|
|
|
fnk2345
Стаж: 14 лет 6 месяцев Сообщений: 74
|
fnk2345 ·
03-Май-17 17:20
(7 лет 6 месяцев назад, ред. 03-Май-17 17:20)
Все намного проще 
Код:
/ip firewall filter add chain=forward action=drop tcp-flags=rst connection-state=established protocol=tcp src-address-list=anonce in-interface=wan src-port=443,80 packet-size=40-200
в адрес лист anonce добавляете анонсеры и сам рутрекер. В шапке это есть.
|
|
|
|
Moriturus
Стаж: 17 лет 1 месяц Сообщений: 420
|
Moriturus ·
03-Май-17 17:56
(спустя 35 мин.)
fnk2345
т.е. вы считаете, что у всех провайдеров блокировка работает именно через tcp reset?
|
|
|
|
fnk2345
Стаж: 14 лет 6 месяцев Сообщений: 74
|
fnk2345 ·
03-Май-17 18:37
(спустя 40 мин.)
Moriturus
у кого работает - можно пользоваться. Читал что у провайдеров нет технической возможности именно блокировать трафик все что они могут - досылать фейковые tcp rst и dns ответы. Возможно у многих и заработает. Я так понимаю вы являетесь "счастливчиком" у которого не завелось?
|
|
|
|
Moriturus
Стаж: 17 лет 1 месяц Сообщений: 420
|
Moriturus ·
03-Май-17 22:10
(спустя 3 часа)
fnk2345
Я являюсь счастливчиком, у которого всё сделано гораздо лучше чем любые костыли из этого треда, но вам спасибо за оригинальное предложение.
|
|
|
|
AJIJIADUH
Стаж: 14 лет 6 месяцев Сообщений: 913
|
AJIJIADUH ·
09-Май-17 11:05
(спустя 5 дней, ред. 09-Май-17 11:46)
как ни странно, при использовании px1.blockme.site трекеры выдавали ошибку 400
использовал прокси tproxy.us.to:20000 и всё заработало
|
|
|
|
Гуфыч
Стаж: 13 лет 9 месяцев Сообщений: 8923
|
Гуфыч ·
09-Май-17 11:21
(спустя 16 мин.)
AJIJIADUH писал(а):
73078308как ни странно, при использовании px1.blockme.site трекеры выдавали ошибку 400
Покажите трассировку
AJIJIADUH писал(а):
73078308прокси tproxy.us.to
порт?
|
|
|
|
AJIJIADUH
Стаж: 14 лет 6 месяцев Сообщений: 913
|
AJIJIADUH ·
09-Май-17 11:54
(спустя 33 мин., ред. 09-Май-17 11:54)
скрытый текст
Код:
Трассировка маршрута к px1.blockme.site [163.172.167.207]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс caypoh [10.1.1.1]
2 2 ms 1 ms 1 ms 94.178.111.109.sta.211.ru [109.111.178.94]
3 1 ms 4 ms 1 ms l-agg56-agg57.nsk.sibset.net [193.238.128.161]
4 1 ms <1 мс <1 мс l-cc30-core51.nsk.sibset.net [193.238.130.17]
5 <1 мс <1 мс 1 ms l-summit30-summit02.nsk.sibset.net [193.238.129.241]
6 * <1 мс <1 мс l-gw2-j2-summit30.nsk.sibset.net [89.189.190.189]
7 1 ms 1 ms <1 мс n5-i0.nsk.sibset.net [89.189.190.204]
8 <1 мс 1 ms <1 мс gw2-j2-pbr.211.ru [89.189.190.154]
9 1 ms 2 ms 1 ms ip-178-23-144-33.nsk-cod-mx960-1.megafon.ru [178.23.144.33]
10 3 ms 3 ms 3 ms 78.25.66.90
11 105 ms 104 ms 103 ms 10.222.54.125
12 * * * Превышен интервал ожидания для запроса.
13 102 ms 100 ms 100 ms 10.222.163.53
14 319 ms 100 ms 100 ms 10.222.177.165
15 101 ms 100 ms 100 ms 10.222.78.30
16 78 ms 79 ms 79 ms 83.169.204.82
17 100 ms 100 ms 99 ms 83.169.204.89
18 100 ms 100 ms 100 ms 80.249.212.93
19 111 ms 111 ms 111 ms bb1-ams1-bb1.dc3.poneytelecom.eu [195.154.1.217]
20 111 ms 111 ms 110 ms 195.154.1.39
21 * * * Превышен интервал ожидания для запроса.
