Итак, мы остановились на том, что нода не обменивалась постингами с другими нодами.
Прежде всего я обратил внимание на carte is invalid и задумался: откуда узел берёт свой IP для carte, если фоновая синхронизация не связана ни с каким запросом клиента? Это оказался правильный вопрос! Берёт он его, пытаясь отрезолвить moera domain name (_default_
в моём случае), если не получается — то применяет системную магию, которая у меня на дебиане даёт 127.0.1.1, а если совсем не получается — то 127.0.0.1, ну не шмогла.
В качестве временного хака добавил _default_
в /etc/hosts с правильным внешним адресом, и каково же было моё удивление, когда "carte is invalid" возникло снова, а сообщения так и не стали ходить.
Что оказалось:
- Роскомнадзор блокирует кучу всего, в том числе по IP адресам и подсетям.
- Мой роутер настроен так, чтобы скачивать списки с antifilter.network, загонять их в ipset и заворачивать трафик на эти адреса через те края, где нет Роскомнадзора.
- Списки я качаю агрегированные, потому что память роутера не резиновая.
- 173.230.140.0/23 там есть, *.moera.blog, соответственно, туда попадает.
- Узлы moera.blog видят carte для России и IP из Швеции и ругаются.
@lamed, а нельзя ли со временем в cartes сделать поддержку wildcard ip? То есть когда carte создаётся для клиента, пусть будет как есть, а если, например, у меня сервер будет вещать через Tor в clearnet, там же вообще непонятно, к какому адресу привязываться…
Comments (3)
Возможно. Проблема в том, что любой, кто получит твою carte может захотеть ей воспользоваться. А если в ней будут целые подсети, то злоумышленник может оказаться среди них. Может, стоит что-то еще придумать, чтобы усилить защиту. Возможно, стоит вообще отказаться от cartes при общении между нодами, потому что, например, у нас куча нод на одном IP.
Что вообще такое эта Carte?
http://moera.org/development/protocols/carte.html