|
|
|
kx77
Стаж: 12 лет 3 месяца Сообщений: 808
|
kx77 ·
28-Окт-20 19:06
(4 года 4 месяца назад, ред. 28-Окт-20 19:06)
Скрипт-киддиес не пытаться копипастить это 1 в 1. Надо вникать, не можем - не делаем вообще
Если включить SFO, то fw3 дает следующую комбинацию в цепочку FORWARD
Код:
iptables -t filter -A FORWARD -m comment --comment "!fw3: Custom forwarding rule chain" -j forwarding_rule
iptables -t filter -A FORWARD -m comment --comment "!fw3: Traffic offloading" -m conntrack --ctstate RELATED,ESTABLISHED -j FLOWOFFLOAD
Отключаем SFO, правило FLOWOFFLOAD убирается.
Самое простое дописать необходимое в цепочку forwarding_rule.
Код:
iptables -A forwarding_rule <условие 1 заворота трафика на nfqws> -j RETURN
iptables -A forwarding_rule <условие 2 заворота трафика на nfqws> -j RETURN
..........
iptables -A forwarding_rule -m comment --comment "!fw3: Traffic offloading" -m conntrack --ctstate RELATED,ESTABLISHED -j FLOWOFFLOAD
Как получить условия заворота на nfqws. На системе с работоспособным запретом, настроенным на nfqws делаем : iptables-save | grep NFQ
Код:
iptables-save | grep NFQ
-A POSTROUTING -o pppoe-rt -p tcp -m tcp --dport 443 -m connbytes --connbytes 2:4 --connbytes-mode packets --connbytes-dir original -m mark ! --mark 0x40000000/0x40000000 -m set --match-set zapret dst -m set ! --match-set nozapret dst -j NFQUEUE --queue-num 200 --queue-bypass
-A POSTROUTING -o pppoe-rt -p tcp -m tcp --dport 80 -m mark ! --mark 0x40000000/0x40000000 -m set --match-set zapret dst -m set ! --match-set nozapret dst -j NFQUEUE --queue-num 200 --queue-bypass
Значит итог будет такой.
Код:
iptables -F forwarding_rule
iptables -A forwarding_rule -o pppoe-rt -p tcp -m tcp --dport 443 -m connbytes --connbytes 2:4 --connbytes-mode packets --connbytes-dir original -m mark ! --mark 0x40000000/0x40000000 -m set --match-set zapret dst -m set ! --match-set nozapret dst -j RETURN
iptables -A forwarding_rule -o pppoe-rt -p tcp -m tcp --dport 80 -m mark ! --mark 0x40000000/0x40000000 -m set --match-set zapret dst -m set ! --match-set nozapret dst -j RETURN
iptables -A forwarding_rule -m conntrack --ctstate RELATED,ESTABLISHED -j FLOWOFFLOAD
Проверяем вручную. Потом вписываем в /etc/firewall.user. делаем fw3 restart
Triblekill писал(а):
Блин а GoodByeDpi то как то по прежнему работает что с offload что без дело в том что 30 мегабит разницы с hardware flow offloading и без это серьёзная разница
Он работает не на роутере, а на клиенте. На клиенте нет никакого offload-а. Был бы клиент с linux, работало бы точно так же
|
|
|
|
Triblekill
Стаж: 10 лет 9 месяцев Сообщений: 51
|
Triblekill ·
28-Окт-20 19:13
(спустя 7 мин., ред. 28-Окт-20 19:13)
kx77 писал(а):
80304713Скрипт-киддиес не пытаться копипастить это 1 в 1. Надо вникать, не можем - не делаем вообще
Если включить SFO, то fw3 дает следующую комбинацию в цепочку FORWARD
Код:
iptables -t filter -A FORWARD -m comment --comment "!fw3: Custom forwarding rule chain" -j forwarding_rule
iptables -t filter -A FORWARD -m comment --comment "!fw3: Traffic offloading" -m conntrack --ctstate RELATED,ESTABLISHED -j FLOWOFFLOAD
Отключаем SFO, правило FLOWOFFLOAD убирается.
Самое простое дописать необходимое в цепочку forwarding_rule.
Код:
iptables -A forwarding_rule <условие 1 заворота трафика на nfqws> -j RETURN
iptables -A forwarding_rule <условие 2 заворота трафика на nfqws> -j RETURN
..........
iptables -A forwarding_rule -m comment --comment "!fw3: Traffic offloading" -m conntrack --ctstate RELATED,ESTABLISHED -j FLOWOFFLOAD
Как получить условия заворота на nfqws. На системе с работоспособным запретом, настроенным на nfqws делаем : iptables-save | grep NFQ
Код:
iptables-save | grep NFQ
-A POSTROUTING -o pppoe-rt -p tcp -m tcp --dport 443 -m connbytes --connbytes 2:4 --connbytes-mode packets --connbytes-dir original -m mark ! --mark 0x40000000/0x40000000 -m set --match-set zapret dst -m set ! --match-set nozapret dst -j NFQUEUE --queue-num 200 --queue-bypass
-A POSTROUTING -o pppoe-rt -p tcp -m tcp --dport 80 -m mark ! --mark 0x40000000/0x40000000 -m set --match-set zapret dst -m set ! --match-set nozapret dst -j NFQUEUE --queue-num 200 --queue-bypass
Значит итог будет такой.
