|
|
|
kx77
Стаж: 11 лет 11 месяцев Сообщений: 718
|
kx77 ·
07-Ноя-20 15:26
(4 года назад, ред. 07-Ноя-20 15:26)
Triblekill писал(а):
Я всё же надеюсь на дальнейшие улучшения запрета чтобы он работал не хуже goodbyedpi и прямым обходом без прокси.
Странно но GoodByeDpi всё это понимает сам и переадресации и Software и Hardware offloading он просто запускается и работает хорошо бы так с запретом
уже объяснял, что goodbye работает не на роутере, и на него никак не влияет offloading
Это так трудно понять ? тем более, что с оффлоадингом уже разобрались
goodbye выполняет блокировку пассивных DPI, запрет это не делает и такого функционала в нем не будет,
потому что сильно завязано на провайдера и может давать false positives
goodbyedpi в режиме блокировки пассивных DPI делает всего лишь 2 вещи
дроп RST пакетов от http и https с полем IP identification от 0 до 15
Код:
"((ip.Id <= 0xF and ip.Id >= 0x0) " IPID_TEMPLATE ") and " \
"(tcp.SrcPort == 443 or tcp.SrcPort == 80) and tcp.Rst and " \
фильтрация по Ip.id видимо завязана на особенность некоторых русских провайдеров, что их DPI шлет
RST именно с такими значениями. но простой тест в wireshark показывает, что многие rst приходят с нулевым ip.id,
и они будут отброшены несправедливо. никто не дает гарантии, что DPI на другом провайдере не будет
выдавать другие ip.id в RST.
чем плохо отбрасывание лишних RST ? подвисанием соединений, которые иначе были бы быстро сброшены
и вторая вещь - блокировка http редиректов, похожих на ответ от DPI
по его мнению таковыми являются ответы 302 с хедерами Location: и Connection: close
опять же нет никакой гарантии, что это именно ответ от DPI
так что все это основано на типичном поведении некоторых провайдеров, но если не соответствует,
то может давать нежелательные побочные эффекты
в windows нет простых способов фильтрануть отдельные пакеты, поэтому фильтр в goodbyedpi оправдан
он отключаем. кому не нравится - выключает
в linux все иначе, есть iptables, легко фильтрануть самому без сторонних программ
поэтому вводить простую функцию для чайников я не буду. кто хочет - пусть сам применяет iptables
если есть готовая команда, ее применить еще проще, чем установить запрет
а kinogo.by вряд ли даже на goodbyedpi запустится
Аналог дропа RST из goodbyedpi. Поле ip.id я проверяю на >0, а не >=0, потому что =0 - присутствует во многих нормальных RST. DPI на ростелеке у меня выдает ip.id=1. Возможно, у Валдика опечатка. Скорректированная версия :
Код:
iptables -t raw -I PREROUTING -i pppoe-wan -p tcp --tcp-flags RST RST -m multiport --sports 80,443 -m u32 --u32 "2&0xffff=0x1:0xf" -j DROP
Дроп редиректа на заглушку http для ростелекома
Код:
iptables -t raw -I PREROUTING -i pppoe-wan -p tcp --sport 80 -m string --hex-string 'Location: http://warning.rt.ru' --algo bm --from 50 --to 200 -j DROP
pppoe-wan заменить на свое название wan интерфейса
работает и без запрета
правда, если offload включен, то придется делать ручками исключение из него всех соединений на 80 и 443 порты
|
|
|
|
Triblekill
Стаж: 10 лет 5 месяцев Сообщений: 51
|
Triblekill ·
07-Ноя-20 21:13
(спустя 5 часов, ред. 07-Ноя-20 21:13)
kx77 писал(а):
80358204
Triblekill писал(а):
Я всё же надеюсь на дальнейшие улучшения запрета чтобы он работал не хуже goodbyedpi и прямым обходом без прокси.
