Обход для роутеров Микротик и NAS

Страницы :   Пред.  1, 2, 3, 4 ... 11, 12, 13  След.
Ответить
 

fnk2345

Стаж: 14 лет 6 месяцев

Сообщений: 74


fnk2345 · 03-Май-17 17:20 (7 лет 6 месяцев назад, ред. 03-Май-17 17:20)

Все намного проще
Код:
/ip firewall filter add chain=forward action=drop tcp-flags=rst connection-state=established protocol=tcp src-address-list=anonce in-interface=wan src-port=443,80 packet-size=40-200
в адрес лист anonce добавляете анонсеры и сам рутрекер. В шапке это есть.
[Профиль]  [ЛС] 

Moriturus

Стаж: 17 лет 1 месяц

Сообщений: 420

Moriturus · 03-Май-17 17:56 (спустя 35 мин.)

fnk2345
т.е. вы считаете, что у всех провайдеров блокировка работает именно через tcp reset?
[Профиль]  [ЛС] 

fnk2345

Стаж: 14 лет 6 месяцев

Сообщений: 74


fnk2345 · 03-Май-17 18:37 (спустя 40 мин.)

Moriturus
у кого работает - можно пользоваться. Читал что у провайдеров нет технической возможности именно блокировать трафик все что они могут - досылать фейковые tcp rst и dns ответы. Возможно у многих и заработает. Я так понимаю вы являетесь "счастливчиком" у которого не завелось?
[Профиль]  [ЛС] 

Moriturus

Стаж: 17 лет 1 месяц

Сообщений: 420

Moriturus · 03-Май-17 22:10 (спустя 3 часа)

fnk2345
Я являюсь счастливчиком, у которого всё сделано гораздо лучше чем любые костыли из этого треда, но вам спасибо за оригинальное предложение.
[Профиль]  [ЛС] 

AJIJIADUH

Старожил

Стаж: 14 лет 6 месяцев

Сообщений: 913

AJIJIADUH · 09-Май-17 11:05 (спустя 5 дней, ред. 09-Май-17 11:46)

как ни странно, при использовании px1.blockme.site трекеры выдавали ошибку 400
использовал прокси tproxy.us.to:20000 и всё заработало
[Профиль]  [ЛС] 

Гуфыч

VIP (Заслуженный)

Стаж: 13 лет 9 месяцев

Сообщений: 8923

Гуфыч · 09-Май-17 11:21 (спустя 16 мин.)

AJIJIADUH писал(а):
73078308как ни странно, при использовании px1.blockme.site трекеры выдавали ошибку 400
Покажите трассировку
AJIJIADUH писал(а):
73078308прокси tproxy.us.to
порт?
[Профиль]  [ЛС] 

AJIJIADUH

Старожил

Стаж: 14 лет 6 месяцев

Сообщений: 913

AJIJIADUH · 09-Май-17 11:54 (спустя 33 мин., ред. 09-Май-17 11:54)

скрытый текст
Код:

Трассировка маршрута к px1.blockme.site [163.172.167.207]
с максимальным числом прыжков 30:
  1    <1 мс    <1 мс    <1 мс  caypoh [10.1.1.1]
  2     2 ms     1 ms     1 ms  94.178.111.109.sta.211.ru [109.111.178.94]
  3     1 ms     4 ms     1 ms  l-agg56-agg57.nsk.sibset.net [193.238.128.161]
  4     1 ms    <1 мс    <1 мс  l-cc30-core51.nsk.sibset.net [193.238.130.17]
  5    <1 мс    <1 мс     1 ms  l-summit30-summit02.nsk.sibset.net [193.238.129.241]
  6     *       <1 мс    <1 мс  l-gw2-j2-summit30.nsk.sibset.net [89.189.190.189]
  7     1 ms     1 ms    <1 мс  n5-i0.nsk.sibset.net [89.189.190.204]
  8    <1 мс     1 ms    <1 мс  gw2-j2-pbr.211.ru [89.189.190.154]
  9     1 ms     2 ms     1 ms  ip-178-23-144-33.nsk-cod-mx960-1.megafon.ru [178.23.144.33]
10     3 ms     3 ms     3 ms  78.25.66.90
11   105 ms   104 ms   103 ms  10.222.54.125
12     *        *        *     Превышен интервал ожидания для запроса.
13   102 ms   100 ms   100 ms  10.222.163.53
14   319 ms   100 ms   100 ms  10.222.177.165
15   101 ms   100 ms   100 ms  10.222.78.30
16    78 ms    79 ms    79 ms  83.169.204.82
17   100 ms   100 ms    99 ms  83.169.204.89
18   100 ms   100 ms   100 ms  80.249.212.93
19   111 ms   111 ms   111 ms  bb1-ams1-bb1.dc3.poneytelecom.eu [195.154.1.217]
20   111 ms   111 ms   110 ms  195.154.1.39
21     *        *        *     Превышен интервал ожидания для запроса.
22     *        *        *     Превышен интервал ожидания для запроса.
23     *        *        *     Превышен интервал ожидания для запроса.
24     *        *        *     Превышен интервал ожидания для запроса.
25     *        *        *     Превышен интервал ожидания для запроса.
26     *        *        *     Превышен интервал ожидания для запроса.
27     *        *        *     Превышен интервал ожидания для запроса.
28     *        *        *     Превышен интервал ожидания для запроса.
29     *        *        *     Превышен интервал ожидания для запроса.
30     *        *        *     Превышен интервал ожидания для запроса.
[Профиль]  [ЛС] 

