|
|
|
Dicrock
Стаж: 13 лет 1 месяц Сообщений: 1174
|
Dicrock ·
21-Апр-25 23:32
(2 месяца 3 дня назад)
21-го на ТСПУ что-то накрутили, старая стратегия с фейком tls_clienthello_www_google_com.bin на РТ сломалась. Попробую покрутить dpi-desync-repeats, но сомневаюсь, что поможет. При этом ещё и почтовый клиент (не гугловский) перестал гуглопочту нормально загружать при включённом nfqws, хотя imap.gmail.com и smtp.gmail.com в блеклисте нет. Буду смотреть, по каким хостам он там ходит ...
|
|
|
|
kx77
Стаж: 12 лет 6 месяцев Сообщений: 824
|
kx77 ·
22-Апр-25 09:21
(спустя 9 часов)
Судя по отрывочным сведениям, они как-то стали сечь разницу в TTL у фейков и не фейков.
Может помочь отказ от TTL ограничителей.
Так же стоит отказаться от фиксированного фейка, а вместо него --dpi-desync-fake-tls-mod=rnd,dupsid,sni=www.google.com
|
|
|
|
general_alias
Стаж: 16 лет 1 месяц Сообщений: 90
|
general_alias ·
23-Апр-25 05:47
(спустя 20 часов)
Гениально... и что за пёс его в uBlock внёс
Код:
uBlock Origin предотвратил загрузку следующей страницы:
https://github.com/bol-van/zapret/releases/download/v70.6/zapret-v70.6.zip
Из-за следующего фильтра
||github.com/bol-van/zapret/releases/download/v70.6/zapret-v70.6.zip^$document
Найден в:
Online Malicious URL Blocklist
в фильтре одна строка на архив
||github.com/bol-van/zapret/releases/download/v70.6/zapret-v70.6.zip^$all
|
|
|
|
RogerWilko
Стаж: 15 лет 3 месяца Сообщений: 11658
|
RogerWilko ·
23-Апр-25 12:20
(спустя 6 часов)
general_alias писал(а):
87687908Online Malicious URL Blocklist
Этот фильтр надо отключать целиком.
|
|
|
|
Vladik-polosatik
Стаж: 14 лет 4 месяца Сообщений: 754
|
Vladik-polosatik ·
23-Апр-25 15:40
(спустя 3 часа)
kx77 писал(а):
они как-то стали сечь разницу в TTL у фейков и не фейков.
Может помочь отказ от TTL ограничителей.
Так же стоит отказаться от фиксированного фейка
Пару дней назад всё открывалось, сегодня же с утра не мог зайти на Рутрекер и другие запрещенные и заблокированные РКН сайты. В Хроме и Лисе пишется "подключение не защищено" и сайты открываются только с помощью VPN.
Сейчас в Запрете удалил в профилях все строчки с autottl и вроде заработало.
Я так понимаю сертификаты Минцифры на компе лучше удалить?
|
|
|
|
Dicrock
Стаж: 13 лет 1 месяц Сообщений: 1174
|
Dicrock ·
24-Апр-25 11:34
(спустя 19 часов)
kx77 писал(а):
87683951Судя по отрывочным сведениям, они как-то стали сечь разницу в TTL у фейков и не фейков.
Может помочь отказ от TTL ограничителей.
Так же стоит отказаться от фиксированного фейка, а вместо него --dpi-desync-fake-tls-mod=rnd,dupsid,sni=www.google.com
TTL-ограничителей не было, попробую стратегии без фиксированного фейка
Vladik-polosatik писал(а):
Я так понимаю сертификаты Минцифры на компе лучше удалить?
Их вообще нельзя ставить.Они компромметируют ваш https - трафик вплоть до его дешифровки или mitm'a. Нужен сбер и прочие - врубайте игнор ошибок сертификатов или юзайте я-браузер чисто под эти сайты (как вариант отдельный профиль фокса с теми самыми сертификатами)
|
|
|
|
C1eriC
Стаж: 17 лет 3 месяца Сообщений: 255
|
C1eriC ·
24-Апр-25 12:03
(спустя 28 мин.)
