zhnikita

А денег-то есть на такие запросы?

Это очень "странная" мягко говоря атака, она подразумевает получение приватных ключей сессии. Простыми словами это все равно что в статье "как взломать любую квартиру за 5 минут" написать "начнем с того, что сделаем копию всех ключей".

Делаем ip - firewall - mangle
правило на prerouting, где в src address указываем IP адрес ps3 , а экшн делаем mark routing

Далее в ip- routes, делаем маршрут 0.0.0.0/0 , gateway ваш vpn, routing mark из mangle

Вот так выглядит правила у меня, правда вместо src adr испольузется лист с адресами назначения

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=Telegramm \
    new-routing-mark=Blocked passthrough=yes

/ip routes
add distance=1 gateway=pptp-digital_ocen routing-mark=Blocked

Если ставите политику DROP и на OUTPUT, то нужно в неё добавить симметричные разрешающие правила. Например, если у вас есть правило iptables -A INPUT -p tcp --dport 22 -j ACCEPT, то нужно будет и правило iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT. Но обычной практикой является то, что OUTPUT оставляют пустым с политикой ACCEPT.

Так же обычно добавляют правило типа iptables -A INPUT -i lo -j ACCEPT для того, чтобы разрешить коммуникации между процессами на самом хосте, и правило

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

для того, чтобы разрешить ответные пакеты.

iptables-save не сохраняет изменения, а только выводит текущий набор правил на стандартный вывод. То, где хранятся настройки iptables зависит от дистрибутива Linux. Например, в Debian-подобных дистрибутивах лучше поставить пакеты netfilter-persistent и iptables-persistent, чтобы можно было загружать настройки файерволла при загрузке.

В общем, iptables и настройка файерволла требуют хороших знаний по сетям и протоколам, и с наскока их не получится освоить, а только прочитав документацию (благо, есть неплохой перевод iptables tutorial на opennet.ru).

Пока не может. Но "мы работаем над этим". Для этого нужно всего ничего - так же как в братском Казахстане - всем расставить госсертификат в доверенные корневые центры - и сможет.

Не кидайте в меня помидоры и не пытайтесь обьяснить основы криптографии с открытым ключом. На предприятиях уже вовсю работают прокси с бампингом, которые расшифровывают HTTPS. Как это происходит:
- Клиент передает на прокси запрос об установлении HTTPS-соединения допустим с vk.com
- Прокси быстренько выпускает сертификат на vk.com НА СЕБЯ и подсовывает его клиенту с целью получить ключ инициализации соединения, клиент конечно его отдает - ведь он видит, что соединение с узлом vk.com подтверждено сертификатом, который выпущен одним из корневых CA, которым он доверяет
- В этом месте прокси может просмотреть путь запроса (который в нормальном состоянии уже скрыт), решить - продолжать ли ему установление соединения или же отказать... Если решено соединение принять, то прокси передает ключ на настоящий vk.com, устанавливает соединение, передает данные клиенту - ну как обычно
- Все данные видны прокси, потому что он знает ключ соединения

Уже нашли подвох? Правильно! Соединение с фейковым vk,com подтверждено одним из корневых CA! Сертификат, который установлен на прокси - это сертификат subCA, он выпущен неким CA и сертификат этого CA должен быть добавлен в хранилище корневых СА. Видели, как изменилось условие расшифровки трафика? Вместо "нужен личный ключ" - "нужно установить сертификат". Вместо технической меры - организационная. Кто-то еще сомневается, что "когда настанут холода", всем придется поставить госсертификат в доверенные? Добровольно и с песней, как кошка из анекдота?

Да, это MiTM. Самый что ни на есть классический MiTM. :) Но кого это будет волновать?

Они еще об этом не думали. Спите спокойно.

Использую на нетбуке Debian 9.4 (минимальная установка по сети) + IceWM. Шустро, красиво.

syncthing

https://iknowwhatyoudownload.com

Где достать бесплатный tls-сертификат?

Создайте свой! Одна команда и он на вашем жестком диске лежит (вместе с ключом):

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem

gvfs-mount -l покажет
И монтируется в /run/user/$uid/gvfs

Не хотите проблем в дальнейшем - ТОЛЬКО Debian!