanchi
                Ответить
              • при чем тут тор? наркоман?
                Ответить
              • > метр в секунду
                Секунд по 8-10 ждать пока картинка прогрузится?

                З.Ы. А, тьфу, ты имел в виду мегабайт, не мегабит.
                Ответить
                • Не, ну если мало можешь конечно и за vpn заплатить. Кстати, как сделать чтобы vpn работало только для определенных сайтов/программ?
                  Ответить
                  • > чтобы vpn работало только для определенных сайтов/программ
                    Самое тривиальное и надёжное - юзать эти проги/сайты в виртуалке.
                    Ответить
                    • Еще охуительнее истории будут?
                      Ответить
                      • Я тебе предложил тривиальное, надёжное и проверенное на практике(!) решение.

                        Боюсь, что другого под вендой ты и не найдёшь. Ну кроме грубого и муторного роутинга по айпишкам. Или какой-нибудь прокси на роутере, если любишь ёблю с пингвинами и проги умеют прокси.
                        Ответить
                        • А нельзя какими-нибудь хитрыми политиками запретить отдельным прогам обращаться к настоящему интерфейсу? Селинукс такое вроде умел, будет странно, если лучшая система без ебли и прыщей не умеет.
                          Ответить
                          • > запретить
                            Запретить то можно, штатный бредмауер умеет, но нам же надо чтобы они работали, просто через другой интерфейс.
                            Ответить
                            • А рероутить штатный брандмауэр при этом не умеет?
                              Ответить
                              • Дык в линухе тоже поздно рероутить, когда выходной интерфейс уже выбран.

                                Но там можно по приложению/адресу/порту пометить пакет в прероутинге, а роутинг, видя эту метку, отправит пакет в нужный интерфейс.
                                Ответить
                                • Да, айпитейблсом можно.

                                  А еще можно сурс роутинг, айпироут2 уиеет
                                  Ответить
                        • Вообще, эталоном были бы джейлы, не?
                          Ответить
                        • >тривиальное
                          >виртуалка
                          Ахуеть. Тривиальное - это http прокси. А что будет если vpn отвалится? Напрямую пойдет?
                          Это к вопросу почему все предлагают именно vpn.
                          Ответить
                          • > А что будет если vpn отвалится?
                            Просто перестанет работать, если ты не забыл убрать дефолтный маршрут на настоящий шлюз :)

                            > Тривиальное - это http прокси.
                            Да ну, там маны читать надо и т.п., проги настраивать. Плюс не все проги через проксю можно пустить. А новая виртуалка клонируется из снепшота за пару минут.
                            Ответить
                            • З.Ы. Параноики могут поставить vpn на внешней машине а в виртуалку vpn интерфейс забросить мостом на хост-онли сетевуху. Тогда виртуалка вообще не сможет в обычный инет попасть, даже если захочет. Но это сложнее.
                              Ответить
                            • >если ты не забыл убрать дефолтный маршрут на настоящий шлюз :)
                              Как это на венде делается? В консольке, поди?

                              Чтобы прописать http прокси надо маны читать? о_О
                              Ответить
                              • Можно и в гуе поле стереть в настройках сетевухи.
                                Ответить
                                • Какой сетевухи?
                                  Ответить
                                  • Очевидно, что той, из которой обычный инет идёт (не vpn).
                                    Ответить
                                    • Мням, а как vpn узнает, как ей в инет выходить?
                                      Ответить
                                      • На соседней вкладочке для нее добавишь один маршрут к ойпи впн сервака.
                                        Ответить
                                        • А после отключения vpn все это ручками обратно?
                                          Ответить
                                          • > А после отключения vpn все это ручками обратно
                                            > А что будет если vpn отвалится? Напрямую пойдет?
                                            Ну ты выбери что-то одно.
                                            Ответить
                                            • А так чтобы одной кнопкой переключалось низя?
                                              Ответить
                              • Пичаль в том, что ни PPTP ни L2TP _по_сспецификации_ не умеют передавать роутинг. Вопреки расхожему заблуждению IP адрес клиент получает не по DHCP а по IPCP (это часть PPP) а потому у клиента есть 4 опции:

                                1) добавить 0.0.0.0 (он же дефалт, он же last resort) и дальше весь траффик пойдет через VPN. У винды это называется "use default gateway on remote network", погугли эту опцию, она ставится в настройках IP у VPN
                                2) не добавлять 0.0.0.0, и надеяца что пользователь руками добавит нужные маршруты с помощью route add (да, это делается с соснольке)
                                3) пользователь может написать файл типа route.bat. Винда его запустит, передаст туда аргументом шлюз, и пользователь сам должен написать в нем route add.. В старых виндовых сетях админы раздавали иногда такие файлики пользователям.

