я буду стучатся к какому-то случайному серверу с траффиком трубы, не странно ли это будет?
Нет, не странно, потому что трафик Youtube будет зашифрован по HTTPS. Насколько я понимаю, снаружи он выглядит как просто какой-то валидный трафик HTTPS до вашего сервера, который прикидывается некоторым сайтом. Если цензор почему-то заподозрит неладное и захочет проверить к какому серверу вы подключаетесь (так называемый active probing, если я не ошибаюсь в терминологии, я не настоящий сварщик), то просто обнаружит на вашем сервере сайт, под который вы маскируетесь, с валидными сертификатами.
Т.е. для цензора это будет выглядить так, что вы просто активно сёрфите сайт маскировки.
Или еще одна особенность, сайты которые я находил это регион Саудовская Аравия и Турция. В Турции, как известно, не работает Дискорд, например, что просиходит в Аравии мне представить страшно, если честно. Влияет ли это вообще как-то?
Это зависит от расположения вашего сервера. Если он расположен в Турции или Саудовской Аравии, то это проблема, так как их местные блокировки будут влиять на ваш тарфик. Лучше не выбирать сервера в таких странах.
Сайты, найденные с помощью RealiTLScanner, просто расположены в сети того же хостера, что и ваш сервер. Маскировка под них просто добавляет правдоподобности.
Или лучше вообще дальше сидеть на www.amazon.com и не занимать себя лишними делами? Хотя я слышал и что-то про ужасы того, что, мол, распознают что я в Нидерланды хожу а не на местный цдн…
Отвечу цитатой из гайда по настройке VLESS+Reality:
Очень важно, не использовать крупные сайты в качестве DEST/SNI*
Множество крупных сайтов имеют CDN в стране, поэтому их использование не рекомендуется (это например касается Google и других крупных игроков, хотя Microsoft в 22 году отключила CDN в РФ).
Ведь если у сайта есть сервера в стране, то с точки зрения наблюдателя (цензора) в нормальных условиях, вы должны обращаться к локальным адресам внутри страны, а не выходить за ее пределы.
…
Никто и никогда, в здравом уме, не станет использовать Google в качестве dest.
Я в начале тоже сидел под маскировкой под крупный сайт. Каких либо блокировок своего сервера я не словил. Тут решать вам, какой уровень маскировки вам хватит.
Но на будущее лучше всё же маскироваться под сайт из сети своего хостера или вообще под свой сайт на том же сервере. Это повысит устойчивость вашего прокси к обнаружению и он прослужит вам таким образом дольше. Не надо будет менять IP или вообще хостера и настраивать всё заново, когда РКН научится выявлять такие случаи.
Плюс, где-то читал что для “достоверности” нужно открывать/закрывать порты примерно так же как и у домена, под который я маскируюсь. Это как вообще делается? Через хостера? Локально, на машине?
Сам я такой штукой не занимался, просто поднял повыше порт SSH и всё. SSH порт не удастся закрыть вообще, так как вам как-то же надо подключаться к серверу и администрировать его. Вроде бы видел совет добавить фильтрацию по IP-адресу в SSH, чтобы вы могли подключаться только со своих IP-адресов. Не знаю, насколько это увеличивает маскировку сервера, но безопасность точно.
Насколько я понимаю для начала вам нужно выяснить, какие порты открыты у сайта, под который вы маскируетесь. Для этого существует утилита nmap
. Сканируете IP сайта с вашего локального компьютера, он вам выдаст список открытых портов. Скорее всего для сайта будут открыты порты 80/tcp под HTTP и 443/tcp и 443/udp под HTTPS. Их нужно будет открыть на вашем сервере и пробросить до целевого сайта. Сервер XTLS-Reality сам пробросит 443/tcp-порт, так что вам останется только пробросить 443/udp и 80/tcp вот так:
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 443 -j DNAT --to-destination fake_site_ip:443
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination fake_site_ip:80
где fake_site_ip
– IP-адрес сайта, под который вы маскируетесь; eth0
– сетевой интерфейс сервера. IP-адрес сайта можно отрезолвить с помощью nslookup, ping или какого-нибудь онлайн-сервиса, например вот этого.
Источник.
Прим: Правила iptables
не сохраняются после перезагрузки сервера, поэтому их нужно как-то сохранить на постоянке. Это можно сделать через firewall, например ufw или с помощью пакета iptables-persistent
. Лучше посмотреть, что подходит для вашего сетапа и дистрибутива Linux.
Поправьте меня знающие люди, если я где-то накосячил.
А вообще мне кажется что я параноией зазря занимаюсь, но все равно, как-то неспокойно.
Надейся на лучшее, а готовься к худшему.