|
|
|
Dicrock
Стаж: 12 лет 9 месяцев Сообщений: 1137
|
Dicrock ·
06-Дек-24 19:47
(2 месяца 20 дней назад, ред. 06-Дек-24 19:47)
kx77 писал(а):
Под win7 нереально без переписи значительной части кода. epoll использутся.
но это работает под WSL.
ОК. Ясно. Просто при наличии полноценной адаптации nfqws под win отсутствие аналогичной адаптации tpws несколько удручает :/
kx77 писал(а):
tpws не предназначен для маршрутизации. с этим лучше xray и им подобные справятся
Маршрутизации не всмысле всего трафика, а по списку. Что в списке идёт через утилиту и на вышестоящий прокси, а что не в списке - мимо него. Имелась ввиду маршрутизация в таком ключе. По типу proxy.pac, но без задейстаования оного.
|
|
|
|
kx77
Стаж: 12 лет 2 месяца Сообщений: 803
|
kx77 ·
06-Дек-24 20:21
(спустя 34 мин., ред. 06-Дек-24 20:21)
Это сделать не так просто , как кажется.
Чтобы узнать какой домен нужно пропустить через себя первый посыл, не устанавливая исходящее соединение.
Нужна задержка конекта, сообщать клиенту, что успех, хотя еще неизвестно.
Делать не планирую. Уже реализовано в xray. Опция sniffing
|
|
|
|
xviirutrackerorg
Стаж: 12 лет Сообщений: 4
|
xviirutrackerorg ·
07-Дек-24 12:48
(спустя 16 часов)
Приветствую.
Подскажите, есть возможность с помощью zapret пробивать блокировку wireguard от cloudflare WARP?
Спасибо.
|
|
|
|
Dicrock
Стаж: 12 лет 9 месяцев Сообщений: 1137
|
Dicrock ·
08-Дек-24 17:15
(спустя 1 день 4 часа)
kx77 писал(а):
Нужна задержка конекта, сообщать клиенту, что успех, хотя еще неизвестно.
Делать не планирую. Уже реализовано в xray. Опция sniffing
ОК ... Какой конкретно софт посоветуете для "домашнего" использования на десктопе под win по вышеозначенному сценарию ? Я малость не в теме по xray ...
|
|
|
|
kx77
Стаж: 12 лет 2 месяца Сообщений: 803
|
kx77 ·
09-Дек-24 14:27
(спустя 21 час, ред. 09-Дек-24 14:27)
Я не пользовался этим, но в курсе, что xray умеет
-------------------
zapret v69.6
nfqws: Установка NETLINK_NO_ENOBUFS для NFQUEUE. Решает проблему с аварийным выходом процесса на некоторых системах (keenetic).
init.d: Унификация custom скриптов для linux. Удалены init.d/{openwrt,sysv}/custom.d.examples. Скрипты теперь имеют формат как раньше для sysv, примеры находятся в `init.d/custom.d.examples.linux’. Совместимость со старым openwrt вариантом сохраняется. Но копипастные инструкции немного слетят.
init.d: Новый custom скрипт 20-fw-extra. Например, для тех, кому нужно дурить трафик через nfqws только с одного входящего интерфейса и не дурить с остальных.
init.d: Новый custom скрипт 50-wg4all. Ищет в ядре udp пакеты wireguard handshake initiation на любые порты и перенаправляет на nfqws.
Пояснения на счет 20-fw-extra.
Меня не раз спрашивали что делать, если надо дурить на nfqws только одну внутреннюю сеть, а другую нет. Чтобы был публичный wifi с ограничениями и непубличный wifi для своих, например. Обычно я предлагал отказаться от скриптов и запускать руками.
Но теперь эта задача может быть решена и на уровне скриптов.
Главная проблема - отсутствие возможности в стандартном варианте задавать свои условия ip/nf tables. Вторая проблема - невозможность фильтрации по внутренним IP в варианте nftables при использовании схемы postnat.
Задача решается примерно так :
Разнести их на разные подсети и интерфейсы. Так проще будет понять нужно ли им дурение. Хотя, если вы можете назначать “своим” особые IP адреса, можно и по ним тоже сечь.
Сделать NFQWS_ENABLE=0 в config.
Переписать init.d/custom.d.examples.linux/20-fw-extra в custom.d
Настроить config :
NFQWS_ENABLE_OVERRIDE=1
FW_EXTRA_PRE_NFQWS_IPT="-m mark --mark 0x10000000/0x10000000"
FW_EXTRA_PRE_NFQWS_NFT="mark and 0x10000000 != 0"
Отдельными средствами маркировать битом 0x10000000 пакеты, предназначенные для дурения на этапе до POSTROUTING. Для проходящего трафика это можно сделать в PREROUTING, для исходящего с самой системы - в OUTPUT.
