„Наследио сам овај неред,
почевши од бестидног Зела; ЛинкедИн
и завршава се са „сви остали“ на платформи Телеграм
у мом свету.А онда, штуцајући,
чиновник је брзо и гласно додао:
али ћу ствари (овде у ИТ) довести у ред“.
(...).
Дуров с правом верује да би га се требале плашити ауторитарне државе, шиферпанк, а Роскомнадзор и златни штитови са својим ДПИ филтерима му баш и не сметају.
(Политичка техника)
Моја техничка политика је једноставнија, овде могу да опишем своја размишљања о непажљивом блокирању у Рунету, али верујем да су прогресивни грађани модерног руског и корисника Хабра из прве руке осетили непрофесионализам актуелне власти, па ћу се ограничити на једна фраза: наша техничка политика је „Дигитална отпорност“. „пружање породице и пријатеља стабилног канала комуникације.“
Примена МТПрото проки Телеграм
- Технички ниво тежине „није тежак“ ако, на пример, пратите ову варалицу.
- Ниво поузданости је „изнад просека“: доцкер имиџ ради стабилно, не треба га поново покретати сваки дан, као што су програмери написали у својој званичној Телеграм документацији, али контејнер вероватно садржи неке рањивости.
- Ниво отпора/анксиозности – 10 припадника ИСИС-а плете своје завере „рођаци искоришћавају“, забрана није стигла од РКН ни једном за све ово време (од пролећа).
- Ниво поверења је „неповерење јавности код беба“, проблем је на страни клијента (неки пријатељи сумњају у мој МтпротоПроки).
- Нивои тестостерона „није порастао“.
- Финансијски трошкови - „0₽“.
- Финансијска награда „не зависи од грађанина Дурова“. Промоција је способност наметања реклама.
Изградићемо наш ТелеграмПроки користећи „бесплатне/личне“ капацитете Амазон-ец2: т2.мицро. користио сам ауто.
У реду, поставили смо наш бесплатни сервер, идемо на званичну веб страницу и преузмите Доцкер контејнер.
Нема потребе да тражите неку слику, датотеку или магично дугме - „они не постоје“, сва магија се врши у ЦЛИ:
$ docker pull telegrammessenger/proxy #образ скачан.Али пре "тога", инсталирајте доцкер за ЦЛИ:
sudo apt-get install docker.io dockerДаље, у званичној документацији МтпротоПрокиТелеграма од нас се тражи да урадимо отприлике следеће:
$ sudo su && docker run -d -p443:443 --name=mtproto-proxy --restart=always -v proxy-config:/data telegrammessenger/proxy:latest #запускаем наш контейнер «mtproto-proxy».
Након ове команде, у излазу терминала ће се појавити ХЕКС стринг, али нас то не занима.
Пишемо у ЦЛИ:
$ docker logs mtproto-proxyИ добијамо потребне податке:
У излазу овог дневника приказани смо (затамњени):
А) ИП нашег сервера (ИП екстерног сервера);
Б) и насумична тајна - случајни низ у ХЕКС-у.
Пре него што региструјете наш МтпроПроки, потребно је да конфигуришете главни заштитни зид преко иптаблес-а (без обзира на то како преусмеравате саобраћај на овај ВПЦ, он ће бити непослушан, пошто се најважнији заштитни зид у Амазон-ЕЦ2 налази у веб интерфејсу и има већи приоритет преко иптаблеса).
Идемо у " Амазон-ЕЦ2" у безбедносној групи и отворите улазни порт 443 (логичко маскирање по први пут).
Узимамо наше „ип и тајне“ податке из дневника и идемо на Телеграм мессенгер, проналазимо званичног МТПроки Админ Бота (@МТПрокибот) и региструјемо наш Мтпроки: покрените команду [/невпроки] и унесите [оур_ип:443], и онда наша [тајна /ХЕКС].
Ако забрљате приликом уноса података, бот ће се наљутити и послати вас на...
Ако попуните два реда без грешака, добићете одобрење и радну везу до вашег тренутног МтпротоПрокиТелеграма, који можете да делите са било ким.
Такође, преко овог бота можете да додате свој спонзорски канал (али не и ћаскање), где ћете наметнути своје ставове корисницима који су се повезали на ваш сервер, а можете избећи „спамовање“ и не узнемиравати потенцијалне клијенте неприказивањем канал на закаченој листи месинџера.
