|
|
|
Hanabishi
Стаж: 15 лет Сообщений: 2860
|
Hanabishi ·
09-Сен-19 17:16
(5 лет 7 месяцев назад)
ValdikSS, так это наоборот халтура. И если айпи в бане, то тут уже вообще без разницы, какие у тебя там SNI и протоколы.
|
|
|
|
ValdikSS
Стаж: 17 лет 4 месяца Сообщений: 525
|
ValdikSS ·
09-Сен-19 19:31
(спустя 2 часа 14 мин., ред. 09-Сен-19 19:31)
Hanabishi
В реестре запрещенных сайтов есть четыре типа блокировки: default – блокировка по стандартным правилам, domain – блокировка по доменному имени, ip – блокировка по сетевому адресу, domain-mask – блокировка по маске доменного имени.
Из документа о реестре:
Цитата:
Если данный атрибут отсутствует либо указано значение «default», то блокировка осуществляется по стандартным правилам. Если указано значение «domain», то указатели страниц сайтов (URL) для данной реестровой записи будут отсутствовать, необходимо ограничить доступ к домену целиком. Если указано значение «ip», то указатели страниц сайтов (URL) и доменное имя для данной реестровой записи будут отсутствовать, необходимо ограничить доступ по сетевому адресу. Если указано значение «domain-mask», то указатели страниц сайтов (URL) для данной реестровой записи будут отсутствовать, значение доменного имени будет указано с маской в виде «*.domain.com». При этом необходимо ограничить доступ к основному доменному имени, а также ко всем доменным именам, подпадающим под маску.
Некоторые провайдеры, которые по техническим причинам не могут ограничивать доступ к определенным URL или доменам, блокируют IP-адреса заблокированных сайтов целиком, даже есть в реестре они заблокированы по домену или URL. Таких провайдеров немало.
Провайдеры, которые имеют технические средства и используют DPI, чтобы блокировать домены и конкретные URL, тоже чаще всего будут ограничивать доступ к IP-адресам целиком, если вы запрашиваете заблокированный домен по HTTPS без SNI, т.к., в таком случае нельзя понять, на какой домен на этом IP-адресе вы идёте.
|
|
|
|
Hanabishi
Стаж: 15 лет Сообщений: 2860
|
Hanabishi ·
09-Сен-19 22:57
(спустя 3 часа, ред. 09-Сен-19 22:57)
ValdikSS, я лично не встречал таких провайдеров. Да и это в любом случае все равно тупо. Допустим в реестре правило блокировать domain.com. Откуда провайдер узнает, какой IP надо блокировать? Сделает разовый lookup и кинет в бан первый попавшийся адрес? А если за ним целая куча ресурсов, и какие-то из них вообще по другому протоколу работают? Свет не сошелся клином чисто на http и браузере. А если вообще адрес меняется?
Короче если нет разнарядки сверху блокировать доступ на конкретный айпишник, то провайдер и не будет этого делать. Провайдеру на деле надо только показать и отчитаться, что блокировка как бы есть. На остальное ему плевать и тратить дополнительные средства на ухищрения смысла нет.
Ну или я не знаю, надо хоть какие-то доказательства, чтобы знать, что такие преценденты точно имеются и где.
|
|
|
|
vlad_ns
Стаж: 15 лет 1 месяц Сообщений: 1779
|
vlad_ns ·
10-Сен-19 00:57
(спустя 2 часа)
Hanabishi писал(а):
77944625Откуда провайдер узнает, какой IP надо блокировать?
А разве в реестре они не указаны? Из выше приведённого фрагмента я понял что ip может быть уже известен. Правда не понятно что такое "стандартные правила" и что могут ли быть несколько значений, ip и domain например.
Hanabishi писал(а):
77944625Провайдеру на деле надо только показать и отчитаться, что блокировка как бы есть.
Я читал что это не совсем так, некоторые проявляют самодеятельность.
|
|
|
|
ValdikSS
Стаж: 17 лет 4 месяца Сообщений: 525
|
ValdikSS ·
10-Сен-19 00:58
(спустя 1 мин.)
