← Timeline
Avatar placeholder
illegal
Moera home node experiment

Итак, мы остановились на том, что нода не обменивалась постингами с другими нодами.

Прежде всего я обратил внимание на carte is invalid и задумался: откуда узел берёт свой IP для carte, если фоновая синхронизация не связана ни с каким запросом клиента? Это оказался правильный вопрос! Берёт он его, пытаясь отрезолвить moera domain name (_default_ в моём случае), если не получается — то применяет системную магию, которая у меня на дебиане даёт 127.0.1.1, а если совсем не получается — то 127.0.0.1, ну не шмогла.

В качестве временного хака добавил _default_ в /etc/hosts с правильным внешним адресом, и каково же было моё удивление, когда "carte is invalid" возникло снова, а сообщения так и не стали ходить.

Что оказалось:

  • Роскомнадзор блокирует кучу всего, в том числе по IP адресам и подсетям.
  • Мой роутер настроен так, чтобы скачивать списки с antifilter.network, загонять их в ipset и заворачивать трафик на эти адреса через те края, где нет Роскомнадзора.
  • Списки я качаю агрегированные, потому что память роутера не резиновая.
  • 173.230.140.0/23 там есть, *.moera.blog, соответственно, туда попадает.
  • Узлы moera.blog видят carte для России и IP из Швеции и ругаются.

@lamed, а нельзя ли со временем в cartes сделать поддержку wildcard ip? То есть когда carte создаётся для клиента, пусть будет как есть, а если, например, у меня сервер будет вещать через Tor в clearnet, там же вообще непонятно, к какому адресу привязываться…

👍💯3
To react or comment  View in Web Client
Comments (3)
Avatar placeholder

Возможно. Проблема в том, что любой, кто получит твою carte может захотеть ей воспользоваться. А если в ней будут целые подсети, то злоумышленник может оказаться среди них. Может, стоит что-то еще придумать, чтобы усилить защиту. Возможно, стоит вообще отказаться от cartes при общении между нодами, потому что, например, у нас куча нод на одном IP.

👍1
Avatar placeholder
Avatar placeholder
To react or comment  View in Web Client