Это IP. С IP всё сравнительно просто в "обычных" случаях. Мне интересно поведение приложения, если случится на NAT изменение source port, которое в случае с docker носит вероятностный характер.

Код берёт его из getsockname(). Но из этого следует, что MTProxy адекватно работать не должна за почти любым NAT, в том числе и за докерным. А она вроде как работает.
Надо проверить что ли :-)

Почитал. "Проверяет". Но используется не ip:port "сервиса", а ip:port исходящего соединения mtproto proxy в сторону middle proxy.

в формировании ключа участвуют номера портов обеих узлов

А проверяет ли middleProxy то, что по переданному IP:port слушает именно этот сервис?

А что говорят про IP этого VPS разные боты с https://usher2.club/ ?

Это правда. Тот же самый meet.jit.si был какое-то время разломан. Предположительно, из-за амазона.

В данном случае магии не было. После срабатывания MTProto "триггера" пара ${IP}:${TCP_port} отправлялась в бан на час-другой. Заикания такая упячка вызывать не должна была.

Это должны поддерживать и клиент и сервер. Теоретически ещё можно устраивать случайную фрагментацию запросов (в духе GoodbyeDPI имени ValdikSS), в этом случае будет достаточно поддержки на клиенте.

Я не успел ночью проверить, работает ли фрагментация. К утру эту подпольную DPI-лабораторию уже "сожгли" — автоблокировка была отключена. Мне не очень понятно, было это сделано специально или по какой-то случайности.

Я, кажется, ответил комментарием выше на вопрос "почему?"

Не знаю. Спросите лучше у самого Димы или у его жены. :-)

Хостить выходную ноду дома в России — да, это перебор для обычного пользователя инета. Как минимум стоит уметь читать текст на мой взгляд.
Хостить обычный промежуточный релей или мост — почему бы и нет.

Технически, конечно, могу — но не хочу :-)

Я считаю, что это ответная шутка, т.к. выносились они будто бы не одной выгрузкой, а двумя разными.

Вкратце — внедрением разных вариаций на тему DPI у провайдеров. Разработкой сообществом, покупкой у вендоров, внедрением… Всё за деньги с клиентов.

Вот только при переезде ссылки с #anchor поломались, как минимум — на комментарии. Их бы через javascript-based редирект сделать было б возможно (если базу ещё не дропнули), но может быть не очень тривиально...

Пост, кстати, переехал на habr с geektimes с поломкой ссылок. Поэтому приходится обновлять ссылку "сделать так" отдельным комментарием :-/

что делать… есть выходная нода с русским айпи

1. не хостить выходную ноду дома (в надежде, что сервер обесточат раньше, чем придут домой с обыском, что даст время на какие-то реакции)
2. иметь телефон юриста в записной книжке и проконсультироваться с ним заранее
3. спросить других операторов, например stargrave2, про их опыт и действия

припишут хулиганку

Я старался сделать так, чтоб даже суд с потенциальным приписыванием хулиганки к обсуждаемому инциденту превратился в "шапито по фактам". Надеюсь, впрочем, проверять не получится.

А если DNS-атака выведет из строя… доказать могут

Конечно. Поэтому если цели хулиганские — то заметать следы всячески начинает иметь смысл. Я же говорю:

У меня ничего нигде не скрыто намеренно — шутка сия ничего сломать не должна, но вдруг сломает. Пусть уж лучше будет прозрачным образом написана почта и телефон, чтоб я быстро мог её потушить в случае проблем.

А вот глушить интернет-магазины конкурентов для клиентов по всей России так уже не получится. Ну по крайней мере — тривиальным образом не должно. Тут, кажется, провайдеры потратили кучу инженеро-часов, чтоб это не было возможным. По своей инициативе или по наказу РКН? Этого не знаю. Тут лучше провайдеров спрашивать.

Может и 6, может и дюжина — смотря как считать.