Hanabishi
Цитата:
Допустим в реестре правило блокировать domain.com. Откуда провайдер узнает, какой IP надо блокировать?
В реестре у каждой записи есть IP-адреса, даже если блокировка по домену или ссылке.
Цитата:
делает разовый lookup и кинет в бан первый попавшийся адрес?
Нет, это провайдерам запрещают рекомендации Роскомнадзора. Есть единичные провайдеры, которые так делают, но в целом — только блокируют по тем адресам, которые числятся в выгрузке реестра.
Цитата:
и какие-то из них вообще по другому протоколу работают? Свет не сошелся клином чисто на http и браузере
Провайдеры без DPI блокируют IP-адреса на уровне маршрутов, т.е. полностью, любой протокол.
Цитата:
Провайдеру на деле надо только показать и отчитаться, что блокировка как бы есть. На остальное ему плевать и тратить дополнительные средства на ухищрения смысла нет.
Вы неправы.
Цитата:
Ну или я не знаю, надо хоть какие-то доказательства, чтобы знать, что такие преценденты точно имеются и где.
У меня есть результаты тестов blockcheck, которые я собираю в течение многих лет.
|
|
|
|
Hanabishi
Стаж: 15 лет Сообщений: 2860
|
Hanabishi ·
10-Сен-19 05:43
(спустя 4 часа, ред. 10-Сен-19 05:43)
ValdikSS ну ладно, не буду спорить. Почитал статью, если провайдеры действительно творят даже такую ересь как "блокирование не-провайдерских DNS-серверов", то в принципе ожидать можно чего угодно.
Но в любом случае думаю ESNI лучше, чем ничего. По крайней мере на провайдерах, которые я тестил, он дает нахаляву открыть сайт:
А вот с мобильных операторов кстати открыть не получается. Но с телефона и протестировать это нормально довольно трудно.
|
|
|
|
ValdikSS
Стаж: 17 лет 4 месяца Сообщений: 525
|
ValdikSS ·
23-Сен-19 20:55
(спустя 13 дней)
|
|
|
|
blacksun
Стаж: 18 лет 8 месяцев Сообщений: 6
|
blacksun ·
24-Сен-19 01:50
(спустя 4 часа)
По статье на хабре, настроил лису) nl - работает, а вот org не открывается(
|
|
|
|
Oyma
Стаж: 17 лет Сообщений: 39
|
Oyma ·
24-Сен-19 08:55
(спустя 7 часов)
blacksun писал(а):
78020525По статье на хабре, настроил лису) nl - работает, а вот org не открывается(
тож настроил по хабру,работает на nl,а org по ip видимо забанен,у "rutracker.nl и ip от cloudflare"..
|
|
|
|
Hanabishi
Стаж: 15 лет Сообщений: 2860
|
Hanabishi ·
24-Сен-19 11:32
(спустя 2 часа 36 мин.)
blacksun, Oyma, и не должен, на org нет поддержки esni.