Странно но GoodByeDpi всё это понимает сам и переадресации и Software и Hardware offloading он просто запускается и работает хорошо бы так с запретом
уже объяснял, что goodbye работает не на роутере, и на него никак не влияет offloading
Это так трудно понять ? тем более, что с оффлоадингом уже разобрались
goodbye выполняет блокировку пассивных DPI, запрет это не делает и такого функционала в нем не будет,
потому что сильно завязано на провайдера и может давать false positives
Спасибо, но мне нравится запрет тем что можно в любой момент менять режимы подстраиваться так сказать.
Введённые правила iptables в putty слетают после перезагрузки роутера поэтому добавил для загонки в /etc/firewall.user сейчас нормально всё.
Починить бы киного чтобы не через раз открывался вообще здорово бы было
|
|
|
|
Shiroi Bara
Стаж: 15 лет 11 месяцев Сообщений: 59
|
Shiroi Bara ·
12-Ноя-20 19:09
(спустя 4 дня)
Извиняюсь за свой дурацкий вопрос, но есть ли аналог белого списка в nfqws, т.е. по умолчанию заварачивать туда весь трафик, за исключением ряда хостов, которые нужно скипать? Или как сделать это средствами таблиц - как прописать правило для bypass'а трафика мимо nfqws для определенного хоста? Столкнулся недавно с ошибкой в огнелисе PR_CONNECT_RESET_ERROR. Помогало только временное отключение запрета и последующий его перезапуск. Тупо не коннектится с в личный кабинет https://nalog.ru. У них там аж 2 сертификата, на сам домен nalog.ru он один и все работает нормально, а вот у кабинета адрес другой и там сертификат другой тоже https://lkfl2.nalog.ru/ вот на нем браузер и тупит пока на время не остановить запрет. Была такая же ошибка и тупо при заходе на яндекс первое время, но помогало обновление странички, а сейчас на поисковик заходит нормально. И еще момент - можно ли запустить две разные копии nfqws, чтобы одна юзала дурение http, используя один метод, а вторая например https, используя другой? Очередей, как я понимаю нужно будет две с двумя разными номерами? Про то, что придется подправить таблички для очередей ясно, но от общего примера, как правильно прописать в таком случае, не откажусь.
|
|
|
|
kx77
Стаж: 11 лет 11 месяцев Сообщений: 718
|
kx77 ·
13-Ноя-20 12:17
(спустя 17 часов, ред. 13-Ноя-20 12:17)
Если используются мои скрипты, то там предусмотрен exclude ipset
Цитата:
СИСТЕМА ИСКЛЮЧЕНИЯ IP. Все скрипты ресолвят файл zapret-hosts-user-exclude.txt, создавая zapret-ip-exclude.txt и zapret-ip-exclude6.txt.
Они загоняются в ipset-ы nozapret и nozapret6. Все правила, создаваемые init скриптами, создаются с учетом этих ipset.
Помещенные в них IP не участвуют в процессе.
zapret-hosts-user-exclude.txt может содержать домены, ipv4 и ipv6 адреса или подсети.
2 разных копии nfqws можно сделать через custom скрипт
см в init.d/openwrt или init.d/sysv custom-2nfqws
(на последней версии с git)
NFQWS_OPT_DESYNC используется для http
NFQWS_OPT_DESYNC2 используется для https. эту переменную надо вписать в /opt/zapret/config по аналогии с NFQWS_OPT_DESYNC
MODE=custom
скопировать custom-2nfqws в custom
|
|
|
|
Triblekill
Стаж: 10 лет 5 месяцев Сообщений: 51
|
Triblekill ·
16-Ноя-20 00:00
(спустя 2 дня 11 часов)
Не разберусь если в режиме tpws как подключить свои https, socks4/5 прокси ? Или в каком либо другом режиме ?
