Недоступность Hetzner

Internet censorship all around the world Russia
292

77.37.128.0/17 это не правительственная подсеть, там полно резидентских адресов, её добавили в список на основании ЖЖ-поста 2014 года.

Отправила PR, чтобы убрали

293

Мне прилетали сканы 22-23 портов и прочих привилегированных даже с адресов ВГТРК ) причём системно и регулярно.
Открываешь новую vps и уже в течение суток её нащупывают.
То, что адреса хостят “новости”, не мешает разместить там сканеры известно кого, чтобы искать новые vps-ки с подозрительным портами )

294

В Ростове-на-Дону утром вернулся и сохраняется доступ к Hetzner на мобильном и проводном билайн, но остаётся блокировка TCP соединений к Hetzner по определённому (простейшему) паттерну (что я наблюдал здесь начиная с августа).
То есть работает, например, SSH, HTTP, HTTPS, но не работают кастомные протоколы на других портах, если пакеты попадают под паттерн. Для примера — Minecraft (он на TCP) не работает :grin:

295

Но при этом с нее продолжают активно “щупать” тачки, и лично у меня только те, на которых сидит больше всего народу.

2024-11-15T10:40:12.721535+03:00 - kernel: [12530196.055079] [IPSET BLOCKED] IN=eth0 OUT= MAC=- SRC=77.37.174.66 DST=- LEN=52 TOS=0x00 PREC=0x20 TTL=52 ID=0 DF PROTO=TCP SPT=443 DPT=50178 WINDOW=64240 RES=0x00 ACK SYN URGP=0 
2024-11-15T10:40:12.725715+03:00 - kernel: [12530196.059057] [IPSET BLOCKED] IN=eth0 OUT= MAC=- SRC=77.37.174.66 DST=- LEN=52 TOS=0x00 PREC=0x20 TTL=52 ID=0 DF PROTO=TCP SPT=443 DPT=50177 WINDOW=64240 RES=0x00 ACK SYN URGP=0 
2024-11-15T10:40:12.977401+03:00 - kernel: [12530196.311102] [IPSET BLOCKED] IN=eth0 OUT= MAC=- SRC=77.37.174.66 DST=- LEN=52 TOS=0x00 PREC=0x20 TTL=52 ID=0 DF PROTO=TCP SPT=443 DPT=50179 WINDOW=64240 RES=0x00 ACK SYN URGP=0 
2024-11-15T10:40:28.849117+03:00 - kernel: [12530212.183309] [IPSET BLOCKED] IN=eth0 OUT= MAC=- SRC=77.37.174.66 DST=- LEN=52 TOS=0x00 PREC=0x20 TTL=52 ID=0 DF PROTO=TCP SPT=443 DPT=50178 WINDOW=64240 RES=0x00 ACK SYN URGP=0 
2024-11-15T10:40:28.852913+03:00 - kernel: [12530212.187292] [IPSET BLOCKED] IN=eth0 OUT= MAC=- SRC=77.37.174.66 DST=- LEN=52 TOS=0x00 PREC=0x20 TTL=52 ID=0 DF PROTO=TCP SPT=443 DPT=50177 WINDOW=64240 RES=0x00 ACK SYN URGP=0 
2024-11-15T10:40:29.104942+03:00 - kernel: [12530212.439174] [IPSET BLOCKED] IN=eth0 OUT= MAC=- SRC=77.37.174.66 DST=- LEN=52 TOS=0x00 PREC=0x20 TTL=52 ID=0 DF PROTO=TCP SPT=443 DPT=50179 WINDOW=64240 RES=0x00 ACK SYN URGP=0
296

Что значит “щупать”? Никто так не щупает. Выше я показал как выглядит реальный скан.
А это классический пример backscatter. Все видно в вашем же логе. Кто-то отправил на 77.37.174.66:443 TCP SYN c source IP-адресом вашей VPS, и логично, что в ответ вам прилетел от него SYN+ACK.

Кстати, на этом IP-адресе висит некий https://hubzil.la (узел сети Friendica).

297

От того и банить не нужно? Разница в том, что она не в том сете из-за этой ошибки.
Может кстати и была в правительственной подсети. Просто не убрали из листа.

Хорошо логический вопрос какова вероятность, что при этом удаленный клиент инициирует соединение с 443 tcp порта? На сколько я знаю они рамдомно выбираются и причем не системные, но и также их можно самостоятельно задать, а если задается, то это злонамеренное действие. Причем по логу человека видно, что неоднократно было.