|
|
|
|
arez1978
Стаж: 15 лет 9 месяцев Сообщений: 171
|
arez1978 ·
24-Сен-19 11:49
(спустя 16 мин., ред. 24-Сен-19 11:49)
Сейчас открыта org и не банится как обычно провайдером
скрытый текст
Кратенькая инструкция: в firefox в about:config меняете network.security.esni.enabled на true. Для работы eSNI желательна работа (на самом деле она не нужна, но есть проблема: в windows сложно сделать такой запрос (IN TXT) асинхронно bugzilla.mozilla.org/show_bug.cgi?id=1500289) DNS over HTTPS, так как публичный ключ для шифрования sni берётся с поддомена _esni.example.com IN TXT, так что желателен зашифрованный транспорт dns, чтобы большое око Саурона провайдера не увидело этого. Для этого network.trr.mode выставляете в 2 (или 3, чтобы был только TRR), а network.trr.uri выставляете в mozilla.cloudflare-dns.com/dns-query
Можно еще прописать network.trr.bootstrapAddress, иначе resolve самого mozilla.cloudflare-dns.com будет происходить через системный resolver и лишь дальше установлена DoH сессия с DNS, что вызывает проблемы, если сразу запустить Firefox (Можно поставить 1.0.0.1, 1.1.1.1 2606:4700:4700::1111 или 2606:4700:4700::1001 или что там будет у dig mozilla.cloudflare-dns.com. (А там не обязательно эти адреса, но и любые из динамического облака cloudflare.)) Подробнее про trr resolver: github.com/bagder/TRRprefs
Дальше нужно проверить, что все заработало)) Заходите на cloudflare.com/ssl/encrypted-sni и нажимаете на Check My Browser
|
|
|
|
Oyma
Стаж: 17 лет Сообщений: 39
|
Oyma ·
24-Сен-19 22:05
(спустя 10 часов, ред. 24-Сен-19 22:05)
чтобы добиться картинки
,возможно потребуется настройки изменить,так как mozilla.cloudflare-dns.com/dns-query может быть забанен,
че надо делать,
network.trr.mode выставляете в 3
network.trr.uri 1.1.1.1/dns-query
|
|
|
|
x86-64
Стаж: 6 лет 10 месяцев Сообщений: 27487
|
x86-64 ·
25-Сен-19 02:45
(спустя 4 часа, ред. 25-Сен-19 02:45)
Способ рабочий, и полностью бесполезный для большинства людей, которым лень сделать лишний клик.
Почему вышеописанные фичи не включены в фф по умолчанию? Почему на них забили в остальных браузерах?
И главное - имеет ли шансы этот способ нагнуть ркн и его аналоги в других сверхдержавах? Если да, то как скоро?
|
|
|
|
Hanabishi
Стаж: 15 лет Сообщений: 2860
|
Hanabishi ·
25-Сен-19 03:09
(спустя 24 мин.)
Forgettable писал(а):
78025907Почему вышеописанные фичи не включены в фф по умолчанию? Почему на них забили в остальных браузерах?
Скоро включат по-умолчанию. И хром тоже подтянется.
Forgettable писал(а):
78025907И главное - имеет ли шансы этот способ нагнуть ркн и его аналоги в других сверхдержавах?
Конечно нет. Старый добрый бан по айпи никто не отменял, и как уже выше писали, он может довольно хитро комбинироваться с анализом заголовков SNI.
|
|
|
|
SamoilSr
Стаж: 15 лет 6 месяцев Сообщений: 500
|
SamoilSr ·
26-Сен-19 19:04
(спустя 1 день 15 часов)
Приходилось слышать мнение, что сцепка DoH + eSNI искуственна и что eSNI в теории может работать с обычным DNS. Но откуда тогда берётся ключ для шифрования SNI? Я думал что DoH выполняет три функции - собственно dns, а также там находится ключ для шифрования и там же принимается решение, будет ли вообще SNI шифроваться, ведь не все сайты хостятся на Cloudflare.
|
|
|
|
Hanabishi
Стаж: 15 лет Сообщений: 2860
|
Hanabishi ·
26-Сен-19 19:37
(спустя 32 мин.)
SamoilSr, это не мнение, это так и есть. DoH не обязателен для работы, это просто ограничение в лисе такое.
|
|
|
|
SamoilSr
Стаж: 15 лет 6 месяцев Сообщений: 500
|
SamoilSr ·
26-Сен-19 20:00
(спустя 22 мин.)
Hanabishi
Так откуда ключ тогда берётся?
|
|
|
|
Hanabishi
Стаж: 15 лет Сообщений: 2860
|
Hanabishi ·
26-Сен-19 20:18
(спустя 17 мин.)
SamoilSr, через любой DNS можно, не обязательно DoH.
|
|
|
|
ValdikSS
Стаж: 17 лет 4 месяца Сообщений: 525
|
ValdikSS ·
26-Сен-19 22:35
(спустя 2 часа 17 мин., ред. 26-Сен-19 22:35)
SamoilSr
Ключ находится в DNS-записи домена.