ku-nu

Top Bonus 05* 10TB

Стаж: 11 лет 8 месяцев

Сообщений: 30

ku-nu · 18-Май-17 00:20 (спустя 8 дней)

NAS Dlink прошил Alt-F 0.1RC5
iptables ставится из гуя
Правила для iptables помогли, позеленело.
[Профиль]  [ЛС] 

T-Rrexx

Стаж: 16 лет 6 месяцев

Сообщений: 164

T-Rrexx · 18-Май-17 10:09 (спустя 9 часов, ред. 18-Май-17 13:54)


В эту тему были перенесены сообщения [1 шт.] из Блокировка bt* (обсуждение)
Гуфыч


Раз уж есть решение проблемы для роутеров с iptables, поделюсь аналогичным решением, но для роутеров Mikrotik (либо компов с RouterOS).
Итак, если у вас роутер Mikrotik
В терминале роутера (как получить к нему доступ легко найти в интернете) нужно ввести команду:
Цитата:
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=163.172.167.207 to-ports=3128 protocol=tcp dst-address=195.82.146.120/30 in-interface=<ваш_локальный_интерфейс> dst-port=80
Здесь <ваш_локальный_интерфейс> нужно заменить на имя интерфейса, к которому подключен компьютер. Посмотреть список интерфейсов можно командой /interface print

Прошу поместить эту информацию в инструкции по обходу блокировок, вдруг кому пригодится.
[Профиль]  [ЛС] 

Ale][

Стаж: 17 лет 6 месяцев

Сообщений: 24

Ale][ · 25-Май-17 17:31 (спустя 7 дней)

Господа с микротиком. Я сейчас решил привести в порядок правила чуток и обратил внимание.
Почему при добавлении цепочки мы все делали
Код:
chain=dstnat action=dst-nat
Это же на входящие соединения, на сколько я понимаю.
И почему это работает?? Мой вариант, написанный на 1-й странице данной темы работает у меня уже 2 месяца.
Я переписал это дело на srcnat, перезапустил клиента, всё подключилось, но не вижу на микротике трафик по этому правилу.
Я отключил правило, перезапустил клиента и всё подключилось, попробовал подцепиться к http://bt.t-ru.org и увидел надпись "Файл удален по запросу РосКомНадзора". Троллинг, конечно, понятный, но получается данные доменные имена выкинуты из черного списка РКН?
Пробовал на 2-х провайдерах (НеваЛинк и Ростелеком).
Но всё же, кто-нибудь более грамотный в настройке NAT под mikrotik, разъясните, почему мы все делали dstnat и всё работало?
[Профиль]  [ЛС] 

WireRat

Стаж: 14 лет 9 месяцев

Сообщений: 1


WireRat · 27-Май-17 09:34 (спустя 1 день 16 часов)

Код:
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=163.172.167.207 to-ports=3128 protocol=tcp dst-address=195.82.146.120/30 in-interface=[b]<ваш_локальный_интерфейс>[/b] dst-port=80
Предложенный метод заработал, благодарю.
[Профиль]  [ЛС] 

mcmaster1

Top Bonus 05* 10TB

Стаж: 17 лет 3 месяца

Сообщений: 945

mcmaster1 · 27-Май-17 14:03 (спустя 4 часа)

Здравствуйте. у меня качалка в Nas Synology DS 212J как там обойти блокировку пир сервера?
Download station
[Профиль]  [ЛС] 

Гуфыч

VIP (Заслуженный)

