Debian.pro

Про Debian


sslh + ipv6 + <censored> — чудесная идея бесплатно.

Статья обфусцирована, сами знаете почему.

С начала прошлой недели у меня была идея-фикс. Поднять open<censored> сервер на территории матушки-России, подцепиться к нему по ipv6 с территории страны-агрессора, а v4-клиентами из RM -RF выходить наружу уже оттуда, откуда нужно. Ну то есть точка входа здесь, точка выхода там, а сами точки общаются исключительно по ipv6 (от которого у экстремистов сами знаете что опухнет, поэтому секретный шестой протокол работает (и долго ещё будет) без проблем).
И вот, сижу я себе четвертый час, копаю документацию, что-то как-то продвигается. Получаю магический пендель от Бориса, доделываю работающую схему, проверяю, всё работает, 2ip говорит, что я агрессор, иду похвалиться в чятик. Тут мой взгляд натыкается на «/etc/init.d/sslh restart» в history, и я больно бью свой лоб о стол. Больнее, правда, было от ощущения, что я тупенький, ну да ладно.
Собственно, пока я пытался заставить sslh слушать ipv6-интерфейс, я быстро наткнулся на информацию, что они не по rfc парсят ip6+порт. Писать там нужно не «[::1]:443″, а просто «::1:443″. Кря. А сложить этот факт с тем, что в качестве бэкэнда для протокола ему можно указывать не только localhost…

Ладно, хватит чудесных историй, поехали. Наши действующие лица:

  • open<censored>-сервер в Океане или ещё где-то (надеюсь, настроить вы его сами сможете). Очень желательно tcponly (и не забудьте добавить строчку proto tcp6, чтобы шестерку слушал).
  • виртуалка с ipv6 в motherland. Поискать придется, это да. Но могу подсказать — регистратор из трёх букв на г заканчивается (да и качество такое же) и «vee+аббревиатура самого известного мультика, переведенного гоблином».
  • какой-нибудь более или менее полезный сервер с поднятым https. Желательно чтобы что-то отвечал на default host. Можно совместить с действующим лицом пунктом выше.
  • наш ноутбук.

На местном сервере ставим пакет:

root@server:~# apt-get install sslh

В файле /etc/default/sslh меняем DAEMON_OPTS= на что-то такое:

DAEMON_OPTS="--user sslh --listen 123.123.123.123:443 --ssl 127.0.0.1:443 --opennpv 2a00:1450:4010:c0b::66:8443
  • 123.123.123.123 меняем на внешний v4-адрес виртуалки здесь (sslh всё же немного тупее меня, поэтому *:443 не поймёт)
  • 127.0.0.1:443 — меняем на адрес+порт хранящего что-то полезное веб-сервера с https (у меня это и правда был localhost:443, чо уж там).
  • ––opennpv 2a00:1450:4010:c0b::66:8443 — меняем на адрес нашего (или не очень нашего) open<censored> (кстати, название запрещенного в РФ продукта тоже придется самостоятельно написать правильно). Только учтите, что :8443 в данном случае — не часть ip-адреса, а порт.

Ну и заодно меняем

RUN=no

на

RUN=yes

Даём магический пендель:

root@server:~# /etc/init.d/sslh restart

Делаем curl https://123.123.123.123:443 , смотрим разрешенку. Приходит бот — смотрит разрешенку. Всё вроде выглядит спокойно. А как только тов. майор отвернулся — включаем на ноутбучке/телефоне open<censored> и вперед, в Пучину! Тьфу ты, наоборот, из пучины.

Запускаем один NoVNC для доступа к нескольким VNC. Например, к консолям KVM-виртуалок.

Статью пишу «по памяти», воспроизвести вживую негде (да и лень). Если найдете ошибки и что-то не заработает — обязательно пишите. Я бы пока не рассматривал эту статью, как решение из разряда «copy-paste и работает». Но если вы понимаете происходящее ниже — то никакой проблемы запустить эту штуку нет, там всё банально. Ценность здесь, скорее, именно [...]

Новость одной строкой — 1.1.1.1, новый публичный резолвер.

На фоне клёвых первоапрельских новостей многие могли пропустить весьма важную новость. Компания Cloudflare совместно с APNIC запустила новый публичный резолвер на адресе 1.1.1.1 Что вдвойне приятно — с поддержкой dns over TLS (то бишь запросы до этого резолвера можно шифровать). Так же есть поддержка DNS over HTTPS, но его использовать может пока только FireFox в [...]

seedbox на коленке: deluged+deluge-web

Всем хороша связка rtorrent+rutorrent. Только настраивать её очень уж геморрно, да и уязвимость там нашли, помнится. Я давно уже использую deluge. Да и вообще мне интерфейс deluge-web больше нравится — выглядит посовременнее, сам он читаемый, да и вообще «не PHP и ладненько». Поэтому сегодня и расскажу, как настроить связку из deluged и родного вебинтерфейса к [...]

Пишем свой unit для SystemD

В некоторых следующих статьях помимо прочего придется запускать некоторые сервисы без «изкоробочного» init-скрипта или юнита. В 2018 году мне уже пришлось смириться с победой systemd и показывать в тех статьях init-скрипты я уже не буду. Но и рассказывать в каждой статье всю последовательность действий мне будет лень. Поэтому здесь я расскажу, что делать с unit-ом [...]

Скрипт для проверки локалхоста на spectre/meltdown

Сижу я в один прекрасный день, значит, смотрю на свою LTS-убунту на ноутбучке и понимаю, что несмотря на apt-get upgrade, сделанный полчаса назад, она всё ещё уязвима к spectre (не спрашивайте как, просто жопой почуял). Про сами уязвимости в процах, думаю, рассказывать в сотый раз не стоит, а вот про то, как linux-хост проверить на [...]

Unbound: локальный резолвер на сервере — честный, с форвардингом и с зашифрованным форвардингом.

Для начала поговорим о том, для чего нужен локальный dns-резолвер. Вообще, полезен он и на сервере, и на вашем ноутбучке (только для разного, пожалуй), а написать эту статью меня вынудил именно новый провайдер (самизнаетепочему). Локальный резолвер позволяет получать мгновенный ответ от dns (кроме случая, когда мы впервые спрашиваем определенную запись). Резолверы провайдера/хостера бывают перегружены, запрос [...]

Настраиваем FTP-сервер. Издание второе, улучшенное и дополненное: vsftpd.

Одной из первых статей в этом блоге была статья Debian, ftpd, vtpd, vsftpd. Very fast way. Восемь, мать его, лет назад! Собственно, по той статье некоторое время назад настроить vsftpd в дебиане стало невозможно. Поэтому я решил написать новую. Формально статья могла бы стать одной из частей Большого мануала, но я очень не хочу, чтобы [...]

Большой мануал: часть 24. Боремся с вирусней на сайтах.

Эта статья — часть Большого Мануала по настройке lamp-сервера на debian. Предыдущая часть цикла — Делаем бэкапы. Следующая часть цикла — Not yet published Дисклеймер: статья очень нужная, но мне пришлось буквально выдавливать её из себя, вышло совсем не интересно. У меня не очень много опыта в чистке от вирусни (обычно есть бэкапы/CVS или проще [...]