У кого-нибудь получилось настроить AFWall+ так, чтобы можно было пускать трафик по localhost для отдельных приложений?
Сижу копаюсь в настройках. Просто у меня WG настроен на 127.0.0.1, а каждый раз отключать и включать файрвол для подключения WG неудобно.
Этот вариант плохой, злоумышленник может у себя на сервере поднять чекер IP и нигде его не афишировать. И более того, скорее всего они так и будут вскоре делать, когда увидят, что люди блокируют публичные чекеры
Тут уже обсуждали, что это слабое место. Много всяких сайтов, даже неочевидно шпионских, могут содержать в себе всякую телеметрию. Здесь потребуются всякие расширения, блокирующие трекинг, и ещё вручную расширять белый список доступных сайтов.
В общем, представьте что у вас шпион на скрепофоне и на ПК (вполне себе вероятность). Координируя атаку вместе, с помощью какого-нибудь Wi-Fi fingerprint можно будет выявить факт раздельного туннелирования.
TL;DR: Вы все создаете себе ложное чувство безопасности. Когда-нибудь ошибетесь 100%.
Распишу детально. На самом деле профили в Firefox, там кстати и расширения не нужны: Firefox штатно поддержвает SOCKS5, умеет отправлять туда DNS (без утечек), а также поддерживает исключения по доменам и по IP в формате CIDR.
Было: Один профиль, в котором настроен прокси, а домашний роутер и ру домены добавлены в исключения. Второй профиль для капризных ру сайтов, которым нужен часовой пояс UTC+3, ру локаль и т.д., то есть никакой анонимности. Госуслуги. Там, конечно, без прокси.
Проблема: так же, как ру сайт может встроить в страничку фрейм с ютубом и это работает (ютуб идёт в прокси), теперь следящие сайты могут встраивать скрипты с IP чекером зарубежным (GeoIP, домены - не поможет), и получать от этих скриптов IP впски, отправлять в РКН.
Стало: Один профиль с прокси, в исключениях только 192.168.0.1. Запускаю, если иду в зарубежный интернет. Если вдруг я (или не я) перепутал браузеры и попытался открыть известный ру сайт (любой .ру, habr.ком и т.д.) через прокси, Xray дропнет такое соединение (а не отправит в директ, это важно) и спасёт меня от раскрытия IP через потенциальный чекер, встроенный в сайт (который на основании GeoIP или домена отправился бы в SOCKS).
Второй профиль для ру сайтов и любых других сайтов, без ограничений по доменам и без прокси. С помощью uBlock Origin заблочены обращения от сайтов к LAN.
P.S. Вообще обращения из веба к LAN я давно и везде заблочил, эти конторки много о себе возомнили - “безопасность“ моих устройств они будут проверять. Лезут на порты 80, 21, 22 - видимо ботов ищут.
P.P.S. Как выглядит блокировка ру на сервере (не все домены, просто пример)
"rules": [
{
"domainMatcher": "hybrid",
"type": "field",
"domain": ["domain:xn--p1ai", "domain:ru", "domain:su", "domain:moscow", "domain:vk.com", "domain:vk.me", "domain:userapi.com",
"domain:tamtam.chat", "domain:telega.info", "domain:telega.me", "domain:youla.io", "domain:vk.cc", "domain:mradx.net",
"domain:mvk.com", "domain:vk-apps.com", "domain:vk-cdn.me", "domain:vk-cdn.net", "domain:vk-portal.net", "domain:vk.company",
"domain:vk.design", "domain:vk.link", "domain:vk.team", "domain:vkcache.com", "domain:vkgo.app", "domain:vklive.app",
"domain:vkmessenger.app", "domain:vkmessenger.com", "domain:vkuser.net", "domain:vkuseraudio.com", "domain:vkuseraudio.net",
"domain:ya.cc", "domain:ya.com", "domain:yastatic.net", "domain:habr.com",
"keyword:yandex"],
"network": "tcp,upd",
"inboundTag": "vless_tls",
"outboundTag": "block",
"ruleTag": "blockRu"
}
]
AFWall+ получилось заставить как-то работать только в режиме белых списков. Т.е. Галочки - это разрешено. В таком режиме пока глюков не заметил - но правила большие и долго применяются.
Когда устанавливается новое приложение - галочки надо ставить.(с точки зрения безопасности +, главное не забывать)
Да, тоже вот обнаружил, что в режиме Allow selected всё работает. Но как вы подметили, правил очень много становится (у меня 1350), и они долго применяются.