До 21 апр у меня работал preset_russia.cmd из zapret от 12 фев. Сейчас не работает ни со старым, ни с последним zapret 70.6. Есть варианты исправленных стратегий, которые работают в текущих условиях? Что заменить на что?
|
|
|
|
Dicrock
Стаж: 13 лет 1 месяц Сообщений: 1174
|
Dicrock ·
25-Апр-25 16:02
(спустя 1 день 3 часа, ред. 25-Апр-25 16:02)
Что интересно, с fakedsplit синтетику (curl) проходит на ура, а браузеры буксуют. Эксперементирую дальше. В процессе тестов напоролся на не старт nfqws в режиме демона. Внешне никаких ошибок не было (всё запускалось ручками) и запуск вроде как проходил, но процесса в списке процессов не было
скрытый текст
Код:
root@localhost:~#nfqws --qnum=200 --dpi-desync=fakedsplit --hostlist=/data/tmp/nfqws/government-blacklist.txt --daemon
github version v70.6 (58e73d0331021aad9a8280c16f2db34f8ca2a05d)
we have 1 user defined desync profile(s) and default low priority profile 0
Loading hostlist /data/tmp/nfqws/government-blacklist.txt
loading plain text list
Loaded 121058 hosts from /data/tmp/nfqws/government-blacklist.txt
root@localhost:~#ps|grep nfq
12424 0 0:00 grep nfq
запустил foreground - режиме
скрытый текст
Код:
root@localhost:~#nfqws --qnum=200 --dpi-desync=fakedsplit --hostlist=/data/tmp/nfqws/government-blacklist.txt
github version v70.6 (58e73d0331021aad9a8280c16f2db34f8ca2a05d)
we have 1 user defined desync profile(s) and default low priority profile 0
Loading hostlist /data/tmp/nfqws/government-blacklist.txt
loading plain text list
Loaded 121058 hosts from /data/tmp/nfqws/government-blacklist.txt
Running as UID=2147483647 GID=2147483647
file_open_test: Permission denied
cannot access hostlist file '/data/tmp/nfqws/government-blacklist.txt'
и вуаля, ошибка таки нарисовалась. А что у на с там с правами на блеклист ? А права вот такие
скрытый текст
Код:
root@localhost:~#ll '/data/tmp/nfqws/government-blacklist.txt'
-rw------- 1 0 0 1.8M 2025.04.25 16:15:05 /data/tmp/nfqws/government-blacklist.txt
Т.е. утилите запущенной от рута не нравятся права на файл с доступом к нему от рута (600). Ну ОК, чё. Выставил 644 и всё завелось. Ранее такой проблемы не было (пришлось корректировать апдейтер, чтобы права выставлял).
Итого.
1. Запуск в режиме демона должен тоже давать выхлоп по ошибкам
2. nfqws (и прочие утилиты), запускаемый из под рута не должен иметь проблем с доступом к файлам у которых прописан доступ только от рута 
|
|
|
|
kx77
Стаж: 12 лет 6 месяцев Сообщений: 824
|
kx77 ·
26-Апр-25 07:46
(спустя 15 часов)
после демонизации никаких ошибок не будет если нет дебага куда-то еще
nfqws сбрасывает права рутовые. это надо учитывать
|
|
|
|
Dicrock
Стаж: 13 лет 1 месяц Сообщений: 1174
|
Dicrock ·
27-Апр-25 06:14
(спустя 22 часа, ред. 27-Апр-25 06:14)
kx77 писал(а):
87701832после демонизации никаких ошибок не будет если нет дебага куда-то еще
А демонизацию разве нельзя сделать, если инициализация прошла без ошибок ? Валятся ошибки, плюём их в stderr и не запускаем ? Не ? Речь не про отладку постфактум, а про корректный запуск.
kx77 писал(а):
87701832nfqws сбрасывает права рутовые. это надо учитывать
На 69.9 и до таких проблем (с доступом к файлам) не было. Это появилось в недавних билдах.
upd: На МТС'е тоже фиксированные фейки сломали. При этом для остальных сайтов начальная стратегия обхода работает. Т.е. целенаправленно поломали обход ютуба. В РКН там явно приоритет на видеохостинге.
|
|
|
|
kx77
Стаж: 12 лет 6 месяцев Сообщений: 824
|
kx77 ·
27-Апр-25 07:26
(спустя 1 час 12 мин.)
