Баста, карапузики - Китай блокирует неавторизованный VPN

Аватар пользователя joho

Пекин инициировал 14-месячную всеобщую компанию по блокированию неавторизованных соединений с интернет, включая VPN сервисы - технологию, которая позволяла пользователям обходить широко известный Великий Китайский Файрвол.

Китайское министерство Промышленности и Информационных Технологий в это воскресенье выпустило уведомление, что все специальные проводные и VPN сервисы на материке обязаны получить государственное разрешение - это распоряжение сделало большинство сервис-провайдеров нелегальными в стране с 730 миллионами интернет-пользователей.

Зачистка национальных интернет-соединений начинается немедленно и продолжается по 31 марта 2018, указано в распоряжении.

http://ru-sysadmins.livejournal.com/2596351.html

http://www.scmp.com/news/china/policies-politics/article/2064587/chinas-move-clean-vpns-and-strengthen-great-firewall

Комментарий автора: 

Не совсем понятно, касаются ли меры только сервис-провайдеров, или под раздачу попадают так же и технологические VPN соединения (например, SSH).

Комментарии

Аватар пользователя woddy
woddy(11 лет 11 месяцев)

Сегодня в китае, завтра у нас. Ну и хрен с ними, завернем в ssh.

Аватар пользователя ЧленПартии
ЧленПартии(8 лет 11 месяцев)

icmp, да и ssh на 22-ом порту - не айс...

Аватар пользователя Omni
Omni(12 лет 2 месяца)

DNS ещё остался.

Аватар пользователя Barmalley
Barmalley(12 лет 9 месяцев)

А я на 80 ом порту запускал помнить как то давно, в одной конторе там во вне только он был открыт, а там уже прокси через туннель.

Аватар пользователя joho
joho(11 лет 1 месяц)

Ныне толковый файрвол (NGFW) данные схемы позволяет пресечь без проблем. Выявление работающего приложения - как на стандартных портах / протоколах, так и на нестандартных - сейчас делается целым рядом современных устройств, которые свободно доступны многим средним - крупным конторам.

Аватар пользователя Barmalley
Barmalley(12 лет 9 месяцев)

Да, почему бы и нет, давно всякие анализаторы трафика придумывали, а кстати как на счет  туннелинга через dns или icmp ? Или что там у нас еще маршрутизироваться может

Аватар пользователя joho
joho(11 лет 1 месяц)

выявление туннелирования через DNS / icmp, равно как и openVpn на 443 - для палоальты, к примеру, штатная фича. А далее, хотите - пускайте, хотите - блочьте, хотите - policy based forwarding делайте. Или QoS вешайте. С полисингом на 32кбит, к примеру

Аватар пользователя Barmalley
Barmalley(12 лет 9 месяцев)

Ну в любом случае останется rfc1149 ;-) а вообще, все эти попытки блокировок ни к чему хорошему не приведут, ну будут как раньше самиздатом из подполы обменивались, обмениваться флешками, и листовки клеить.

Аватар пользователя skif-99
skif-99(9 лет 3 дня)

Так уже- anonymouse.org заблокирован.

 

Аватар пользователя joho
joho(11 лет 1 месяц)

Скорее всего, с анонимусом они угадали случайно - та ситуация, когда вопиющая профнепригодность проходит сквозь сингулярность и даёт верное решение :)

Насколько я помню, в бесплатном режиме он работал через HTTP, HTTPS был платным. Поэтому они видели URL, который, пройдя через анонимус, даёт доступ к запрещённому сайту, и заблокировали, полагая его чьим-то зеркалом. ИМХО.

К слову, если будете делать анонимайзеры - не наступайте на те же грабли и не будьте настолько алчными, предлагая HTTPS только за деньги.

Аватар пользователя Bledso
Bledso(11 лет 8 месяцев)

Серьезно за дело взялись.

"Рынок услуг интернет-связь Китая ... имеет признаки неупорядоченного развития, что требует срочного регулирования и управления," - говорится в сообщении министерства.

