Ребята, у меня есть несколько серверов с установленным OpenVPN, и все они приостанавливаются слева и справа из-за сообщений о злоупотреблениях из сети PlayStation. Я предполагаю, что мои VPN-клиенты пытаются взломать учетные записи PlayStation, верно? Я пытаюсь заблокировать VPN-трафик для всех URL-адресов PlayStation. Проблема в том, что нет конкретных IP-адресов для блокировки! Они используют GeoDNS, который обслуживает данные с разных IP-адресов в зависимости от местоположения пользователя. Что я могу здесь сделать? Есть ли полный список IP-адресов PlayStation, которые нужно заблокировать? Или я могу заблокировать доступ к этим URL-адресам?
auth.api.sonyentertainmentnetwork.com
native-ps3.np.ac.playstation.net
account.sonyentertainmentnetwork.com
auth.np.ac.playstation.net
accounts.api.playstation.com
native.np.ac.playstation.net
Сторонний модуль ядра Linux xt_tls предоставляет возможность сопоставления имени хоста в поле индикации имени сервера TLS, таким образом вы можете прерывать https-соединения с определенными именами хостов.
Например:
iptables -I FORWARD -p tcp --dport 443 -m tls --tls-host "auth.api.sonyentertainmentnetwork.com" -j REJECT --reject-with tcp-reset
ip6tables -I FORWARD -p tcp --dport 443 -m tls --tls-host "auth.api.sonyentertainmentnetwork.com" -j REJECT --reject-with tcp-reset
См. Документацию модуля, если вам нужно заблокировать большой список хостов.
Обратите внимание, что зашифрованный SNI со временем получит широкое распространение, и это больше не будет работать.
Вы также можете сопоставить проходящий трафик DNS и заблокировать его. В конце концов, DNSSEC или какая-либо альтернатива получит широкое распространение, и это тоже больше не будет работать.
Отметьте также, что вы должны избавляться от таких клиентов, как только их обнаружите. Также выберите поставщиков услуг, которые будут работать с вами в отношении жалоб на злоупотребления, а не просто откажутся от вас немедленно.