Код:
iptables -F forwarding_rule
iptables -A forwarding_rule -o pppoe-rt -p tcp -m tcp --dport 443 -m connbytes --connbytes 2:4 --connbytes-mode packets --connbytes-dir original -m mark ! --mark 0x40000000/0x40000000 -m set --match-set zapret dst -m set ! --match-set nozapret dst -j RETURN
iptables -A forwarding_rule -o pppoe-rt -p tcp -m tcp --dport 80 -m mark ! --mark 0x40000000/0x40000000 -m set --match-set zapret dst -m set ! --match-set nozapret dst -j RETURN
iptables -A forwarding_rule -m conntrack --ctstate RELATED,ESTABLISHED -j FLOWOFFLOAD
Проверяем вручную. Потом вписываем в /etc/firewall.user. делаем fw3 restart
Triblekill писал(а):
Блин а GoodByeDpi то как то по прежнему работает что с offload что без дело в том что 30 мегабит разницы с hardware flow offloading и без это серьёзная разница
Он работает не на роутере, а на клиенте. На клиенте нет никакого offload-а. Был бы клиент с linux, работало бы точно так же
Хмм некоторые теперь заработали, некоторые по прежнему либо Соединение сброшено либо вылетает блокировка (( а нет через раз работают если назад>вперёд страницу сделать
|
|
|
|
kx77
Стаж: 12 лет 3 месяца Сообщений: 808
|
kx77 ·
28-Окт-20 20:06
(спустя 52 мин.)
Triblekill писал(а):
Хмм некоторые теперь заработали, некоторые по прежнему либо Соединение сброшено либо вылетает блокировка (( а нет через раз работают если назад>вперёд страницу сделать
Копи-паста не сработает, надо применять свои правила
|
|
|
|
Triblekill
Стаж: 10 лет 9 месяцев Сообщений: 51
|
Triblekill ·
29-Окт-20 09:07
(спустя 13 часов, ред. 29-Окт-20 09:07)
kx77 писал(а):
80305195
Triblekill писал(а):
Хмм некоторые теперь заработали, некоторые по прежнему либо Соединение сброшено либо вылетает блокировка (( а нет через раз работают если назад>вперёд страницу сделать
Копи-паста не сработает, надо применять свои правила
Вообщем командой
Код:
iptables-save | grep NFQ
Получил у себя такое :
Код:
-A POSTROUTING -o pppoe-WAN -p tcp -m tcp --dport 443 -m connbytes --connbytes 2:4 --connbytes-mode packets --connbytes-dir original -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret dst -j NFQUEUE --queue-num 200 --queue-bypass
-A POSTROUTING -o pppoe-WAN -p tcp -m tcp --dport 80 -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret dst -j NFQUEUE --queue-num 200 --queue-bypass
Забиваю в /etc/firewall.user вроде бы всё три раза проверил ошибок нету
Код:
iptables -F forwarding_rule
iptables -A forwarding_rule -o pppoe-WAN -p tcp -m tcp --dport 443 -m connbytes --connbytes 2:4 --connbytes-mode packets --connbytes-dir original -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret dst -j RETURN
iptables -A forwarding_rule -o pppoe-WAN -p tcp -m tcp --dport 80 -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret dst -j RETURN
iptables -A forwarding_rule -m conntrack --ctstate RELATED,ESTABLISHED -j FLOWOFFLOAD
Перестаёт открывать хоть какой либо сайт, настройки роутера, putty
|
|
|
|
kx77
Стаж: 12 лет 3 месяца Сообщений: 808
|
kx77 ·
29-Окт-20 11:42
(спустя 2 часа 34 мин., ред. 29-Окт-20 11:42)
Протестировал на практике предложенный метод. В целом он работает, за исключением одной проблемы.
Оказывается, входящие ответные пакеты от сервера тоже инициируют вхождение соединения в offload.
после первого применения offload все соединение идет через него
Из-за этого не работает тема с http keep-alive.
Поэтому для http нужно добавить реверсное правило
Код:
iptables -F forwarding_rule
iptables -A forwarding_rule -o eth1 -p tcp -m tcp --dport 443 -m connbytes --connbytes 2:4 --connbytes-mode packets --connbytes-dir original -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret dst -j RETURN
iptables -A forwarding_rule -o eth1 -p tcp -m tcp --dport 80 -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret dst -j RETURN
iptables -A forwarding_rule -i eth1 -p tcp -m tcp --sport 80 -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret src -j RETURN
iptables -A forwarding_rule -m conntrack --ctstate RELATED,ESTABLISHED -j FLOWOFFLOAD
Что в нем есть особенного.
-o заменяем на -i
--dport заменяем на --sport
dst заменяем на src
тогда у меня все работает. как по tcpdump, так и по выводу nfqws с ключом --debug
реверсное правило нужно добавлять для всего, где нет --connbytes 2:4. для connbytes можно не добавлять, поскольку анализируется только начало соединения. после него offload не мешает, а наоборот - полезен
если что-то не заработало, прилагаем лог nfqws, запущенного в ручном режиме с --debug
ps | grep nfqws
снимаем всю командную строку
останавливаем службу /etc/init.d/zapret stop
запускаем nfqws руками, добавляя --debug
проверка iptables
скрытый текст
Код:
iptables-save | grep forwarding_rule
:forwarding_rule - [0:0]
-A FORWARD -m comment --comment "!fw3: Custom forwarding rule chain" -j forwarding_rule
-A forwarding_rule -o eth1 -p tcp -m tcp --dport 443 -m connbytes --connbytes 2:4 --connbytes-mode packets --connbytes-dir original -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret dst -j RETURN
-A forwarding_rule -o eth1 -p tcp -m tcp --dport 80 -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret dst -j RETURN
-A forwarding_rule -i eth1 -p tcp -m tcp --sport 80 -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret src -j RETURN
-A forwarding_rule -m conntrack --ctstate RELATED,ESTABLISHED -j FLOWOFFLOAD