в новых сделана проверка на доступность листов после сброса прав
в старых ошибки пошли бы при перегрузке листа
потому сделал тест чтобы сразу выявлять проблему.
большинство ошибок выявляется до демонизации и сброса рута, но не эта.
так код написан.
есть общая часть для всех ос
дропа рута нет
демонизация здесь
потом вызов частной части для ос
инициализация привилегированного
сброс прав, проверка листов
|
|
|
|
vlad_ns
Стаж: 15 лет 3 месяца Сообщений: 1813
|
vlad_ns ·
01-Май-25 08:50
(спустя 4 дня)
По поводу замедления/блокировки cloudflare. Где-то недели с полторы назад, перестали работать сайты, на нём расположенные, типа askubuntu, serverfault и др, по оформления похожие на эти. Даже расширение firefox ip address and domain information, через которое можно узнать где и на чём расположен сайт, перестало это делать. Всё решилось достаточно просто, добавлял сайты к списку заблокированным (к основной стратегии для списка заблокированных), по мере нахождения таких и они начинали работать. Но осталась одна проблемка. Некоторые сайты подтягивают что-то из cdnjs.cloudflare.com, он по прежнему "тормозится" и пока я не смог это исправить. Похожая картина с hetzner.
|
|
|
|
kx77
Стаж: 12 лет 6 месяцев Сообщений: 824
|
kx77 ·
01-Май-25 20:12
(спустя 11 часов)
Кому как повезло. На моих провайдерах ничего не изменилось.
Кто-то даже PRил кастом для диапазонов CF, но я отказался его принимать, поскольку нет универсальной таблетки
|
|
|
|
vlad_ns
Стаж: 15 лет 3 месяца Сообщений: 1813
|
vlad_ns ·
08-Май-25 20:41
(спустя 7 дней)
Цитата:
на 9-е мая в Москве и ряде других городов власти могут пойти по «белорусскому» сценарию с полным отключением связи. Как и во время протестов в РБ на праздник в Москве ожидается полное отключение сотовой связи, мобильного и домашнего интернета. К такому были заранее подготовлены все операторы сотовой связи, а также интернет-провайдеры. Ожидается, что ни покупка симкарт, ни наличие VPN, ни какие-либо другие «обходные пути» не дадут возможности установить привычную связь.
|
|
|
|
hovard2008
Стаж: 16 лет 2 месяца Сообщений: 174
|
hovard2008 ·
22-Май-25 18:13
(спустя 13 дней)
Протестировал blockcheck-ом сайт phpmyadmin.net, ни одной рабочей стратегии не нашло, в браузере сайт не открывается.
ipv4 phpmyadmin.net curl_test_https_tls12 : working without bypass
ipv4 phpmyadmin.net curl_test_https_tls13 : tpws not working
ipv4 phpmyadmin.net curl_test_https_tls13 : nfqws not working
в основном такие ошибки curl: (35) error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version.
Этот сайт заинтересовал потому что он как-то связан с работой snowflake в тор браузере который перестал работать. Блокировку snowflake можно обойти с помощью zapret-а?
|
|
|
|
kx77
Стаж: 12 лет 6 месяцев Сообщений: 824
|
kx77 ·
22-Май-25 20:21
(спустя 2 часа 7 мин.)
Здесь нет блокировки. Сайт не поддерживает TLS 1.3
С VPS тоже самое, если дергать по 1.3
|
|
|
|
hovard2008
Стаж: 16 лет 2 месяца Сообщений: 174
|
hovard2008 ·
22-Май-25 21:43
(спустя 1 час 21 мин.)
