ок
и как в твоей логике с впс прослойкой ты этого избежишь?
вар1 настроенный рутер\комп, клиент не этот комп
вар2 твой настроенный впс, клиент через впс
в обоих вариантах злонамеренное ПО может поиметь разные ip
Во-первых, если сервис видит голый IPv4 датацентра, оно может запустить active probing.
Поэтому WARP и/или IPv4 который отличается от входного. Производить active probing на выходной IPv4 не имеет никакого смысла без корреляции запросов приходящих на одно ТСПУ, местоположение которое им стало известно потому что вы какой-то DIRECT трафик слили шпионам, и в том же окне приходящих на бэкэнд в логи какого-то сервиса.
А это во-вторых не запустится, если они не узнают местоположение твоего ТСПУ (который вы им сами выдали, сливая трафик шпионам с домашнего IP).
Что шпион узнает, если трафик в DIRECT к сервисам-шпионам не сливается это раз (причем с однозначного внутреннего IP NAT), и входной IP на ТСПУ и выходной в логах шпионов не совпадает это два?
Кстати их active probing ломало смена внутреннего NAT IP. То есть связка SRC->DST ломалась, я проверял.
Всё происходит автоматически. Логи провайдеров они видят, РКН такой закон уже продавила:
Более подробно, какие ещё есть уязвимости, описал здесь.