                                4) Следующая опция это расширение протокола от MS: Там сервер может заслать клиенту DHCP опцию с default gateway сразу после выдачи IP по IPCP и настроить клиента как угодно. Это поскольку никто кроме виндовых клиентов не ждет DHCP, то работает это только если сервер и клиент у тебя виндовые. В прыщах и ябле обычно используют route.sh, правда в современных ОС его можно собирать через GUI вроде как.

                                Ну есть еще всякие другие впны типа OpenVPN которые умеют много гитик, но их клиенты не встроены (а в L2TP и PPTP встроены).
                                Ответить
                                • pptp же дырявый как жопа Кирка.
                                  Ответить
                                  • Да, и через наты плохо ходит ибо gre. L2tp \ipsec наш выбор
                                    Ответить
                                    • l2tp как там с шифрованием? ipsec как настраивается?
                                      Ответить
                                      • Никак с шифрованием. Оно только в ipsec
                                        Ответить
                                        • Че-то я про ipces для обычных юзеров тоже не слышал. Где ты это говно раскопал?
                                          Ответить
                                          • лол
                                            Ответить
                                          • Пиздец) Это самый рекомендуемый способ для установки VPN что для server-server что для client-server. PPTP давно уже депрекейтед, даже в последней макоси не работает.

                                            PPTP был проклят его создателями еще в начале нулевых и Cisco с MS на пару запилили L2TP/IPSec где L2TP отвечает ТОЛЬКО за тунелирование, а IPSec за шифрование (потому что IPSec уже очень mature и умеет много всего)

                                            https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol#L2TP.2FIPsec

                                            Во многих железках (например Zyxel zwall и последних cisco) только L2TP/IPSec и есть.

                                            И конечно его клиент есть во всем: от айфона до винды, причем он встроенный.

                                            IPSec прекрасно работает в сетях обычных юзверей, и политики IPSec позволяют тонко настраивать шифрование и подписи (например можно шифровать только трафик на SQL или только подписыватьитд), но в L2TP/IPsec от IPSecа используется примерно 10%.

                                            В отличии от PPTP это обычный UDP а не GRE, и не требуется особенной настройки NATа.

                                            У виндовых серверов есть некоторые проблемы если они стоят за натом и некоторые проблемы с не виндовыми клиентами (там ipsec политики надо настраивать вручную) но всё это решается.
                                            Ответить
                                            • Да, и много предлагают vpn сервисов на ipsec? Это конечно класно что ты своими знаниями в этой отрасли выебнулся, но разговор был не об этом.
                                              Ответить
                                              • Ну я бы сказал тебе что можно купить виртуалку и поднять там любой VPN, но ты опять скажешь что я выёбываюсь и то-сё
                                                Ответить
                                                • А на виртуалках трафик безлимитный? VPN / прокси разрешены? VPN аккаунты не дешевле?

                                                  МНЕ оно сейчас, кстати, не надо.
                                                  Ответить
                                                  • >>А на виртуалках трафик безлимитный?
                                                    Смотря где. Обычно там ограничена ширина, а не кол-во трафика.

                                                    >> VPN / прокси разрешены?
                                                    Не понимаю вопроса. А веб сервера там разрешены? А питон там разрешен?
                                                    А FTP?

                                                    Если это моя виртуалка и у меня там рутовый доступ, то какая разница что я там поставлю?
                                                    У меня на амазоне сквид стоял, это никого не волновало.

                                                    >>VPN аккаунты не дешевле?
                                                    Не знаю, может быть дешевле. Но виртуалка это не только впн, это и захостить что-то, и автоматизировать проверку чего-нибудь удаленно, и вообще
                                                    Ответить
                                                    • И у хецнера, и у ДО трафик ограничен вроде.
                                                      Ответить
                                                    • Ну на тарифе за 1,5 евро прокси вроде как не разрешены были, что это значит - хз.