Још неколико речи о боту, тамо можете затражити статистику, али „и то је крофна“. Очигледно је „статистика“ доступна када је иза вас „гомила паразита“ у Махачкали.
Праћење
Колико корисника можемо да се повежемо на наш сервер? И уосталом, ко/шта је ту? Шта? И колико?
Да видимо шта има по званичној документацији... Аха, да урадимо овако:
$ curl http://localhost:2398/stats или вот так $ docker exec mtproto-proxy curl http://localhost:2398/stats # и нам выдадут статистику прямо в CLI.„Држите џеп ширим“ Користећи предложене команде, увек ћемо добити сличну грешку:
«цурл: (7) Неуспешно повезивање са портом локалног хоста 2398: Веза је одбијена»
Наш прокси ће радити. Али! Добићемо ђеврек, а не статистику.
Можете учинити ствари за људе са црвеним очима: проверите
$ netstat -an | grep 2398 и...Прво сам помислио да је то још један проблем са програмерима Телеграма (и још увек тако мислим), а онда сам нашао добро привремено решење: полирање Доцкер контејнера датотеком.
Касније ми је за око запао овај податак:
о државним играма Роскомнадзора око „статистике“.
„Блокирали смо неке јавне проксије на нашим серверима користећи базе података фирехол пројекта. Овај пројекат прати листе са јавним проксијима и креира базе података са њима.
Од тог тренутка (то јест, скоро два дана) ниједна ИП адреса нашег руског проксија није била блокирана.
3. Говоримо вам како да направите прокси који је скоро нерањив за Роскомнадзор и делимо скрипту за блокирање јавних проксија.
— Ажурирајте доцкер контејнер (или демон) МТПрото проки на најновију верзију: РКН израчунава старе верзије користећи порт за статистику, који је био везан на 0.0.0.0 и јединствено идентификован за цео Интернет. Још боље, отворите потребне портове користећи иптаблес, а остале затворите (запамтите да у случају доцкер контејнера треба да користите правило ФОРВАРД).
— Роскомнадзор је одавно научио да избацује саобраћај: виде захтеве унутар ХТТП и СОЦКС5 проксија, а такође виде и стару верзију замагљивања проксија МТПрото.
Када клијенти неких провајдера који имају инсталиране такве думпове приступе Телеграму преко таквих проксија, РКН види такве захтеве и одмах блокира те проксије. Исто важи и за МТПрото проки са старим замагљивањем.
Решење: клијентима који се повезују на прокси дајте тајну са само дд на почетку (нема потребе да наводите додатна слова дд у подешавањима самог мтпрото проксија). Ово ће омогућити верзију замагљивања коју думпови не могу да открију.
И без ХТТП или СОЦКС5 проксија.
— Подешавање помоћу које сваки власник проксија Телеграма кога РКН редовно забрањује може у потпуности (или скоро потпуно) да заустави блокирање (и да се у исто време увери да РКН лаже).
Скрипта која забрањује јавне проксије и мали приручник за то.”
→
Наш проки је прозападно оријентисан, нисам наишао на проблеме/блокирања током пролећних и прохладних летњих дана, није дао ни на креативан проблем, тако да се нисам бавио губитком темпа и т кључу додајте префикс дд*.
Приручник за „прибављање статистике/надгледање“ према званичним упутствима МтпротоПрокиТелеграма не ради/застарео, мораћете да поправите доцкер слику.
Ми то поправљамо.
Још увек имамо покренут контејнер:
$ docker stop mtproto-proxy #останавливаем наш запущенный docker-контейнер и запускаем новый образ с пропущенным флагом статистики
$ docker run --net=host --name=mtproto-proxy2 -d -p443:443 -v proxy-config:/data -e SECRET=ваш_предыдущий_секрет_hex telegrammessenger/proxy:latest
Хајде да проверимо статистику:
$ curl http://localhost:2398/stats
цурл: (7) Неуспешно повезивање са 0.0.0.0 портом 2398: Веза је одбијена
Статистика је још увек недоступна!..