реакция nfqws на команду с клиента curl -4 rutr.life rutr.life. видим 2 срабатывания внутри одной keep alive
скрытый текст
Код:
/opt/zapret/nfq/nfqws --qnum=200 --user=daemon --dpi-desync=split --dpi-desync-ttl=6 --dpi-desync-fooling=none --dpi-desync-fwmark=0x40000000 --dpi-desync-retrans=0 --debug
opening library handle
unbinding existing nf_queue handler for AF_INET (if any)
binding nfnetlink_queue as nf_queue handler for AF_INET
binding this socket to queue '200'
setting copy_packet mode
Running as UID=1 GID=1
packet: id=3 len=52
IP4: 192.168.1.2 => 195.82.146.214 proto=tcp sport=55479 dport=80 flags=S seq=803185755 ack_seq=0
packet: id=4 len=40
IP4: 192.168.1.2 => 195.82.146.214 proto=tcp sport=55479 dport=80 flags=A seq=803185756 ack_seq=1737524668
packet: id=5 len=117
IP4: 192.168.1.2 => 195.82.146.214 proto=tcp sport=55479 dport=80 flags=AP seq=803185756 ack_seq=1737524668
packet contains HTTP request
hostname: rutr.life
dpi desync src=192.168.1.2:55479 dst=195.82.146.214:80
sending fake(1) 1st tcp segment 0-2 len=3
sending 1st tcp segment 0-2 len=3
sending fake(2) 1st tcp segment 0-2 len=3
sending 2nd tcp segment 3-76 len=74
packet: id=6 len=117
IP4: 192.168.1.2 => 195.82.146.214 proto=tcp sport=55479 dport=80 flags=AP seq=803185833 ack_seq=1737525034
packet contains HTTP request
hostname: rutr.life
dpi desync src=192.168.1.2:55479 dst=195.82.146.214:80
sending fake(1) 1st tcp segment 0-2 len=3
sending 1st tcp segment 0-2 len=3
sending fake(2) 1st tcp segment 0-2 len=3
sending 2nd tcp segment 3-76 len=74
packet: id=7 len=40
IP4: 192.168.1.2 => 195.82.146.214 proto=tcp sport=55479 dport=80 flags=AF seq=803185910 ack_seq=1737525400
packet: id=8 len=40
IP4: 192.168.1.2 => 195.82.146.214 proto=tcp sport=55479 dport=80 flags=A seq=803185911 ack_seq=1737525401
Ответ curl. Наличие двух http ответов доказывает, что оно работает
скрытый текст
Код:
curl -4 rutr.life rutr.life
<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx</center>
</body>
</html>
<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx</center>
</body>
</html>
По поводу аппаратного оффлоада. Просто FLOWOFFLOAD означает программный оффлоад, SFO - software flow offloading
-j FLOWOFFLOAD --hw означает аппаратный оффлоад. поддерживается только на ограниченном количестве чипсетов, возможны баги и проблемы
надо сначала протестировать работает ли хардварный режим (чекбоксики в люси), дает ли он какой-то выигрыш в скорости по сравнению с SFO
если нет, то и включать его не надо. если да, то к кустарщине добавляем --hw
кустарщина расчитана, что все оффлоады в люси или в /etc/config/firewall выключены
|
|
|
|
Triblekill
Стаж: 10 лет 9 месяцев Сообщений: 51
|
Triblekill ·
29-Окт-20 14:43
(спустя 3 часа, ред. 29-Окт-20 14:43)
kx77 писал(а):
80307737Протестировал на практике предложенный метод. В целом он работает, за исключением одной проблемы.
Оказывается, входящие ответные пакеты от сервера тоже инициируют вхождение соединения в offload.
после первого применения offload все соединение идет через него
Из-за этого не работает тема с http keep-alive.
Поэтому для http нужно добавить реверсное правило
Код:
iptables -F forwarding_rule
iptables -A forwarding_rule -o eth1 -p tcp -m tcp --dport 443 -m connbytes --connbytes 2:4 --connbytes-mode packets --connbytes-dir original -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret dst -j RETURN
iptables -A forwarding_rule -o eth1 -p tcp -m tcp --dport 80 -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret dst -j RETURN
iptables -A forwarding_rule -i eth1 -p tcp -m tcp --sport 80 -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret src -j RETURN
iptables -A forwarding_rule -m conntrack --ctstate RELATED,ESTABLISHED -j FLOWOFFLOAD
Что в нем есть особенного.
-o заменяем на -i
--dport заменяем на --sport
dst заменяем на src
тогда у меня все работает. как по tcpdump, так и по выводу nfqws с ключом --debug
реверсное правило нужно добавлять для всего, где нет --connbytes 2:4. для connbytes можно не добавлять, поскольку анализируется только начало соединения. после него offload не мешает, а наоборот - полезен
если что-то не заработало, прилагаем лог nfqws, запущенного в ручном режиме с --debug
ps | grep nfqws
снимаем всю командную строку
останавливаем службу /etc/init.d/zapret stop
запускаем nfqws руками, добавляя --debug
проверка iptables
скрытый текст
Код:
iptables-save | grep forwarding_rule
:forwarding_rule - [0:0]
-A FORWARD -m comment --comment "!fw3: Custom forwarding rule chain" -j forwarding_rule
-A forwarding_rule -o eth1 -p tcp -m tcp --dport 443 -m connbytes --connbytes 2:4 --connbytes-mode packets --connbytes-dir original -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret dst -j RETURN
-A forwarding_rule -o eth1 -p tcp -m tcp --dport 80 -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret dst -j RETURN
-A forwarding_rule -i eth1 -p tcp -m tcp --sport 80 -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret src -j RETURN
-A forwarding_rule -m conntrack --ctstate RELATED,ESTABLISHED -j FLOWOFFLOAD
реакция nfqws на команду с клиента curl -4 rutr.life rutr.life. видим 2 срабатывания внутри одной keep alive
скрытый текст
Код:
/opt/zapret/nfq/nfqws --qnum=200 --user=daemon --dpi-desync=split --dpi-desync-ttl=6 --dpi-desync-fooling=none --dpi-desync-fwmark=0x40000000 --dpi-desync-retrans=0 --debug
opening library handle
unbinding existing nf_queue handler for AF_INET (if any)