Жаль, что в статьях не описаны наказания за нарушения.

Аватар пользователя ЧленПартии
ЧленПартии(8 лет 11 месяцев)

deny ip from any to any

:)

Аватар пользователя Remixov
Remixov(12 лет 1 месяц)

Значит скоро экономика у них начнет валится.

Аватар пользователя Vladyan
Vladyan(9 лет 6 месяцев)

Если не уже. "А власти скрывают!" (с)

 

Аватар пользователя Federal
Federal(12 лет 10 месяцев)

Очень странно. 

Аватар пользователя ivamat
ivamat(8 лет 6 месяцев)

Ни чего странного, что то подозревают.

Аватар пользователя Болт
Болт(11 лет 3 недели)

Я вот удивляюсь, как коллеги из Китая пишут комменты на АШ. Файервол КНР настолько велик и могуч, что попытки захода на их ресурсы сильно напоминают АШ во время особо злостных ДОС-атак. Огородились они там плотно, конкретно. На мой взгляд, китайский инет - не совсем инет.

Аватар пользователя xiaoxiong
xiaoxiong(9 лет 6 месяцев)

Вот прямо сейчас сижу через VPN. Вполне живенько. Если лавочку прикроют будет грустно более чем. Потому что любые западные ресурсы это тоска и боль. Даже если не запрещено, то фильтруется так, что тошнит как при дайлапе когда-то.

Сейчас еще новый прикол, для того чтобы из за границы ломиться на многие китайские сайты приходится тоже включать впн иначе не пускает.

Аватар пользователя Болт
Болт(11 лет 3 недели)

Тут любопытно, что китайцы сейчас пытаются развивать свои международные соцсети и предоставляют свой облачный сервис. Многие десятки тысяч китайцев учатся в России, где сейчас все с мобильным инетом. Рано или поздно в КНР поймут, что файервол надо убирать - он мешает им самим.

Аватар пользователя xiaoxiong
xiaoxiong(9 лет 6 месяцев)

Не поймут.

Аватар пользователя Kid Loco
Kid Loco(10 лет 5 месяцев)

У меня близкий родственник сейчас учится в КНР. Пришлось организовать на московском компьютере VPN (с помощью pptpd). Обидно, что в Android непросто настроить OpenVPN, особенно инструктируя непродвинутого пользователя удаленно, поэтому всем рекомендую не мучаться, а сразу ставить pptpd.

Из любопытного - моментально стали пробовать залогиниться с китайских айпишников.

Аватар пользователя woddy
woddy(11 лет 11 месяцев)

а я из китая вообще пптп поднять не смог. через паблик вайфай

Аватар пользователя Kid Loco
Kid Loco(10 лет 5 месяцев)

Там половина инструкций в интернете тухлые же. Мне пришлось нагуглить рецепт для установки переменных с помощью sysctl (net.ipv4.ip_forward = 1), загрузку модуля nf_conntrack_pptp , настройку iptables:

-A POSTROUTING -o eth0 -j MASQUERADE

-A FORWARD -i eth0 -o ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -o eth0 -j ACCEPT

А потом еще и сам pptpd и ppp настраивать пришлось.

Аватар пользователя woddy
woddy(11 лет 11 месяцев)

у меня пптп аппаратно дома настроен и работает. а из китая не заработал. не в иптаблес дело...

Аватар пользователя MementoMori
MementoMori(9 лет 11 месяцев)

gre зарезать - как два пальца, даже китайский файрволл не нужен

часто в отелях (не китайских) прибит он

ipsec/l2tp тоже не поможет, если захотят

только openvpn на 443 порт, насколько я знаю даже злой mitm не должен вычислить

Аватар пользователя joho
joho(11 лет 1 месяц)

c РРТР вообще беда. Примерно с конца ноября на сети МТС (3G/LTE) в Москве РРТР так же более не работает, и эту традицию потихоньку перенимают прочие провайдеры. Переходите на L2TP + IPSec

Аватар пользователя Болт
Болт(11 лет 3 недели)

моментально стали
пробовать залогиниться с китайских
айпишников

laugh

Аватар пользователя joho
joho(11 лет 1 месяц)

Национальные особенности китаёзного интернета

http://blogerator.org/page/osobennosti-kitajskogo-interneta-blokirovki-v...

