LINUX.ORG.RU
ФорумTalks

прорубил туннель


0

0

вчера вечером поигрался с http tunneling.
Сижу на работе за "двойными стенами":
- на работе корпорaтивный NAT-firewall
- потом, местный институтский squid-proxy.

оба режут траффик по страшной силе:
- по слову в URL. На пример, если в location встречается
video, mp3, xxx, avi, teen и тд. и тп. ... то запрос не проходит,
даже если это набирается через google/yandex
были какие-то совсем тупые случаи, которые меня когда-то "слегка" расстроили.
- по контексту страницы. По-видимому, анализируется HTML META tag
или типа того, а может и весь текст.
Короче, страница не доходит или приходит в урезанном виде.
Как-то раз не мог загрузить C++ код полностью.
Что они там крамольного нашли?
+ список запрещеных HTTP сайтов, куда входят все файло-обменники,
yourtubы и пр. "порнуха".
++ не говоря уже про открытые/закрытые порты, allow/deny машины и пр.

Конечно, эту деятельность я полностью одобряю и поддерживаю,
но иногда она меня "утомляет".
В настоящий момент занимаюсь net-видео, а
они любую инфу по этой тематике зарубают все на корню.

В общем, решил себе прорубить HTTP tunnel через ssh,
при этом за ssh server был взят ЦЕРНовский кластер.
Вообще-то, подошла бы любая внешняя линуксовая машина,
потому что на всех линуксах "бегает" sshd.

Усё заработало!
При этом, очень быстрёхонько, быстрёхонько
(почти без разницы с обычным способом),
а ведь траффик,
криптуется + сжимается + лууупится -
Россия - Щвейцария - место назначения - Щвейцария - Россия +
разжимается + расшифровывается.

Теперь имею два веб-браузера, один работает через туннель,
другой - обычным способом. Крайне доволен.

> Как-то раз не мог загрузить C++ код полностью.
> Что они там крамольного нашли?


Комментарии? ;)

И да, +1 относительно извращенца. Но зачастую ействительно, другого выхода нет.

Bod ★★★★
()
Ответ на: комментарий от vvn_black

> правильно понял?
подробности как-нибудь потом.

Из всей этой истории меня удивили 2 вещи:
1. из-за того что канал Россия-Щвейцария широкий и, возможно,
из-за того что канал Щвейцария-"остальной мир" крайне широкий,
замедления от tunnelinga не заметно.
2. В Церне на одном только кластере пара десятков тысяч
линуксовых машин. Колличество userов, предолагаю, исчисляется десятками тысяч.
При этом, полно zomby-accountов, т.е. получить доступ к ТАКОЙ
халяве - нет проблем.

Valeriy_Onuchin ★★
() автор топика
Ответ на: комментарий от anonymous

> К сожалению во многих "конторах" другого решения нет.

хостенк сейчас стоит копейки.

phasma ★☆
()
Ответ на: комментарий от Valeriy_Onuchin

> хостенк сейчас стоит копейки.

на сколько быстр/анонимен/криптован будет хостенк-метод?

Valeriy_Onuchin ★★
() автор топика
Ответ на: комментарий от Valeriy_Onuchin

А нет желания/возможности описать это все в виде статьи? Т.е., в подробностях.

Bod ★★★★
()

И как можно получить аккаунт на ЦЕРНовском кластере, и что это за кластер?

Несколько замечаний по теме.

Обычно в конторах ssh тоже закрыт. И открывают его только к отдельным хостам. И даже если на них и есть аккаунт, его совершенно неприлично использовать для туннелинга.

Тредстартер описывает ssh tunneling, а http tunneling -- это совсем о другом. Это когда не через ssh гонят http трафик, а наоборот через http гонят весь остальной трафик. Очевидно, что качество канала поверх http будет паршивое.

Еще говорят есть icmp tunneling, когда канал подымают поверх ping-ов ;) Но я не видел человека, который бы поднял такой канал, хотя в интернете вроде бы полно тулзов для этого. Качество канала должно быть получше чем в случае с http tunneling.

И последнее, с помощью стандартных опций туннелинга -L -R невозможно настроить ssh-туннелинг к произвольным сайтам, только к какому-то определенному. Поэтому тредстартер определенно применил какую-то особую уличную магию.

Ekin2008
()
Ответ на: комментарий от Ekin2008

> Поэтому тредстартер определенно применил какую-то особую уличную магию.

Поэтому и очень интересно прочитать о подробностях ;)

Bod ★★★★
()
Ответ на: комментарий от Ekin2008

Скорее всего, но еще лучше - это поднять VPN (PPtP, например), до другого конца ssh-туннеля и ходить куда угодно без прокси.

anonymous
()
Ответ на: комментарий от Bod

>думаю тор заблокирован по-умолчанию..

