Важное голосование - Выходная политика нод

John Smith

2 min read
Важное голосование - Выходная политика нод
Photo by Artem Beliaikin / Unsplash

Итак, началось очень важное голосование в ниме за выходную политику. В данном посте я постараюсь вкратце и доступно объяснить что это и почему операторам нод необходимо голосовать.

Микснет - это сеть внутри сети. Для ее работы необходимы ноды. Ноды располагаются на серверах по всему миру. Владелец/арендатор сервера отвечает за любой трафик, который покидает (выходит наружу) сервер. Следовательно, если мы предоставляем Ниму сервер, который покупаем/арендуем, то и мы отвечаем за весь трафик, который будет выходить из нашего сервера.

В Ниме существуют 3 типа нод:

  • Входные ноды - это как входные двери в дом/квартиру, через них трафик заходит из обычного Интернета в микснет.
  • Миксноды - эти ноды перемешивают трафик, большинство операторов запустили именно эти ноды. Они же наименее юридически проблемные.
  • Выходные ноды - любой трафик должен рано или поздно выйти обратно в Интернет, именно через эту ноду он выходит.

Теперь давайте подумаем. Входные ноды не должны создавать проблем, они всего лишь впускают трафик. Миксноды трафик перемешивают между собой, поэтому они так же не создают проблем. А вот с выходными нодами картина иная - именно они могут "подставить" оператора ноды под как минимум вопросы, как максимум - юридическую ответственность.

Ним принял уже проверенную позицию - выходная политика. В комьюнити уже давно ходят обсуждения какой подход к выходной политике наиболее оптимален. Тут необходим баланс между хорошим качеством сервиса и защитой операторов узлов от юридических последствий. Так же, не забывайте, что это постоянный процесс. Если со временем возникнет необходимость открыть/заблокировать какой-либо сервис, то обсуждение будет продолжено.

На данный момент Ним предлагает открыть следующие порты:

  • 22 # SSH - удаленный доступ к серверам
  • 123 # NTP - синхронизация времени
  • 445 # SMB file share Windows - порт для обмена файлами по протоколу SMB
  • 465 # URD for SSM - часто данный порт используется для зашифрованной отправки почты
  • 587 # SMTP - так же используется для отправки почты
  • 853 # DNS over TLS - шифрованный порт для доменных имен
  • 1433 # databases - базы данных
  • 1521 # databases - базы данных
  • 2049 # NFS - сетевая файловая система (передача файлов)
  • 3074 # Xbox Live - доступ к сервису игр от Майкрософт
  • 3306 # databases - базы данных
  • 5000-5005 # RTP / VoIP - звонки
  • 5432 # databases - базы данных
  • 6543 # databases - базы данных
  • 8080 # HTTP Proxies - стандартный порт для прокси
  • 8767 # TeamSpeak - передача голоса
  • 8883 # Secure MQ Telemetry Transport - MQTT over SSL - протокол обмена данными между устройствами
  • 9053 # Tari - я без понятия что это за порт)
  • 9339 # gaming - игры
  • 9443 # alternative HTTPS - альтернатива порту 443 (через него работает весь интернет)
  • 9735 # Lightning - лайтнинг нода биткоина
  • 25565 # Minecraft - игры, майнкрафт сервера
  • 27000-27050 # Steam and game servers - игры, доступ к сервису Стим
  • 60000-61000 # MOSH - продвинутый терминал Мош.

Из самого важного - почтовые порты 465, 587, они очень часто привлекают различные нарушения. То есть, пользователь микснета с некоторым негативным умыслом может отправить письмо, например, с угрозами и в заголовке письма будет зафиксирован IP адрес выходной ноды. Следовательно, оператор данной ноды рискует привлечь к себе внимание и получить уведомление о нарушении. Каждый провайдер серверов имеет свою политику на этот счет (Fair Use Policy, Acceptable Use Policy и т.д.), данную политику необходимо читать в обязательном порядке ДО того как вы установите выходную ноду Нима.

Лично мое мнение:

  • порт 22 было бы неплохо прикрыть, а SSH перенастроить на другой порт. Причина данной позиции в том, что очень многие пользователи сканируют диапазоны IP адрес именно на предмет 22 порта и потом начинают его брутфорсить (подбирать пароль). Следовательно, если они будут делать это через микснет, то это так же может привлечь внимание к оператору выходной ноды.
  • порт 25 - очень желательно прикрыть по причинам выше, очень часто этот порт абьюзят и рассылают разные непотребности.
  • порты 9001 и 9030 - данные порты позволят подключить микснет и Тор ("даркнет") в единую цепочку. В таком случае, отвественность за выход трафика переходит на оператора выходного узла Тор. Это не так уж плохо 😄

Обязательно голосуем и пишем свое мнение тут. Голосование продлится до конца июля 2024.