🥷 Джонни вещает: быстрая установка VPN VLESS с XTLS-Reality

Изначально хотел сделать на базе OpenVPN в пользу его поддержки среди большинства роутеров, но этот протокол вполне перестанет работать, и самым актуальным в наших условиях всё таки - VLESS(трафик шифруется и маскируется под подключение к популярным доменам).

— Под катом установка собственного VPN-сервера с управлением через GUI-интерфейс 3x-ui.

↘ telegra.ph

#VPN #VLESS | 😊 @iscode

🥷 Развертывание в пятницу днем?

Напоминаю главное правило:

Пятница - это время успокоения. Мы используем понедельник, чтобы вернуться к работе, а в среду работаем в полную силу.

🥷 Джонни вещает: обходим блокировку VPN

Мой провайдер помимо замедления YouTube так же стал блокировать соединения с моими рабочими VPN. Сразу скажу, обходной путь придумал не сам, мне его подсказал автор проекта zapret, а точнее его комментарий, более того, ныне я его использую, чтоб смотреть нормально YouTube.

— Стоит добавить, что nftables и nfqws работает у меня, но это не значит, что заработает и у вас! Возможно, вам придётся изменить некоторые параметры. (очень внимательно читаем комментарий по ссылке выше и штудируем, как портировать правила iptables в nftables.)

$ iptables-translate -A OUTPUT -t mangle -o wlan0 -p udp --dport 443 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 220 --queue-bypass

И получилось:

$ nft 'add rule ip mangle OUTPUT oifname "wlan0" udp dport 443 mark and 0x40000000 != 0x40000000 counter queue num 220 bypass'

wlan0 — интерфейс, через который мы ходим в сеть, 443 — порт подключения к VPN сервису, и меняем OUTPUT на output:

$ nft 'add rule ip mangle output oifname "wlan0" udp dport { 443, 18189 } mark and 0x40000000 != 0x40000000 counter queue num 220 bypass' (у меня два VPN коннекта, отсюда и два порта)

🖥 Перед запуском, проверяем, что у нас есть таблица ip mangle:

$ nft list tables

В случае, если нет создаём её и цепочку output:

$ nft add table ip mangle
$ nft 'add chain ip mangle output { type filter hook output priority 0 ; }'

Смотрим, что всё создалось: $ nft -a list table ip mangle теперь запускаем строку с добавлением нового правила и снова проверяем, что внутри таблицы, и последнее, запускаем демон, который маскирует пакеты отправленные на требуемые порты:

$ /opt/zapret/nfq/nfqws --uid 2 --qnum=220 --dpi-desync=fake --dpi-desync-any-protocol --dpi-desync-cutoff=d2 --dpi-desync-repeats=10 --dpi-desync-ttl=5 --daemon

❗️ Обратите внимание, значение ttl у вас может отличаться. Своё я подглядел через ps aux | grep nfqws, которое стоит в демоне от zapret.

#VPN #РКН

🥷 Разработка Nginx перешла с Mercurial на Git и GitHub

Разработчики Nginx перенесли официальный репозиторий проекта на GitHub и задействовали платформы GitHub Issues и GitHub Discussions вместо системы отслеживания ошибок trac.nginx.org и обсуждений в почтовых рассылках.

Для приёма изменений от других участников проекта и разработчиков реализована возможность использования pull-запросов. Система отслеживания ошибок trac.nginx. org переведена в режим только для чтения. Для того, чтобы дать разработчикам и пользователям время на адаптацию к новому укладу, кроме использования GitHub, до 31 декабря будет сохранена возможность отправки патчей и получения консультаций через списки рассылки.

#nginx

🥷 Джонни вещает: проброс портов

Мы переходим к крайне сложной для понимания части функционала SSH, позволяющей осуществлять головоломные операции по туннелированию TCP «из сервера» и «на сервер».

🆘 Для понимания ситуации пример ниже будет ссылаться на вот эту схему (click)

Комментарии: Две серые сети. Первая сеть напоминает типичную офисную сеть (NAT), вторая — «гейтвей», то есть сервер с белым интерфейсом и серым, смотрящим в свою собственную приватную сеть. В дальнейших рассуждениях мы полагаем, что «наш» ноутбук — А, а «сервер» — Б.

Задача: у нас локально запущено приложение, нам нужно дать возможность другому пользователю (за пределами нашей сети) посмотреть на него.

Решение: проброс локального порта (127.0.0.1:80) на публично доступный адрес. Допустим, наш «публично доступный» Б занял 80ый порт чем-то полезным, так что пробрасывать мы будем на нестандартный порт (8080).

ssh -R 127.1:80:8.8.8.8:8080 user@8.8.8.8

🖥 Итоговая конфигурация: запросы на 8.8.8.8:8080 будут попадать на localhost ноутбука А. Опция -R позволяет перенаправлять с удалённого (Remote) сервера порт на свой (локальный).
Важно: если мы хотим использовать адрес 8.8.8.8, то нам нужно разрешить GatewayPorts в настройках сервера Б.

#SSH #NAT | 😊 @iscode

⌨️ Большая подборка вопросов с собеседований: Системного администратора Linux/Devops

Дядя Джонни снова с вами, итак, полезная подборка актуальных задач и вопросов с собеседований, которые помогут вам подготовиться как к практике, так и к теории и получить работу.

1. Вопросы для интервью системного администратора Linux/DevOps
2. Вопросы системного администратора
3. 100 важных вопросов на собеседовании по Linux с ответами
4. Подборка вопросов для собеса с системным администратором Linux/DevOps
5. Дополнительные вопросы для собеседования с системным администратором
6. Полезный материал для подготовки к собеседованию на должность инженера DevOps: Исчерпывающее руководство

#Linux #DevOps #SysAdmin #Interview