50-wg4all - это простое решение для дурения любого wireguard, не требующее настройки по портам и чему-либо еще. Переписал и работает. Оверхеда на системе практически не создает.
Единственная возможная настройка - стратегия дурения в config : NFQWS_OPT_DESYNC_WG.
По умолчанию - --dpi-desync=fake. Туда можно добавить репиты по необходимости.
|
|
|
|
Dicrock
Стаж: 12 лет 9 месяцев Сообщений: 1137
|
Dicrock ·
09-Дек-24 19:41
(спустя 5 часов, ред. 09-Дек-24 19:41)
kx77 писал(а):
87091655Я не пользовался этим, но в курсе, что xray умеет
Понятно ... Как будет время поизучаю на досуге новомодные прокси и прочие свистоперделки 
***
Тут на днях напрочь отвалился доступ к заблокированным сайтам
скрытый текст
Код:
curl -vskL "https://rutr.life"
* Host rutr.life:443 was resolved.
* IPv6: (none)
* IPv4: 104.21.32.39, 172.67.182.196
* Trying 104.21.32.39:443...
* Failed to set TCP_KEEPINTVL on fd 164: errno 10042
* Failed to set TCP_KEEPCNT on fd 164: errno 10042
* Connected to rutr.life (104.21.32.39) port 443
* ALPN: curl offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
} [308 bytes data]
* TLSv1.3 (OUT), TLS alert, protocol version (582):
} [2 bytes data]
* LibreSSL/3.9.2: error:1400442E:SSL routines:CONNECT_CR_SRVR_HELLO:tlsv1 alert protocol version
* closing connection #0
и как оказалось причина была банальна - блокировки отвалились и сайты заработали напрямую без обхода. А обход их ломал. Я бы не стал писать этот пост т.к. и так всё очевидно, если бы на смарте, что был в той же сети (по wi-fi) всё без проблем шуршало при тех же самых настройках. Разница была разве что в использовании winws на десктопе ...
з.ы. А можно что-то придумать на случай, если блокировки отвалились и не надо было всё ручками вырубать (предварителтно догадавшись, что блокировки отвалились) ?
|
|
|
|
kx77
Стаж: 12 лет 2 месяца Сообщений: 803
|
kx77 ·
09-Дек-24 21:14
(спустя 1 час 33 мин., ред. 09-Дек-24 21:14)
Единственная автоматия, реализованная сейчас, это детект блокировки для автохостлиста.
Слишком автоматической и умной прогу делать не хочу по разным причинам.
Сложно и долго кодить, непонятно как будет работать, не станет ли слишком умничать и делать неверные выводы, привлечет ненужных ламеров
Если стратегия не ломала ресурс с блокировками, при отключении DPI она и не будет ломать его без них.
Если это случилось, значит сменились маршруты и требуется повторный анализ ситуевины
|
|
|
|
kx77
Стаж: 12 лет 2 месяца Сообщений: 803
|
kx77 ·
13-Дек-24 19:38
(спустя 3 дня)
zapret v69.7
* nfqws,tpws: параметр --comment. любые комментарии в любом месте.
* nfqws: предупреждение о возможной "ТРЭШ ФЛУД" конфигурации. Когда пишите --dpi-desync-any-protocol без --dpi-desync-cutoff и используете методы с фейками. Это не всегда плохо, но когда плохо, то очень плохо.
* winws: многократное снижение использования процессора за счет отказа от процессинга пустых TCP ACK пакетов в --wf-tcp
* nfqws: в android версии исправлен bad system call при завершении процесса
|
|
|
|
Dicrock
Стаж: 12 лет 9 месяцев Сообщений: 1137
|
Dicrock ·
14-Дек-24 09:49
(спустя 14 часов, ред. 14-Дек-24 09:49)
Там viber локкнули. Запретом лечится или блок по ip ?
|
|
|
|
kx77
Стаж: 12 лет 2 месяца Сообщений: 803
|
kx77 ·
14-Дек-24 14:53
(спустя 5 часов)
Сайт стандартно заблокирован. Остальное не проверял.
|
|
|
|
Dicrock
Стаж: 12 лет 9 месяцев Сообщений: 1137
|
Dicrock ·
15-Дек-24 02:27
(спустя 11 часов)
kx77 писал(а):
87117862Сайт стандартно заблокирован. Остальное не проверял.