По приезду попробовал присоединиться и... Потерпел неудачу. Дело в том, что провайдеры Китая анализируют весь трафик, который идет через них (так называемый DPI, Deep Packet Inspection), и блокируют не только IP адреса или домены, а, в том числе, не пропускают и определенные протоколы. Среди них есть и OpenVPN. Ну и, конечно, PPTP, L2TP, IPsec. При этом, компании, которым VPN соединение нужно, пользуются модифицированной версией, которую может расшифровать правительство.

 

Конечно, разом запретить все открытые протоколы правительство все равно не может. Например, без SSH китайские компании потеряли бы много денег — в конце-концов, им же нужно работать с серверами по всему миру. Поэтому следующим моим шагом было запихнуть трафик от OpenVPN в SSH туннель. Потом еще настроить удаленный DNS, и так далее, не буду грузить тут вас подробностями, благо инструкций в интернете великое множество.Пару дней все работало прекрасно, правда, пинг был великоват, ну да я все равно не играю в компьютерные игры, так что, мне было практически все равно.

 

А потом все начало тормозить. Я зашел на сервер — и увидел, что до него пытались достучаться по всем известным уязвимостям с пары десятков китайских IP. Уж не знаю, каким образом китайский кибер-спецназ прознал об этом (а может, сведения о этом VPN появились на каком-нибудь форуме местных хакеров), так что, я от греха подальше убил виртуалку, в которой стоял OpenVPN и перекинул туннель на амазоновский инстанс.

Аватар пользователя Болт
Болт(11 лет 3 недели)

Преодолевая столько сложностей, чтобы просто зайти на зарубежный ресурс, китайцы, однозначно, станут продвинутее русских. Думаю, нам пора начинать бояцо. 😱

Аватар пользователя kue
kue(10 лет 5 месяцев)

Ну и правильно! А то заливают помоечные фейки всякие фейсбуки, а автора дерьма не найдешь. Молодцы, китайцы

Аватар пользователя vleo
vleo(10 лет 3 месяца)

Вы какой-то злыдень - типа за все плохое, против всего хорошего - кредо - всегда :-)

Мне как-то глубоко фиолетово на все эти помоечные фейки и файлы - на заборе тоже много чего прочитать можно - и что?

Аватар пользователя xiaoxiong
xiaoxiong(9 лет 6 месяцев)

Уже не первая кампания

Аватар пользователя jamaze
jamaze(12 лет 10 месяцев)

HTTPS тоже блокируют?

Аватар пользователя Omni
Omni(12 лет 2 месяца)

Этот они могут и разобрать на своём ВКФ.

Аватар пользователя vGimly
vGimly(9 лет 9 месяцев)

Стеганография остаётся :) Котики в местных социальных сетях станут туннелями в фейсбук :)

Аватар пользователя Добродей
Добродей(12 лет 3 недели)

ага. в потоковое видео вплетать шифрованную дорожку передачи данных. дорого и сердито.

Аватар пользователя vleo
vleo(10 лет 3 месяца)

Ну, начнем с того, что в Китае очень конкретно много развелось в стране VPN провайдеров - то есть обходили Великий Китайский Фаервол все, кому не было совсем лень.

Другой вопрос, что я убежден, что политика блокирования Интернета - сомнительная - по сути, мы это в СССР проходили с ограничением информационных потоков с Запада - фронт (Великий Фаервол) должен проходит в головах, а головы нужно учить уму-разуму.

Изоляция же приводит к образованию популяции голов, в которых может легко завестись любая крамола, если только проникнет через Фаервол - соответственно, очень надеюсь что Россия по таким путям ходить не будет - патриотизм должен быть сознательным, а не форсированным.