Какой прокси использует tpws по умолчанию и где его редактировать ?
|
|
|
|
kx77
Стаж: 11 лет 11 месяцев Сообщений: 718
|
kx77 ·
16-Ноя-20 00:38
(спустя 37 мин., ред. 16-Ноя-20 00:38)
Triblekill писал(а):
80407842Не разберусь если в режиме tpws как подключить свои https, socks4/5 прокси ? Или в каком либо другом режиме ?
Какой прокси использует tpws по умолчанию и где его редактировать ?
Цитата:
Для чего это надо
-----------------
Автономно, без задействования сторонних серверов, обойти блокировки веб сайтов http и https на DPI.
прозрачный обход через прокси настраивается отдельно и вручную, описано в docs/https.txt, и настройка не простая
|
|
|
|
Triblekill
Стаж: 10 лет 5 месяцев Сообщений: 51
|
Triblekill ·
16-Ноя-20 06:37
(спустя 5 часов, ред. 16-Ноя-20 06:37)
kx77 писал(а):
80407976
Triblekill писал(а):
80407842Не разберусь если в режиме tpws как подключить свои https, socks4/5 прокси ? Или в каком либо другом режиме ?
Какой прокси использует tpws по умолчанию и где его редактировать ?
Цитата:
Для чего это надо
-----------------
Автономно, без задействования сторонних серверов, обойти блокировки веб сайтов http и https на DPI.
прозрачный обход через прокси настраивается отдельно и вручную, описано в docs/https.txt, и настройка не простая
Запили пожалуйста функцию proxy чтобы в конфиге ip и порт прокси указать чтобы его на 80 и 443 порты использовало ?
Что то вроде
Код:
# CHOOSE OPERATION MODE
# MODE : nfqws,tpws,filter,custom,proxy
# nfqws : use nfqws
# tpws : use tpws
# filter : no daemon, just create ipset or download hostlist
# custom : custom mode. should modify custom init script and add your own code
# proxy : use proxy socks,https
MODE=proxy
# Proxy Settings
proxytype=socks
proxyip=127.0.0.1
proxyport=1080
Было бы здорово даже если бы использовало прокси только без авторизации
|
|
|
|
kx77
Стаж: 11 лет 11 месяцев Сообщений: 718
|
kx77 ·
16-Ноя-20 09:57
(спустя 3 часа)
Triblekill писал(а):
Было бы здорово даже если бы использовало прокси только без авторизации
Не, это делать не буду. Не хочу превращать инструмент для обхода DPI в простой комбайн для чайников
|
|
|
|
Triblekill
Стаж: 10 лет 5 месяцев Сообщений: 51
|
Triblekill ·
17-Ноя-20 00:29
(спустя 14 часов, ред. 17-Ноя-20 00:29)
kx77 писал(а):
80409080
Triblekill писал(а):
Было бы здорово даже если бы использовало прокси только без авторизации
Не, это делать не буду. Не хочу превращать инструмент для обхода DPI в простой комбайн для чайников
Дело в том что через прокси можно бы было попадать в другие сети, а так зря ты отказался от этого в итоге всё равно все провайдеры всё это пофиксят окончательно тогда не будет выхода кроме прокси
|
|
|
|
kx77
Стаж: 11 лет 11 месяцев Сообщений: 718
|
kx77 ·
17-Ноя-20 10:31
(спустя 10 часов, ред. 17-Ноя-20 10:31)
Triblekill писал(а):
Дело в том что через прокси можно бы было попадать в другие сети, а так зря ты отказался от этого в итоге всё равно все провайдеры всё это пофиксят окончательно тогда не будет выхода кроме прокси
Прокси всегда с нами останется, но причем тут запрет ? Это другой продукт, предназначенный для других целей
Обычные прокси http или socks - нешифрованные, поэтому DPI часто просекают запросы даже внутри прокси
по нормальному прокси надо пускать через шифрованный тоннель, например через ssh port redirection.
