Эстетика планового уничтожения данных 💜

Кому-то закаты на берегу, а кому-то гул кулеров, неон серверной и завораживающий бег строчек в консоли.

З.Ы. Прекрасно наблюдать как shred стирает диск /dev/sda случайными нулями и единицами 🪦

Типичный 🥸 Сисадмин

🌴Как борьба с VPN отрезала российских туристов от родины

СМИ и ассоциации туроператоров пишут, что россияне в Турции, Египте, Таиланде и Вьетнаме физически не могут зайти в свои банки, заказать доставку или купить билеты. При попытке зайти в приложение Сбера, Озона или Госуслуг через отельный Wi-Fi или местную симку, юзер ловит глухую заглушку... (Кажется, у вас включен VPN. Отключите его). Юзер проверяет настройки, понимает, что никакого VPN у него нет, и недоумевает от безысходности 😭

Любой сетевик уровня чуть выше эникея знает, что технически достоверно отличить легитимный зарубежный трафик (IP-адрес турецкого отеля) от трафика VPN-сервера - задача нетривиальная.

Когда на совещании Минцифры ИТ-крупняку сказали... или вы блокируете обходчики, или будут нюансы, то бизнес принял единственно верное, прагматичное решение. Никто не стал заморачиваться со сложной эвристикой, анализом MTU или утечками WebRTC. Там просто прописали в балансировщиках правило Default Deny:

if (GeoIP != RU_and_CIS) { DROP_CONNECTION; }

Всё! Весь зарубежный трафик тупо отсекается. Для антифрода Яндекса или Сбера твой турецкий айпишник ничем не отличается от айпишника голландского VPS.

Такой же эпик фейл и у суверенного MAX, который должен был заменить ТГ везде и всегда... с 17 апреля MAX точно так же наглухо блокирует своих же пользователей за границей, принимая IP за использование VPN 🤬

Теперь единственный белый способ зайти в банк из-за бугра - включить передачу данных в роуминге через российскую сим-карту. Почему? Потому что по законам архитектуры мобильных сетей, роуминговый трафик (через APN) всё равно туннелируется обратно в РФ на шлюз твоего домашнего оператора, и для сервиса ты светишься с условного московского IP. ОпСоСы (МТС, Билайн и etc) радостно потирают руки, собирая шекели за роуминговые мегабайты 💰

Ситуация дошла до абсолютного абсурда. Если раньше покупали VPN в Европе, то в 2026 году релоканты и туристы вынуждены покупать VPS в РФ и поднимать VLESS-туннели ВНУТРЬ России, чтобы просто оплатить коммуналку или заказать маме цветы 🌻... реверс-инжиниринг географии, не иначе.

А правительство тем временем уже пообещало разработать специальный государственный сервис для доступа соотечественников к Рунету из-за рубежа... 😮 Государственный VPN для доступа в изолированный государственный Интранет. Сюрреализм, который мы заслужили 🙂

Типичный 🥸 Сисадмин

⌨️ Забудьте про IPv6, он нам больше не нужен, тут IETF выкатил черновик IPv8

Пока индустрия 25 лет пыталась с плачем и болью пересадить нас на IPv6, заставляя учить наизусть шестнадцатеричные кракозябры с двоеточиями, умные люди в IETF поняли, что пациент скорее мертв, чем жив. Встречайте... опубликован официальный драфт IPv8. И с технической точки зрения это, мать его, абсолютный архитектурный шедевр 😮

Вместо 128-битной нечитаемой наркомании IPv6, авторы IPv8 предлагают элегантный костыль, возведенный в абсолют. Адрес IPv8 это ровно 64 бита. Читается он в формате r.r.r.r.n.n.n.n.

Первые 32 бита (r.r.r.r) это номер вашей автономной системы (ASN). Вторые 32 бита (n.n.n.n) это старый добрый, теплый и ламповый IPv4-адрес! 🖥

Выходит, что каждый владелец ASN в мире автоматически получает пул в 4,2 миллиарда белых IP-адресов. Проблема истощения IPv4 решается математически, без костылей вроде CGNAT. Для примера, адрес выглядит так... 64496.192.168.1.1 (где 64496 это ваш ASN).