                                                      >Но виртуалка это не только впн, это и захостить что-то, и автоматизировать проверку чего-нибудь удаленно, и вообще
                                                      А если человеку только vpn и нужен, а настраивать он не умеет? Или впнами только программисты пользуются?
                                                      Ответить
                                                      • >>Ну на тарифе за 1,5 евро прокси вроде как не разрешены были, что это значит - хз.
                                                        ХЗ, да. Наверное если они видят что у тебя много исходящего траффика то закрывают тебя.

                                                        У меня за амазоне на самой дешевой тарифе все работало.

                                                        >> Или впнами только программисты пользуются?
                                                        Понятия не имею что делают непрограммисты.
                                                        Ответить
                                                        • Может, входящего? Исходящий для сервера нормален.

                                                          Сколько самый дешевый тариф на амазоне?

                                                          >Понятия не имею что делают непрограммисты.
                                                          Пожрать мамка приносит? Ты это, из дому выходи хоть иногда.
                                                          Ответить
                                                          • 15 баксов в месяц.

                                                            Меня на работе в столовой супом кормят
                                                            Ответить
                                                            • Ну ты надеюсь понимаешь, что для vpn 15 баксов в месяц - недопустимо много? Тем более у вас рублик там упал.

                                                              А дома ты что жрешь? Что с работы принесешь?
                                                              Ответить
                                                              • Много, но во первых амазон дорогой, во ыторых там не тока впн.

                                                                У меня магаз прямо в доме
                                                                Ответить
                                                                • А, то есть ты таки выходишь из дома и иногда общаешься с непрограммистами?
                                                                  Ответить
                                                                  • Конечно, я часто с ними общаюсь. Но обычно мы не обсуждаем обходы блокировок
                                                                    Ответить
                                                      • Там, где я гнездюсь, запрещено поднимать публичные прокси. Т.е. если прокся не пускает всех подряд с внешнего интерфейса, то это норм.

                                                        Но вообще зависит от провайдера.
                                                        Ответить
                          • > почему все предлагают именно vpn
                            Потому что любые протоколы и проги поддерживает.
                            Ответить
                            • А для чего он нужен?
                              - Для браузеров
                              - Для торрентов
                              Что-то забыл?
                              Ответить
                              • Торрент умеет прокси?
                                Ответить
                                • В принципе, умеет, вопрос в том, может ли он гонять весь трафик через прокси.
                                  Ответить
                                  • Vuze (бывший Azureus) умеет гонять трафик через I2P и через Tor. Да и в обычном Интернете может работать через IPv6. Так что если ему вырубить IPv4, то и прокси не нужен.
                                    Ответить
                                    • >Так что если ему вырубить IPv4, то и прокси не нужен.
                                      Не понел.
                                      Ответить
                    • Ещё можно запускать эти проги на отдельном компьютере.
                      Ответить
                  • Можно сделать, чтобы прокси-сервер работал только для определённых сайтов:
                    https://en.wikipedia.org/wiki/Proxy_auto-config

                    http://antizapret.prostovpn.org/

                    Для плагинов Flash, Silverlight, Java придётся сеть настраивать отдельно, чтобы они тебя не спалили.

                    Ещё есть внешняя программа «Широкая шапочка»:
                    http://www.anonym-surfen.de/help/proxifier3.html
                    Есть одна проблема: у меня после установки «Широкой шапочки» перестал запускаться Eclipse и ещё какое-то тормозное говно на Java, пока я шапочку не снёс.
                    Ответить
                    • Ему же впн надо, а не прокси.
                      Ответить
                      • Ну тогда не остаётся ничего, кроме грубого и муторного роутинга по айпишкам.

                        Есть ещё вариант с менее грубым роутингом: поднять у себя локальный прокси-сервер, который в Интернет будет выходить через VPN благодаря грубому и муторному роутингу, а программы уже более тонко направлять на локальный прокси-сервер через PAC или WideCap.

                        Что-то я запутался, но копать можно примерно в этом направлении.
                        Ответить
                      • Это не мне надо, а ты упомянул именно vpn.
                        Что мне пока пришло в голову - vpn из-под какой-то легкой оси в виртуалке, там же ставим прокси и его прописываем в программах.
                        Ответить
                        • Нормальный вариант.
                          Ответить
                        • З.Ы. Но куда проще открыть в этой виртуалке браузер и забыть о проксях как о страшном сне :)
                          Ответить
                          • Не забудь все настройки и плагины туда перенести, ага.
                            Ответить
                            • > настройки
                              > плагины
                              О_о. У вас на винде браузеры настраивать надо?
                              Ответить
                              • Наверняка мануалы читать надо, а то ещё и заканчивать платные курсы Микрософта по настройке браузеров.