binding nfnetlink_queue as nf_queue handler for AF_INET
binding this socket to queue '200'
setting copy_packet mode
Running as UID=1 GID=1
packet: id=3 len=52
IP4: 192.168.1.2 => 195.82.146.214 proto=tcp sport=55479 dport=80 flags=S seq=803185755 ack_seq=0
packet: id=4 len=40
IP4: 192.168.1.2 => 195.82.146.214 proto=tcp sport=55479 dport=80 flags=A seq=803185756 ack_seq=1737524668
packet: id=5 len=117
IP4: 192.168.1.2 => 195.82.146.214 proto=tcp sport=55479 dport=80 flags=AP seq=803185756 ack_seq=1737524668
packet contains HTTP request
hostname: rutr.life
dpi desync src=192.168.1.2:55479 dst=195.82.146.214:80
sending fake(1) 1st tcp segment 0-2 len=3
sending 1st tcp segment 0-2 len=3
sending fake(2) 1st tcp segment 0-2 len=3
sending 2nd tcp segment 3-76 len=74
packet: id=6 len=117
IP4: 192.168.1.2 => 195.82.146.214 proto=tcp sport=55479 dport=80 flags=AP seq=803185833 ack_seq=1737525034
packet contains HTTP request
hostname: rutr.life
dpi desync src=192.168.1.2:55479 dst=195.82.146.214:80
sending fake(1) 1st tcp segment 0-2 len=3
sending 1st tcp segment 0-2 len=3
sending fake(2) 1st tcp segment 0-2 len=3
sending 2nd tcp segment 3-76 len=74
packet: id=7 len=40
IP4: 192.168.1.2 => 195.82.146.214 proto=tcp sport=55479 dport=80 flags=AF seq=803185910 ack_seq=1737525400
packet: id=8 len=40
IP4: 192.168.1.2 => 195.82.146.214 proto=tcp sport=55479 dport=80 flags=A seq=803185911 ack_seq=1737525401
Ответ curl. Наличие двух http ответов доказывает, что оно работает
скрытый текст
Код:
curl -4 rutr.life rutr.life
<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx</center>
</body>
</html>
<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx</center>
</body>
</html>
По поводу аппаратного оффлоада. Просто FLOWOFFLOAD означает программный оффлоад, SFO - software flow offloading
-j FLOWOFFLOAD --hw означает аппаратный оффлоад. поддерживается только на ограниченном количестве чипсетов, возможны баги и проблемы
надо сначала протестировать работает ли хардварный режим (чекбоксики в люси), дает ли он какой-то выигрыш в скорости по сравнению с SFO
если нет, то и включать его не надо. если да, то к кустарщине добавляем --hw
кустарщина расчитана, что все оффлоады в люси или в /etc/config/firewall выключены
Переделал в /etc/firewall.user добавил только
Код:
iptables -F forwarding_rule
iptables -A forwarding_rule -o pppoe-WAN -p tcp -m tcp --dport 443 -m connbytes --connbytes 2:4 --connbytes-mode packets --connbytes-dir original -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret dst -j RETURN
iptables -A forwarding_rule -o pppoe-WAN -p tcp -m tcp --dport 80 -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret dst -j RETURN
iptables -A forwarding_rule -i pppoe-WAN -p tcp -m tcp --sport 80 -m mark ! --mark 0x40000000/0x40000000 -m set ! --match-set nozapret src -j RETURN
iptables -A forwarding_rule -m conntrack --ctstate RELATED,ESTABLISHED -j FLOWOFFLOAD
Ответ с команды /opt/zapret/nfq/nfqws --qnum=200 --user=daemon --dpi-desync=split --dpi-desync-ttl=6 --dpi-desync-fooling=none --dpi-desync-fwmark=0x40000000 --dpi-desync-retrans=0 --debug
Код:
/opt/zapret/nfq/nfqws --qnum=200 --user=daemon --dpi-desync=spli
t --dpi-desync-ttl=6 --dpi-desync-fooling=none --dpi-desync-fwmark=0x40000000 --
dpi-desync-retrans=0 --debug
opening library handle
unbinding existing nf_queue handler for AF_INET (if any)
binding nfnetlink_queue as nf_queue handler for AF_INET
binding this socket to queue '200'
error during nfq_create_queue()
Ответ с curl -4 rutr.life rutr.life
Код:
<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx</center>
</body>
</html>
<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx</center>
</body>
</html>
Чуть не забыл iptables-save | grep forwarding_rule какую то дичь показывает
Код:
root@OpenWrt:~# iptables-save | grep forwarding_rule
:forwarding_rule - [0:0]
-A FORWARD -m comment --comment "!fw3: Custom forwarding rule chain" -j forwarding_rule
-A forwarding_rule -m conntrack --ctstate RELATED,ESTABLISHED -j FLOWOFFLOAD
Не работает так же вылетает заглушка ((( и после перезагрузки роутера опять всё сдохло не сайты не putty не настройки роутера не открыть ((
|
|
|
|
kx77
Стаж: 12 лет 3 месяца Сообщений: 808
|
kx77 ·
29-Окт-20 15:09
(спустя 25 мин.)
Во-первых
error during nfq_create_queue()
скорее всего это из-за того, что не был остановлен экземпляр nfqws, который запускается из init.d
/etc/init.d/zapret stop
pidof nfqws
должно быть пусто
во-вторых правила реально не добавились
надо скопипастить их в терминал и посмотреть на что выдается ошибка
|
|
|
|
Triblekill
Стаж: 10 лет 9 месяцев Сообщений: 51
|
Triblekill ·
29-Окт-20 15:11
(спустя 2 мин., ред. 29-Окт-20 15:11)
kx77 писал(а):
80308871Во-первых
error during nfq_create_queue()
скорее всего это из-за того, что не был остановлен экземпляр nfqws, который запускается из init.d
/etc/init.d/zapret stop
pidof nfqws
должно быть пусто
во-вторых правила реально не добавились
надо скопипастить их в терминал и посмотреть на что выдается ошибка
Распиши пожалуйста пошагово как сделать после первой установки zapret устал роутер перепрошивать просто
|
|
|
|
kx77
Стаж: 12 лет 3 месяца Сообщений: 808
|
kx77 ·
29-Окт-20 15:18
(спустя 6 мин.)
Установить запрет в той конфигурации, что работала раньше. Проверить, что она работает, дает эффект, после перезагрузки ничего не ломается.
