Vengant Apr 4 2020 at 14:08

Великий египетский фаерволл

2 min

46K

Information Security*System administration*Network technologies*

+110

Comments 45

MAXXL Apr 4 2020 at 14:21

А как проверяется условие «турист»? По MAC-у? Тогда простая смена его решит проблему?

Vengant Apr 4 2020 at 15:05

Сомневаюсь. Скорее там IMEI (если это мобильный интернет) либо физический адрес + IP (если станцонарный), плюс комбинация паттернов сетевого поведения.

A114n Apr 4 2020 at 14:48

Так выходит проблемы создать великий фаерволл нет на самом деле, и все эти пляски в России просто показуха?

Vengant Apr 4 2020 at 15:05

А кто сказал что его без проблем создавали?

bougakov Apr 4 2020 at 15:17

есть. У наших ближневосточных и африканских друзей связность с внешним миром обычно организована через одного-двух местных телекомов. А в России — прорва связей, множество игроков и зоопарк технологий.

По опыту прошлого года из Китая тоже вполне неплохо можно ходить наружу через обычный IKEv2.

Revertis Apr 4 2020 at 16:14

Так ведь эту прорву связей и уменьшают закономерно в течение лет десяти уже. То запреты иметь внешние линки не «федеральным» провайдерам, то принудиловка хранить прорву трафика (экономически задушить) и так далее. Всё для того, чтобы остался один Ростелеком с одним простым рубильником.

+10

bougakov Apr 4 2020 at 23:09

то, что эта работа идёт 10 лет и ей конца-края не видно — как раз говорит о том, что нашим властям достался гораздо более сложный рынок, чем египетским

yakov73 Apr 5 2020 at 02:24

del

A114n Apr 4 2020 at 18:57

прорва связей, множество игроков

А по ощущениям кроме транстелекома никого и нет.

UFO just landed and posted this here

sergey-b Apr 4 2020 at 15:40

Интересно, работает ли в Египте телеграм.

Sazonov Apr 5 2020 at 11:57

В январе работал, через Orange mobile с местной туристической симкой. Но пополнить баланс я так и не смог. В их приложении выбивало что мой банк отказывает в транзакции (при этом до ввода 3D secure не доходило), но в поддержке банка заверили что по логам не было даже попытки списать средства.
Очень часто не работали видео звонки в скайпе / фейстайме. Помогало подрубить cloudflare warp+ (iOS).

UFO just landed and posted this here

Sazonov Apr 6 2020 at 13:57

Ну меня ещё напрягло, что продавцы не дали симку в руки (аэропорт Шарм-Эль-Шейха). Мол нифига вас не понимаем, давайте сами вставим в телефон и всё настроим. Вставить симку я дал, но телефон не разблокировал, на что они очень обиделись.
Траффика мне не хватило, хотя брал самый дорогой пакет. Последних два для сидел в строжайшей экономии через DrimSim.

maxzhurkin Apr 4 2020 at 16:21

А по каким критериям кроме аналогий с китайским фаервол назван великим?

middle Apr 4 2020 at 23:08

Это постирония.

catanfa Apr 4 2020 at 18:39

А в Египте нет преследований за такие обходные манёвры?

UFO just landed and posted this here

Vengant Apr 4 2020 at 22:37

О, это интересно, спасибо :)

ne_kotin Apr 5 2020 at 11:53

А Tor там работает из коробки, или надо мосты брать/приседания делать?

UFO just landed and posted this here

unclegluk Apr 4 2020 at 20:09

(ненавижу маки)

А давайте все вместе больше никогда не будем выражать свои чувства и эмоции по поводу разных операционных систем. Ненавидите? Ненавидьте тихо или аргументировано.

-36

Chuvi Apr 4 2020 at 21:18

Держите нас в курсе.

+11

unclegluk Apr 4 2020 at 21:52

Аргументов нет, в ход идут грязные методы. Предвижу переход на личности.

-11

Vengant Apr 4 2020 at 22:36

А я вот хочу их ненавидеть громко. И дальше что? :)

+16

unclegluk Apr 5 2020 at 20:14

Это уже похоже на показывание пальцем и возгласы «Фууу! Бяка! Идите отсюда! Вы низшие создания!».

