少し前にこんなニュースが出ていたのでOpenWrtで使えるかも!と思ったんですが、まだみたいでした(>_<)
それはそれとして。
FC2( https://fc2.com )もFC2ブログ( https://blog.fc2.com )もNGだけど、このブログ( https://kiam.blog.fc2.com )や管理ページ( https://admin.blog.fc2.com )はOK。なんか部分的に動かへんとか変な挙動になりそうやなあ・・・
そもそもGoogleにつながらない状態でChromebookがまともに使えるかがよくわからないので、短期のおためしはぜひともやっておきたいところです。
前に書いたこのあたりのことについては、
OpenWrtでPBRを使えば疑似体験できそうだったのでやってみました。
(Adblockのホワイトリストとブラックリストでもできるかも。PBRの方が、接続先グループごとにオフオンができてちょっと便利。)
FC2ブログの挙動
まず、FC2ブログの管理画面にログインして投稿して表示確認するまでの通信をキャプチャして、どこのドメインにアクセスしようとしているか洗い出します。
そしてChina Firewall Testツールを使って、それぞれのドメインが金盾でブロックされるかどうかチェックします。
許可:kiam.blog.fc2.com admin.blog.fc2.com secure.id.fc2.com static.fc2.com
禁止:fc2.com blog.fc2.com googleapis.com twitter.com
その結果こんな感じに。
そして「許可」を「禁止」よりも優先するポリシーをPBR上で作って有効化します。
(PBRにブロックという機能はないので、「禁止」はインターネットに出ていけないインタフェースに振り分けることで実現します。)
するとFC2ブログは、
- ログアウトされた状態からのログインは不可
- すでにログインをしていれば投稿も編集も可能
という挙動になりました。旅先でブログ投稿を続けるなら、ログアウト状態になってはいけないと。
まだBlueskyはブロックされていないようなので、FC2からログアウトされてしまっても、Blueskyを使って生存報告はできるかも?
Google関連の挙動
同じようにGoogleへのアクセスをブロックした状態でテストしてみます。
Chromebookへのログインは問題なくできました。宿の初日でWi-Fiにつながってない状態でもログインできるので、それはそうやなあという感じではあります。さすがに初利用のアカウントにログインするのはできないと思うけれど。
Google以外のサービスにGoogleアカウントでログインしている場合、ログアウト状態からログインすることはできなかったけれど、すでにログインされていれば引き続きログイン状態で利用することができました。
OpenGFWの情報から推測される金盾の挙動について
さっきのOpenGFWの記事の中にちょっと気になったことが。
この論文では、GFWが完全に暗号化されたトラフィックを検閲する新システムを分析している。研究者たちは、実験においてインターネットトラフィックの分析、GFW検出アルゴリズムのシミュレーションを行った。
その結果、GFWが完全に暗号化されたトラフィックを検出するために使用しているのが、通信データの先頭部分に含まれる特徴(例えば、表示可能なASCII文字の割合、セットされたビットの割合、特定のプロトコルフィンガープリントなど)だと分かった。これらの特徴に当てはまらない通信は、Shadowsocks、VMess、obfs4などによって暗号化されたと見なされ、GFWによってブロックされていると分かった。
これだと通信相手関係なく、暗号化通信が広くブロックされることになりそうなので、
このZeroTierを使ったしくみもあかんかも?
少なくとも、WireGuardはねらいうちで解析する機能があるようなので、WireGuardプロトコルを使っているTailscaleは、ドメインとしてはブロックされていなくても使えないと思った方がいいんかな?
疑似環境でなく、本物の金盾でテストしてみました。
コメント