Не, я про мессенджер.
|
|
|
|
mark right
Стаж: 10 лет 5 месяцев Сообщений: 611
|
mark right ·
15-Дек-24 10:37
(спустя 8 часов, ред. 15-Дек-24 10:37)
kx77 писал(а):
87114293zapret v69.7
Защитник Винды начал удалять скачанные отсюда файлы как трояны. В прошлых релизах такого не было.
|
|
|
|
Dicrock
Стаж: 12 лет 9 месяцев Сообщений: 1137
|
Dicrock ·
15-Дек-24 11:36
(спустя 59 мин.)
Про viber ещё раз. Походу локкнули по IP хосты aloha.viber.com и account.viber.com (на пинги не отвечают). content.cdn.viber.com и собственно viber.com на пинги реагируют
|
|
|
|
silentwatcher
Стаж: 16 лет 4 месяца Сообщений: 450
|
silentwatcher ·
15-Дек-24 13:14
(спустя 1 час 37 мин.)
mark right
в принципе можно сравнить этот релиз с прошлым https://github.com/bol-van/zapret/compare/v69.6...v69.7 и проверить что ничего страшного вроде как не появилось. либо ложное срабатывание либо в офис винды пришла писулька от ркн СЛЫШ ЗОПРЕТИ и они решили не упираться.
|
|
|
|
mark right
Стаж: 10 лет 5 месяцев Сообщений: 611
|
mark right ·
15-Дек-24 14:06
(спустя 52 мин., ред. 15-Дек-24 14:06)
silentwatcher
У меня давно работает какая-то версия "Запрета", но винда на неё не ругается. Ну и как-то невероятно, что Майкрософт отдал свои антивирусные базы на откуп Роскомнадзору.
|
|
|
|
kx77
Стаж: 12 лет 2 месяца Сообщений: 803
|
kx77 ·
15-Дек-24 16:48
(спустя 2 часа 41 мин., ред. 15-Дек-24 16:48)
zapret v69.8
winws: обработка пустых исходящих TCP с FIN или RST в --wf-tcp для нужд conntrack
repo: сборка под mips-rlx5281 (lexra)
Dicrock писал(а):
87122012Про viber ещё раз. Походу локкнули по IP хосты aloha.viber.com и account.viber.com (на пинги не отвечают). content.cdn.viber.com и собственно viber.com на пинги реагируют
Они не пингаются, поскольку зафильтрован icmp echo. С VPS тоже.
По web accounts отвечает, на алохе веба нет
На счет AV подробно описано в реадме в вин бандл репе. Бороться с детектом виндиверт не буду, это невозможно и бредово.
|
|
|
|
Vladik-polosatik
Стаж: 14 лет Сообщений: 743
|
Vladik-polosatik ·
18-Дек-24 18:05
(спустя 3 дня)
Цитата:
Операторы, имеющие лицензию на оказание услуг связи, будут обязаны обеспечить предоставление Роскомнадзору (РКН) информации, позволяющей идентифицировать средства связи и пользовательское оборудование в интернете. Эта мера позволит предотвратить доступ к информации, распространение которой ограничено на территории России, и защитить граждан от возможного вреда, уточняется в документах, прилагаемых к проекту приказа, опубликованного РКН на regulation.gov.ru.
Это значит, что РКН сможет получить информацию об интернет-пользователях, которые заходят на заблокированные в России интернет-сайты.
https://www.vedomosti.ru/technology/articles/2024/12/18/1082164-roskomnadzor-name...bhoda-blokirovok
На практике это означает, что раз заблокировать наглухо ничего не могут, люди продолжают пользоваться заблокированными сайтами - значит, после сбора информации о таких пользователях, начнут вводить личную ответственность граждан за использование методов обхода блокировок.
|
|
|
|
vlad_ns
Стаж: 14 лет 11 месяцев Сообщений: 1763
|
vlad_ns ·
18-Дек-24 20:46
(спустя 2 часа 40 мин., ред. 18-Дек-24 20:46)
Vladik-polosatik
Ну нужно попробовать доказать (конечно это возможно), пока ещё не запрещено, хотя как показывает практика, мы должны сами догадываться (что это нельзя), таких пользователей скорее всего окажется слишком много, несколько сотен тысяч, как минимум. Но хватит несколько сотен, может тысяч, остальные сами перестанут, ведь информация об этом будет сильно растиражирована, в основном инагентскими сми. Ну и как мне кажется, поле для разработки у них и так есть. Например они ведут список всех (ну или многих) кто участвовал в протестных митингах, наверно ещё с Болотной, есть всякие ура-патриоты, их поменьше, зато они явно отблескивают не хуже бывшей оппозиции. Мы наверно будем последними, когда уже за нас заступится будет не кому...