Главный факап IPv6 заключался в требовании двойного стека. Нужно было переписывать софт, менять железо и страдать. В IPv8 обратная совместимость на 100%

IPv4 является нативным подмножеством IPv8. Если префикс r.r.r.r = 0.0.0.0, то пакет маршрутизируется по старым правилам IPv4. Никакого переписывания легаси. Весь старый софт продолжит работать через стандартный сокет AF_INET, а трансляцией займется ОС. Переход можно делать плавно, островками, туннелируя IPv8 поверх старых IPv4-сетей.

Сегодня глобальная таблица маршрутизации BGP4 пухнет от деагрегации префиксов (уже под миллион маршрутов), роутеры плачут и просят RAM. В IPv8 маршрутизация двухуровневая. На глобальном уровне (eBGP8) роутинг идет ТОЛЬКО по номеру ASN (r.r.r.r). Размер глобальной таблицы аппаратно ограничен количеством зарегистрированных автономных систем в мире (сейчас это около 175 тысяч). Таблица худеет в 5 раз, процессоры магистральных маршрутизаторов уходят в спячку 🛌

Авторы драфта решили перепахать не только адресацию, но и весь зоопарк сетевого управления. DHCP, DNS, NTP, логгирование и ACL объединяются в единую концепцию Zone Server, это когда девайс втыкается в сеть, делает один DHCP8-запрос и получает эндпоинты для ВООБЩЕ ВСЕХ сервисов разом 😮

Но самое крутое - это секурити. Авторизация всех сетевых узлов идет через токены OAuth2 JWT прямо на L3/L4 уровне! Узел физически не может выйти во внешний интернет, если у него нет DNS8-запроса на этот домен и валидного токена. Это на корню умножает на ноль 99% современных ботнетов и малвари, которые стучатся на хардкодные IP-адреса C&C-серверов. Пакет без DNS-лукапа просто дропается на выходе 💩

Да, в вопросах приватность есть нюансы, но перед нами невероятно прагматичный стандарт, который решает проблемы 30-летней давности, не заставляя ломать привычные паттерны мышления.

Типичный 🥸 Сисадмин

Тест на эмпатию к железу... если у вас ничего не екнуло при виде этого излома, то вы бессердечны 💔

Типичный 🥸 Сисадмин

Случалась жесткая привязка МФУ к архитектуре здания. Теперь принтер невозможно передвинуть без потери функциональности лотка 🏥
#предложка

Типичный 🥸 Сисадмин

👨‍🔬 ВНЕЗАПНО, ОпСоСы хотят сделать платный MAC-фильтр в масштабах страны. Налог на IMEI всё ближе.

Крупнейшие российские операторы связи принесли в Минцифры гениальный по своей наглости план, как стрясти с абонентов бабла буквально из воздуха.

Суть такова, ОпСоСы предлагают внедрить тотальный белый список на уровне базовых станций. В качестве уникального идентификатора выступает IMEI.

Схема проста... создается единый федеральный реестр оборудования. Если IMEI твоей свежекупленной на Алике китайской мобилы нет в этой таблице, то коммутатор просто отбивает авторизацию SIM-карты в сети. Твой телефон мгновенно превращается в дорогой MP3-плеер с Wi-Fi 😂

Да сколько можно... да зачем это нужно? Операторы слезно плачутся что импортозамещение вышек связи стоит дорого, ставка ЦБ огромна, кредиты брать больно 👌. Поэтому они предложили сделать процедуру добавления IMEI в базу платной, а профит забирать себе в фонд развития сетей 🤑

На всякий случай проговорю... себестоимость добавления одной строчки с IMEI в базу данных равна нулю целых, хрен десятых копейки. Это не сложная техническая услуга, это тупо акциз на владение радиомодулем 🙂

Опыт соседних стран (Казахстан, Узбекистан), где эта дичь уже работает, показывает, что такса составит около 500–700 рублей за девайс. Естественно, платить эту пошлину заставят импортеров, которые мгновенно размажут ее по розничной цене смартфона на прилавке. Платит, как всегда, конечный юзер 💩

Вангую, что форумах 4PDA начнётся масштабный ренессанс забытого искусства из нулевых - хардкорной перебивки IMEI через NVRAM, инженерные меню и АТ-команды. Готовим софт для прошивки ⌨️

Типичный 🥸 Сисадмин

🍟 Золотой стандарт малого бизнеса в сфере общепита. Свитч, который впитал в себя ароматы картошки фри, котлет и тысячи невыполненных заказов.