TimsTims Apr 5 2020 at 02:44

Вы же сами мак недолюбливаете: habr.com/ru/post/463799/#comment_20514493

unclegluk Apr 5 2020 at 20:49

Где я там написал, что недолюбливаю?

chifth Apr 4 2020 at 22:36

По поводу обфускации.
Есть ли варианты как прилепить протокол vmess на Windows?

Murimonai Apr 5 2020 at 00:13

В статье бы еще органично смотрелся краткий обзор принципа работы обозначенного obfsproxy.

Vindicar Apr 5 2020 at 00:38

Простите за самопиар, но об этом уже писали на Хабре.
К сожалению, инфа по ссылке подустарела, да и сейчас появились другие решения.

EDIT: Хотя, если вы имеете ввиду «как оно обфусцирует трафик», то тогда ссылка не в тему. Извиняюсь.

M0Peterson Apr 5 2020 at 12:22

TL;DR это рандомизация трафика, делает трафик не похожим ни на что. По схожему принципу работает голый шэдоусокс без плагинов.

На самом деле не самое лучше решение, особенно при вайтлистах. Сейчас блидинг эдж это обфускация под другие, дозволенные протоколы, инструментов для этого дела сотни — хочешь скайпом прикидывайся, хочешь — трафиком различных игр по мультиплееру. ИМХО серьезный потенциал у обфускации под хттп трафик — у блокирующего нет особого смысла строить сложные системы DPI для обработки такого трафика, ведь это ж хттп, можно просто смотреть внутрь трафика и блочить неугодное.

В том же самом китае например в ТББ рекомендуют юзать мик, который как раз обфусцирует трафик через доменфронтинг в сторону азур или авс, потому что обфс4 уже нестабильно работает или не работает вовсе.

Finesse Apr 5 2020 at 06:13

Осталось только добавить клиентскую часть obfsproxy в автозагрузку вот этим «очевидным» способом (ненавижу маки).

Разве нельзя добавить через UI: приложение System Preferences → Users & Groups → Login Items? Это аналог «автозагрузки» на Windows.

Vengant Apr 5 2020 at 14:11

Нельзя, это же не десктопное приложение под мак, его нужно отдельным скриптом через командную строку с кучей параметров запускать.

Finesse Apr 5 2020 at 14:11

Туда можно добавлять не только приложения, но и произвольные файлы, в том числе shell-скрипты

roller Apr 5 2020 at 21:07

Но работать будет только при логине пользователя. А для общесистемного туннеля надо все же в /Library

maxood Apr 5 2020 at 11:02

VPN в Египте уже года два блокируется, странно, что у вашей коллеги он вообще работал. Самое простое решение — vpn over ssh tunnel.

sergey-b Apr 5 2020 at 14:29

тоже хотел предложить

3draven Apr 5 2020 at 13:06

Я в китае тор пробовал запустить, даже с их сервиса достал кастомные гейты. Нифига не работает. Без внешнего сервиса и обфускации не пробить. Непонятно почему обфускации нет по умолчанию.

Кстати мобильный дорогущий интернет от мегафона спокойно пашет и открыт… иностранцев видать опознают.

3draven Apr 5 2020 at 13:13

Да, это делалось с телефона. Браузер с обфускацией у них есть вроде бы и так… не копал подробно.

SlimShaggy Apr 5 2020 at 13:35

Ну так мобильный интернет в роуминге идет через Мегафон, а не китайского провайдера, там разве что блокировки РКН будут.

valodzka Apr 9 2020 at 18:37

Мобильный интернет в роуминге идёт сразу через локального оператора, и только потом на Мегафон, очевидно локальный мог бы блокировать если бы хоте. Но видимо считают что иностранцев блокировать не целесообразно.

iDm1 Apr 5 2020 at 13:57

По идее можно и WireGuard использовать, вряд ли он блокируется их фаерволом.

neiromancer Apr 7 2020 at 13:24

Уже несколько лет так: у одного провайдера OpenVPN + Scramble, у другого SSTP.
Все уже привыкли, никто не парится.

icelord2 Apr 9 2020 at 14:33

на маке в ебипте меня sshuttle (VPN over SSH) прекрасно спасал

Show the best of all time