Если кто-то боится, можно использовать tor, yggdrasil, i2p др. скрытосети. Конечно, их тоже можно вычислить, но это будет ещё накладнее.
|
|
|
|
general_alias
Стаж: 15 лет 9 месяцев Сообщений: 83
|
general_alias ·
18-Дек-24 21:36
(спустя 50 мин.)
мутная срань... есть вроде пакет яровой, накой дублировать то не понятно. Выглядит как распил бабла ну или подготовка к глобальному шухеру типа 37 год, массово выгребут от нескольких десятков бедолаг публично покарав за низясайты, остальные сами удалят сабж и его аналоги и будут смореть помётыча в рутубе и кричать в окно гойда.
|
|
|
|
mark right
Стаж: 10 лет 5 месяцев Сообщений: 611
|
mark right ·
18-Дек-24 21:50
(спустя 14 мин., ред. 18-Дек-24 21:50)
Vladik-polosatik писал(а):
87136291На практике это означает, что
На практике это означает, что мак-адрес вашего роутера уже есть у провайдера и все кому надо, благодаря тем же ТСПУ, всё давно знают. Роскомнадзор просто будет ещё одним лицом, которому интернет-провайдер будет вынужден сливать данные, только теперь на основании закона, а не втихую. Вот только доказать, что именно конкретный Вася пользовался средствами "обхода", почти нереально. Можно лишь с огромным гемором привлечь хозяина договора с провайдером НЕ ЗА ТО, что тот качал торренты (что, к слову, на Западе давно практикуется даже не государством, а мутными юристами), а лишь за то, что тот "не уследил" за линией связи, и то, если он не почешется свалить всё на злых хакеров, украинских телефонных мошенников и бывшую жену.
|
|
|
|
kx77
Стаж: 12 лет 2 месяца Сообщений: 803
|
kx77 ·
18-Дек-24 21:54
(спустя 3 мин.)
ТСПУ не может знать мак адрес, потому что он не стоит на 1 хопе. Мак дальше 1 хопа не уходит.
Может быть этой инфы и не хватает РКН, что трясут провайдеров
|
|
|
|
mark right
Стаж: 10 лет 5 месяцев Сообщений: 611
|
mark right ·
18-Дек-24 22:00
(спустя 6 мин.)
kx77 Мы же не знаем, что именно в этих "чёрных ящиках", как-куда-зачем они подключены и что они действительно реализуют.
Мутное это дело и есть ощущение, что причина не в торрентах и ютубе, но в чём-то другом, а в общественном поле специально пускают дымовую завесу.
|
|
|
|
vlad_ns
Стаж: 14 лет 11 месяцев Сообщений: 1763
|
vlad_ns ·
18-Дек-24 22:09
(спустя 8 мин.)
general_alias писал(а):
87137222подготовка к глобальному шухеру типа 37 год
На это нет денег, максимум разогнать какой-нибудь митинг (которого и так нет), ну и чуть-чуть посадить из того митинга, вспомните про Башкортостан пару тройку лет назад.
mark right писал(а):
87137277что мак-адрес вашего роутера уже есть у провайдера и все кому надо
Есть, но он меняется. В полноценных ОС это даже можно автоматизировать. На моём прове не было привязки к маку.
mark right писал(а):
87137306но в чём-то другом
Не скрепое чтиво? Ну скоро пропагандисты сами начнут говорить то чего не нужно, обстоятельства будут такими.
|
|
|
|
Vladik-polosatik
Стаж: 14 лет Сообщений: 743
|
Vladik-polosatik ·
18-Дек-24 23:25
(спустя 1 час 16 мин., ред. 18-Дек-24 23:25)
Цитата:
Роскомнадзор не будет собирать данные о личных устройствах пользователей, которые заходят на заблокированные сайты. Как сообщили «Ъ» в ведомстве, операторы должны будут предоставлять информацию только о сетевых адресах.
Проект приказа Роскомнадзора подразумевает сбор сетевых адресов, которые используются операторами связи в различных субъектах Российской Федерации для актуализации правил фильтрации в целях противодействия компьютерным атакам, в том числе DDoS-атакам. Информация о личных устройствах пользователей не собирается, поскольку не требуется для противодействия угрозам.