Теперь проблема в том, что у меня все российские приложения стоят в рабочем профиле, а AFWall+ в основном пространстве (делаю так, чтобы при включении и выключении рабочего профиля файрвол работал постоянно и не было утечек). И чтобы дать доступ российским приложениям только к wi-fi и мобильной сети, нужно настроить custom script с нужными UID приложений, потому что файрвол из основного пространства не отображает в UI приложения из рабочего профиля. И вот тут пока что затык. Пытаю gpt, но он не особо помогает, правила вроде логичные и приеняются, но доступ к сети внутри приложений рабочего профиля не появляется.
Да, у вас будут шпионы на втором телефоне, которые могут вас подслушивать, например. Зачем вообще ставить вирусы?
А вот кстати что делать с такими российскими сайтами, как habr или 4pda, которые не показывают какие-то статьи или разделы, если ты зашел из-под российского IP? А через прокси как будто уже стремно становится лезть.
Tor Browser
Да, какие-то особо скрепные могут не открыться, но они значит пусть остаются без посетителей)
Спасибо за подробное объяснение!
"domain:ru",
"domain:su",
"domain:рф",
"domain:by",
"domain:ru.com",
"domain:ru.net",
"domain:moscow",
"domain:xn--p1ai",
"domain:xn--p1acf",
"domain:xn--80aswg",
"domain:xn--c1avg",
"domain:xn--80asehdb",
"domain:xn--d1acj3b",
"domain:xn--90ais",
"geosite:category-ru"
"geosite:category-ru"
Если я весь трафик по своим белым спискам гоняю, все что не подходит в direct по умолчанию - разве это не решает проблему? Никаких чекеров там очевидно нет
То есть технически у вас один браузер? А хром так не умеет?
xray на сервере или на клиенте?
tobedel
Там не такой уж и большой список, например тот же хабр я не увидел. Смотрю популярные домены у себя на DNS сервере, добавляю то чем реально пользуются.
По идее решает, просто мне кажется сложнее собрать все домены того же фейсбука / инсты, и это может быть срочно - допустим они сломались (новый домен), а кто-то в семье негодует)
Можно наверное выдумать фантастическую ситуацию, когда на поддомене пущенного в прокси домена расположился чекер IP, но так же и я могу случайно открыть незнакомый ранее .ком сайт
Да, забыл уточнить, профили в Лисе есть только на ПК. На андроиде можно использовать форки - Fennec, IronFox. Я не знаю всего что (не) умеет хром, но у него много технических ограничений (тот же uBlock Origin они сломали умышленно), поэтому я его не рассматриваю. Гугл много чего попортил / закрыл / купил и закрыл.
На сервере. Защищаемся от глючных / чужих клиентов тоже.
Тоже вопрос в зал. Если мы протыкаем тспу фейк sni тем же запретом, почему они не могут делать тоже самое? Сделать запрос на ип своего чекера со сни инстаграма, например. Как такие дела будут обрабатываться xray и sing-box, есть здесь уязвимость?
Тоже так думал, но походу нет
О, это хорошо. Надо будет поиграться тоже для самоуспокоения.
Там много include’ов, но хабр вроде как действительно отдельным geosite пакетом лежит: category-forums.
На стороне xray я хз к сожалению, но на стороне sing-box есть geosite/geoip практически под все, включая даже телеграм. То бишь не паришься)
Печаль
Выше уже в целом ответили, но закину свои 5 копеек.
Я в моменте баловался с настройками dns и настроил на xray сервере routeOnly: true - в таком режиме dst_ip не перезаписывается и xray действительно сходит куда не надо. Но если у вас routeOnly: false и domainStrategy: AsIs/ipIfNotMatch → то xray сам резолвит ваш домен и идет на настоящий адрес условного нистаграма.
По умолчанию вроде все безопасно, но я не проверял, у меня явно прописано)
P.S. domainStrategy: AsIs лучше не делать, т.к. ркн может состряпать свой com/etc домен но dns указать на ru айпишик к себе. И с AsIs (если у вас все неизвестное в direct а ru в блок) он зарезолвит домен в ру ip и сходит по нему, а с ipIfNotMatch чекнет еще по geoip
Спасибо, полезная информация.
У меня routeOnly: true (мне так надо), и я пытаюсь понять, как такая атака может быть реализована, без рос. приложений.
Чтобы заставить мой Xray принять коннект к некому IP чекера РКН (допустим они вообще виртуалку за рубежом арендовали и у неё даже домена нет, а если есть то com), я ведь должен контролируемый ими сайт открыть, верно? Но контролируемые ими сайты у меня заблочены, и даже если нет - я должен ошибиться и перепутать браузеры.
Как будто почти нереально, нет?
Я слышал, но пока не вникал сильно, что на pi-hole + unbound можно поднять фильтрацию, чтоб телеметрию и всякие трекеры блокировать. Или adguard home. У меня же в качестве выходящего роутера машинка на proxmox. Что думаете?