ESNI прежде всего сделан для защиты приватности, чтобы провайдер пассивно не мог анализировать пользовательское поведение на основании DNS-запросов и SNI в TLS, а не для предотвращения цензурирования доступа. Если DNS не шифровать, то провайдер всё равно сможет видеть посещяемые клиентом сайты (домены).
|
|
|
|
ValdikSS
Стаж: 17 лет 4 месяца Сообщений: 525
|
ValdikSS ·
02-Окт-19 04:19
(спустя 5 дней)
https://defo.ie/ — разрабатывают поддержку ESNI в OpenSSL, curl и lighttpd.
|
|
|
|
kx77
Стаж: 12 лет 4 месяца Сообщений: 810
|
kx77 ·
02-Окт-19 14:19
(спустя 10 часов, ред. 02-Окт-19 14:19)
SamoilSr писал(а):
78034919Приходилось слышать мнение, что сцепка DoH + eSNI искуственна и что eSNI в теории может работать с обычным DNS
Это факт. В реальности к ESNI нужен любой защищенный канал DNS.
Не обязательно DoH и не обязательно ресолвер должен быть встроен в прикладную программу, такую как броузер.
Например, я давно пользуюсь dnscrypt на роутере. Обращения к роутеру по системному dns можно считать безопасными.
Однако, нет способа сказать это лисе. И это очень плохо.
Плохой стиль написания прог, когда за тебя думают и не дают тебе думать самому. Но эта болезнь поразила очень многие сферы в последнее 10-летие.
Я ставил на роутер 2 варианта Doh proxy. И с обоими были какие-то проблемы в лисе.
Один отваливался после 5-10 минут совсем, на другом через 5 минут лиса перестает ресолвить ipv6
Клаудфларный днс использовать не желаю
|
|
|
|
vlad_ns
Стаж: 15 лет 1 месяц Сообщений: 1779
|
vlad_ns ·
02-Окт-19 21:01
(спустя 6 часов)
kx77 писал(а):
78068253Я ставил на роутер 2 варианта Doh proxy. И с обоими были какие-то проблемы в лисе.
Один отваливался после 5-10 минут совсем, на другом через 5 минут лиса перестает ресолвить ipv6
Гм, про какие речь? Чуть выше вы написали что dnscrypt работает, или нет? У меня тоже dnscrypt, с лисой проблем нет и с ipv6 всё нормально у неё.
|
|
|
|
kx77
Стаж: 12 лет 4 месяца Сообщений: 810
|
kx77 ·
02-Окт-19 21:11
(спустя 9 мин., ред. 02-Окт-19 21:11)
vlad_ns писал(а):
про какие речь? Чуть выше вы написали что dnscrypt работает, или нет? У меня тоже dnscrypt, с лисой проблем нет и с ipv6 всё нормально у неё.
А почитать повнимательней ? Лиса не работает с dnscrypt, ей подавай только DoH
Потому идея была сделать свой дох , который берет инфу с dnscrypt
Вариант 1 на питоне : https://github.com/facebookexperimental/doh-proxy
Вариант 2 на rust : https://github.com/jedisct1/rust-doh
Сырые не только дох прокси, а и сам ресолвер в FF. Периодически слетает на ошибки , которые иногда лечатся по F5, а иногда требует рестарта
PS. Последняя мода клепать на питоне, го и раст ломают возможность гонять это на слабых soho роутерах из-за непомерных требований к ресурсам - место на диске и память. И если первое легко исправляется extroot на флэхе, то со вторым напряг.
Но у меня к счастью mini PC
|
|
|
|
vlad_ns
Стаж: 15 лет 1 месяц Сообщений: 1779
|
vlad_ns ·
03-Окт-19 18:17
(спустя 21 час)
kx77
Мне показалось, что какие-то другие проблемы, не так понял.