Оффлоад не включать
в /etc/firewall.user ничего не вносить
руками выполнить iptables в forwarding_rule
убедиться, что не было ошибок
если были, смотреть в dmesg что орет ядро
проверить iptables-save | grep forwarding_rule
остановить экземпляр nfqws через /etc/init.d/zapret stop
сделать ручками nfqws с --debug
сделать с клиента curl -4 rutr.life rutr.life
Если вдруг что-то ломается, то никаких изменений постоянно произведено не было, перезагрузка должна откатить на рабочую версию
|
|
|
|
Triblekill
Стаж: 10 лет 9 месяцев Сообщений: 51
|
Triblekill ·
29-Окт-20 15:58
(спустя 39 мин., ред. 29-Окт-20 15:58)
kx77 писал(а):
80308920Установить запрет в той конфигурации, что работала раньше. Проверить, что она работает, дает эффект, после перезагрузки ничего не ломается.
Оффлоад не включать
в /etc/firewall.user ничего не вносить
руками выполнить iptables в forwarding_rule
убедиться, что не было ошибок
если были, смотреть в dmesg что орет ядро
проверить iptables-save | grep forwarding_rule
остановить экземпляр nfqws через /etc/init.d/zapret stop
сделать ручками nfqws с --debug
сделать с клиента curl -4 rutr.life rutr.life
Если вдруг что-то ломается, то никаких изменений постоянно произведено не было, перезагрузка должна откатить на рабочую версию
Какая то из этих команд опять сломала роутер опять не работали сайты putty
Код:
root@OpenWrt:~# iptables-save | grep forwarding_rule
:forwarding_rule - [0:0]
-A FORWARD -m comment --comment "!fw3: Custom forwarding rule chain" -j forwarding_rule
root@OpenWrt:~# iptables-save | grep forwarding_rule
:forwarding_rule - [0:0]
-A FORWARD -m comment --comment "!fw3: Custom forwarding rule chain" -j forwarding_rule
root@OpenWrt:~# iptables | grep forwarding_rule
iptables v1.8.3 (legacy): no command specified
Try `iptables -h' or 'iptables --help' for more information.
root@OpenWr/etc/init.d/zapret stop
root@OpenWrt:~# nfqws с --debug
-ash: nfqws: not found
root@OpenWrt:~# /opt/zapret/nfq/nfqws с --debug
opening library handle
unbinding existing nf_queue handler for AF_INET (if any)
binding nfnetlink_queue as nf_queue handler for AF_INET
binding this socket to queue '0'
setting copy_packet mode
Running as UID=0 GID=0
/opt/zapret/nfq/nfqws с --debug зависло на Running as UID=0 GID=0 и висело долго, делал всё как ты написал не включал offload и ничего не добавлял в /etc/firewall.use
|
|
|
|
kx77
Стаж: 12 лет 3 месяца Сообщений: 808
|
kx77 ·
29-Окт-20 16:03
(спустя 5 мин.)
я не могу направлять каждый шаг. либо пишем нормально и вводим нормальные команды, а не какую-то бредятину, либо заканчиваем это
|
|
|
|
Triblekill
Стаж: 10 лет 9 месяцев Сообщений: 51
|
Triblekill ·
29-Окт-20 16:16
(спустя 12 мин.)
kx77 писал(а):
80309179я не могу направлять каждый шаг. либо пишем нормально и вводим нормальные команды, а не какую-то бредятину, либо заканчиваем это
Нет нормально буду вводить ты напиши команды только я плохо с линуксом знаком вот ещё на грани изучения
|
|
|
|
kx77
Стаж: 12 лет 3 месяца Сообщений: 808
|
kx77 ·
29-Окт-20 16:19
(спустя 3 мин.)
Triblekill писал(а):
Нет нормально буду вводить ты напиши команды только я плохо с линуксом знаком вот ещё на грани изучения
С этим оффлоадом мы вышли за грань поддерживаемого мейнстрима в область кустарщины "сделай сам". Там соображать надо и знать. Логику изложил.
Если уровень не позволяет следовать мысли, значит ответ : либо включаем оффлоад и отказываемся от запрет, либо удовлетворяемся той скоростью, что есть
|
|
|
|
Triblekill
Стаж: 10 лет 9 месяцев Сообщений: 51
|
Triblekill ·
29-Окт-20 16:30
(спустя 11 мин., ред. 29-Окт-20 16:30)
kx77 писал(а):
80309283
Triblekill писал(а):
Нет нормально буду вводить ты напиши команды только я плохо с линуксом знаком вот ещё на грани изучения
С этим оффлоадом мы вышли за грань поддерживаемого мейнстрима в область кустарщины "сделай сам". Там соображать надо и знать. Логику изложил.
Если уровень не позволяет следовать мысли, значит ответ : либо включаем оффлоад и отказываемся от запрет, либо удовлетворяемся той скоростью, что есть
Может тогда проще установить эмулятор виндовса в роутер и там запустить goodbyedpi сможешь перекомпилировать goodbyedpi под роутер ?
|
|
|
|
kx77
Стаж: 12 лет 3 месяца Сообщений: 808
|
kx77 ·
30-Окт-20 15:40
(спустя 23 часа)
Сделана экспериментальная поддержка flow offloading в openwrt , включая простой инсталятор
В openwrt flow offloading работает только глобально. Либо включено, либо выключено. nfqws не работает с включенным offloading.
Скрипты zapret теперь сами в состоянии выборочно управлять трафиком, который идет на offload, отключая при этом системную установку. То есть в люси у вас будет чекбоксик выключен, но оффлоад на самом деле будет работать там, где он не мешает nfqws
Тестировалось только на software flow offloading, на hardware возможности проверить нет
|
|
|
|
Triblekill
Стаж: 10 лет 9 месяцев Сообщений: 51
|
Triblekill ·
30-Окт-20 15:59
(спустя 19 мин., ред. 30-Окт-20 16:47)
kx77 писал(а):
80314691Сделана экспериментальная поддержка flow offloading в openwrt , включая простой инсталятор
В openwrt flow offloading работает только глобально. Либо включено, либо выключено. nfqws не работает с включенным offloading.