З.Ы. У меня аж уровень холестерина скакнул, пока я это рассматривал 👨‍🦳... раньше мы такое пальцем ковыряли и изопропилом оттирали, а сейчас спина болит даже наклоняться за ним под стол. Молодежь, берегите себя и порты смолоду!

Типичный 🥸 Сисадмин

Находка на лесной прогулке... эхо древней цивилизации эникеев.

З.Ы. Старый ЭЛТ-моник идёт на нерест 😬

Типичный 🥸 Сисадмин

👨‍🦳 ОпСоСы просят пощады. Походу налог на VPN откладывается из-за кривых биллингов.

Капитализм и технический долг внесли свои коррективы в гениальные планы. Операторы связи (МТС, Билайн, Мегафон, T2) коллективно просят о пощаде и попросили отсрочку.

Идея Минцифры звучала красиво... как только юзер выкачивает 15 Гб международного (читай - VPN) трафика, биллинг должен списывать по 150 рублей за каждый следующий гигабайт. Но когда эту идею спустили сетевикам, те немного присели.

Оказалось, что переписать логику биллинговых систем за один месяц физически невозможно. Биллинг должен в реалтайме парсить DPI-метки, разделять трафик на отечественный и заморский, слать пуш-уведомления о приближении к лимиту, а потом еще и решать, что делать... резать скорость в ноль, загонять баланс в минуса или полностью отрубать интернет. И всё это на зоопарке из тысяч разных архивных тарифов для 180 миллионов абонов 🤙

Главный технический затык оказался даже не в коде биллинга, а в самом понятии (зарубежный трафик). Сетевики задали Минцифры логичный вопрос... а как его считать?
🟢Что делать с серверами кеша Гугла, которые физически стоят в стойках внутри РФ? Трафик идет с российских узлов, но контент-то заморский.
🟢Что делать с отечественными компаниями, которые из-за нехватки мощностей или защиты от DDoS сидят за Cloudflare и светят забугорными IP-адресами? 😮
🟢А если юзер не осилил раздельное туннелирование и завернул в VPN вообще весь свой трафик, и выкачал всё за один вечер через Рутуб 😂? Для оператора он будет выглядеть как злостный качальщик иностранных терабайтов.

Мнения в телекоме разделились. Одни ОпСоСы готовы резать трафик уже сейчас (по принципу...и таааак сойдет 🥸, потом в процессе разберемся), другие просят время до сентября. Некоторые вообще вангуют, что на нормальную отладку такого механизма уйдут месяцы, если не годы (звучала даже цифра 2028 год).

К тому же, Минцифры до сих пор не выкатило никакой нормативно-правовой базы под этот побор. Юридически это пока просто хотелка, озвученная на закрытом совещании.

Считаю, что дедлайн 1 мая, скорее всего, сорван. Выдыхаем, но не расслабляемся.

Налог на обход блокировок походу неизбежен, просто телекому нужно время, а когда биллинги ОпСоСы все-таки обновят, каждый пролюбленных мимо туннеля мегабайт будет бить рублем по кошельку 😶

Типичный 🥸 Сисадмин

🏥 Запасаемся попкорном, история вокруг альтернативного клиента Telega пробила новое дно и перешла в стадию сюрреалистичной комедии.

Суть такова... разрабы того самого суверенного MITM-клиента, о котором писал ранее, 🤯 пошли жаловаться в ФАС на Apple.

Оказалось, что апловцы не просто дропнули их приложение из App Store - они забанили учетку разраба. Теперь операционка принудительно блочит запуск уже установленной Телеги на девайсах юзеров, выдает красный алерт о наличии вредоносного кода и предлагает единственный выход - снести приложуху 🎩

ФАС уже взяла под козырек, увидев признаки нарушения Закона о защите конкуренции. Проклятые монополисты будут наказаны.