на openwrt можно относительно простыми средствами настроить VPN в режиме перенаправления всего трафика
бери, настраивай. все остальные сценарии варьируются, и создавать единообразную упрощенку для чайников не вижу смысла
совсем чайники вообще не являются целевой аудиторией этого продукта. а кто пошаристей - для тех написаны мануалы. не так уж все и мега сложно там, но не для копипастеров, конечно
|
|
|
|
kx77
Стаж: 11 лет 11 месяцев Сообщений: 718
|
kx77 ·
26-Ноя-20 15:34
(спустя 9 дней)
Добавлена проверка на подмену DNS в простой инсталятор install_easy.sh
Инсталятор сам не будет решать проблему DNS за вас, но предупредит о возможной подмене
|
|
|
|
C00LM4N
Стаж: 17 лет 11 месяцев Сообщений: 16
|
C00LM4N ·
30-Ноя-20 01:31
(спустя 3 дня)
Я верно понимаю, что nfqws работает быстрее tpws?
|
|
|
|
kx77
Стаж: 11 лет 11 месяцев Сообщений: 718
|
kx77 ·
30-Ноя-20 12:02
(спустя 10 часов)
C00LM4N писал(а):
80487695Я верно понимаю, что nfqws работает быстрее tpws?
С точки зрения нагрузки на CPU это в большинстве случаев так.
Но это не значит, что "страницы будут открываться быстрее".
Разные методы противодействия DPI могут вызывать на различном оборудовании провайдера разные эффекты.
Тупление, подвисание , задержки - 1 из возможных случаев
|
|
|
|
C00LM4N
Стаж: 17 лет 11 месяцев Сообщений: 16
|
C00LM4N ·
13-Дек-20 02:54
(спустя 12 дней)
kx77 писал(а):
80489120С точки зрения нагрузки на CPU это в большинстве случаев так.
Но это не значит, что "страницы будут открываться быстрее".
Да, меня с точки зрения оптимизации расходования ресурсов интересовал вопрос )
kx77 писал(а):
80489120Тупление, подвисание , задержки - 1 из возможных случаев
Верно понимаю, что при настройке с hostlist на хосты не из листа никакого влияния не оказывается?
|
|
|
|
kx77
Стаж: 11 лет 11 месяцев Сообщений: 718
|
kx77 ·
13-Дек-20 17:26
(спустя 14 часов, ред. 13-Дек-20 17:26)
C00LM4N писал(а):
Верно понимаю, что при настройке с hostlist на хосты не из листа никакого влияния не оказывается?
К хостам не из hostlist не применяется никакое дурение
Однако, трафик на веб порты на все адреса идет через демоны.
nfqws на него никак не влияет. получает пакеты из очереди и возвращает системе результат "не трогать", сам ничего не остылает
а tpws - это tcp proxy со всеми вытекающими. все пропускается через него, все соединения на веб порты идут от имени роутера. их устанавливает tpws
значит клиенту веб порты ответят на любом адресе, но дальше будет ошибка
так что tpws влияет на сетевую картину в любом случае, с дурением или без
просканировать открытость веб портов с включенным тпвс нельзя
очень похоже на поднятый squid
|
|
|
|
Dicrock
Стаж: 12 лет 6 месяцев Сообщений: 1087
|
Dicrock ·
20-Дек-20 06:03
(спустя 6 дней, ред. 20-Дек-20 06:03)
Немного оффтоп, но всё же. kx77, если не затруднит и будет время - можете на базе tpws сваять отдельную утилиту ? Выкинуть весь anti-dpi функционал, оставить прокси (порт) и хост-лист + добавить поддержку вышестоящего прокси и направление на него траффика в соответствии с хост-листом. Идея в том, чтобы направлять на этот прокси траффик, а далее утилита уже по хост-листу заблокиркованных сайтов будет решать, отправлять ли траффик на вышестоящий прокси или пускать напрямую. Этакая вариация на тему proxy.pac, только для тех случаев, где его не прикрутишь ввиду ряда причин.