Вот есть на что смотреть у меня тор мост поднят на VDS для себя и нуждающимся за границей естественно.
Вижу классический dpt, который я задал. И вижу, что не один из 60 клиентов с 443 порта не инициирует соединение. Все порты не системные.
Хотя tor именно консольный позволяет изменить его. Тот который в браузере нет.

P,S Хотя да вспомнил, что я такие соединения дропаю :rofl: , но вопрос остается вопросом.

298

Но при этом с нее продолжают активно “щупать” тачки

Ваш VPN уязвим к active probing? Или ssh выдаёт своё присутствие.

299

Это не инициация нормального TCP-соединения - иначе должен быть только SYN, без ACK. Это ответ на SYN (SYN+ACK).

В дикой природе можно встретить инициацию TCP соединения с привилегированного порта (ниже 1024). Например, в клиентах NFS, NTP. Но это не тот случай.

Если ставить себя на место человека, который хочет узнать, открыт ли порт, то так “сканировать” бессмысленно, поскольку независимо от того, слушает ли кто-то порт, в ответ придет TCP RST (конечно если трафик не порезан раньше firewall-ом).

Более того, в цитируемом случае это явно такой же человек с какой-нибудь виртуалкой, который увлекается темой Fediverse.

300

Это только со стороны сервера фикса по портам. Со стороны клиента с любого порта может инициировать соединение.

Это только со стороны сервека фикса по портам.

Которые опять-таки по RFC можно изменить скорее всего. Тому примеры DNS,DoT,DoH.

301

Само собой, что можно с любого. Я же говорю о нормальных соединениях. Чтобы не быть отфильтрованным, сканирующий должен стремиться быть максимально похожим на легитимного клиента.

Просто еще раз повторюсь, что пример выше с IP-адресом 77.37.174.66 по всем признакам не имеет ничего общего со сканированием.

302

я думаю можно хоть немного сдвинуть дело с мертвой точки если написать письмо в Роскомнадзор и попросить прокомментировать на основании какого документа или приказа или распоряжения они блокируют доступ к IP адресам Hetzner? Вот тут форма для заполнения: https://rkn.gov.ru/treatments/ask-question/
Писать кстати можно от вымышленного имени и с левого ящика, телефон указывать не обязательно.
Давайте напишем пару писем посмотрим что ответят (думаю шаблонно, что наша хата с краю и мы ничего не блочим). Кому не сложно, напишите спросите чего они беспределят и блочат IP?

303

Допустим, вам ответили такой строчкой:
Федеральный закон от 01.07.2021 № 236-ФЗ

304

Вот в теории можно подтянуть под блокировку и недоступность Hetzner эту статью, но вот проблема в том что только сам провайдер попадает под эту статью как иностранное лицо осуществляющее деятельность на территории России. В большинстве случает клиенты Hetzner с их сайтами - НЕ попадаю под эту статью. Как быть? Хостинг большой на него можно натянуть эту статью, а вот если брать по отдельности клиентов этого хостинга то нет.
Также можно сказать что IANA (от англ. Internet Assigned Numbers Authority — «Администрация адресного пространства Интернет») попадает под статью и вообще все IP адреса этой компании можно забанить, а это вообще весь интернет. Тут палка о двух концах, тут лучше спросить e РКН что они задумали и чем руководствуются? Если их не теребить они и дальше будут палки в колеса всем нам вставлять.

305

РКН туп, он рассматривает Хетцнер как бльшой ДЦ, у которого нет офиса в Москва-Сити и к которому нельзя прийти с грозящим пальчиком. Правда, с доказательной базой будут некие проблемы, но, я думаю, они “справятся”. )

Так ведь комизм ситуации в том, что к клиентам НЕТ вопросов.
Просто есть пул айпи, который блочится. Ибо думается, что владелец: вот он.
А клиенты вы или нет мы не в курсе. Мы только пул Хетцнер глушим.

306

У меня началось замедление fastly. Steam долго прогружает, в ваершарк посыпались ретрансмиссии. Понятия не имею войны ли это с сднами или признаки блокировки стима (у него помимо fastly был еще cloudflare и akamaihd)

307

Сейчас нахожусь за границей и есть возможность купить другой VPS для vpn. Какой лучше покупать? Есть загран карта

308

Все что угодно в дружественных странах. Смотри что ближе до тебя по сети, если ты живешь в европийской части РФ, то скорее всего это будет Сербия.

309

Блин забавно конечно. На выходных доступ был, а в понедельник ровно в 0:00 по МСК снова выключили.
Реально похоже сценарий “интернет только по праздникам”.