Автор не проявляет активности с 7 январа . Хотя возможно если писать именно ему а не просто в тему. Может и появится .
тут include-regex-custom.txt не предусмотрено, да вся движуха давно в телеге
Настраивал кто на OPNSense OpenVPN или WireGuard в режиме раздельного туннелирования? Поделитесь инструкцией плз
Судя по всему, можно считать текущую версию релизной
Переделано много чего, устранены все известные мне мелкие и не очень проблемы
Если есть какая то еще проблема в работе Антизапрета, с пониманием как её решить и не сломать остальное - просьба написать
Я бы не стал называть этот способ обновления релизным:
bash <(wget --no-hsts -qO- https://raw.githubusercontent.com/GubernievS/AntiZapret-VPN/main/setup.sh)
Придумать бы какой-то адекватный способ оповещения пользователя об обновлении.
echo -e "Choose DNS resolvers for \e[1;32mAntiZapret VPN\e[0m (antizapret-*):"
Я бы посоветовал добавить Mullvad.
# Отключим фоновые обновления системы
systemctl stop unattended-upgrades &>/dev/null
systemctl stop apt-daily.timer &>/dev/null
systemctl stop apt-daily-upgrade.timer &>/dev/null
Резон?
# Настраиваем DNS в обычном VPN
if [[ "$VPN_DNS" == "2" ]]; then
sed -i '/push "dhcp-option DNS 1\.1\.1\.1"/,+3c push "dhcp-option DNS 77.88.8.8"\npush "dhcp-option DNS 77.88.8.1"' /etc/openvpn/server/vpn*.conf
sed -i "s/1.1.1.1, 1.0.0.1, 9.9.9.10, 149.112.112.10/77.88.8.8, 77.88.8.1/" /etc/wireguard/templates/vpn-client*.conf
elif [[ "$VPN_DNS" == "3" ]]; then
sed -i '/push "dhcp-option DNS 1\.1\.1\.1"/,+3c push "dhcp-option DNS 94.140.14.14"\npush "dhcp-option DNS 94.140.15.15"\npush "dhcp-option DNS 76.76.2.44"\npush "dhcp-option DNS 76.76.10.44"' /etc/openvpn/server/vpn*.conf
sed -i "s/1.1.1.1, 1.0.0.1, 9.9.9.10, 149.112.112.10/94.140.14.14, 94.140.15.15, 76.76.2.44, 76.76.10.44/" /etc/wireguard/templates/vpn-client*.conf
elif [[ "$VPN_DNS" == "4" ]]; then
sed -i '/push "dhcp-option DNS 1\.1\.1\.1"/,+3c push "dhcp-option DNS 83.220.169.155"\npush "dhcp-option DNS 212.109.195.93"' /etc/openvpn/server/vpn*.conf
sed -i "s/1.1.1.1, 1.0.0.1, 9.9.9.10, 149.112.112.10/83.220.169.155, 212.109.195.93/" /etc/wireguard/templates/vpn-client*.conf
fi
Правильно ли я понимаю, что скрипт не использует шифрованный DNS?
sshguard
Блеклист IP адресов защищает от самых примитивных атак. Конкретно эта имплементация зависит от обработчика логов. Насколько я помню, в стандартной настройке можно запросто переполнить /var. Вместо изобретения велосипеда можно отключить вход по паролю и оставить только SSH ключи.
Есть бенчмарки? Почему не пошли в сторону установки модуля амнезии на хост и простым добавлением капса SYS_MODULE контейнеру? Это позволило бы получить повторяемость содержимого с минимальным ущербом производительности.
- Не вижу смысла никого оповещать, кому нужно обновят, автоматически обновляется только алгоритм и списки исключения
- Впервые слышу про dns mullvad
- Фоновые автообновления на каком то хостинге мешали выполнению apt-get
- Запросы dns с сервера не шифруются ибо нет смысла плюс лишняя нагрузка
- sshguard хватает для предотвращения перебора паролей, в 99% этого достаточно, а кому надо перенастроят, пока переполнение логов не встречал
- top и iperf3 сразу покажут разницу, ну не пошли и не пошли, да и полноценного сервера амнезии все равно тут нет
dns mullvad
Этот DNS помоему не доступен за пределами сервисов Mullvad
"https://dns.mullvad.net/dns-query": CURLINFO_SSL_VERIFYRESULT: Error (unable to establish TLS connection)
Прятать запросы от дц и его провайдера, использовать днс сервер с фильтрацией от провайдера с политикой конфиденциальности получше. Вы все равно используете внешние днс сервера вместо кэширования.
Нет, он наоборот рассчитан на использование вне муллвада. РКН вроде блокирует запросы.
Для чего? Не шифрованный трафик идет только с сервера находящимся за пределами РФ, кроме запросов на днс яндекс, для незаблокированных доменов, но он тоже выходит в РФ где то на точках ix сразу в сетях яндекса. И кому и чем этот трафик интересен?
