(no subject)
Кстати аз кажется разобрался, почему у меня неожиданно самовосстановился сетевой доступ к забаненному в Беларуси ЖЖ: его блокировка на сетевом оборудовании, установленном у провайдера, видимо была сделана "на скорую руку", без жесткого бана IP-адресов*, поэтому простое включение в браузере поддержки протокола DNS over HTTPS (DoH) решило эту проблему.
Дело в том, что сам веб-сервис ЖЖ походу нынче поддерживает все фичи протокола TLS v1.3**, а используемый мною браузер Firefox (как и все современные) также по умолчанию пытается по максимуму использовать все расширения этого протокола, включая криптование передаваемого серверу в процессе т.н. "рукопожатия" списка имен хостов (т.н. Encrypted Client Hello - ECH), поэтому единственный вариант успешной блокировки для системы контроля и управления трафиком это анализ нешифрованных клиентских DNS-запросов по UDP и дропанье/перенаправление последующих попыток установки TCP-сессий к выловленным в запросах резольвера IP-адресам хостов. Включение же DoH в браузере приводит к тому, что разрешение имен начинает происходить внутри шифрованной HTTPS-трубы, поэтому системе становится нечего анализировать, она видит лишь установку защищенного подключения между двумя "безымянными" хостами.
Так что если кому-то из братьев и сестер белорусов надоело маятся со всякими VPN-ами, просто включите в настройках своего браузера функцию DNS over HTTPS.
Обновление от 22 ноября: почитал как работает настройка DoH в деталях, оказывается все не совсем так - до тех пор, пока в настройках браузера не включен DoH, фича ECH протокола TLS вообще не активируется, поэтому оборудование провайдера прекрасно читает незашифрованное содержимое "рукопожатия" между клиентом и сервером и успешно блокирует/перенаправляет соединение, сами же по себе незашифрованные DNS-запросы, переданные стандартным способом по UDP port 53 не причем.
--
* Сейчас во время всеобщего cloud-изеца это не самая лучшая идея, поскольку легко можно навредить самому себе, как когда-то в России Роскомнадзор "успешно" забанил хосты, на которых были размещены точки публикации списков отозванных сертификатов одного из крупных мировых удостоверяющих центров, из-за чего российские клиенты не могли проверить валидность сертов на множестве внутренних сайтов;
** предполагаю, что дело именно в этом, однако "инструментально" не проверял, поскольку было лень возится с Wireshark-ом, вспоминая синтаксис его фильтров, а по-быстрому не вышло - встроенный в Файрфокс дебаггер (вызываемый клавишей F12) не показывает в деталях весь процесс "рукопожатия".
Дело в том, что сам веб-сервис ЖЖ походу нынче поддерживает все фичи протокола TLS v1.3**, а используемый мною браузер Firefox (как и все современные) также по умолчанию пытается по максимуму использовать все расширения этого протокола, включая криптование передаваемого серверу в процессе т.н. "рукопожатия" списка имен хостов (т.н. Encrypted Client Hello - ECH), поэтому единственный вариант успешной блокировки для системы контроля и управления трафиком это анализ нешифрованных клиентских DNS-запросов по UDP и дропанье/перенаправление последующих попыток установки TCP-сессий к выловленным в запросах резольвера IP-адресам хостов. Включение же DoH в браузере приводит к тому, что разрешение имен начинает происходить внутри шифрованной HTTPS-трубы, поэтому системе становится нечего анализировать, она видит лишь установку защищенного подключения между двумя "безымянными" хостами.
Так что если кому-то из братьев и сестер белорусов надоело маятся со всякими VPN-ами, просто включите в настройках своего браузера функцию DNS over HTTPS.
Обновление от 22 ноября: почитал как работает настройка DoH в деталях, оказывается все не совсем так - до тех пор, пока в настройках браузера не включен DoH, фича ECH протокола TLS вообще не активируется, поэтому оборудование провайдера прекрасно читает незашифрованное содержимое "рукопожатия" между клиентом и сервером и успешно блокирует/перенаправляет соединение, сами же по себе незашифрованные DNS-запросы, переданные стандартным способом по UDP port 53 не причем.
--
* Сейчас во время всеобщего cloud-изеца это не самая лучшая идея, поскольку легко можно навредить самому себе, как когда-то в России Роскомнадзор "успешно" забанил хосты, на которых были размещены точки публикации списков отозванных сертификатов одного из крупных мировых удостоверяющих центров, из-за чего российские клиенты не могли проверить валидность сертов на множестве внутренних сайтов;
** предполагаю, что дело именно в этом, однако "инструментально" не проверял, поскольку было лень возится с Wireshark-ом, вспоминая синтаксис его фильтров, а по-быстрому не вышло - встроенный в Файрфокс дебаггер (вызываемый клавишей F12) не показывает в деталях весь процесс "рукопожатия".