22 * * * Превышен интервал ожидания для запроса.
23 * * * Превышен интервал ожидания для запроса.
24 * * * Превышен интервал ожидания для запроса.
25 * * * Превышен интервал ожидания для запроса.
26 * * * Превышен интервал ожидания для запроса.
27 * * * Превышен интервал ожидания для запроса.
28 * * * Превышен интервал ожидания для запроса.
29 * * * Превышен интервал ожидания для запроса.
30 * * * Превышен интервал ожидания для запроса.
|
|
|
|
ku-nu
Стаж: 11 лет 8 месяцев Сообщений: 30
|
ku-nu ·
18-Май-17 00:20
(спустя 8 дней)
NAS Dlink прошил Alt-F 0.1RC5
iptables ставится из гуя
Правила для iptables помогли, позеленело.
|
|
|
|
T-Rrexx
Стаж: 16 лет 6 месяцев Сообщений: 164
|
T-Rrexx ·
18-Май-17 10:09
(спустя 9 часов, ред. 18-Май-17 13:54)
В эту тему были перенесены сообщения [1 шт.] из  Блокировка bt* (обсуждение)
Гуфыч
Раз уж есть решение проблемы для роутеров с iptables, поделюсь аналогичным решением, но для роутеров Mikrotik (либо компов с RouterOS).
Итак, если у вас роутер Mikrotik
В терминале роутера (как получить к нему доступ легко найти в интернете) нужно ввести команду:
Цитата:
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=163.172.167.207 to-ports=3128 protocol=tcp dst-address=195.82.146.120/30 in-interface=<ваш_локальный_интерфейс> dst-port=80
Здесь <ваш_локальный_интерфейс> нужно заменить на имя интерфейса, к которому подключен компьютер. Посмотреть список интерфейсов можно командой /interface print
Прошу поместить эту информацию в инструкции по обходу блокировок, вдруг кому пригодится.
|
|
|
|
Ale][
Стаж: 17 лет 6 месяцев Сообщений: 24
|
Ale][ ·
25-Май-17 17:31
(спустя 7 дней)
Господа с микротиком. Я сейчас решил привести в порядок правила чуток и обратил внимание.
Почему при добавлении цепочки мы все делали
Код:
chain=dstnat action=dst-nat
Это же на входящие соединения, на сколько я понимаю.
И почему это работает?? Мой вариант, написанный на 1-й странице данной темы работает у меня уже 2 месяца.
Я переписал это дело на srcnat, перезапустил клиента, всё подключилось, но не вижу на микротике трафик по этому правилу.
Я отключил правило, перезапустил клиента и всё подключилось, попробовал подцепиться к http://bt.t-ru.org и увидел надпись "Файл удален по запросу РосКомНадзора". Троллинг, конечно, понятный, но получается данные доменные имена выкинуты из черного списка РКН?
Пробовал на 2-х провайдерах (НеваЛинк и Ростелеком).
Но всё же, кто-нибудь более грамотный в настройке NAT под mikrotik, разъясните, почему мы все делали dstnat и всё работало?
|
|
|
|
WireRat
Стаж: 14 лет 9 месяцев Сообщений: 1
|
WireRat ·
27-Май-17 09:34
(спустя 1 день 16 часов)
Код:
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=163.172.167.207 to-ports=3128 protocol=tcp dst-address=195.82.146.120/30 in-interface=[b]<ваш_локальный_интерфейс>[/b] dst-port=80
Предложенный метод заработал, благодарю.
|
|
|
|
mcmaster1
Стаж: 17 лет 3 месяца Сообщений: 945
|
mcmaster1 ·
27-Май-17 14:03
(спустя 4 часа)
Здравствуйте. у меня качалка в Nas Synology DS 212J как там обойти блокировку пир сервера?