Сазнајте ИД доцкер контејнера:
$ docker ps
КОМАНДА СЛИКЕ ИД КОНТЕЈНЕРА КРЕИРАНА СТАТУС ИМЕНА ПОРТОВА
ф423ц209цфдц телеграммессенгер/проки:латест "/бин/сх -ц '/бин/ба..." Пре око сат времена Горе Отприлике минут 0.0.0.0:443->443/тцп мтпрото-проки2
Идемо са нашом повељом унутар доцкер контејнера:
$ sudo docker exec -it f423c209cfdc /bin/bash
$ apt-get update
$ apt-get install nano
$ nano -$ run.sh
И у последњем реду скрипте „рун.сх“ додајемо заставицу која недостаје:
«--хттп-статс»
"екец /уср/лоцал/бин/мтпрото-проки -п 2398 -Х 443 -М "$ВОРКЕРС" -Ц 60000 —аес-пвд /етц/телеграм/хелло-екплорерс-хов-аре-иоу-доинг -у роот $ЦОНФИГ --аллов-скип-д х --нат-инфо "$ИНТЕРНАЛ_ИП:$ИП" $СЕЦРЕТ_ЦМД $ТАГ_ЦМД"
Додајте „—хттп-статс“, нешто попут овога би требало да изгледа овако:
«exec /usr/local/bin/mtproto-proxy -p 2398 --http-stats -H 443 -M "$WORKERS" -C 60000 --aes-pwd /etc/telegram/hello-explorers-how-are-you-doing -u root $CONFIG --allow-skip-d h --nat-info "$INTERNAL_IP:$IP" $SECRET_CMD $TAG_CMD»
Цтрл+о/Цтрл+к/Цтрл+д (сачувај/ изађи из нано/излаз из контејнера).
Поново покрећемо наш доцкер контејнер:
$ docker restart mtproto-proxy2То је то, сада по команди:
$ curl http://localhost:2398/stats #получаем объемную статистику
У статистици има пуно „смећа“ (1/3 тога је на снимку екрана), направите псеудоним:
$ echo "alias telega='curl localhost:2398/stats | grep -e total_special -e load_average_total'" >> .bashrc && bashДобијамо оно за шта смо исполирали доцкер контејнер: број прикључака и оптерећење:
$ telega
Доцкер контејнер ради, статистика се врти.
Потрошени ресурси
Без обзира колико сте кул Стјуарт Редман, чак и ви остављате траг го.на на својим гаћама. Покренута Доцкер слика оставља значајан траг.
Нема смисла описивати предности и недостатке доцкер слика; Доцкер контејнер је мини виртуелна машина која троши мање ресурса од „праве“ виртуелне машине, на пример ВиртуалБок, али јесте.
1) Доцкер слика се покреће са или без статистике, два клијента се брчкају или десет - ресурси се користе ~једнако: 75% укупних перформанси ЦПУ-а т2.мицро.
2) Погледајмо надгледање ВПЦ сервера:
Из графикона коришћења ресурса на ВПЦ-у видимо да доцкер контејнер константно троши ~7,5% од укупног мак. ЦПУ перформансе и ја сам га намерно/привремено зауставио 28. маја (Напомена - сервер такође покреће ОпенВПН & пптп).
Зашто је 10% константног оптерећења процесора ограничење за овај сервер?
Зато што постоје ограничења од стране Амазон ЕЦ2 и она се рачунају у кредитима:
1 кредит ЦПУ = 1 ЦПУ који ради са 100% оптерећењем током једног минута, а имамо 6 кредита (то јест, у врхунцу, 100% ЦПУ искоришћеност је могућа у року од 6 минута, а затим ће се снага ЦПУ-а смањити). Друге комбинације: на пример, 1 ЦПУ кредит = 1 ЦПУ који ради са 50% оптерећења током два минута (то јест, можемо користити ЦПУ са 50% оптерећења током 12 минута), или, на пример, константно 10% ЦПУ оптерећење за све време итд.
Налази
- Ми смо део Дигиталног отпора. Омогућили смо нашим „мамама и татама“ поуздан канал комуникације.
- Ако имате МтпротоПрокиТелеграм и ОпенВПН распоређене на вашем серверу, али ништа више, неће бити кашњења/пингова/кварова, али ако стално експериментишете са својим т2/микро, очекујте успоравање комуникације.
- Мој пинг у иностранству је ~100-250мс, нема кашњења у гласовној комуникацији.
- Финансијски трошкови за све "ово" (укључујући ВПЦ ресурсе) = 0₽.
Репринт вашег чланка.
УПД: Захваљујући неким хаброверсима на корисним коментарима, заиста је могуће (да ли је статистика подржана?) да постоје бољи аналози званичног Мтпрото проки Телеграм доцкер слике.
Извор: ввв.хабр.цом