Tor-Proxy.NET Toolbar может работать не только через тор, но и JonDos/JAP - еще анонимная сеть.

record ★★★★★
()
Ответ на: комментарий от Valeriy_Onuchin

> Колличество userов, предолагаю, исчисляется десятками тысяч. При этом, полно zomby-accountов, т.е. получить доступ к ТАКОЙ халяве - нет проблем.

это халява в стиле бесплатного wifi или бесплатного чтения книжек в книжном. То есть ценным это будет только для тех кто нереально, искусственно ограничен.

> Сижу на работе за "двойными стенами": > - на работе корпорaтивный NAT-firewall > - потом, местный институтский squid-proxy.

> оба режут траффик по страшной силе: > - по слову в URL. На пример, если в location встречается

Вот это странно и бред. При нормальной ценовой политике такие фильтры должно быть себе дороже - разница в интернет трафике стоит меньше чем содержание спеца который будет ковырять все эти фильтры.

Имеем либо {моно,олиго}полию провайдеров, либо руководство которому интересны репрессии ради репрессий.

gods-little-toy ★★★
()
Ответ на: комментарий от Valeriy_Onuchin

> И как можно получить аккаунт на ЦЕРНовском кластере, и что это за кластер?

конечно, про халяву я немного загнул,
потому что у них там переодически необходимо обнoвлять password.
Канешн, поимев его однажды, наверное, это дело можно как-то "автоматизировать".

btw, о халяве, до недавнего времени у них была возможность подключаться
к ЦЕРНовской локальной сети через VPN, т.е. сидишь себе
в России или где-нибудь в какой-нибудь aмерике,
а твой комп находится "как бы" у них в локалке!
А, там у них ГРОМАДНАЯ куча софта с корпоративными лицензиями!
Они на него тратят мульоны "еврейских денег" (Euros)
ну, такого я еще нигде не видел ...

Valeriy_Onuchin ★★
() автор топика
Ответ на: комментарий от Valeriy_Onuchin

> его совершенно неприлично использовать для туннелинга.

почему? по scp между местным институтом и ЦЕРНом качают 100и Gb
данных .. и ничего. Там, что-то для GRIDa ваяли для перекачки
туда-сюда терабайты данных, но, наверняка, какой-нибудь многоканальный
a la scp (FTP over SSH) получится(лся)

Valeriy_Onuchin ★★
() автор топика
Ответ на: комментарий от Valeriy_Onuchin

> Скорее всего, но еще лучше - это поднять VPN

все pear-to-pear порты зарезаны, и всякая pear-to-pear
активность мониторируется и карается ...
хотя аналогичный фокус можно проделать и для этого случая

Valeriy_Onuchin ★★
() автор топика
Ответ на: комментарий от Valeriy_Onuchin

> Tor-Proxy.NET Toolbar

btw, про раньше Tor почему-то не слышал.

хотя по фразе
"
Tor обеспечивает защиту за счёт маршрутизации вашего сетевого трафика по распределённой сети серверов запущенных добровольцами со всего мира:
"

ставить этот продукт - это подстава для местных админов.
мало ли что эти "запущенные добровольцы со всего мира" тебе пришлют

Valeriy_Onuchin ★★
() автор топика
Ответ на: комментарий от Valeriy_Onuchin

> 2. google "cgi proxy"

анонимайзеры не проходят, поскольку фильтруются
- как фраза в URL
- так и контент получаемой страницы

Valeriy_Onuchin ★★
() автор топика
Ответ на: комментарий от Valeriy_Onuchin

> все pear-to-pear порты зарезаны, и всякая pear-to-pear активность мониторируется и карается ...

peer-to-peer наверное всё же :)

Skype, насколько мне известно, перекрывать так и не научились, чтобы остальное не пострадало. А если можно в одной программе, то думаю это переняли много где. Тор шифруется по самое не балуйся. Я оооочень сомневаюсь, что где-то в корпоративном фаерволе прикручена проверка адресатов по торовскому списку.

anonymous
()

Был у нас один парень-легенда более десяти лет (лет пятнадцать наверное) назад. Он так порнуху через церновский эккаунт тянул ещё в то время, когда все такие картинки в gif были. Он натаскал этого добра в таких количествах, что времени на просмотр всего не было, поэтому был написан автоматический просматривальщик для сортировки и отбора самого интересного (прямо искусственный разум). Говорят, после него осталось две экзабайтные кассеты с отборными изображениями.

