L-iskjerament tat-Telegramma MTProxy tiegħek bi statistika

"Wirt din il-mess,
nibda biż-Zello bla mistħija; LinkedIn
u jispiċċa b'"kulħadd ieħor" fuq il-pjattaforma Telegram
fid-dinja tiegħi.

U mbagħad is-sulluzzu,
L-uffiċjal żied bil-għaġla u b'leħen għoli:
imma se npoġġi l-affarijiet fl-ordni (hawn fl-IT)"
(...).

Durov, ġustament jemmen li huma stati awtoritarji li għandhom jibżgħu minnu, cypherpunk, u Roskomnadzor u tarki tad-deheb bil-filtri DPI tagħhom ma tantx jolqtuh.
(Teknika politika)

Il-politika teknika tiegħi hija aktar sempliċi, nista' niddeskrivi hawn il-ħsibijiet tiegħi dwar l-imblukkar traskurat f'Runet, iżda nemmen li ċ-ċittadini progressivi ta 'l-utenti Modern Russian u Habr ħassew in-nuqqas ta' professjonalità tal-gvern attwali fil-ġilda tagħhom stess, għalhekk se nillimita ruħi għal frażi waħda: il-politika teknika tagħna hija "Reżistenza Diġitali". "li tipprovdi lill-qraba u lill-ħbieb b'kanal ta 'komunikazzjoni stabbli."

L-iskjerament tat-Telegramma prokura MTProto

• Il-livell tekniku ta 'kumplessità huwa "faċli", jekk, pereżempju, issegwi din il-cheat sheet.
• Il-livell ta 'affidabbiltà huwa "fuq il-medja": l-immaġni tad-docker taħdem b'mod stabbli, m'għandhiex għalfejn terġa' tinbeda kuljum, kif kitbu l-iżviluppaturi fid-dokumentazzjoni uffiċjali tat-Telegram tagħhom, iżda l-kontenitur probabbilment fih xi vulnerabbiltajiet.
• Il-livell ta 'reżistenza / ansjetà - 10 membri tal-ISIS nisġu l-konspirazzjonijiet tagħhom "qraba jużaw", il-projbizzjoni ma ġietx mill-RKN lanqas darba l-ħin kollu (mill-rebbiegħa).
• Il-livell ta 'fiduċja huwa "strust baby public", problema min-naħa tal-klijent (xi ħbieb huma suspettużi ta' MtprotoProxy tiegħi).
• Livelli ta 'testosterone - "ma żdiedx."
• Spejjeż finanzjarji - "0₽".
• Premju finanzjarju - "ma jiddependix fuq iċ-ċittadin Durov." Promozzjoni - il-ħila li timponi r-reklamar.

Aħna se ngħollu TelegramProxy tagħna fuq il-kapaċitajiet "b'xejn / personali" ta 'Amazon-ec2: t2.micro. jien kont dan karozza.

Okay, skjerat is-server b'xejn tiegħek, mur fil-websajt uffiċjali dockerhub u niżżel il-kontenitur docker.

M'hemmx għalfejn tfittex xi immaġni, fajl jew buttuna maġika - "m'humiex hemm", il-maġija kollha ssir fis-CLI:

$ docker pull telegrammessenger/proxy #образ скачан.

Imma qabel "dak", installa docker għal CLI:

sudo apt-get install docker.io docker

Barra minn hekk, fid-dokumentazzjoni uffiċjali ta 'MtprotoProxyTelegram, aħna offruti li nagħmlu xi ħaġa bħal din li ġejja, nagħmlu:

$ sudo su && docker run -d -p443:443 --name=mtproto-proxy --restart=always -v proxy-config:/data telegrammessenger/proxy:latest #запускаем наш контейнер «mtproto-proxy».

Wara dan il-kmand, se tidher string HEX fl-output tat-terminal, iżda m'aħniex interessati fiha.

Aħna niktbu f'CLI:

$ docker logs mtproto-proxy

U nġibu d-dejta meħtieġa:

Fl-output ta’ dan il-ġurnal, aħna murija (imżejjen):

A) server ip tagħna (ip server estern);
B) u sigriet każwali - string każwali f'HEX.