Стаж: 13 лет 9 месяцев

Сообщений: 8923

Гуфыч · 27-Май-17 20:30 (спустя 6 часов)

mcmaster1 писал(а):
73190521Nas Synology
Включите Vpn-центр для работы iptables
https://rutr.life/forum/viewtopic.php?p=72825637#72825637
[Профиль]  [ЛС] 

T-Rrexx

Стаж: 16 лет 6 месяцев

Сообщений: 164

T-Rrexx · 29-Май-17 19:17 (спустя 1 день 22 часа)

Ale][ писал(а):
73180195Господа с микротиком. Я сейчас решил привести в порядок правила чуток и обратил внимание.
Почему при добавлении цепочки мы все делали
Код:
chain=dstnat action=dst-nat
Это же на входящие соединения, на сколько я понимаю.
И почему это работает?? Мой вариант, написанный на 1-й странице данной темы работает у меня уже 2 месяца.
Я переписал это дело на srcnat, перезапустил клиента, всё подключилось, но не вижу на микротике трафик по этому правилу.
Я отключил правило, перезапустил клиента и всё подключилось, попробовал подцепиться к http://bt.t-ru.org и увидел надпись "Файл удален по запросу РосКомНадзора". Троллинг, конечно, понятный, но получается данные доменные имена выкинуты из черного списка РКН?
Пробовал на 2-х провайдерах (НеваЛинк и Ростелеком).
Но всё же, кто-нибудь более грамотный в настройке NAT под mikrotik, разъясните, почему мы все делали dstnat и всё работало?
Я не специалист в области сетевых технологий (и пусть спецы меня поправят), но попробую ответить, как я это понимаю.
Action=dst-nat подменяет IP-адрес назначения (то есть трекера) в пакетах, которые удовлетворяют правилу. И это действие (action=dst-nat) работает только в цепочке dstnat (попробуйте сделать такое же правило, но с цепочкой srcnat - не получится), так как если chain=dstnat, то пакеты обрабатываются в цепочке PREROUTING (то есть пакеты, поступающие на маршрутизатор), а если chain=srcnat, то в цепочке POSTROUTING (то есть пакеты, уходящие с маршрутизатора).
[Профиль]  [ЛС] 

Ale][

Стаж: 17 лет 6 месяцев

Сообщений: 24

Ale][ · 30-Май-17 11:04 (спустя 15 часов)

T-Rrexx
Да, в принципе, я уже тоже пришел к подобному виду.
Мы делаем dst-nat и подменяем адрес назначения с bt.t-ru... на ip прокси сервера. И пакет улетает не на bt.t-ru, а на наш прокси, но теперь мне не до конца понятно, как прокси понимает, что уже он должен перенаправить пакет на bt.t-ru. Ну не знаток я сетей, не мой профиль, хотя работает вся эта конструкция. Да и без конструкции, по крайней мере, мой провайдер не блочит, только что проверил.
[Профиль]  [ЛС] 

T-Rrexx

Стаж: 16 лет 6 месяцев

Сообщений: 164

T-Rrexx · 30-Май-17 22:01 (спустя 10 часов, ред. 30-Май-17 22:01)

Ale][,
Думаю, что прокси (именно этот) перенаправляет все пакеты с порта 3128 (мы же на адрес 163.172.167.207:3128 обращаемся) на трекер.
[Профиль]  [ЛС] 

александр-cot

Стаж: 13 лет 10 месяцев

Сообщений: 2


александр-cot · 02-Авг-17 13:47 (спустя 2 месяца 2 дня, ред. 02-Авг-17 13:47)

Код:
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=163.172.167.207 to-ports=3128 protocol=tcp dst-address=195.82.146.120/30 in-interface=<ваш_локальный_интерфейс> dst-port=80
Не зеленеют..... вставил вместо <ваш_локальный_интерфейс> ether1-gateway нет результата, ether2-master-local тоже
может символы какие пропустил? Если кто время найдёт подскажите. Зеленеют если только запустить рутрекер прокси - нагружает нетбук слегка , через маршрутизатор конечно веселее.
[Профиль]  [ЛС] 

AJIJIADUH

Старожил

Стаж: 14 лет 6 месяцев

Сообщений: 913

AJIJIADUH · 02-Авг-17 15:36 (спустя 1 час 49 мин., ред. 12-Авг-17 10:23)

