• Добро пожаловать на сайт - wlux.net!

    FAQ по форуму

    1. Все сообщения до группы местный проходят модерацию от 1 минуты до 24 часа

    2. Сообщения учитываються в следующих разделах: Читать

    3.Что-бы скачать вложение нужно 2 сообщения.

    4.Личные переписки работают только с Администрацией форума

    5. Запрещено: Просить скрытый текст , спам, реклама, скам, ддос, кардинг и другая чернуха, нарушать любые законы РФ/СНГ = бан аккаунта

    6. Внимание! Мы не удаляем аккаунты с форума! Будьте внимательны ДО регистрации! Как удалить аккаунт на форуме?!

    5.Не понимаю, как и что тут работает у вас?!Как создавать темы, писать сообщения, как получать реакции. Почему не засчитывает сообщения. Все ответы здесь

This is a mobile optimized page that loads fast, if you want to load the real page, click this text.

Гайд Неприступный VPS. Строим защищенный канал с внешним миром

Оффлайн

wlux.net

Где волчьи уши, там волчьи зубы.
Команда форума
LV
7
 
20.06.2022
23 900
218
36
Награды
10
Пол
Муж.

Репутация:

  • Автор темы
  • Администратор
  • Модератор
  • Команда форума
  • #1


Содержание статьи
  • VPS
  • Доменное имя
  • Cloudflare
  • Настройка VPS
В нашем полном опасностей, чрезвычайно жестоком мире нужно уметь защищать свою жизнь, имущество, трафик и драгоценные фоточки с котиками. В этой статье я расскажу, как настроить защищенный канал связи с внешним миром, который будет сложно отличить от обычного HTTPS-трафика и, следовательно, заблокировать или расшифровать. Колдунствовать мы будем с помощью прокси

Пожалуйста, войдите или зерегистрируйтесь, чтобы увидеть скрытый текст.

с плагином

Пожалуйста, войдите или зерегистрируйтесь, чтобы увидеть скрытый текст.

. Все ПО на находится в актуальном состоянии и постоянно обновляется.

WARNING
Информация предоставлена исключительно для ознакомительных и академических целей. Автор просит соблюдать законодательство той страны, на территории которой ты находишься!

Кто может интересоваться твоими сетевыми соединениями? Да кто угодно! От хакерских группировок до злобных админов, которые любят шейпить разные типы трафика (например, наши любимые торренты). Да и просто иногда требуется сменить IP (например, чтобы посмотреть зарубежную новинку в онлайн‑кинотеатре).

Итак, перед настройкой софта нам придется заняться необходимыми подготовительными работами:

  • купить VPS;
  • купить доменное имя;
  • зарегистрироваться на Cloudflare и выполнить необходимую настройку.
Разберем по порядку.

VPS
Чтобы свести риски к минимуму, необходимо выбирать хостера VPS достаточно дотошно — обращай внимание на то, в каком государстве зарегистрировано юридическое лицо, в каких странах физически расположены серверы. Предпочтение следует отдавать тем, где законодательство строго относится к личной информации (например, Швейцария или Исландия). Это касается как места регистрации юридического лица, так и физического нахождения серверов.

Кроме того, не следует забывать про «альянс 14 глаз» (Австралия, Бельгия, Великобритания, Германия, Дания, Испания, Италия, Канада, Нидерланды, Новая Зеландия, Норвегия, США, Франция, Швеция) — это страны, которые свободно обмениваются разведданными друг с другом (законодательство у них соответствующее). Если твои данные попали в руки одной страны из этого списка, можно считать, что остальные тоже их получили.

Кроме того, есть страны, которые так или иначе сотрудничают с альянсом: Южная Корея, Япония, Израиль, Сингапур. Это на уровне слухов, но, как известно, дыма без огня не бывает. Можно много говорить о том, что конкретно ты им не нужен, что у них и без тебя забот полно, — тут каждый решает для себя, что ему важнее. Например, автор эти страны сразу вычеркнул из списка кандидатов. Итак, VPS купили, идем дальше.

ДОМЕННОЕ ИМЯ
Здесь нет никаких особых требований, хочу только отметить, что часто хостинги VPS заодно торгуют и доменными именами. На мой взгляд, более секьюрно использовать возможности того же хостинга VPS, чем обращаться в другую компанию и там по второму кругу светить свои данные. В этой статье мы будем использовать некий абстрактный домен

Пожалуйста, войдите или зерегистрируйтесь, чтобы увидеть скрытый текст.

. Идем дальше.

INFO
Почему не следует использовать ESNI/ECH? Все очень просто: если некоторые сетевые фильтры не могут определить сайт назначения, то они просто блокируют соединение.

CLOUDFLARE
Cloudflare в нашей цепочке играет роль защитного механизма: мы скрываем настоящий IP нашего VPS и защищаем его от некоторых видов атак. Трафик от нашего компа будет идти сначала в сеть Cloudflare и только из нее — к нашему VPS. Кроме того, Cloudflare сгенерирует сертификат для TLS-соединения, и весь трафик на всем пути следования будет завернут в TLS 1.3.

Для начала нам нужно пройти регистрацию и привязать к сервису купленный домен. Далее на вкладке DNS нужно заполнить строки А (две штуки), в которые мы вводим наш домен (в одну строку с приставкой www, в другую без нее) и IP нашего VPS.