Qabel ma tirreġistra l-MtproProxy tagħna, għandek bżonn tikkonfigura l-firewall prinċipali fuq iptables (irrispettivament minn kif terġa 'tidderieġi t-traffiku lejn dan il-VPC, ikun imqareb, peress li l-firewall prinċipali f'Amazon-EC2 jinsab fl-interface tal-web u għandu prijorità ogħla fuq iptables).

Immorru "console Amazon-EC2" fil-Grupp tas-Sigurtà u tiftaħ il-port deħlin 443 (masking loġiku traffiku għal ewwel darba).

Nieħdu d-dejta "ip u sigrieta" tagħna mir-reġistru u mmorru għand il-messaġġier tat-Telegram, insibu l-MTProxy Admin Bot uffiċjali (@MTProxybot) u nirreġistraw l-MtproProxy tagħna: ħaddem il-kmand [/newproxy] u daħħal [our_ip:443], u imbagħad tagħna [sigriet / HEX].

Jekk tħawwad meta ddaħħal id-dejta, il-bot jirrabja u jibgħatlek lil...

Jekk timla żewġ linji mingħajr żbalji, tirċievi approvazzjoni u link ta' ħidma għall-MtprotoProxyTelegram attwali tiegħek, li tista' taqsam ma' kulħadd.

Ukoll, permezz ta 'dan il-bot, tista' żżid il-kanal ta 'sponsorizzazzjoni tiegħek (iżda mhux chat), fejn se timponi l-fehmiet tiegħek fuq utenti li jkunu konnessi mas-server tiegħek, jew ma tistax "tispam" u ma tfixkilx lill-klijenti potenzjali tiegħek mingħajr juri l-kanal fil-lista tal-messaġġiera ippinjat.

Ftit kliem ieħor dwar il-bot, fejn tista 'titlob statistika, iżda "wkoll donut". Apparentement, "statistika" hija disponibbli meta jkollok "folla ta 'freeloaders" warajk Makhachkala.

Monitoraġġ

Kemm utenti nistgħu nikkonnettjaw mas-server tagħna? U xorta waħda, min / x'hemm? Xiex? U kemm?

Aħna nħarsu lejn dak li hemm skond id-dokumentazzjoni uffiċjali ... Iva, hawn, agħmel hekk:

$ curl http://localhost:2398/stats или вот так $ docker exec mtproto-proxy curl http://localhost:2398/stats # и нам выдадут статистику прямо в CLI.

"Żomm il-but usa'" Skont il-kmandi proposti, dejjem se nirċievu żball simili:

«curl: (7) Naqas milli jikkonnettja mal-port localhost 2398: Konnessjoni rrifjutata»

Il-prokura tagħna se taħdem. Imma! Bagel, mhux statistika li nġibu.

Tista 'tagħmel affarijiet għall-għajnejn ħomor: iċċekkja

$ netstat -an | grep 2398 и...

Għall-ewwel ħsibt li dan kien jamb ieħor wara l-iżviluppaturi tat-Telegram (u għadni naħseb hekk), imbagħad sibt soluzzjoni tajba temporanja: illustra l-Kontenitur Docker b'fajl.

Iktar tard, infa qabditli l-għajn:

dwar l-istat żfin ta 'Roskomnadzor madwar "statistika".

“Aħna bblokkajna xi wħud mill-prokuri pubbliċi fuq is-servers tagħna bl-użu tad-databases tal-proġett firehol. Dan il-proġett jimmonitorja listi bi prokuri pubbliċi u jagħmel databases magħhom.

Minn dak il-mument (jiġifieri, kważi jumejn diġà), l-ebda indirizz IP wieħed tal-prokura Russu tagħna ma ġie mblukkat.

3. Aħna ngħidulek kif tagħmel prokura li hija kważi invulnerabbli għal Roskomnadzor u taqsam script għall-imblukkar ta 'prokuraturi pubbliċi.

- Aġġorna l-kontenitur MTProto proxy docker (jew daemon) għall-aħħar verżjoni: RKN jikkalkula verżjonijiet qodma mill-port ta 'l-istatistika, li kien marbut ma' 0.0.0.0 u identifika ruħu unikament għall-Internet kollu. Aħjar, iftaħ il-portijiet meħtieġa billi tuża iptables, u agħlaq il-bqija (ftakar li fil-każ ta 'kontenitur docker, għandek tuża r-regola FORWARD).