Так вот, поймали его из-за ошибки автоматической программы-сборщика на церновском компьютере, которая наделала слишком много форков и положила сервер.

Evgueni ★★★★★
()
Ответ на: комментарий от Evgueni

был в ЦЕРНе один легендарный старичек (~2002 года), который
отслеживал "порнуху", но он ушел на пенсию. Делалось это просто -
отслеживался заокеанский траффик, потому что тогда (а может и сейчас)
большинство порно сайтов находилось в америке - был некий "полу-автомат" подсчитывающий число "переходов за океан",
но все равно "легендарный старичек" должен был лично проверять
подозрительные сайты. Так же отслеживались соединения по "необычным"
портам - на предмет видео-потоков. Иногда "страдали" ни в чем неповинные люди.
Хотя никаких карательных санкций по-поводу этого никогда не было,
во всяком случае я не слышал.
Но, как только он покинул свой "благородный" пост никакого мониторинга
на предмет "аморального" использования государственного оборудования
не стало. Да, можно и понять, сотни русских сидят там без женщин годами.
Сейчас там "разрешено все", в том числе и порно ...
в нерабочее время конечно. Возможно, это менталитет европейцев.
Ведь там порно журналы продаются в любом ларьке и на заправках.
Однако, p2p моментально отслеживается и карается.
можно спокойно смотреть русское телевидение через
интернет и сразу по нескольким каналам одновременно ...
опять же, в нерабочее время, конечно лучше, чтобы аборигены не знали.
Специально никто за этим не следит ... у местных админов там с
вирусами, хакерами и прочей гадастью проблем хватает - не до полиции нравов




Valeriy_Onuchin ★★
() автор топика
Ответ на: комментарий от Valeriy_Onuchin

ха-ха, живой пример ... отсылал это собщение с обычного
броузера. Сообщение было отослано, но зато теперь вся HTML
страница с этим трэдом заблокирована :) потому что в тексте
промелькнуло слово "порнуха" :)))

"This page has been blocked by WinRoute Firewall !"

Valeriy_Onuchin ★★
() автор топика
Ответ на: комментарий от Valeriy_Onuchin

> Skype, насколько мне известно, перекрывать так и не научились

Skype, icq etc. имеют возможность работать через HTTPS (443 порт)

Valeriy_Onuchin ★★
() автор топика
Ответ на: комментарий от Evgueni

Да я забыл добавить почему всё было у нашего героя так реализовано. Скорость Мир->Церн и Церн->Новосибирск была относительно большая, а Мир -> Новосибирск никакая. Сейчас ситуация поменялась в том смысле, что связь с Церном стала отвратительной.

Evgueni ★★★★★
()
Ответ на: комментарий от Evgueni

> что связь с Церном стала отвратительной.

как же так? от ИФВЭ до ЦЕРНа сейчас скорость передачи по
опто волокну 10ки (если не 100и) Мб/с.
Это наша контора подсоединена к ИФВЭ обычным кабелем,
но и то скорость до ЦЕРНа под 1Мб/сек

Valeriy_Onuchin ★★
() автор топика
Ответ на: комментарий от Valeriy_Onuchin

Кхе, кхе. Кроме Москвы есть более удалённые от европейской границы города в России, а радостно толкаемый "глариад" (так кажется) замёрз на широких просторах Сибири.

Evgueni ★★★★★
()
Ответ на: комментарий от Valeriy_Onuchin

>наверное, блюдут "облико морале".

Бггг, небось там анлим стоит, а псеудоадмин забивает канал порнухой.

FiXer ★★☆☆☆
()
Ответ на: комментарий от Evgueni

>экзабайтные кассеты

Жесть о_О

>WinRoute Firewall

О ужас, быдловенда детектед.

FiXer ★★☆☆☆
()

>при этом за ssh server был взят ЦЕРНовский кластер.

да уж. чего мелочиться

volh ★★
()
Ответ на: комментарий от Ekin2008

> Еще говорят есть icmp tunneling

Ну тогда и DNS можно приспособить...

anonymous
()

У меня для подобных целей и для всяких других закуплен личный VPS хостинг и убер-недорогой домен: Дешево и сердито. Вообще я считаю что линуксовый админ/хакер без личного хостинга как без рук. Корпоративная политика везде разная, места работы меняются, хочется держать свои проекты/подработки както независимо и законно.
Ну и если приспичит глобально побаловатся или что-то замутить - есть свой сервак в инете.

kernel ★★☆
()

Я вот тоже сейчас туннель проложил при помощи ssh. С локалхоста ноута на локалхост десктопа - mpd рулить.

marsijanin ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.