Есть контора selectel.ru, которая предоставляет облачные серверы. У меня там VDS-ка, используемая для dns. Сервисом доволен, на тикеты реакция моментальная, в месяц выходит меньше 100 рублей.
Они собираются с 17 января брать плату за IPv4-адрес порядка 70р в месяц, а адреса IPv6 раздавать бесплатно. У меня всё готово к v6-only, кроме репликации mysql. Я решил сделать туннель IPv4 через IPv6 исключительно для репликации mysql, котороый по в6 репликацию пока не умеет. В гугле всречается в основном IPv6 over IPv4, нам же надо наоборот. Пришлось читать документацию :)
Создаём туннель на стороне сервера с мускуль-мастером: /sbin/ip -6 tunnel add ns2s6 mode ip4ip6 local 2001:db8:100::1 remote 2001:db8:200:2 /sbin/ip link set ns2s6 up /sbin/ip addr add 172.18.1.1/30 dev ns2s6
Создаём туннель на вдс-ке: /sbin/ip -6 tunnel add ns2s6 mode ip4ip6 local 2001:db8:200::2 remote 2001:db8:100:1 /sbin/ip link set ns2s6 up /sbin/ip addr add 172.18.1.2/30 dev ns2s6
Проверяем пингом оба конца туннеля, удостоверяемся что он работает, в мускуле правим IP слейва и IP мастера, радуемся.
Тут могло быть много бла-бла на тему как плохо/хорошо что сотрудников не пускают в одноклассники, во вконтакте, фейсбук или ещё какие-нибудь сайты.
Кому полезно?
Пользователям – дабы не терпеть издевательств сисадминов.
Сисадминам – дабы задуматься как противостоять.
Руководителям – для общего развития
Сразу к делу.
Блокирование по IP или прозрачный прокси, который фильтрует по URL кто куда ходит.
Обходится легче всего – анонимайзеры гуглятся в гугле на раз. Нагуглите и используйте. Или используйте любой открытый прокси.
Прозрачный прокси + блокирование портов.
Ну все порты не заблокируешь ;-)
Чаще всего https (443/tcp) открыт для всех и везде. Тут немного сложнее – нужен свой vds.
Ставим прокси, вешаем его на 443 порт, указываем прокси в браузере – вуаля – работает.
Прозрачный прокси + блокирование портов + анализатор трафика.
Анализатор трафика может легко заметить что у нас на 443 порту обычный прокси. – тут-то нам его и порежут. Причём если анализатор толковый – порежут очень быстро. Вешаем на 443 порт ssh, который умеет работать в режиме SOCKS прокси. Анализатору не удастся узнать что же там внутри потому что ssh шифрует трафик, но при открытии соединения ssh отправляет инфу о себе. Теоретически анализатор может это поймать. Тут тоже на помощь приходит свой vds.
Блокирование портов + прозрачный прокси + умный анализатор трафика
Чтобы закосить под валидный https, можно вместо ssh использовать OpenVPN на своём vds. Он точно так же использует SSL как и HTTPS.
Блокирование портов + прокси, не указав который ничего не работает
Некоторые особо параноидальные открывают https по списку. Чтож, и это можно обойти. Например ICMP-туннелем. Для этого опять же нужен свой vds.
Блокирование портов + прокси, не указав который ничего не работает + закрытый ICMP
Здесь часто бывает либо открытй DNS, либо (что чаще) открытый NTP. И то и другое позволит поднять всё тот же любимый OpenVPN но уже в режиме UDP и на портах 53 или 123.
Блокирование портов + прокси, не указав который ничего не работает + закрытый ICMP + закрытые внешние DNS и NTP. И вообще закрыто всё, кроме того, что разрешено через прокси.
Самое злое, но тоже обходимое. DNS-туннель :-) Медленно конечно, но работает. Опять же – нужен свой vds.
Если кто заинтересовался – я могу быть как с одной стороны (помочь пользователю пролезть через забор), так и с другой (помочь закрыть дыры в заборе). Контакты написаны здесь.
С ВДС можно особо не мудрить и заказать на firstvds.ru
Комментарии | 
опубликовано: Янв 12, 20:33