Скрипты zapret теперь сами в состоянии выборочно управлять трафиком, который идет на offload, отключая при этом системную установку. То есть в люси у вас будет чекбоксик выключен, но оффлоад на самом деле будет работать там, где он не мешает nfqws
Тестировалось только на software flow offloading, на hardware возможности проверить нет
А hardware как оказалось и не требуется достаточно одной Software flow offloading для нормальной скорости.
Вышла новая версия запрета ?
Вообщем тест Blockcheck вот что показал, но не знаю как отстроить на zaprete
скрытый текст
Код:
Проверка работоспособности IPv6: IPv6 недоступен.
[O] Тестируем IPv4 DNS
Через системный DNS: ['104.18.182.1', '104.18.183.1', '104.26.10.39', '104.26.11.39', '104.26.4.231', '104.26.5.231', '172.67.70.38', '172.67.70.99', '195.8.215.136', '195.82.146.214', '208.100.28.56', '67.202.114.141']
Через Google DNS: ['104.18.182.1', '104.18.183.1', '104.26.10.39', '104.26.11.39', '104.26.4.231', '104.26.5.231', '172.67.70.38', '172.67.70.99', '195.8.215.136', '195.82.146.214', '208.100.28.56', '67.202.114.141']
Через Google API: ['104.18.182.1', '104.18.183.1', '104.26.10.39', '104.26.11.39', '104.26.4.231', '104.26.5.231', '172.67.70.38', '172.67.70.99', '195.8.215.136', '195.82.146.214', '208.100.28.56', '67.202.114.141']
Несуществующий DNS не вернул адресов (это не ошибка)
[V] DNS-записи не подменяются
[V] DNS не перенаправляется
Пробуем способ "15 КБ данных перед Host" на rutr.life
[V] Сайт открывается
Пробуем способ "21 КБ данных перед Host" на rutr.life
[V] Сайт открывается
Пробуем способ "7 КБ данных перед Host" на rutr.life
[V] Сайт открывается
Пробуем способ "дополнительный пробел после GET" на rutr.life
[!] Сайт не открывается, обнаружен пассивный DPI!
Пробуем способ "заголовок hOSt вместо Host" на rutr.life
[V] Сайт открывается
Пробуем способ "заголовок hoSt вместо Host" на rutr.life
[V] Сайт открывается
Пробуем способ "значение Host БОЛЬШИМИ БУКВАМИ" на rutr.life
[!] Сайт не открывается, обнаружен пассивный DPI!
Пробуем способ "необычный порядок заголовков" на rutr.life
[!] Сайт не открывается, обнаружен пассивный DPI!
Пробуем способ "отсутствие пробела между двоеточием и значением заголовка Host" на rutr.life
[V] Сайт открывается
Пробуем способ "перенос строки в заголовках в UNIX-стиле" на rutr.life
[V] Сайт открывается
Пробуем способ "перенос строки перед GET" на rutr.life
[V] Сайт открывается
Пробуем способ "табуляция в конце домена" на rutr.life
[FAIL] Сайт не открывается
Пробуем способ "точка в конце домена" на rutr.life
[FAIL] Ошибка: timeout('timed out')
Пробуем способ "фрагментирование заголовка" на rutr.life
[V] Сайт открывается
Пробуем способ "фрагментирование заголовка, hoSt и отсутствие пробела одновременно" на rutr.life
[V] Сайт открывается
[!] Результат:
[!] Ваш провайдер полностью блокирует доступ к HTTPS-сайтам из реестра.
[!] isup.me даёт неожиданные ответы или недоступен. Рекомендуем повторить тест, когда он начнёт работать. Возможно, эта версия программы устарела. Возможно (но маловероятно), что сам isup.me уже занесён в чёрный список.
[!] Если проигнорировать isup.me, то у вашего провайдера "полный" DPI. Он отслеживает ссылки даже внутри прокси, поэтому вам следует использовать любое шифрованное соединение, например, VPN или Tor.
|
|
|
|
kx77
Стаж: 12 лет 3 месяца Сообщений: 808
|
kx77 ·
30-Окт-20 16:14
(спустя 15 мин.)
Triblekill писал(а):
А hardware как оказалось и не требуется достаточно одной Software flow offloading для нормальной скорости.
Вышла новая версия запрета ?
Да, автоматизировал вчерашнюю идею
Triblekill писал(а):
А hardware как оказалось и не требуется достаточно одной Software flow offloading для нормальной скорости.
Вообщем тест Blockcheck вот что показал, но не знаю как отстроить на zaprete
Такие большие блоки надо в спойлер вносить, иначе читать потом тему не возможно
Что это за провайдер ? Не ростелек ? На ростелеке уже отработана схема, нет разве ?
Если нет, то пробовать надо разные варианты.
|
|
|
|
Triblekill
Стаж: 10 лет 9 месяцев Сообщений: 51
|
Triblekill ·
30-Окт-20 17:24
(спустя 1 час 10 мин., ред. 30-Окт-20 17:24)
kx77 писал(а):
80314899
Triblekill писал(а):
А hardware как оказалось и не требуется достаточно одной Software flow offloading для нормальной скорости.
Вышла новая версия запрета ?
Да, автоматизировал вчерашнюю идею
Triblekill писал(а):
А hardware как оказалось и не требуется достаточно одной Software flow offloading для нормальной скорости.
Вообщем тест Blockcheck вот что показал, но не знаю как отстроить на zaprete
Такие большие блоки надо в спойлер вносить, иначе читать потом тему не возможно
Что это за провайдер ? Не ростелек ? На ростелеке уже отработана схема, нет разве ?
Если нет, то пробовать надо разные варианты.
Теперь как можно сделать с новым запретом ? Просто по старому настроить и всё ?
P.S Понял в конце установки выбрать нужно вариант )
Установил, в конце выбрал опцию Software flow offloading всё чётко работает, спасибо тебе за твоё творчество !!
|
|
|
|
kx77
Стаж: 12 лет 3 месяца Сообщений: 808
|
kx77 ·
01-Ноя-20 14:29
(спустя 1 день 21 час)
Сделал рефакторинг системы управления режимами. Вместо впихивания нескольких опций в один строковый параметр MODE, эти опции теперь разделены по разным переменным.