Ну и опять повторю - может быть это не политический вопрос, а следствие того, что Китай пошел по неправильному, на мой взгляд, пути фаервола - а Россия пошла по пути Russia Today. Теперь Китай логикой бюрократической машины вынужден и дальше идти по этому тупиковому пути. Ну и ладно - не может же все быть в Китае совсем идеально, что-то должно быть и у нас лучше.

Тут вот и подумаешь, а ну ее в БАНЮ, эту Коммунистическую Партию - серьезнейший вопрос, между прочим.

По моему собственному опыту поездок в Китай - много там людей непатриотично мыслящих, фапающих на Тайвань и Запад в целом, увы. Наша тур-группа своим анти-Западным настроем вероятно удивляла Китайцев :-) Причем - что ценно - чисто по велению сердца, а не по указивке Ком.Партии. Так-то.

Аватар пользователя joho
joho(11 лет 1 месяц)

Китай пошел по неправильному, на мой взгляд, пути фаервола - а Россия пошла по пути

Россия пошла по пути Роскомнадзора. Это два вполне очевидных варианта - Китай решил разбирать весь трафик в одной точке, Россия решила раздать чёрные списки и контролировать их работу сенсорами, расставив их у провайдеров на последней миле.

Это два одинаковых (зеркальных) решения, имеющих целью одну и ту же тему блокировки нежелательного трафика. Компартия тут совершенно не причём.

Если внимательно посмотреть, то и прочие игроки имеют свои  возможности по мониторингу и возмездию за неправильный трафик.

Например, в Германии, по слухам, любитель торрента огребают от любителей закона. В Америке вообще гугль есть для этих целей. Так что строй - не при чём.

Аватар пользователя vleo
vleo(10 лет 3 месяца)

Вариант с Роскомнадзором лучше хотя бы тем, что пытаясь зайти на заблокированный сайт Вы получаете четкое объяснение ситуации - такое-то ведомство, по таким-то причинам заблокировало сайт. После этого можно писать жалобы, да и вообще - НАРОД ЗНАЕТ СВОИХ ГЕРОЕВ, и если народу на самом деле это не по душе, то Роскомнадзор вынужден будет сдать назад и умерить свои блокировочные аппетиты.

А к Китае просто рубят пакеты - а ты догадывайся, то-ли связи нет, то ли что - потом это просто ТУПО - на многих сайтах рекламные баннеры от Гугля - соответственно, из-за того, что пакеты рубятся, то страницы грузятся по полчаса - пока все тайм-ауты не выйдут. Это просто АХТУНГ на самом деле.

Вариант с Роскомнадзором значительно более вменяемый, кроме того, задача Роскомнадзора не на 100% изолировать, а прикрыть массовый доступ к контенту, который посчитан нежелательным.

Обратим внимание а на то, что Россия с Западом в довольно жесткой конфронтации, но Гугль у нас работает, а Китай вроде как до последнего времени был в "дрючбе" с Западом - а Гугль зарубил давным давно.

С мобильной связью в Китае тоже бедлам тот еще, кстати. После поездки в Китай думаешь - хорошо жить в более информационно-свободной стране - просто удобнее и производительность труда выше.

Аватар пользователя joho
joho(11 лет 1 месяц)

Вариант с Роскомнадзором лучше хотя бы тем

Чисто вопрос реализации. Ровно так же, если протокол, используемый клиентом, позволяет отобразить "страницу отбоя" (скажем, HTTP), то её можно отдавать что там, что там. Если заблокирован IP, а протокол не имеет опции отображения (ТСР, к примеру) - в обоих случаях будет загадочная тишина. Повторюсь, механизм идентичен. У китайцев - централизованный, у нас - распределённый.

Я полностью согласен с тем, что фильтрация необходима. Если вы добудете файл блокировок, то сами увидите - глазу там не зато зацепиться, сплошные "спайсы", какие-то оккультные слова и прочая фигня. Тот же Либрусек - теряется среди тысяч и тысяч реально вредоносных сайтов.