                                И групповые политики по приколу придумали, и синхронизации в виндовых браузерах нет, и папку с профилем нельзя скопировать, потому что в Проводнике с дефолтными настройками её не видно.
                                Ответить
                                • Но это же прыщепроблемы, Инканус.
                                  Ответить
                                  • Да вообще Интернет придуман прыщеблядьми. В 70-х и Виндуса не было.
                                    Ответить
                                    • Прыщеблядей тоже не было. Интернет военные придумали.
                                      Ответить
                                      • Военные из закрытых территориальных образований?
                                        Ответить
                                      • Я тебе больше скажу: не только линукс (которого тогда не было), но и юникс не имел отношения к Интернету изначально.

                                        Юникс и Интернет слились когда берклевцами дали тендер на запиливание "универсального API" и они выдумали берклевые сокеты.
                                        До этого на юниксе развечто UUCP был
                                        Ответить
                                • >> а то ещё и заканчивать платные курсы Микрософта по настройке браузеров

                                  Меж полчим в экзаменах типа desktop support типа 70-685 есть разделы про настройку эксплоррера, encahcned security, итд
                                  Ответить
                              • Не обязательно, но можно. Плюс закладки, знаешь ли.

                                Остальной высер не понял, да и хуй с ним.
                                Ответить
                              • Так там все логины и пароли кроме настроек. Если тупо переносить, можно репостнуть код с ГК со своей твиттерной учётки, если не ту кнопку нажать. А ещё автоматически синхронизировать гоатсе из виртуалочки с рабочим компом.
                                Ответить
                        • Лолблядь, нахуя такие геморои? Чем ссх-тунель не угодил?
                          Ответить
                          • "SSH туннели как насилие -- если они не помогают, значит вы их используете недостаточно обширно". Ссх сессии по природе нестабильны, и сделать тунели персистентым можно, но только костыликами. Плюс приложение должно уметь в SOCKS. (?)

                            OpenVPN же, ну.
                            Ответить
                            • Я там отвечал на идею семы поднять опенвпн в виртуалке и в ней же запустить проксю (тот самый сокс), на которую натравливать проги с хоста.
                              Ответить
                              • Никогда не слышал о vpn аккаунтах? ssh там тебе не дадут. Интересно, почему.
                                Ответить
                              • Ну я примерно так и делаю. Опять же, проксик можно сжимающий/кэширующий поставить, и proxy.pac по крону обновлять, чтобы ручками прокси не переключать каждый раз.
                                Возни с настройкой больше, но и возможностей тоже.
                                А для времянки на один-два раза SSH port forwarding достаточно, да.
                                Ответить
                            • Неумение в SOCKS не проблема. Можно запустить прокси-реверс-прокси. Почти как трап-реверс-трап в х/ф «Викто́р, Виктория».

                              Опера до версии 10.50 не умела SOCKS, поэтому пакет Operator (для подключения Оперы к Тору) включал некую программу Polipo, которая одним концом коннектилась к SOCKS-прокси (хоть к Тору, хоть к произвольному), а другой конец предоставлял интерфейс для старых браузеров, не умеющих SOCKS.
                              Ответить
                              • можно еще прямо в стек IP врезаться и направлять трафик куда следует прозрачно для программ

                                Winsock так умеет. Через это работает, например, wingate.
                                на линуксе надо через netfilter, наверное.
                                Ответить
                                • Есть такая штука: layered socket providers. Помню, как запускал LSPFIX, чтобы вернуть доступ в Интернет после удаления какого-то «антивируса».

                                  Но LSP придётся писать самому. Или есть готовые реализации универсального LSP, в который можно добавлять свои правила?
                                  Ответить
                                  • >>layered socket providers
                                    От именно о них и речь.

                                    >>LSPFIX
                                    а "netsh int ip reset" не помогает ращве?
                                    Он же ресетит каталог, или где там это говно храница.