Поддержка keep alive в nfqws больше не требует custom скрипта. Она теперь вшита в основной функционал.
скрытый текст
Код:
# CHOOSE OPERATION MODE
# MODE : nfqws,tpws,filter,custom
# nfqws : use nfqws
# tpws : use tpws
# filter : no daemon, just create ipset or download hostlist
# custom : custom mode. should modify custom init script and add your own code
MODE=tpws
# apply fooling to http
MODE_HTTP=1
# for nfqws only. support http keep alives. enable only if DPI checks for http request in any outgoing packet
MODE_HTTP_KEEPALIVE=0
# apply fooling to https
MODE_HTTPS=1
# none,ipset,hostlist
MODE_FILTER=none
|
|
|
|
Triblekill
Стаж: 10 лет 9 месяцев Сообщений: 51
|
Triblekill ·
04-Ноя-20 14:02
(спустя 2 дня 23 часа, ред. 04-Ноя-20 14:02)
kx77 писал(а):
80326565Сделал рефакторинг системы управления режимами. Вместо впихивания нескольких опций в один строковый параметр MODE, эти опции теперь разделены по разным переменным.
Поддержка keep alive в nfqws больше не требует custom скрипта. Она теперь вшита в основной функционал.
скрытый текст
Код:
# CHOOSE OPERATION MODE
# MODE : nfqws,tpws,filter,custom
# nfqws : use nfqws
# tpws : use tpws
# filter : no daemon, just create ipset or download hostlist
# custom : custom mode. should modify custom init script and add your own code
MODE=tpws
# apply fooling to http
MODE_HTTP=1
# for nfqws only. support http keep alives. enable only if DPI checks for http request in any outgoing packet
MODE_HTTP_KEEPALIVE=0
# apply fooling to https
MODE_HTTPS=1
# none,ipset,hostlist
MODE_FILTER=none
Вроде настроил, работает бывает редко вылетает затычка когда шаришься по залоченному сайту , но не критично
MODE=nfqws
MODE_HTTP=1
MODE_HTTPS=1
MODE_HTTP_KEEPALIVE=1
NFQWS_OPT_DESYNC="--dpi-desync=split --dpi-desync-skip-nosni=0 --dpi-desync-ttl=3 --dpi-desync-fooling=none --dpi-desync-fwmark=$DESYNC_MARK"
Прописывать cp /opt/zapret/init.d/openwrt/custom-desync-keepalive /opt/zapret/init.d/openwrt/custom оказалось уже не нужно
Хорошо бы ещё могло устанавливать таймаут на keep-alive, поддерживать соединение n секунд потому что один сайт почему то ломается со временем если повторно зайти ((
|
|
|
|
kx77
Стаж: 12 лет 3 месяца Сообщений: 808
|
kx77 ·
06-Ноя-20 17:38
(спустя 2 дня 3 часа, ред. 06-Ноя-20 17:38)
Triblekill писал(а):
Хорошо бы ещё могло устанавливать таймаут на keep-alive, поддерживать соединение n секунд потому что один сайт почему то ломается со временем если повторно зайти ((
Таймаутами соединения управляют только его участники. Броузер и сервер. zapret на это влиять не может
у лисы в about:config по фильтру keepalive кое-что есть. можно поиграться этими параметрами. если только сервер не дропнет раньше времени
Какой сайт, я могу проверить, есть доступ к ростелеку
|
|
|
|
Triblekill
Стаж: 10 лет 9 месяцев Сообщений: 51
|
Triblekill ·
06-Ноя-20 19:08
(спустя 1 час 29 мин., ред. 06-Ноя-20 19:08)
kx77 писал(а):
80354843
Triblekill писал(а):
Хорошо бы ещё могло устанавливать таймаут на keep-alive, поддерживать соединение n секунд потому что один сайт почему то ломается со временем если повторно зайти ((
Таймаутами соединения управляют только его участники. Броузер и сервер. zapret на это влиять не может
у лисы в about:config по фильтру keepalive кое-что есть. можно поиграться этими параметрами. если только сервер не дропнет раньше времени
Какой сайт, я могу проверить, есть доступ к ростелеку
Вот
он иногда открывается иногда дропается в соединение сброшено ((
И
не открывается ((
|
|
|
|
kx77
Стаж: 12 лет 3 месяца Сообщений: 808
|
kx77 ·
06-Ноя-20 22:13
(спустя 3 часа, ред. 06-Ноя-20 22:35)
zagonka.tv
блок осуществляется по IP на пассивном DPI
до nfqws дело даже не доходит, после SYN пакета через несколько ms приходит ответ от DPI с RST
если заглушить RST таким образом
iptables -I PREROUTING -t raw -i pppoe-rt -p tcp --tcp-flags RST RST -s 179.43.176.228 -j DROP
то сайт работает
zapret не занимается фильтрацией ответов от пассивных DPI
с этим надо идти в соседнюю тему по iptables
kinogo.by
на него тоже приходят RST, но не только
если снять nfqws, запретить RST, то приходит TLS handshake failure в течение короткого промежутка.
это ответ от еще какого-то DPI, который вместо RST таким образом пытается завершить TLS соединение, и для него не срабатывает стратегия, которая
работает для основного DPI ростелека. этот DPI уже не пассивный, оригинальные ответы сервера не проходят
бывает, что блокировку осуществляют несколько звеньев в цепочке, и каждый это делает по-своему
такие провы как ростелек имеют множество связей, маршрут может пойти по-разному до разных серверов
может дополнительно фильтровать какой-то аплинк
если идет через него, будут проблемы, а иначе нет
|
|
|
|
Triblekill
Стаж: 10 лет 9 месяцев Сообщений: 51
|
Triblekill ·
06-Ноя-20 22:14
(спустя 1 мин.)
Да в загонке я видел что переадресация идёт, но запрет ей пытается почему то мешать ((
|
|
|
|
kx77
Стаж: 12 лет 3 месяца Сообщений: 808
|
kx77 ·
06-Ноя-20 22:20
(спустя 5 мин.)