Download station
|
|
|
|
Гуфыч
Стаж: 13 лет 9 месяцев Сообщений: 8923
|
Гуфыч ·
27-Май-17 20:30
(спустя 6 часов)
mcmaster1 писал(а):
73190521Nas Synology
Включите Vpn-центр для работы iptables
https://rutr.life/forum/viewtopic.php?p=72825637#72825637
|
|
|
|
T-Rrexx
Стаж: 16 лет 6 месяцев Сообщений: 164
|
T-Rrexx ·
29-Май-17 19:17
(спустя 1 день 22 часа)
Ale][ писал(а):
73180195Господа с микротиком. Я сейчас решил привести в порядок правила чуток и обратил внимание.
Почему при добавлении цепочки мы все делали
Код:
chain=dstnat action=dst-nat
Это же на входящие соединения, на сколько я понимаю.
И почему это работает?? Мой вариант, написанный на 1-й странице данной темы работает у меня уже 2 месяца.
Я переписал это дело на srcnat, перезапустил клиента, всё подключилось, но не вижу на микротике трафик по этому правилу.
Я отключил правило, перезапустил клиента и всё подключилось, попробовал подцепиться к http://bt.t-ru.org и увидел надпись "Файл удален по запросу РосКомНадзора". Троллинг, конечно, понятный, но получается данные доменные имена выкинуты из черного списка РКН?
Пробовал на 2-х провайдерах (НеваЛинк и Ростелеком).
Но всё же, кто-нибудь более грамотный в настройке NAT под mikrotik, разъясните, почему мы все делали dstnat и всё работало?
Я не специалист в области сетевых технологий (и пусть спецы меня поправят), но попробую ответить, как я это понимаю.
Action=dst-nat подменяет IP-адрес назначения (то есть трекера) в пакетах, которые удовлетворяют правилу. И это действие (action=dst-nat) работает только в цепочке dstnat (попробуйте сделать такое же правило, но с цепочкой srcnat - не получится), так как если chain=dstnat, то пакеты обрабатываются в цепочке PREROUTING (то есть пакеты, поступающие на маршрутизатор), а если chain=srcnat, то в цепочке POSTROUTING (то есть пакеты, уходящие с маршрутизатора).
|
|
|
|
Ale][
Стаж: 17 лет 6 месяцев Сообщений: 24
|
Ale][ ·
30-Май-17 11:04
(спустя 15 часов)
T-Rrexx
Да, в принципе, я уже тоже пришел к подобному виду.
Мы делаем dst-nat и подменяем адрес назначения с bt.t-ru... на ip прокси сервера. И пакет улетает не на bt.t-ru, а на наш прокси, но теперь мне не до конца понятно, как прокси понимает, что уже он должен перенаправить пакет на bt.t-ru. Ну не знаток я сетей, не мой профиль, хотя работает вся эта конструкция. Да и без конструкции, по крайней мере, мой провайдер не блочит, только что проверил.
|
|
|
|
T-Rrexx
Стаж: 16 лет 6 месяцев Сообщений: 164
|
T-Rrexx ·
30-Май-17 22:01
(спустя 10 часов, ред. 30-Май-17 22:01)
Ale][,
Думаю, что прокси (именно этот) перенаправляет все пакеты с порта 3128 (мы же на адрес 163.172.167.207:3128 обращаемся) на трекер.
|
|
|
|
александр-cot
Стаж: 13 лет 10 месяцев Сообщений: 2
|
александр-cot ·
02-Авг-17 13:47
(спустя 2 месяца 2 дня, ред. 02-Авг-17 13:47)
Код:
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=163.172.167.207 to-ports=3128 protocol=tcp dst-address=195.82.146.120/30 in-interface=<ваш_локальный_интерфейс> dst-port=80
Не зеленеют..... вставил вместо <ваш_локальный_интерфейс> ether1-gateway нет результата, ether2-master-local тоже
может символы какие пропустил? Если кто время найдёт подскажите. Зеленеют если только запустить рутрекер прокси - нагружает нетбук слегка , через маршрутизатор конечно веселее.