— Roskomnadzor tgħallmu kif iwarrbu t-traffiku twil ilu: jaraw it-talbiet ġewwa l-prokuri HTTP u SOCKS5, u jaraw ukoll il-verżjoni l-antika tal-obfuscation tal-prokura MTProto.

Meta klijenti ta' xi fornituri li għandhom tali miżbliet installati jaċċessaw Telegram permezz ta' tali prokuri, l-RKN jara tali talbiet u immedjatament jimblokka dawn il-prokuri. L-istess jgħodd għall-prokura MTProto b'obfuscation antik.

Soluzzjoni: iddistribwixxi sigriet biss b'dd fil-bidu lill-klijenti li jgħaqqdu mal-prokura (l-ebda ħtieġa li tispeċifika ittri addizzjonali dd fis-settings tal-prokura mtproto innifsu). Dan se jippermetti verżjoni ta 'obfuscation li dumppiles ma jistgħux jiskopru.

U l-ebda prokuri HTTP jew SOCKS5.

- Aġġustament, li bl-għajnuna tiegħu kull sid ta 'prokura tat-telegramma, li huwa pprojbit regolarment mill-RKN, jista' kompletament (jew kważi kompletament) jieqaf jimblokka (u fl-istess ħin jiżgura li l-RKN qed jigdeb).

Skript li jipprojbixxi prokuri pubbliċi u manwal żgħir għalih.

→ Sors

Il-prokura tagħna hija favur il-Punent, ma ltqajt ma' l-ebda problema/imblukkar matul ir-rebbiegħa u l-ġranet friski tas-sajf, lanqas ma ġibdet xogħol kreattiv, għalhekk ma tliftx il-pass u ma żidtx il-prefiss dd* ma' iċ-ċavetta.

Il-manwal "jkollna statistika/monitoraġġ" skont l-istruzzjonijiet uffiċjali ta 'MtprotoProxyTelegram mhux qed jaħdem / skadut, ser ikollok isewwi l-immaġni docker.

Aħna nirranġawha.

Il-kontenitur għadu għaddej:

$ docker stop mtproto-proxy #останавливаем наш запущенный docker-контейнер и запускаем новый образ с пропущенным флагом статистики

$ docker run --net=host --name=mtproto-proxy2 -d -p443:443 -v proxy-config:/data -e SECRET=ваш_предыдущий_секрет_hex telegrammessenger/proxy:latest

Ejja niċċekkjaw l-istatistika:

$ curl http://localhost:2398/stats

curl: (7) Naqas milli jikkonnettja mal-port 0.0.0.0 2398: Konnessjoni miċħuda
L-istatistika għadha mhux disponibbli.!...

Sib l-ID tal-kontenitur docker:

$ docker ps

KMAND TAL-IMMAĠNI TAL-ID TAL-CONTAINER MAĦLUQA STATUS ISMIJIET TAL-PORTIJIET
f423c209cfdc telegrammessenger/proxy:latest "/bin/sh -c '/bin/ba..." Madwar siegħa ilu Fuq Madwar minuta 0.0.0.0:443->443/tcp mtproto-proxy2

Immorru biċ-charter tagħna ġewwa l-kontenitur docker:

$ sudo docker exec -it f423c209cfdc /bin/bash

$ apt-get update
$ apt-get install nano
$ nano -$ run.sh

U fl-aħħar linja tal-iskript "run.sh", żid il-bandiera nieqsa:

«--http-stats»
"exec /usr/local/bin/mtproto-proxy -p 2398 -H 443 -M "$WORKERS" -C 60000 --aes-pwd /etc/telegram/hello-explorers-how-are-you-doing -u root $CONFIG --allow-skip-d h --nat-info "$INTERNAL_IP:$IP" $SECRET_CMD $TAG_CMD"

Żid "--http-stats", xi ħaġa bħal din għandha taħdem:

«exec /usr/local/bin/mtproto-proxy -p 2398 --http-stats -H 443 -M "$WORKERS" -C 60000 --aes-pwd /etc/telegram/hello-explorers-how-are-you-doing -u root $CONFIG --allow-skip-d h --nat-info "$INTERNAL_IP:$IP" $SECRET_CMD $TAG_CMD»

Ctrl+o/Ctrl+x/Ctrl+d (issejvja/ħruġ nano/ħruġ mill-kontenitur).