Apple, конечно, славится своим огораживанием экосистемы, но тут повод основательный. Вспоминаем матчасть... Telega вшивала свои RSA-ключи, подменяла IP-адреса ДЦ, отключала (Perfect Forward Secrecy) и глушила секретные чаты. За это Cloudflare повесил на них плашку Spyware, а GlobalSign отозвал TLS-серт.

Но с 20 апреля начался вообще лютый киберпанк. Юзеры, у которых стояла Telega, начали массово ловить окирпичивание при попытке накатить системный апдейт iOS.

Разрабы Телеги пошли в отрицалово 👎... типа iOS это песочница, приложение технически не может сломать обновление системы, вы всё врети!

Технически они конечно правы... апп из юзерспейса не должен ломать ядро. Но на практике, когда Apple хардкорно отзывает серты разраба через свои демоны безопасности, а в кэше/памяти висит активный системный процесс, пытающийся резолвить отозванные профили - эппловский апдейтер (видимо, из-за конфликта политик безопасности при проверке подписей) впадает в ступор и роняет систему в рекавери ⚰️

Вместо того чтобы тихо слиться, создатели Телеги перешли в наступление. Они грозятся судебными исками против ИБ-экспертов и ИТ-блогеров (включая Сергея Романцева, который пруфанул окирпичивание) за распространение недостоверной информации.

Представьте абстрактную картину 😬... ты пилишь троян с MITM-перехватом, тебя ловят за руку на горячем всеми интернетами, тебя банит Cloudflare, отзывают серты, удаляет Apple, а ты идешь в суд защищать честь и деловую репутацию своего форка 😗

Тем временем официальная ТГ тоже не осталась в стороне. Они начали принудительно вешать специальное клеймо на аккаунты тех пользователей, которые сидят через левые клиенты. Чтобы нормальные люди понимали, что этот собеседник сидит через левый софт, кидать ему нюдсы и пароли лучше не стоит 🔍

Типичный 🥸 Сисадмин

Нет ничего более постоянного, чем этот уголок, прикрученный на скорую руку в пятницу вечером 👍

Типичный 🥸 Сисадмин

🪦 Великая чистка провайдеров началась. РКН пустил под нож уже почти 2000 лицензий связи.

В Рунете прямо сейчас происходит локальный Экстерминатус 🪄. Роскомнадзор одним махом аннулировал 1967 лицензий на услуги связи. Официальной причиной массового расстрела названо... нарушение требований по отчетности. Дескать, операторы не сдавали отчеты вовремя или писали там недостоверные данные 😮

Исторически российский интернет был невероятно децентрализованным. Тысячи мелких операторов по всей стране... контролировать 5000 мелких сеток физически тяжело или невозможно. Плюс у них нет денег на закупку дорогущих коробок для анализа и хранения данных, они не всегда выполняют установку ТСПУ и часто сквозь пальцы смотрят на то, что их абоны гоняют VPN-трафик. Гораздо проще выжечь эту мелочь напалмом, загнав всех абонентов в сети 4-5 федеральных гигантов, на магистралях которых уже намертво вварены фильтры. Централизация трафика требует централизации рынка 😰

Больше всего лицензий пошло под нож в Дефолт-сити (286 лицензий у 42 операторов) и Питере.

Но самое вкусное - это то, что ждет выживших. Так скажем... контрольный выстрел:
🟢Запрет на выдачу лицензий ИП (только юрлица).
🟢Стоимость лицензии взлетает до 1–50 миллионов рублей.
🟢Отзыв лицензии без решения суда за повторные нарушения.
🟢Пожизненный эцих с гвоздями... когда владельцы лишенной компании не смогут получить новую лицензию в течение 10 лет. Старая схема с банкоротством похоронена.

Рынок зачищается под монополии... и вот, когда на рынке останется три с половиной провайдера, тарифы на домашний интернет улетят в космос (ведь кто-то должен оплачивать закупки фильтрующего железа), а любые попытки прокинуть зашифрованный туннель наружу будут пресекаться на первом же магистральном хопе. Спи спокойно, децентрализованный Рунет, ты был слишком хорош для этого мира 🫡

Типичный 🥸 Сисадмин

Сделаю брелок на ключи от серверной.
#предложка

Тяжесть - это хорошо. Тяжесть - это надёжно (с) Бориса Бритва

Типичный 🥸 Сисадмин