|
|
|
|
AJIJIADUH
Стаж: 14 лет 6 месяцев Сообщений: 913
|
AJIJIADUH ·
02-Авг-17 15:36
(спустя 1 час 49 мин., ред. 12-Авг-17 10:23)
Код:
/ip firewall nat
add action=dst-nat chain=dstnat comment=rutracker_bt dst-address-list=\
rutracker_bt dst-port=80 protocol=tcp src-address=<ваш локальный адрес, с которого отправляются пакеты торрента, например 10.1.1.3> to-addresses=\
<адрес прокси> to-ports=<порт прокси>
/ip firewall address-list
add address=195.82.146.120 comment="bt.t-ru.org; bt.rutracker.cc" list=\
rutracker_bt
add address=195.82.146.121 comment="bt2.t-ru.org; bt2.rutracker.cc" list=\
rutracker_bt
add address=195.82.146.122 comment="bt3.t-ru.org; bt3.rutracker.cc" list=\
rutracker_bt
add address=195.82.146.123 comment="bt4.t-ru.org; bt4.rutracker.cc" list=\
rutracker_bt
|
|
|
|
borskiy
Стаж: 16 лет 5 месяцев Сообщений: 51
|
borskiy ·
12-Авг-17 07:29
(спустя 9 дней, ред. 12-Авг-17 07:29)
А не проще ли блокировать перенаправление на заглушку?
Например так (для ростелекома):
/ip firewall filter add action=drop chain=forward content="warning.rt.ru" in-interface=RT protocol=tcp src-port=80
Практически у всех провайдеров используется пассивный DPI, и если блокировать ответ от него, следом придёт ответ от запрашиваемого сайта.
Способ работает не только на рутрекере, но вообще на всех блокируемых сайтах.
PS Если кто-то это уже здесь озвучивал, прошу прощенья. Желания перечитывать все посты нет никакого.
|
|
|
|
AJIJIADUH
Стаж: 14 лет 6 месяцев Сообщений: 913
|
AJIJIADUH ·
14-Авг-17 08:47
(спустя 2 дня 1 час)
borskiy писал(а):
73659878А не проще ли блокировать перенаправление на заглушку?
Например так (для ростелекома):
/ip firewall filter add action=drop chain=forward content="warning.rt.ru" in-interface=RT protocol=tcp src-port=80
Практически у всех провайдеров используется пассивный DPI, и если блокировать ответ от него, следом придёт ответ от запрашиваемого сайта.
Способ работает не только на рутрекере, но вообще на всех блокируемых сайтах.
PS Если кто-то это уже здесь озвучивал, прошу прощенья. Желания перечитывать все посты нет никакого.
отличная штука. спасибо.
вот только есть некоторые проблемки. например с флибусты книгу скачиваешь и всё равно перекидывает на заглушку, добавил в правило 443 порт, вообще перестало открываться или перекидывать на заглушку. что-нибудь можете посоветовать?
|
|
|
|
borskiy
Стаж: 16 лет 5 месяцев Сообщений: 51
|
borskiy ·
19-Авг-17 15:14
(спустя 5 дней, ред. 19-Авг-17 15:14)
AJIJIADUH писал(а):
с флибусты книгу скачиваешь и всё равно перекидывает на заглушку
Хм... Чем качате?
У мну DownloadMaster качает без проблем.
|
|
|
|
AJIJIADUH
Стаж: 14 лет 6 месяцев Сообщений: 913
|
AJIJIADUH ·
19-Авг-17 19:44
(спустя 4 часа)
borskiy писал(а):
73696942
AJIJIADUH писал(а):
с флибусты книгу скачиваешь и всё равно перекидывает на заглушку
Хм... Чем качате?
У мну DownloadMaster качает без проблем.
браузером ясен пень. сейчас бы меньше мб качать дмом
|
|
|
|
borskiy
Стаж: 16 лет 5 месяцев Сообщений: 51
|
borskiy ·
20-Авг-17 10:59
(спустя 15 часов)
Сейчас обнаружил, что прошивка 6.40.1 - дырявая.
Файервол в ней пропускает абсолютно всё, не обращая внимания ни на какие запретные правила.
Откатил до 6.38.7 - всё вернулось в норму.
AJIJIADUH, из огнелиса ПКМ-"сохранить объект как" - тоже прекрасно работает.
|
|
|
|
AJIJIADUH
Стаж: 14 лет 6 месяцев Сообщений: 913
|
AJIJIADUH ·
20-Авг-17 13:10
(спустя 2 часа 11 мин.)
borskiy писал(а):
73701307Сейчас обнаружил, что прошивка 6.40.1 - дырявая.
Файервол в ней пропускает абсолютно всё, не обращая внимания ни на какие запретные правила.
Откатил до 6.38.7 - всё вернулось в норму.
AJIJIADUH, из огнелиса ПКМ-"сохранить объект как" - тоже прекрасно работает.
