anonymous@RULINUX.NET~# Last login: 2024-11-07 20:10:55
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск
[#] [Добавить метку] [Редактировать] Фильтры
  • изображения
Скрыть

Про vpn и сопутствующие товары

Господа-товарищи, вот тут несколько вопросов нарисовалось.

В связи с тем, что в РФ наступил он,

[путь к изображению некорректен]

решил вспомнить про сетевые технологии. Вот, допустим, гипотетически у меня есть VPN между мной и каким-то иностранным сервером (далее - сервер). Ну мало ли, вот так получилось. И на этом сервере, увы, ограничен трафик сотней-другой гигабайт, плюс этот сервер используется для разных дел, не только для VPN-а.

У меня есть стойкое желание использовать этот сервер как выход в интернет, но не для всего трафика (это и ресурсы жрёт, и трафик ограничен), а только для нескольких программ, и то не всегда. Чтобы, грубо говоря, можно было быстро врубить, посмотреть что-то, и выйти обратно. Или запустить отдельно через него какой-нибудь отдельный софт, а остальной софт продолжать гонять через мой стандартный патриотично-российский шлюз.

Что вырисовывается:

1. Сделать, чтобы сервер был для компьютера шлюзом. Я, к сожалению, в сетях и администрировании разбираюсь, аки свинья в балете, так что даже правильного названия данной штуки сказать не могу. В общем, это когда в конфиге сервера что-то такое: push "redirect-gateway def1 bypass-dhcp". В таком случае весь мой трафик идёт через сервер. Достоинства: просто, как бревно. Но, так как трафик ограничен, пользоваться им постоянно нерационально, и придётся постоянно подключаться-отключаться. Это делается легко, но я не уверен, что уже запущенный софт, работающий с сетью, будет этому рад. Может я и ошибаюсь, но постоянная смена шлюзов ради просмотра пары сайтов будет плохо отражаться на других постоянных сетевых соединениях. Не будут ли они разрываться? Да и неприятно, что нельзя вручную выбирать, какая программа какой шлюз использует. Либо все один, либо все другой.

2. Поставить какой-нибудь squid. Тоже просто, и работать легче - в ФФ можно переключать прокси на лету, ну и другой http-софт такое вроде умеет. Недостатки - только http, джаббер уже не завернуть. Как-то не очень, ведь сервер в моём распоряжении, хочется большего.

3. Поставить какой-нибудь socks-сервер. Меня соблазнила программа tsocks, которая, как обещают авторы, позволяет запускать любую программу через эту прокси. Ну и ФФ может сам через socks бегать. Жаль, что на лету не все программы можно переключать, ну да ладно. Вроде бы все задачи решены, но я никогда в жизни эти прокси не трогал, так что не в курсе, как оно в реальности себя ведёт. Стоит ли ставить? Да и какой сервер ставить? Я пока только некий dante нашел, чтобы в репозиториях дебиана был.

4. Может я что-то упустил? Посоветуйте.

SystemV(*) (2012-11-12 19:47:56)

Emacs-w3m/1.4.503 w3m/0.5.3

[Ответить на это сообщение]
[#] [Добавить метку] [Редактировать] Ответ на: Про vpn и сопутствующие товары от SystemV 2012-11-12 19:47:56
avatar
Скрыть

Re:Про vpn и сопутствующие товары

> Недостатки - только http, джаббер уже не завернуть.

Джаббер вполне можно гонять через http-прокси, пси+ во всяком случае такую возможность имеет.

spaceivan(*)(2012-11-12 20:01:34)

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:16.0) Gecko/20100101 Firefox/16.0
[#] [Добавить метку] [Редактировать] Ответ на: Re:Про vpn и сопутствующие товары от spaceivan 2012-11-12 20:01:34
avatar
Скрыть

Re:Про vpn и сопутствующие товары

>Джаббер вполне можно гонять через http-прокси, пси+ во всяком случае такую возможность имеет.
Это да, я слышал. При желании, в общем-то, можно много что придумать, я даже видел где-то про обратный вариант - ppp-over-jabber:) Но это, увы, костыли, которые я бы не хотел использовать, пока совсем не припрёт. Всё же доступ к серверу у меня есть, и хочется настоящего, прямого и правильного решения. Тем более пока мне нужно только http, но мало ли как сложится, хочется сразу сделать хорошо.

Джаббер тут как пример, ведь может быть и что-то другое. В джаббере ценные разговоры я и так стараюсь шифровать через GPG.