Triblekill писал(а):
80356582Да в загонке я видел что переадресация идёт, но запрет ей пытается почему то мешать ((
Запрет ей не мешает, там ростелек сразу же шлет RST
Код:
22:18:37.911302 IP x.x.x.x.54848 > 179.43.176.228.443: Flags [S], seq 3090104301, win 29040, options [mss 1452,sackOK,TS val 483578025 ecr 0,nop,wscale 4], length 0
22:18:37.925819 IP 179.43.176.228.443 > x.x.x.x.54848: Flags [R.], seq 0, ack 3090104301, win 29040, length 0
разница по времени 14 мс, пинг до сайта 93 мс
значит это ответ от DPI
|
|
|
|
Triblekill
Стаж: 10 лет 9 месяцев Сообщений: 51
|
Triblekill ·
06-Ноя-20 22:35
(спустя 14 мин., ред. 06-Ноя-20 22:35)
Ввёл в putty
Код:
iptables -I PREROUTING -t raw -i pppoe-rt -p tcp --tcp-flags RST RST -s 179.43.176.228 -j DROP
И перезагрузил роутер, всё же почему то загонка так и не заработала (( Соединение сброшено.
P.S Понял у меня же iptables -I PREROUTING -t raw -i pppoe-WAN ))))
Хотя нет всё равно не сработало ((
|
|
|
|
kx77
Стаж: 12 лет 3 месяца Сообщений: 808
|
kx77 ·
06-Ноя-20 22:39
(спустя 4 мин.)
Triblekill писал(а):
Хотя нет всё равно не сработало ((
Ошибок команда iptables не выдавала ? в openwrt по умолчанию нет таблицы raw, для нее надо модуль доставлять kmod-ipt-raw
скрытый текст
Код:
root@router:~# curl -v 179.43.176.228
^C
root@router:~# iptables -I PREROUTING -t raw -i pppoe-rt -p tcp --tcp-flags RST RST -s 179.43.176.228 -j DROP
root@router:~# curl -v 179.43.176.228
> GET / HTTP/1.1
> Host: 179.43.176.228
> User-Agent: curl/7.43.0
> Accept: */*
>
< HTTP/1.1 404 Not Found
< Server: nginx
< Date: Fri, 06 Nov 2020 19:37:04 GMT
< Content-Type: text/html; charset=UTF-8
< Transfer-Encoding: chunked
< Connection: keep-alive
< X-Accel-Expires: 0
< Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
|
|
|
|
Triblekill
Стаж: 10 лет 9 месяцев Сообщений: 51
|
Triblekill ·
06-Ноя-20 22:50
(спустя 10 мин., ред. 06-Ноя-20 22:50)
kx77 писал(а):
80356710
Triblekill писал(а):
Хотя нет всё равно не сработало ((
Ошибок команда iptables не выдавала ? в openwrt по умолчанию нет таблицы raw, для нее надо модуль доставлять kmod-ipt-raw
скрытый текст
Код:
root@router:~# curl -v 179.43.176.228
^C
root@router:~# iptables -I PREROUTING -t raw -i pppoe-rt -p tcp --tcp-flags RST RST -s 179.43.176.228 -j DROP
root@router:~# curl -v 179.43.176.228
> GET / HTTP/1.1
> Host: 179.43.176.228
> User-Agent: curl/7.43.0
> Accept: */*
>
< HTTP/1.1 404 Not Found
< Server: nginx
< Date: Fri, 06 Nov 2020 19:37:04 GMT
< Content-Type: text/html; charset=UTF-8
< Transfer-Encoding: chunked
< Connection: keep-alive
< X-Accel-Expires: 0
< Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Странно со второго раза как ввёл заново, заработало, спасибо теперь вроде понял как сайты с переадресацией исключить
скрытый текст
Код:
root@OpenWrt:~# curl -v 179.43.176.228
* Send failure: Connection reset by peer
* Failed sending HTTP request
curl: (55) Send failure: Connection reset by peer
root@OpenWrt:~# iptables -I PREROUTING -t raw -i pppoe-WAN -p tcp --tcp-flags RS
T RST -s 179.43.176.228 -j DROP
root@OpenWrt:~# curl -v 179.43.176.228
> GET / HTTP/1.1
> Host: 179.43.176.228
> User-Agent: curl/7.66.0
> Accept: */*
>
< HTTP/1.1 404 Not Found
< Server: nginx
< Date: Fri, 06 Nov 2020 19:43:53 GMT
< Content-Type: text/html; charset=UTF-8
< Transfer-Encoding: chunked
< Connection: keep-alive
< X-Accel-Expires: 0
< Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
<
|
|
|
|
kx77
Стаж: 12 лет 3 месяца Сообщений: 808
|
kx77 ·
06-Ноя-20 22:52
(спустя 2 мин.)
Обычно запретом не все сайты обходятся
какие-то режутся другими DPI, другие заблочены по IP
для полноценного обхода лучше иметь прозрачную выборочную завертку на прокси или VPN
не помогает запрет ? внес IP в список ipban, оно завернулось на VPN
так у меня сделано везде
но настройка не очень простая
описано в доках от запрета
|
|
|
|
Triblekill
Стаж: 10 лет 9 месяцев Сообщений: 51
|
Triblekill ·
06-Ноя-20 22:56
(спустя 4 мин., ред. 06-Ноя-20 22:56)
kx77 писал(а):
80356784Обычно запретом не все сайты обходятся
какие-то режутся другими DPI, другие заблочены по IP
для полноценного обхода лучше иметь прозрачную выборочную завертку на прокси или VPN
не помогает запрет ? внес IP в список ipban, оно завернулось на VPN
так у меня сделано везде
но настройка не очень простая
описано в доках от запрета
Я всё же надеюсь на дальнейшие улучшения запрета чтобы он работал не хуже goodbyedpi и прямым обходом без прокси.
Странно но GoodByeDpi всё это понимает сам и переадресации и Software и Hardware offloading он просто запускается и работает хорошо бы так с запретом
|
|
|
|