Аватар пользователя Добродей
Добродей(12 лет 3 недели)

я как коммунист немного с вами не согласен.

в баню должна идти обязательная идеология, причем любая, а коммунистических партий лучше много хороших и разных.

чтобы ни у одной из них не вышло пойти по пути КПК или КПСС.

то, что сделали эти милые люди - это путь в никуда для всех.

Аватар пользователя vleo
vleo(10 лет 3 месяца)

ну ее в БАНЮ, эту Коммунистическую Партию

Ну я и написал - ЭТУ :-) В самом деле - решать вопросы идеологии за счет изоляции - путь в никуда - так как это становится очень привлекательным вектором атаки для врагов.

Причем выходит такой чиновный симбиоз - чиновники из Госдепа организуют каналы по прониканию через фаервол, а чиновники из фаервола усиливают фаервол. НО! Как известно в соревновании шита и меча всегда побеждает меч :-)

Аватар пользователя ivamat
ivamat(8 лет 6 месяцев)

я как коммунист ...

В каком месте Вы коммунист после таких заявлений про баню. Вы там и рядом не лежали. Ааа.. догадываюсь, Вы потомственный коммунист или на худой конец коммунист в седьмом поколении.

 

Аватар пользователя Barmaglo
Barmaglo(9 лет 5 месяцев)

Просто китайцы поняли, что в связи с тем, что к власти пришел Трамп, то главным виновником всех бед назначат Китай. А значит и валить будут его, а уже затем Россию. Прямое вторжения на территорию ядерной державы маловероятно, значит скорее всего очередная оранжевая весна, вот они превентивно и начинают мешать его организации через интернет.

Но если честно, у меня есть ощущение, что валить их будут не изнутри, а будут пробовать развязать войну Китая с Японией, чтобы под шумок устроить что-то вроде Сирии... А там посмотрим, что получится.

Аватар пользователя vleo
vleo(10 лет 3 месяца)

Моя точка зрения такая - оранжевые весны возникают там, где для этого есть предпосылки. Где Власти накосорезили, грубо говоря.

Аватар пользователя ivamat
ivamat(8 лет 6 месяцев)

Власти накосорезили

Ага, ага расскажите нам ещё про невидимую руку рынка.

Аватар пользователя VRG
VRG(9 лет 9 месяцев)

Ну, да! Трамп еще не приступил к власти - и уже накосорезил.

Аватар пользователя ivamat
ivamat(8 лет 6 месяцев)

Другой вопрос, что я убежден, что политика блокирования Интернета - сомнительная ..

Вы смотрите не в ту сторону. Нарастает противостояние Китая сами знаете с кем. Это на поверхности тишь да гладь. Там и зачистки скоро будут. Китайцы все правильно делают.

Аватар пользователя VRG
VRG(9 лет 9 месяцев)

фронт (Великий Фаервол) должен проходит в головах, а головы нужно учить уму-разуму.

Изоляция же приводит к образованию популяции голов, в которых может легко завестись любая крамола, если только проникнет через Фаервол

Вот раздолье-то! Фаервол в головах. А вам фаервол мешает допустить, что у человека может завестись крамола своя мысль и без дыры в фаерволе?!

Да, не любит коммунизм, в психушку его! Да разве это нормально? Хочет вкалывать на капиталистов.

Аватар пользователя Boba
Boba(10 лет 7 месяцев)

Не. Russia Today это для западного зрителя, для отмывания его промытых мозговwink. Для нас же самое эффективное, это альбацы, гозманы, латынины и прочая шелупонь. Русские по духу (не люблю иноземное - ментальность) остро реагируют на ложь. Это члены аппарата КПСС, считающие себя коммунистами, обленились извилинами шевелить, теми, что в мозгу, вестимо. И не хотели устраивать диспуты. А сейчас, даже скрытый русофоб Соловьёв, "льёт воду на мельницу" антизападной пропаганды, настолько явная хуцпа ахеджачит от либерастов.

Страницы