                                    Кстати, LSP уже депрекейтед в послдених виндах. Никому не нравится что хуйзнает кто может сломать твой TCP/IP стек.
                                    Ответить
                                • Был какой-то компрессор трафика в свое время. А потом я его неправильно удалил и у меня вообще пропал инет.
                                  Ответить
                          • SSH-туннель это хорошо, но через него DNS не пустишь без геммороя. Я на OpenVPN перешел когда количество сервисов на VPSке начало разрастаться, и меня заколебало пробрасывать новые порты. =)
                            Ответить
                            • Или проги должны уметь в socks4a, или упомянутый выше polipo
                              Ответить
                    • В контексте треда речь пока идет об обходе блокировок.
                      В прыщелисе есть плагин proxyfoxy с правилами. PAC тоже рабочий.
                      Ответить
    • Проверил на DPI МТС/МГТС. Нашёл в Rublacklist запись о блокировке по конкретному URL, а не по домену/IP. Проверил, действительно блокируется только конкретный URL, код 302 c Location на заглушку провайдера и на всякий случай короткий HTML-код длиной 224 байта с текстом, дублирующим заглушку.

      Проверяем метод Снаута:
      1. Изменение регистра загловка Host: не снимает блокировку.
      2. Добавление пробелов после Host: не снимает блокировку.
      3. Добавляем пробелы после слова GET... блокировка снята. Спустя несколько минут повторяем... уже заблокировано.
      4. Изменение регистра команды, регистра заголовков, порча названия протокола, добавление пробелов во всевозможные места не помогают.

      У них самообучаемый DPI что ли?
      Ответить
      • Во фряху, кажется, лет шесть назад приехал патч к фаерволлу для байесовского анализа. Но тут как-то совсем сурово.
        Ответить
        • А есть среди запрещённых сайтов что-нибудь не на 80-м порту?
          Ответить
        • Щито?

          А можно поуф?
          Ответить
          • Можно расслабиться, я таки нагуглил, что же это было. Проект назывался DIFFUSE и был попыткой неких академиков прикрутить machine learning к ipfw. Что характерно - за пять лет до хайпа.
            Ответить
      • > самообучаемый DPI
        Берут пример с китайцев? У них то самообучаемый, да ещё и аномалии в запросах детектить умеет...
        Ответить
        • Попробовал отправить два заголовка Host примерно так:
          GET /news/url/pravyj_sektor_prizyvaet_svoih_aktivistov_byt_nacheku HTTP/1.1
          Host: example.com
          Host: pik.ua


          Менял заголовки местами. Выяснил, что и DPI, и сервер реагируют только на последний заголовок Host, а предыдущие игнорируют.

          Перемежал заголовки безобидными (User-Agent, Accept, Accept-Language, Accept-Charset, Accept-Encoding, Connection). DPI всё равно извлекает последний заголовок Host.
          Ответить
          • А что о таких заголовках говорит RFC?
            Ответить
            • Во-первых, имена полей, а также схема и домен в URL могут быть в любом регистре, а перед значением поля может быть дофига пробелов.

              Во вторых, самое интересное про множественные заголовки:
              Multiple message-header fields with the same field-name MAY be
              present in a message if and only if the entire field-value for that
              header field is defined as a comma-separated list [i.e., #(values)].
              It MUST be possible to combine the multiple header fields into one
              "field-name: field-value" pair, without changing the semantics of the
              message, by appending each subsequent field-value to the first, each
              separated by a comma. The order in which header fields with the same
              field-name are received is therefore significant to the
              interpretation of the combined field value, and thus a proxy MUST NOT
              change the order of these field values when a message is forwarded.
              Ответить
              • Ну т.е. джва хоста - это UB (т.к. host - не comma-separated list)?
                Ответить
                • Да, именно так.

                  Но тут логика DPI и логика сервера (Apache за nginx) совпала. Если бы не совпала, ресурс был бы доступен.

                  Кстати, попытался заменить букву «a» в запросе на %61. Не прокатило: DPI расшифровывает такие значения.
                  Ответить
          • Ответить
            • 👬🏳️‍🌈
              Ответить
              • https://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D1%80%D0%BE%D0%BB%D0%B5%D0% B2%D1%81%D1%82%D0%B2%D0%BE_%D0%B3%D0%B5% D0%B5%D0%B2_%D0%B8_%D0%BB%D0%B5%D1%81%D0 %B1%D0%B8%D1%8F%D0%BD%D0%BE%D0%BA
                Ответить
        • А так ресурс доступен:
          http://pik.ua./news/url/pravyj_sektor_prizyvaet_svoih_aktivistov_byt_nacheku

          Просто точка после домена. Оказывается, для DPI pik.ua и pik.ua. — это разные домены (как и для cookies в браузере).
          Ответить

    Добавить комментарий