Дали заднюю, хотя, зная нашу лукавую византийщину, дыма без огня не бывает.
|
|
|
|
vlad_ns
Стаж: 14 лет 11 месяцев Сообщений: 1763
|
vlad_ns ·
18-Дек-24 23:35
(спустя 10 мин.)
Vladik-polosatik писал(а):
87137622дыма без огня не бывает.
Да это обычное явление в тоталитарных режимах - контролировать всё. Просто сейчас к этому всему добавился интернет, со своими особенностями.
|
|
|
|
kx77
Стаж: 12 лет 2 месяца Сообщений: 803
|
kx77 ·
22-Дек-24 14:20
(спустя 3 дня, ред. 22-Дек-24 14:20)
Недавно вышло обновление youtube TV приложения для android.
Они отказались от GQUIC, который запрет не поддерживал, и перешли на IETF QUIC, который запрет поддерживает.
И оно заработало
Требования - андроид 7.0, можно AOSP. gapps не требует
Но QUIC все равно нужен. Если не пробивается на провайдере, будет облом скорее всего
|
|
|
|
hovard2008
Стаж: 15 лет 10 месяцев Сообщений: 170
|
hovard2008 ·
22-Дек-24 20:09
(спустя 5 часов)
Наблюдаю такое поведение, рутрекер открывается, но потом ни по одной ссылке не перейти, не грузит, на кинозале можно пару раз перейти по ссылкам потом тоже все. В чем дело?
|
|
|
|
vlad_ns
Стаж: 14 лет 11 месяцев Сообщений: 1763
|
vlad_ns ·
23-Дек-24 22:16
(спустя 1 день 2 часа, ред. 23-Дек-24 22:16)
На последней версии главная страница (ютуб) всегда открывается, по крайней мере в тот момент когда что-то хочешь посмотреть, но видео не всегда полностью проигрывается. Обычно секунд 15-20 проигрывает и затык. Но если обновить страницу, то всё проигрывает нормально. Что можно сделать?
|
|
|
|
Vladik-polosatik
Стаж: 14 лет Сообщений: 743
|
Vladik-polosatik ·
24-Дек-24 10:14
(спустя 11 часов)
vlad_ns
У меня всегда так было со свежими роликами, которые были загружены несколько минут или часов назад. Надо два раза перезагружать страницу. Ничего страшного. Ютуб теперь сильно "замедляют", идеально отрегулировать Запрет, чтобы все летало как на платном ВПНе, вряд ли получится.
|
|
|
|
vlad_ns
Стаж: 14 лет 11 месяцев Сообщений: 1763
|
vlad_ns ·
24-Дек-24 16:16
(спустя 6 часов, ред. 24-Дек-24 16:16)
Vladik-polosatik писал(а):
87161592У меня всегда так было со свежими роликами, которые были загружены несколько минут или часов назад.
Там уже были просмотры, десятки и сотни тысяч, вряд ли все через впн.
У меня сейчас три профиля под ютуб
скрытый текст
Код:
--filter-l3=ipv4 --filter-tcp=$HTTPS --dpi-desync=fake --dpi-desync-ttl=5 --hostlist=/etc/nfqws/ips-hosts/youtube.txt --new
--filter-l3=ipv6 --filter-tcp=$HTTPS --dpi-desync=fake --dpi-desync-ttl=3 --hostlist=/etc/nfqws/ips-hosts/youtube.txt --new
--filter-l3=ipv4,ipv6 --filter-tcp=$HTTPS --dpi-desync=fake --dpi-desync-ttl=12 --dpi-desync-fooling=md5sig,badseq --hostlist=/etc/nfqws/ips-hosts/googlevideo.txt --new
В последнем было ещё --dpi-desync-autottl=1, но я убрал это. Вообще это просто где-то скопировал. Но если для googevideo применять что-то из первых (добавляя домен к хостлисту), то видео сразу не работает (крутится колесо), хотя всё остальное нормально грузится, хотя ещё ggpht.com не работает, но его я просто за прокси поставил. Сам googlevideo не проверяется через блокчек, пишет что available, поэтому только что-то подбирать.
Vladik-polosatik писал(а):
87161592Ютуб теперь сильно "замедляют", идеально отрегулировать Запрет, чтобы все летало как на платном ВПНе, вряд ли получится.
Напротив, после сообщения о ужесточении замедления, у меня только эта проблема осталась (или появилась). Раньше у меня главная страница открывалась условно в 50%. В принципе, через тор (для самого видео)/yggdrasil (для главной страницы и всё что не видео) нормально работает, в окне по крайней мере, только реклама появляется.
|
|
|
|