Есть опциональный список фильтрации на локальном днс сервере (списки adguard и adaway), кэширование тоже есть
Не доступен он как на прямую, так и через сторонний впн.
Опрашивать DNS сервер с шифрованием.
Это делается из тех же соображений, зачем прячутся DNS запросы от провайдера. У постороннего лица не будет возможности вмешаться/отравить DNS.
Ваш дистрибутив использует археологическую версию курла.
dig +tls @dns.mullvad.net google.com
; <<>> DiG 9.20.7 <<>> +tls @dns.mullvad.net google.com
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60969
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: (good)
;; QUESTION SECTION:
;google.com. IN A
;; ANSWER SECTION:
google.com. 261 IN A 172.217.169.14
;; Query time: 210 msec
;; SERVER: 194.242.2.2#853(dns.mullvad.net) (TLS)
;; WHEN:
;; MSG SIZE rcvd:
А есть реальные прецеденты в странах где нет цензуры интернета, где кто то бы влезал в запросы ДНС отправленных с дата центров?
Ибо антизапрет нацелен на хостинги именно в таких странах
Пока мне кажется что использование DoT это оверхед, но при желании его можно будет внедрить в knot-resolver
Таких стран не бывает.
Конечно. Более того, сейчас решается вопрос цензурирования на уровне DNS серверов. t3 сервис провайдеры вроде Mullvad конечно же будут этому сопротивляться.
https://torrentfreak.com/?s=dns
DoT и DoH не нужны - они тормозные, обычный 53 внутри туннелей быстрей работает
Для ютубчиков можно Adguardhome или Smartdns, умеют самый быстрый IP выдавать
Автор скрипта сказал, что DNS по умолчанию кэшируется. Я лишь быстро прошелся глазами по скрипту.
Мне кажется неправильным это решение, потому что скрипт расчитан на неграмотную аудиторию, которая неспособна настроить автоматические обновления или даже не осознаёт небходимость обновлять софт. Это неизбежно приведёт к тому, что сервера многих ваших пользователей будут взломаны.
Это старая известная атака против sshguard.
Это уменьшит нагрузку на сервер.
неправильно поняли, фоновые обновления отключаются только на время установки скрипта, чтобы они не мешали ставить обновления скрипту, отключаются до перезагрузки которая происходит после установки
есть подробности? гугл что то ничего не выдает
пока есть обратный случай после которого я добавил sshguard: у одного пользователя был подобран не очень сложный пароль, потеря минимальна, но факт взлома был, после добавления в скрипт установки sshguard о подобных инцидентах и проблемах с sshguard я не получал фидбека
Отлично.
Атакующий засирает логи одного или нескольких сервисов до предела /var. sshguard, хранящий бд в /var, ведёт себя интересным образом. Нужно по факту смотреть, позволяет ли комбинация маленького дискового пространства в сочетании с включенными по умолчанию сервисами устроить вышеописанное, но сам вектор атаки стар как мир. Вход по паролю в идеале стоит отключить в пользу ключей.
Долго не мог зайти закладку. j3s.sh
Атакующий уходит в бан по IP на уровне iptables/nft и никакие логи уже не может засрать, тк вообще теряет возможность хоть куда то подключиться, по крайней мере как я вижу такая логика у sshguard, 3 раз не верно ввел пароль и на 2 минуты в бан по IP, потом еще не верно ввел - время бана увеличивается в 1.5 раза
Он временный по умолчанию.
Так это… перебор пароля предполагает наличие большого диапазона IP адресов. Как с IPv6, кстати, дела?
Я конечно не собираюсь умирать на этой горе, у меня в общем-то нет желания проверять реальность этой атаки в 2к25, просто приправил факт о бесмысленности sshguard/fail2ban известным старым вектором атаки. У fail2ban исторически плохой парсинг лолов, кстати.
Хм, с IPv6 сложнее, он не везде есть и его можно отключить 2мя простыми командами, раньше скрипт даже отключал по умолчанию, но потом я убрал отключение когда добавлял совместимость с докером или с другими приложениями на хостинге
Думаете по IPv6 можно подобрать пароль или забить лог? С sshguard начальная скорость 3 пароля в 2 минуты на 1 IP
В скрипте есть опциональная защита, более 10 подключений в течении минуты с подсети /24 и вся сеть в бан уходит на 10 минут и не вылезет пока в течении 10 минут не прекратятся попытки подключений.
К стати, наверное бы для IPv6 сеть /24 надо изменить на /64, я вот как то только сейчас понял что для IPv6 это дофига адресов
Упд по IPv6 - добавил в установку опцию отключить IPv6, по умолчанию отключает, и поменял подсеть на 64
Упд 2 по sshguard - спасибо за наводку по атаке, нашелся случай когда с 11 подсетей забили лог и сервер завис, сейчас добавил в настройку блокировку не одного IP, а всей подсети /24 или /64 атакующего