Ibda mill-ġdid il-kontenitur docker tagħna:

$ docker restart mtproto-proxy2

Kollox, issa fuq kmand:

$ curl http://localhost:2398/stats #получаем объемную статистику

Hemm ħafna "żibel" fl-istatistika (1/3 minnu jinsab fuq l-iskrin), oħloq alias:

$ echo "alias telega='curl localhost:2398/stats | grep -e total_special -e load_average_total'" >> .bashrc && bash

Aħna nġibu għalxiex kien illustrat il-kontenitur tad-docker: in-numru ta 'konnessjonijiet u t-tagħbija:

$ telega

Il-kontenitur Docker qed jaħdem, l-istatistika qed iddur.

Riżorsi minfuqa

Kemm int frisk Stuart Redman, anki int tħalli marka fuq il-qliezet ta’ taħt. Immaġini Docker li qed taħdem tħalli footprint kbir.

Ma jagħmilx sens li tiddeskrivi l-vantaġġi u l-iżvantaġġi tal-immaġini docker, kontenitur docker huwa magna mini-virtwali li tikkonsma inqas riżorsi minn magna virtwali "reali", bħal VirtualBox, iżda tagħmel.

1) Imniedi bi jew mingħajr statistika docker-immaġni, żewġ klijenti frolic jew għaxar - riżorsi huma utilizzati ~ bl-istess mod: 75% tal-prestazzjoni sħiħa tas-CPU t2.micro.

2) Aħna nħarsu lejn il-monitoraġġ tas-server VPC:

Mill-graff tal-użu tar-riżorsi fuq il-VPC, naraw li l-kontenitur docker jikkonsma kontinwament ~ 7,5% tal-mass totali. Prestazzjoni tas-CPU u fit-28 ta' Mejju twaqqaf minni intenzjonalment/temporanjament (Nota - OpenVPN u pptp qed jaħdmu wkoll fuq is-server).

Għaliex huwa 10% użu kostanti tas-CPU il-limitu għal dan is-server?

Minħabba li hemm restrizzjonijiet minn Amazon EC2 u huma kkalkulati fi krediti:

1 kreditu ta 'CPU = 1 CPU li jaħdem b'tagħbija ta' 100% għal minuta, u għandna 6 krediti (jiġifieri, fil-qċaċet, l-utilizzazzjoni tas-CPU ta '100% hija possibbli fi żmien 6 minuti, u mbagħad il-qawwa tas-CPU tonqos). Kombinazzjonijiet oħra: pereżempju, kreditu CPU 1 = CPU 1 jaħdem b'tagħbija ta' 50% għal żewġ minuti (jiġifieri nistgħu nużaw is-CPU b'tagħbija ta' 50% għal 12-il minuta), jew, pereżempju, tagħbija kostanti ta' 10% - th CPU matul il-ħin kollu, eċċ.

Sejbiet

• Aħna parti mir-"Reżistenza Diġitali". Ipprovdew "missirijiet u ommijiet" tagħhom b'kanal ta 'komunikazzjoni affidabbli.
• Jekk għandek MtprotoProxyTelegram u OpenVPN skjerati fuq is-server, iżda mhux aktar, mhux se jkun hemm dewmien / pings / fallimenti, imma jekk qed tesperimenta kontinwament bit-t2 / mikro tiegħek, imbagħad stenna għall-brejkijiet tal-komunikazzjoni.
• Il-ping barrani tiegħi huwa ~ 100-250ms, m'hemm l-ebda dewmien fil-komunikazzjoni bil-vuċi.
• Spejjeż finanzjarji għal "dan" kollu (inklużi r-riżorsi VPC) = 0₽.

Stampa mill-ġdid tal-artiklu tiegħek.

UPD: Grazzi għal xi habrausers għal kummenti utli, tabilħaqq, huwa possibbli (l-istatistika hija appoġġjata?), Hemm analogi aħjar tal-immaġni uffiċjali tad-docker tat-Telegram proxy Mtproto.

Sors: www.habr.com