Заполнение записей А
После этого необходимо ввести показанные нам серверы имен Cloudflare в панель управления нашего доменного регистратора на вкладке DNS.


Серверы имен Cloudflare
Далее на вкладке SSL/TLS:

  • выбираем шифрование Full (strict);
  • включаем Always Use HTTPS;
  • включаем TLS 1.3;
  • устанавливаем Minimum TLS Version на 1.3;
  • включаем Opportunistic Encryption;
  • включаем Automatic HTTPS Rewrites.


Включаем шифрование соединения на полную!
Уф‑ф, немного укрепили TLS, можно двигаться дальше. Теперь идем в Client Certificates на той же вкладке и жмем кнопку Create Certificate для генерации сертификата и ключа (условимся, что файлы будут называться secret-site.pem и secret-site.key).

Теперь идем на VPS и приступаем к настройке.

НАСТРОЙКА VPS
Итак, в некоторой степени утомительная подготовительная процедура окончена, давай теперь настраивать сам VPS. Все настройки будут делаться на Debian 11 x64.

Сначала обновим пакеты и установим вспомогательные утилиты:

apt update && apt upgrade -y

apt install -y dnsutils nethogs vnstat sendmail fail2ban nano wget unzip htop psmisc nginx


Теперь разберемся с сертификатами и ключами от Cloudflare — их мы положим на наш VPS в папку /etc/ssl/ и выдадим ей права только на чтение.

Далее надо сгенерировать параметр Диффи — Хеллмана:

openssl dhparam -out /etc/ssl/dh-param.pem 4096


Положим его в ту же папку /etc/ssl/.

Теперь приступим к настройкам Nginx в файле /etc/nginx/nginx.conf — в его стандартную структуру достаточно добавить наш сертификат, ключ, DH и некоторые служебные настройки:



В location / я вписал index.html — это просто сайт‑заглушка, который будет болтаться на нашем серваке для того, чтобы противостоять активному зондированию. Проще говоря, если какой‑то зонд будет сканировать сервер в поисках Shadowsocks или чего‑то еще, он просто увидит нашу заглушку. Тогда он подумает, что это обычный сайт, оставит нас в покое и уйдет пить пиво.

Локация location /secretline — это и есть наш Shadowsocks. Вместо строки secretline нужно придумать что‑то более оригинальное и трудноподбираемое, эта строка будет передаваться в качестве параметра на клиенте к плагину xray.

Далее скачиваем и устанавливаем Shadowsocks и xray-plugin:



Создаем папку shadowsocks и копируем в нее нужные файлы:

mv ssserver /bin

mv xray-plugin /etc/shadowsocks/xray-plugin


Настраиваем разрешения:

setcap 'cap_net_bind_service=+eip' /etc/shadowsocks/xray-plugin

setcap 'cap_net_bind_service=+eip' /bin/ssserver


Теперь создадим файл конфигурации сервера Shadowsocks:
touch /etc/shadowsocks/shadowsocks-rust.json

nano /etc/shadowsocks/shadowsocks-rust.json


И запишем туда такой текст:



Давай пройдемся по основным пунктам:

  • "server_port" — порт, на котором будет висеть сервер shadowsocks;
  • "workers" — количество ядер на сервере;
  • "ipv6_first" — поддержка протокола IPv6;
  • "nameserver" — IP DNS-сервера, если есть локальный, то

    Пожалуйста, войдите или зерегистрируйтесь, чтобы увидеть скрытый текст.

  • "plugin" и "plugin_opts" используются для плагина xray;
  • "reuse_port" — оптимизация для более быстрого использования сети;
  • "method" — используемое шифрование;
  • "password" — пароль для подключению к серверу.
Теперь создадим сервис ss-xray.service:

nano /etc/systemd/system/ss-xray.service

Записываем туда следующий текст:



Сохраняемся и выходим: Ctrl + O, Ctrl + X. Включаем сервис:

sysctl -p && systemctl enable ss-xray.service


С основной настройкой мы закончили, теперь можно немного оптимизировать сетевой стек. В файл
дописываем следующее:



Опять сохраняемся и перезагружаем сервер. Теперь все должно работать.

Что в итоге у нас получилось? Запрос от нашего компа уходит в CDN Cloudflare, а возвращается от нашего VPS. Для внешнего наблюдателя создается впечатление, будто комп общается по TLS с каким‑то сайтом, но что передает — узнать не получится, ибо шифрование. Другими словами, наблюдается обычная сетевая активность, чего мы и хотели добиться.

В качестве клиентов к серваку можно смело юзать:

Как еще можно укрепить наш VPS? Например, так:

  • сменить порт SSH для того, чтобы автоматические сканеры не ломились на стандартный порт;
  • настроить Fail2ban, чтобы ограничить количество попыток ввести неправильный пароль для входа на сервер;
  • вместо прямого обращения к DNS-серверу можно настроить локальный сервер, который связывается с внешним миром при помощи DoH или DoT, чтобы даже хостер VPS не знал, какие DNS-запросы ты шлешь;
  • настроить учет трафика, чтобы не получить внезапный счет от хостера (если трафик у него лимитирован).
Одним словом, включай фантазию и обустраивай свой неприступный VPS!
 

Поиск по форуму

Данный сайт использует cookie. Вы должны принять их для продолжения использования. Узнать больше....