Skip to content

node-accelerator v3.4 + v3.5 (proxyware self-audit · CT_EST_TIMEOUT · SYNPROXY note)#13

Merged
jestivald merged 2 commits into
mainfrom
v3.5-fleet-update
Jun 26, 2026
Merged

node-accelerator v3.4 + v3.5 (proxyware self-audit · CT_EST_TIMEOUT · SYNPROXY note)#13
jestivald merged 2 commits into
mainfrom
v3.5-fleet-update

Conversation

@jestivald

Copy link
Copy Markdown
Owner

node-accelerator v3.4 + v3.5

Закрывает накопленную локальную ветку (v3.4) + мелкий тюнинг-апдейт (v3.5). Поведение по умолчанию НЕ меняется — новые ручки opt-in, дефолты = прежние значения.

v3.5 — CT_EST_TIMEOUT + SYNPROXY note

  • optimize: nf_conntrack_tcp_timeout_established вынесен из хардкода в ENV CT_EST_TIMEOUT (сек, дефолт 7440 — без изменения поведения). Валидируется (120…432000, иначе дефолт) и персистится в optimize.conf (ре-ран без ENV не сбрасывает). idle-туннели/мосты без частого keepalive могут поднять (напр. 14400=4ч); ноды под флуд-профилем — дефолт (агрессивнее реклеймит брошенные / connect-and-hold established).
  • protect/README: SYNPROXY задокументирован как избыточный на VPN-relay — анти-спуф уже дают tcp_syncookies=1 + per-IP ct-лимиты, а издержки (be_liberal, поломка TFO, per-packet overhead) не оправданы; против connect-and-hold / PPS не помогает. Остаётся opt-in, default off.

v3.4 — na-report --proxyware (read-only self-audit)

  • Новый режим: сигнатуры residential-proxy / proxyware-SDK (в процессах/юнитах/cron/файлах/docker-образах) + ESTABLISHED-коннекты к C2 proxyware + внешние listener'ы; вердикт clean|suspect, --json. Доказательная база под abuse-тикеты хостеров. Generic «proxy» не матчим (чтобы не ловить сам xray/VLESS).

Проверки

  • shellcheck --severity=error — чисто; bash -n — чисто (локально).
  • Полный CI прогонится здесь (shellcheck-gate + multi-distro smoke: bookworm/trixie/ubuntu22.04/24.04 + DRY_RUN/persist/rollback).

jestivald and others added 2 commits June 24, 2026 18:37
…SDK)

Read-only proof that a node is not a residential proxy and carries no
bandwidth-monetization SDK — evidence to answer hoster abuse tickets.

- signature scan (IPIDEA/PacketSDK/Honeygain/EarnApp/Peer2Profit/...) across
  processes, systemd units, cron, files and docker images
- established connections to known proxyware C2 (resolve domains -> match ESTABLISHED)
- external-facing listeners (operator context)
- verdict clean|suspect; `--proxyware --json` emits one object (CI single-line safe)
- signatures are product names only; generic "proxy" is NOT matched, so the
  node's own xray/VLESS does not false-positive

Tested on a live node: bash -n + shellcheck clean, verdict=clean, JSON one line.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
- optimize: nf_conntrack_tcp_timeout_established вынесен в ENV CT_EST_TIMEOUT
  (default 7440 без изменения поведения; валидируется 120..432000; персистится
  в optimize.conf — ре-ран без ENV не сбрасывает). idle-туннели/мосты могут ↑.
- protect/README: SYNPROXY задокументирован как избыточный на VPN-relay
  (syncookies + per-IP ct-лимиты уже дают анти-спуф); остаётся opt-in/default-off.
- CHANGELOG: v3.5.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
@jestivald jestivald merged commit 843ca85 into main Jun 26, 2026
5 checks passed
@jestivald jestivald deleted the v3.5-fleet-update branch June 26, 2026 21:19
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

None yet

Projects

None yet

Development

Successfully merging this pull request may close these issues.

1 participant