SystemV(*)(2012-11-12 20:09:44)

Emacs-w3m/1.4.503 w3m/0.5.3
[#] [Добавить метку] [Редактировать] Ответ на: Про vpn и сопутствующие товары от SystemV 2012-11-12 19:47:56
avatar
Скрыть

Re:Про vpn и сопутствующие товары

А, да, ещё уточню - я не очень понимаю, как squid работает с https, который тоже неплохо было бы засунуть в туннель через сервер. Не обязательно, но почему бы и нет? Тем более, что никакие кэширующие и фильтрующие возможности сквида мне нафиг не сдались, наоборот, чем проще и прозрачнее всё - тем лучше. Лишь бы выход через сервер.

А вот торренты, например, ни в коем случае нельзя - хостер забанит, да и трафик сожрёт.

SystemV(*)(2012-11-12 20:44:39)

Emacs-w3m/1.4.503 w3m/0.5.3
[#] [Добавить метку] [Редактировать] Ответ на: Re:Про vpn и сопутствующие товары от SystemV 2012-11-12 20:44:39
avatar
Скрыть

Re:Про vpn и сопутствующие товары

> А, да, ещё уточню - я не очень понимаю, как squid работает с https, который тоже неплохо было бы засунуть в туннель через сервер.

Если ты имеешь в виду как на сайты по хттпс через этот прокси ходить, то просто добавь воды строчку в squid.conf:

acl Safe_ports port 443         # https


А на стороне броузера возможно для https персонально написать чтобы он через проксю гонял запросы.

Или ты имел в виду https как протокол чтобы броузер коннектить к сквиду? Такое тоже есть. Только я не пользуюсь.

Да, кстати я уже рассказывал что у меня так и сделан "зарубежный прокси" - дома стоит машинка, которая всё равно работает 24/7. Коннекчусь на неё по SSH (PuTTY) которому в параметрах сказано форварвардить порт 3128 на локалхост на той стороне. В браузере настройки прокси заточены на локалхост. В принципе примерно то же самое что ты хочешь, только по SSH.

anonymous(*)(2012-11-12 22:13:48)

[#] [Добавить метку] [Редактировать] Ответ на: Re:Про vpn и сопутствующие товары от anonymous 2012-11-12 22:13:48
avatar
Скрыть

Re:Про vpn и сопутствующие товары (вдогонку)

С SSH это примерно так должно делаться если чо: 'ssh server.name.com -C -L 3128:localhost:3128'

anonymous(*)(2012-11-12 22:30:05)

[#] [Добавить метку] [Редактировать] Ответ на: Re:Про vpn и сопутствующие товары от anonymous 2012-11-12 22:13:48
avatar
Скрыть

Re:Про vpn и сопутствующие товары

>Если ты имеешь в виду как на сайты по хттпс через этот прокси ходить
Да, именно это. Спасибо, запомню вариант.

>Да, кстати я уже рассказывал что у меня так и сделан "зарубежный прокси" - дома стоит машинка, которая всё равно работает 24/7. Коннекчусь на неё по SSH (PuTTY) которому в параметрах сказано форварвардить порт 3128 на локалхост на той стороне. В браузере настройки прокси заточены на локалхост. В принципе примерно то же самое что ты хочешь, только по SSH.
Через ssh я знаю, он порты пробрасывать умеет. Но это ничем не отличается от сквида внутри vpn-а, в общем-то. У ssh в данном случае есть недостаток - он только для меня и для созданных там юзеров. А у меня в сети могут быть люди, которым я не хочу давать ssh-доступ, а давать посмотреть интернет могу. Нет, у нас не революционная ячейка или террористическая группировка:)

Тут даже и без сквида можно, кстати. Например, создавать socks через ssh -D 1234 user@host, и подсовывать его фаерфоксу. Но тогда уж проще socks-сервер воткнуть, чтобы не давать ssh тем, кому не надо, и вообще не привязываться к ssh как к программе. И облегчить доступ для людей, у которых слова ssh и PuTTY вызывают животный страх.

Наверное что-то такое и сделаю.

P.S. Я тут постоянно пишу про этот socks, потому что они обещают любое приложение проксировать, при желании. Если я, конечно, это правильно понимаю.

SystemV(*)(2012-11-12 22:36:03)

Emacs-w3m/1.4.503 w3m/0.5.3
[#] [Добавить метку] [Редактировать] Ответ на: Re:Про vpn и сопутствующие товары от SystemV 2012-11-12 22:36:03
avatar
Скрыть

Re:Про vpn и сопутствующие товары

> Нет, у нас не революционная ячейка или террористическая группировка:)

Ну вот, мы теперь выйдем в топ яндекса по ключевым словам "революционная ячейка или террористическая группировка" :)

> P.S. Я тут постоянно пишу про этот socks, потому что они обещают любое приложение проксировать, при желании. Если я, конечно, это правильно понимаю.