ну значит ваш провайдер так хорошо блокирует
|
|
|
|
skyspirit2
Стаж: 15 лет 11 месяцев Сообщений: 14
|
skyspirit2 ·
20-Авг-17 20:32
(спустя 7 часов)
Друзья, а как прикрутить оный Proxy к Cisco ASA5506? Спасибо
|
|
|
|
rumviktor1
Стаж: 15 лет 10 месяцев Сообщений: 10
|
rumviktor1 ·
21-Авг-17 03:35
(спустя 7 часов)
Подскажите. А на Eltex NTP-RG-1402G-W:rev.C. Ростелеком.
|
|
|
|
6yHTapb
Стаж: 16 лет 3 месяца Сообщений: 178
|
6yHTapb ·
07-Сен-17 07:47
(спустя 17 дней)
вопрос МикроТик'оводам. вместо того, чтобы искать какие-то левые китайские прокси, почему бы просто не организоваться, не скинуться по 50р (нас не так уж и мало тут, как я погляжу) и не арендовать самый простенький VPS за бугром на год? вкорячить туда CHR и сделать свой веб-прокси для задачи, обсуждаемой здесь. бесплатной версии CHR для этого вполне хватит. кстати, пользоваться смогут же и не только МикроТик'оводы.
|
|
|
|
Гуфыч
Стаж: 13 лет 9 месяцев Сообщений: 8923
|
Гуфыч ·
07-Сен-17 08:35
(спустя 48 мин.)
6yHTapb
Есть два постоянных прокси в основных инструкциях.
|
|
|
|
Crosfield
Стаж: 16 лет 10 месяцев Сообщений: 595
|
Crosfield ·
12-Окт-17 23:50
(спустя 1 месяц 5 дней, ред. 12-Окт-17 23:50)
А какие есть подходы к обходу блокировки анонсера на Synology DS207+ c DSM 3.1? Версия 3.1 - последняя из возможных на этом NAS. Здесь нет возможности поставить пакеты из репозиториев, все доппакеты ставятся только вручную (и еще попробуй найди пакеты под 88f5281 архитектуру).
Команда iptables -t nat ... на нем не работает
Код:
DS> iptables -t nat -A OUTPUT -p tcp -m tcp --dport 80 -d 195.82.146.120/30 -j DNAT --to-destination 163.17
2.167.207:3128
iptables v1.4.2: Unknown arg `(null)'
Try `iptables -h' or 'iptables --help' for more information.
Вероятно на этой версии вообще нет таблицы nat
Код:
DS> iptables -t nat -L
iptables v1.4.2: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Как я понял команда insmod позволяет подключить нужные модули. Однако какие?
Вот список всех модулей из /lib/modules
Код:
appletalk.ko
crc-ccitt.ko
crc32c.ko
ehci-hcd.ko
exportfs.ko
fat.ko
fuse.ko
ip_conntrack.ko
ip_nat.ko
ip_tables.ko
ipt_REDIRECT.ko
ipt_multiport.ko
ipt_state.ko
iptable_filter.ko
iptable_nat.ko
iscsi_trgt.ko
isofs.ko
libcrc32c.ko
llc.ko
nfsd.ko
ohci-hcd.ko
ppp_async.ko
ppp_generic.ko
psnap.ko
quota_v2.ko
rt2870sta.ko
sg.ko
slhc.ko
snd-hwdep.ko
snd-mixer-oss.ko
snd-page-alloc.ko
snd-pcm-oss.ko
snd-pcm.ko
snd-rawmidi.ko
snd-seq-device.ko
snd-timer.ko
snd-usb-audio.ko
snd-usb-lib.ko
snd.ko
soundcore.ko
synobios.ko
tun.ko
udf.ko
uhci-hcd.ko
usb-storage.ko
usbcore.ko
usbhid.ko
usblp.ko
vfat.ko
zlib_inflate.ko
Прошу помощи, поскольку на этом мои знания о *NIX заканчиваются.
|
|
|
|
Гуфыч
Стаж: 13 лет 9 месяцев Сообщений: 8923
|
Гуфыч ·
13-Окт-17 05:38
(спустя 5 часов)
Crosfield писал(а):
74004080Однако какие?
ip_nat.ko для начала, а вообще установленный openvpn подтягивает нужные зависимости.
|
|
|
|