Хотел было спросить что сам dnscrypt можно настроить сервером и поддерживает ли он в этом режиме doh или dot. Вижу что нет, коль такие костыли приделываются. Хотя вариант с питоном можно запустить, я его всё ровно использую.
|
|
|
|
kx77
Стаж: 12 лет 4 месяца Сообщений: 810
|
kx77 ·
03-Окт-19 19:49
(спустя 1 час 31 мин., ред. 03-Окт-19 19:49)
vlad_ns писал(а):
78074849kx77
Хотел было спросить что сам dnscrypt можно настроить сервером и поддерживает ли он в этом режиме doh или dot. Вижу что нет, коль такие костыли приделываются. Хотя вариант с питоном можно запустить, я его всё ровно использую.
dnscrypt2 поддерживает doh как клиент, но как сервер похоже что нет
к тому же dnscrypt2 это ГО, следовательно soho роутеры отдыхают
технология какая-то очень сырая, так же как и esni. нет нормального софта вообще
вариант с питоном в standalone режиме зависает через 5-10 минут. возможно работает из-под http сервера
|
|
|
|
kx77
Стаж: 12 лет 4 месяца Сообщений: 810
|
kx77 ·
09-Окт-19 18:59
(спустя 5 дней, ред. 09-Окт-19 18:59)
Вроде нормально работает nginx с http/1.1 + rust doh
nginx http/2 глючит безбожно, выдает какой-то мусор, по крайней мере если проксировать на http/1.1 от rust-doh
на lighttpd + rust-doh через 5-10 минут перестают ресолвится ipv6
UPDATE. Все-таки случается. Только намного реже
Mozilla, сделай network.dns.trust_my_system_resolver
|
|
|
|
vlad_ns
Стаж: 15 лет 1 месяц Сообщений: 1779
|
vlad_ns ·
27-Окт-19 13:47
(спустя 17 дней, ред. 27-Окт-19 13:47)
Что-то получилось. Тут и тут почти полное описание. Правда периодически при открытии сайтов появляются ошибки "PR_END_OF_FILE_ERROR" и "SSL_ERROR_MISSING_ESNI_EXTENSION" (пока один раз встретил), последняя может быть из-за самого сайта? Firefox Developer - может из-за него тоже?
Похоже что обе ошибки связаны с изменением в ff значения network.security.esni.enabled на true. Как я понял, у меня это из-за
vlad_ns писал(а):
77558379Кстати, никто не подскажет, если я использую squid, который может sni, то esni мне не грозит видимо?
если ту настройку изменить на false (по умолчанию), то всё работает.
|
|
|
|
vlad_ns
Стаж: 15 лет 1 месяц Сообщений: 1779
|
vlad_ns ·
29-Ноя-19 22:19
(спустя 1 месяц 2 дня)
|
|
|
|
kx77
Стаж: 12 лет 4 месяца Сообщений: 810
|
kx77 ·
30-Ноя-19 12:41
(спустя 14 часов)
не взлетело. Через dig ресолвится нормально.
https://router.lan:5359/dns-query в броузере работает. lan в network.trr.excluded-domains
Сертификат от собственного CA, броузер его нормально жует, дело не в плохом сертификате
При ресолвинге любого сайта из броузера соединение на 5359 обрывается.
dnscrypt ничего не выводит в лог на любых логлевелах
вместо dnscrypt2 поднимаю nginx + rust-doh, и тут же оно взлетает
непонятно почему не додумались еще написать на PHP скрипты. зачем было изобретать свои http и https сервера
|
|
|
|
B.Wooster
Стаж: 13 лет 6 месяцев Сообщений: 138
|
B.Wooster ·
10-Дек-19 19:06
(спустя 10 дней)
Всем привет! Скажите, люди знающие, правильно ли понимаю: для eSNI необходима поддержка с обеих сторон, как сервера, так и клиента?
С браузером всё понятно, а как проверить поддержку eSNI у сервера? Посмотреть наличие ключа в поле "_esni" IN TXT в ответе DNS Lookup? Есть ли другие варианты?
|
|
|
|