Хотя сомнение на предмет а не должно ли это любое приложение уметь общаться с прокси по этому протоколу - небось всё-таки грызёт, а?

anonymous(*)(2012-11-12 23:16:47)

[#] [Добавить метку] [Редактировать] Ответ на: Re:Про vpn и сопутствующие товары от anonymous 2012-11-12 23:16:47
avatar
Скрыть

Re:Про vpn и сопутствующие товары

>Ну вот, мы теперь выйдем в топ яндекса по ключевым словам "революционная ячейка или террористическая группировка" :)
А может это и есть часть моего плана Нет, такой популярности нам не надо. Больше так писать не буду.

>Хотя сомнение на предмет а не должно ли это любое приложение уметь общаться с прокси по этому протоколу - небось всё-таки грызёт, а?
Я там в исходном посте писал про вот такую штуку. А ещё такая есть.

SystemV(*)(2012-11-12 23:28:34)

Emacs-w3m/1.4.503 w3m/0.5.3
[#] [Добавить метку] [Редактировать] Ответ на: Re:Про vpn и сопутствующие товары от SystemV 2012-11-12 23:28:34
avatar
Скрыть

Re:Про vpn и сопутствующие товары

Вобщем я нагуглил тебе решение:
1. У себя в локалке для выхода в сеть организуешь прозрачный прокси или просто ставишь проксик, что оставляет пользователям свободу манёвра. Т.е. решение зависит от степени насилия, которое ты готов применить к членам своей террористической ячейки
2. На заграничном сервере тоже ставишь сквид
3. У себя заводишь список сайтов к которым надо ходить через заграницу и делаешь как-то вот так. При этом, я думаю, проксики можно будет связать между собой по https, т.e. VPN тебе даже не нужен.
4. В качестве доп бонуса можно проксёй всем резать рекламу, анонимизировать их бровсеры и т.п.

anonymous(*)(2012-11-13 00:31:41)
Отредактировано anonymous по причине "не указана"
[#] [Добавить метку] [Редактировать] Ответ на: Про vpn и сопутствующие товары от SystemV 2012-11-12 19:47:56
avatar
Скрыть

Re:Про vpn и сопутствующие товары

Сижу смотрю чудесную книжечку "Обходные инструменты" - по обходу "Великого Русского файрвола".

http://en.flossmanuals.net/_booki/bypassing-ru/bypassing-ru.pdf

josephson(*)(2012-11-13 09:07:26)

[#] [Добавить метку] [Редактировать] Ответ на: Про vpn и сопутствующие товары от SystemV 2012-11-12 19:47:56
avatar
Скрыть

Re:Про vpn и сопутствующие товары

ЯННП! Вопрос ещё большего ламера, чем ТC: а нельзя ли на рулинуксе поднять свой прокси-сервер? Вроде как сервер рулина за границей где-то стоит. И можно будет смотреть "запрещённые" сайты через забугорье.

anonymous(*)(2012-11-13 10:09:57)

[#] [Добавить метку] [Редактировать] Ответ на: Re:Про vpn и сопутствующие товары от anonymous 2012-11-13 10:09:57
avatar
Скрыть

Re:Про vpn и сопутствующие товары

>ЯННП! Вопрос ещё большего ламера, чем ТC: а нельзя ли на рулинуксе поднять свой прокси-сервер? Вроде как сервер рулина за границей где-то стоит. И можно будет смотреть "запрещённые" сайты через забугорье.
С такими темпами и сам рулинукс попадёт в запретный список. Кстати, может на нас уже настучали?

svarwik(*)(2012-11-13 10:32:35)

Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0
[#] [Добавить метку] [Редактировать] Ответ на: Про vpn и сопутствующие товары от SystemV 2012-11-12 19:47:56
avatar
Скрыть

Re:Про vpn и сопутствующие товары

В общем, обговорил всё с представителями вышеупомянутой ячейки, прикинул варианты использования, и решил - ставлю всё сразу:)

Сам VPN реализуется через OpenVPN, и является центральной частью схемы. Членам ячейки выдаются сертификаты для доступа. Ну а на сервере уже будут стоять squid и dante, доступные только для тех, кто в этой сети. Сервер vpn-а как шлюз применять не буду, всё только через эти прокси.

Использовать только socks оказалось нерационально, так как не везде есть возможность поставить упомянутые мной врапперы для программ, его не умеющих. В этом случае придётся, скорее всего, ограничить себя только http/https через squid. Задача автоматизации выбора прокси в зависимости от урла возложена на клиента, пусть он сам мучается, так как не нашлось единого удобного способа это устроить централизованно. Я лично для фаерфокса взял foxyproxy, пока вроде ничего, списки умеет, переключается в один клик.

Dante уже настроил и проверил, сквид буду крутить как-нибудь на днях, когда скучно станет.

SystemV(*)(2012-11-13 21:29:48)
Отредактировано SystemV по причине "не указана"
Emacs-w3m/1.4.503 w3m/0.5.3
Этот тред читают 2 пользователя:
Анонимных: 2
Зарегистрированных: 0




(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!