Понижение максимальной версии tls до 1.2 не помогает открыть сайт. С включенным vpn сайт открывается и с tls1.3 (Если судить по Connection information в firefox).
|
|
|
|
kx77
Стаж: 12 лет 6 месяцев Сообщений: 824
|
kx77 ·
23-Май-25 09:44
(спустя 12 часов, ред. 23-Май-25 09:44)
С vps в NL :
Код:
$ curl --tlsv1.3 https://phpmyadmin.net
curl: (35) TLS connect error: error:0A00042E:SSL routines::tlsv1 alert protocol version
$ curl --tls-max 1.2 https://phpmyadmin.net
<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx</center>
</body>
</html>
curl дергает phpmyadmin.net нормально, но броузеры виснут
по шарку видно, что handshake проходит, небольшой обмен данными и дальше блок
не сразу то есть
blockcheck такое не сможет распознать, тк curl срабатывает
это похоже на издевательство над некоторыми хостингами, о которых пишут время от времени на ntc
по диапазону IP то есть, и вероятно не связано с SNI.
то есть мы вам всем нагадим, а вы будете доказывать, что у вас хостинг не г-но (перебирайтесь в Россию)
а кто попал под раздачу заодно, так нам пофиг
|
|
|
|
general_alias
Стаж: 16 лет 1 месяц Сообщений: 90
|
general_alias ·
23-Май-25 23:13
(спустя 13 часов)
у меня phpmyadmin стал открываться в браузере после прикладывания "подорожника" к очередному cdn - https://www.cdn77.com/
phpmyadmin дёргает цдн адрес вида - многоцифЫр.sto.cdn77.com
роскомЗабор не хочет отставать от cdn, сперва клауд теперь вот до двух топоров добрались.
|
|
|
|
Ligre 2.0
Стаж: 13 лет 1 месяц Сообщений: 59
|
Ligre 2.0 ·
24-Май-25 06:05
(спустя 6 часов)
Подскажите, какая стратегия используется в программе Launcher for Zapret v2.7 для Youtube Option 1?
Или как это узнать можно?
Перепробовал YTDisBystro и zapret-discord-youtube, но нашел рабочую только в лаунчере.
|
|
|
|
general_alias
Стаж: 16 лет 1 месяц Сообщений: 90
|
general_alias ·
24-Май-25 08:16
(спустя 2 часа 11 мин.)
Ligre 2.0 писал(а):
87815190Подскажите, какая стратегия используется в программе Launcher for Zapret v2.7 для Youtube Option 1?
Или как это узнать можно?
Перепробовал YTDisBystro и zapret-discord-youtube, но нашел рабочую только в лаунчере.
по поводу Launcher for Zapret писать сюда - https://topersoft.com/ в правом нижнем углу страницы контакты (почта и телега).
|
|
|
|
vlad_ns
Стаж: 15 лет 3 месяца Сообщений: 1813
|
vlad_ns ·
24-Май-25 09:51
(спустя 1 час 35 мин.)
general_alias писал(а):
87814452у меня phpmyadmin стал открываться в браузере после прикладывания "подорожника" к очередному cdn - https://www.cdn77.com/
phpmyadmin дёргает цдн адрес вида - многоцифЫр.sto.cdn77.com
Через прокси открывается, но в инструментах разработчика указанный вами cdn отсутствует, всё грузится с www.phpmyadmin.net
|
|
|
|
SPV82
Стаж: 17 лет 2 месяца Сообщений: 214
|
SPV82 ·
24-Май-25 12:51
(спустя 3 часа, ред. 24-Май-25 12:51)
vlad_ns писал(а):
Через прокси открывается, но в инструментах разработчика указанный вами cdn отсутствует, всё грузится с www.phpmyadmin.net
Код:
$ dnsq -Rw A www.phpmyadmin.net
1115546720.rsc.cdn77.org. 5s A 185.76.9.12 (AS60068 Datacamp Limited (CDN77 / DataPacket)) (542439394.sto.cdn77.com.)