Код:
/ip firewall nat
add action=dst-nat chain=dstnat comment=rutracker_bt dst-address-list=\
    rutracker_bt dst-port=80 protocol=tcp src-address=<ваш локальный адрес, с которого отправляются пакеты торрента, например 10.1.1.3> to-addresses=\
    <адрес прокси> to-ports=<порт прокси>
/ip firewall address-list
add address=195.82.146.120 comment="bt.t-ru.org; bt.rutracker.cc" list=\
    rutracker_bt
add address=195.82.146.121 comment="bt2.t-ru.org; bt2.rutracker.cc" list=\
    rutracker_bt
add address=195.82.146.122 comment="bt3.t-ru.org; bt3.rutracker.cc" list=\
    rutracker_bt
add address=195.82.146.123 comment="bt4.t-ru.org; bt4.rutracker.cc" list=\
    rutracker_bt
[Профиль]  [ЛС] 

borskiy

Стаж: 16 лет 5 месяцев

Сообщений: 51


borskiy · 12-Авг-17 07:29 (спустя 9 дней, ред. 12-Авг-17 07:29)

А не проще ли блокировать перенаправление на заглушку?
Например так (для ростелекома):
/ip firewall filter add action=drop chain=forward content="warning.rt.ru" in-interface=RT protocol=tcp src-port=80
Практически у всех провайдеров используется пассивный DPI, и если блокировать ответ от него, следом придёт ответ от запрашиваемого сайта.
Способ работает не только на рутрекере, но вообще на всех блокируемых сайтах.
PS Если кто-то это уже здесь озвучивал, прошу прощенья. Желания перечитывать все посты нет никакого.
[Профиль]  [ЛС] 

AJIJIADUH

Старожил

Стаж: 14 лет 6 месяцев

Сообщений: 913

AJIJIADUH · 14-Авг-17 08:47 (спустя 2 дня 1 час)

borskiy писал(а):
73659878А не проще ли блокировать перенаправление на заглушку?
Например так (для ростелекома):
/ip firewall filter add action=drop chain=forward content="warning.rt.ru" in-interface=RT protocol=tcp src-port=80
Практически у всех провайдеров используется пассивный DPI, и если блокировать ответ от него, следом придёт ответ от запрашиваемого сайта.
Способ работает не только на рутрекере, но вообще на всех блокируемых сайтах.
PS Если кто-то это уже здесь озвучивал, прошу прощенья. Желания перечитывать все посты нет никакого.
отличная штука. спасибо.
вот только есть некоторые проблемки. например с флибусты книгу скачиваешь и всё равно перекидывает на заглушку, добавил в правило 443 порт, вообще перестало открываться или перекидывать на заглушку. что-нибудь можете посоветовать?
[Профиль]  [ЛС] 

borskiy

Стаж: 16 лет 5 месяцев

Сообщений: 51


borskiy · 19-Авг-17 15:14 (спустя 5 дней, ред. 19-Авг-17 15:14)

AJIJIADUH писал(а):
с флибусты книгу скачиваешь и всё равно перекидывает на заглушку
Хм... Чем качате?
У мну DownloadMaster качает без проблем.
[Профиль]  [ЛС] 

AJIJIADUH

Старожил

Стаж: 14 лет 6 месяцев

Сообщений: 913

AJIJIADUH · 19-Авг-17 19:44 (спустя 4 часа)

borskiy писал(а):
73696942
AJIJIADUH писал(а):
с флибусты книгу скачиваешь и всё равно перекидывает на заглушку
Хм... Чем качате?
У мну DownloadMaster качает без проблем.
браузером ясен пень. сейчас бы меньше мб качать дмом
[Профиль]  [ЛС] 

borskiy

Стаж: 16 лет 5 месяцев

Сообщений: 51


borskiy · 20-Авг-17 10:59 (спустя 15 часов)

Сейчас обнаружил, что прошивка 6.40.1 - дырявая.
Файервол в ней пропускает абсолютно всё, не обращая внимания ни на какие запретные правила.
Откатил до 6.38.7 - всё вернулось в норму.
AJIJIADUH, из огнелиса ПКМ-"сохранить объект как" - тоже прекрасно работает.
[Профиль]  [ЛС] 

AJIJIADUH

Старожил

Стаж: 14 лет 6 месяцев

Сообщений: 913

AJIJIADUH · 20-Авг-17 13:10 (спустя 2 часа 11 мин.)

borskiy писал(а):
73701307Сейчас обнаружил, что прошивка 6.40.1 - дырявая.
Файервол в ней пропускает абсолютно всё, не обращая внимания ни на какие запретные правила.
Откатил до 6.38.7 - всё вернулось в норму.
AJIJIADUH, из огнелиса ПКМ-"сохранить объект как" - тоже прекрасно работает.
ну значит ваш провайдер так хорошо блокирует
[Профиль]  [ЛС] 

skyspirit2

Стаж: 15 лет 11 месяцев

Сообщений: 14


skyspirit2 · 20-Авг-17 20:32 (спустя 7 часов)