1115546720.rsc.cdn77.org. 5s A 185.76.9.27 (AS60068 Datacamp Limited (CDN77 / DataPacket)) (591508989.sto.cdn77.com.)
www.phpmyadmin.net. 2h59m50s CNAME 1115546720.rsc.cdn77.org.
|
|
|
|
vlad_ns
Стаж: 15 лет 3 месяца Сообщений: 1813
|
vlad_ns ·
25-Май-25 00:15
(спустя 11 часов, ред. 25-Май-25 00:15)
SPV82
Ну не знаю, я сайты браузером смотрю и у меня вот так:
А вообще, через nfqws сайт открывается.
|
|
|
|
Dicrock
Стаж: 13 лет 1 месяц Сообщений: 1174
|
Dicrock ·
05-Июн-25 21:54
(спустя 11 дней)
Забугорные сервера GGC блочатся явно иначе, нежели локальные. Это отлично видно на примере сервисов скачивания/получения ссылок с ютуба. С "местными" GGC при использовании обхода через запрет проблем нет, а вот под "забугорные" надо снова подбирать стратегию. Нда. Хосты для примера
скрытый текст
Код:
rr8---sn-gxuo03g-3c2e.googlevideo.com
rr5---sn-gxuo03g-3c2e.googlevideo.com
rr2---sn-gxuo03g-3c2l.googlevideo.com
rr1---sn-gxuo03g-3c2l.googlevideo.com
rr1---sn-gxuo03g-3c2l.googlevideo.com
rr2---sn-gxuo03g-3c2l.googlevideo.com
rr1---sn-gxuo03g-3c2l.googlevideo.com
|
|
|
|
vlad_ns
Стаж: 15 лет 3 месяца Сообщений: 1813
|
vlad_ns ·
06-Июн-25 23:42
(спустя 1 день 1 час)
Dicrock писал(а):
87863371Забугорные сервера GGC блочатся явно иначе
А в какой момент у вас используются забугорные?
|
|
|
|
SPV82
Стаж: 17 лет 2 месяца Сообщений: 214
|
SPV82 ·
07-Июн-25 19:56
(спустя 20 часов, ред. 07-Июн-25 19:56)
Dicrock писал(а):
87863371С "местными" GGC при использовании обхода через запрет проблем нет, а вот под "забугорные" надо снова подбирать стратегию.
У меня если в сети провайдера нет, то цепляется к московскому серваку ттк или самого гугла. Не совсем понятно как зафорсить чтобы из-за бугра было.
|
|
|
|
vlad_ns
Стаж: 15 лет 3 месяца Сообщений: 1813
|
vlad_ns ·
07-Июн-25 22:35
(спустя 2 часа 39 мин.)
SPV82
Как мне кажется, только через прокси, поэтому тоже возник такой вопрос. А если через прокси, то запрет не понадобится.
|
|
|
|
Dicrock
Стаж: 13 лет 1 месяц Сообщений: 1174
|
Dicrock ·
08-Июн-25 14:56
(спустя 16 часов, ред. 08-Июн-25 14:56)
vlad_ns писал(а):
А в какой момент у вас используются забугорные?
Дык я вроде ж указал
Цитата:
Это отлично видно на примере сервисов скачивания/получения ссылок с ютуба.
Сервис, который получает ссылку на "себя" выдавая её потом конечному пользователю. "Получалки" ссылок, отрабатывающие локально на базе JS я не рассматривпл в данном случае.
|
|
|
|
vlad_ns
Стаж: 15 лет 3 месяца Сообщений: 1813
|
vlad_ns ·
08-Июн-25 22:20
(спустя 7 часов, ред. 08-Июн-25 22:20)
Dicrock писал(а):
87872179Дык я вроде ж указал
Я не пользуюсь этим, поэтому связи не увидел.
Dicrock писал(а):
87872179Сервис, который получает ссылку на "себя" выдавая её потом конечному пользователю.
Ну это чем-то отличается, от запросов браузера? Всё равно не понятно.
Просто я подразумеваю что любая программа, которая что-то "получает" из интернета, делает это образно так же как и браузер, выполняя те или иные запросы. Когда я проксирую домен оканчивающийся на ".youtube.com" (в определениях privoxy), то само видео я получаю всё равно с тех же googlevideo.com доменов, что и без проксирования. Чтобы например получить "забугорные" googlevideo.com, нужно ещё и его проксировать, но в этом случае nfqws не потребуется и блочиться не будут. Другого способа я не знаю.
|
|
|
|