Друзья, а как прикрутить оный Proxy к Cisco ASA5506? Спасибо
[Профиль]  [ЛС] 

rumviktor1

Стаж: 15 лет 10 месяцев

Сообщений: 10


rumviktor1 · 21-Авг-17 03:35 (спустя 7 часов)

Подскажите. А на Eltex NTP-RG-1402G-W:rev.C. Ростелеком.
[Профиль]  [ЛС] 

6yHTapb

Стаж: 16 лет 3 месяца

Сообщений: 178

6yHTapb · 07-Сен-17 07:47 (спустя 17 дней)

вопрос МикроТик'оводам. вместо того, чтобы искать какие-то левые китайские прокси, почему бы просто не организоваться, не скинуться по 50р (нас не так уж и мало тут, как я погляжу) и не арендовать самый простенький VPS за бугром на год? вкорячить туда CHR и сделать свой веб-прокси для задачи, обсуждаемой здесь. бесплатной версии CHR для этого вполне хватит. кстати, пользоваться смогут же и не только МикроТик'оводы.
[Профиль]  [ЛС] 

Гуфыч

VIP (Заслуженный)

Стаж: 13 лет 9 месяцев

Сообщений: 8923

Гуфыч · 07-Сен-17 08:35 (спустя 48 мин.)

6yHTapb
Есть два постоянных прокси в основных инструкциях.
[Профиль]  [ЛС] 

Crosfield

Стаж: 16 лет 10 месяцев

Сообщений: 595

Crosfield · 12-Окт-17 23:50 (спустя 1 месяц 5 дней, ред. 12-Окт-17 23:50)

А какие есть подходы к обходу блокировки анонсера на Synology DS207+ c DSM 3.1? Версия 3.1 - последняя из возможных на этом NAS. Здесь нет возможности поставить пакеты из репозиториев, все доппакеты ставятся только вручную (и еще попробуй найди пакеты под 88f5281 архитектуру).
Команда iptables -t nat ... на нем не работает
Код:
DS> iptables -t nat -A OUTPUT -p tcp -m tcp --dport 80 -d 195.82.146.120/30 -j DNAT --to-destination 163.17
2.167.207:3128
iptables v1.4.2: Unknown arg `(null)'
Try `iptables -h' or 'iptables --help' for more information.
Вероятно на этой версии вообще нет таблицы nat
Код:
DS> iptables -t nat -L
iptables v1.4.2: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Как я понял команда insmod позволяет подключить нужные модули. Однако какие?
Вот список всех модулей из /lib/modules
Код:
appletalk.ko
crc-ccitt.ko
crc32c.ko
ehci-hcd.ko
exportfs.ko
fat.ko
fuse.ko
ip_conntrack.ko
ip_nat.ko
ip_tables.ko
ipt_REDIRECT.ko
ipt_multiport.ko
ipt_state.ko
iptable_filter.ko
iptable_nat.ko
iscsi_trgt.ko
isofs.ko
libcrc32c.ko
llc.ko
nfsd.ko
ohci-hcd.ko
ppp_async.ko
ppp_generic.ko
psnap.ko
quota_v2.ko
rt2870sta.ko
sg.ko
slhc.ko
snd-hwdep.ko
snd-mixer-oss.ko
snd-page-alloc.ko
snd-pcm-oss.ko
snd-pcm.ko
snd-rawmidi.ko
snd-seq-device.ko
snd-timer.ko
snd-usb-audio.ko
snd-usb-lib.ko
snd.ko
soundcore.ko
synobios.ko
tun.ko
udf.ko
uhci-hcd.ko
usb-storage.ko
usbcore.ko
usbhid.ko
usblp.ko
vfat.ko
zlib_inflate.ko
Прошу помощи, поскольку на этом мои знания о *NIX заканчиваются.
[Профиль]  [ЛС] 

Гуфыч

VIP (Заслуженный)

Стаж: 13 лет 9 месяцев

Сообщений: 8923

Гуфыч · 13-Окт-17 05:38 (спустя 5 часов)

Crosfield писал(а):
74004080Однако какие?
ip_nat.ko для начала, а вообще установленный openvpn подтягивает нужные зависимости.
[Профиль]  [ЛС] 
 
Ответить
Loading...
Error