|
|
|
|
kx77
Стаж: 11 лет 11 месяцев Сообщений: 718
|
kx77 ·
20-Дек-20 13:23
(спустя 7 часов, ред. 20-Дек-20 13:23)
Dicrock писал(а):
80603839Немного оффтоп, но всё же. kx77, если не затруднит и будет время - можете на базе tpws сваять отдельную утилиту ? Выкинуть весь anti-dpi функционал, оставить прокси (порт) и хост-лист + добавить поддержку вышестоящего прокси и направление на него траффика в соответствии с хост-листом. Идея в том, чтобы направлять на этот прокси траффик, а далее утилита уже по хост-листу заблокиркованных сайтов будет решать, отправлять ли траффик на вышестоящий прокси или пускать напрямую. Этакая вариация на тему proxy.pac, только для тех случаев, где его не прикрутишь ввиду ряда причин.
Затруднит, это не раз два и сделал.
Но это решается другим способом.
Заворот на прокси по ipset. Расписано в docs/https.txt
Недостаток - невозможность автоматического учета поддоменов, но решается через ручное добавление поддоменов в user list
Откуда их взять ? Запускаем проблемный сайт под отладчиком в броузере (F12) и смотрим на какие домены идет обращение
Если доменов не так много и они задаются вручную, есть еще вариант ipset через dnsmasq.
Он при ресолве опредленных доменов добавляет ip в указанный ipset. По нему можно сделать заворот
Еще есть от Валдика решение на https://antizapret.prostovpn.org/
Он дает openvpn, который заменяет dns, и в его ответах заблокированные домены и поддомены подменяются адресом с его VPN
таким образом на VPN идет только трафик на заблокированные домены
помню как вариант он предлагал готовую виртуалку, чтобы развернуть сервер для этой схемы у себя. Естественно, не на soho роутере
https://ntc.party/t/vpn/129
соответственно, можно зареверсить как он все сделал и воспроизвести у себя без контейнера, и это вероятно можно даже засунуть на soho
|
|
|
|
Dicrock
Стаж: 12 лет 6 месяцев Сообщений: 1087
|
Dicrock ·
20-Дек-20 17:02
(спустя 3 часа)
kx77, выглядит гемморойно, имхо, но может попробую на досуге. Может есть уже готовые решения подходящие под условия ? Мб какой-нибудь прокси по типу squid'a, что будет работать со списком хостов ?
|
|
|
|
kx77
Стаж: 11 лет 11 месяцев Сообщений: 718
|
kx77 ·
20-Дек-20 17:11
(спустя 9 мин., ред. 20-Дек-20 17:14)
Dicrock писал(а):
Мб какой-нибудь прокси по типу squid'a, что будет работать со списком хостов ?
squid по небольшому списку вроде умеет, а чтобы по огромным листам не знаю такого
antizapret openvpn просто настраивается
|
|
|
|
vlad_ns
Стаж: 14 лет 8 месяцев Сообщений: 1713
|
vlad_ns ·
20-Дек-20 17:18
(спустя 6 мин., ред. 20-Дек-20 17:18)
Dicrock
Наверно, любой прокси (программа) это умеет, privoxy, tinyproxy, polipo, 3proxy и т.п.
|
|
|
|
kx77
Стаж: 11 лет 11 месяцев Сообщений: 718
|
kx77 ·
20-Дек-20 20:00
(спустя 2 часа 41 мин., ред. 20-Дек-20 20:00)
Так работает squid
squid.conf
Код:
acl localhet src 127.0.0.0/8
acl localnet src 192.168.0.0/16
acl localnet src ::1
acl localnet src fc00::/7
acl myhostlist dstdomain "/tmp/hostlist.txt"
cache_peer proxy.myhost.com parent 8888 0 default
always_direct deny myhostlist
always_direct allow all
http_port 3128
http_access allow localnet
/tmp/hostlist.txt
Код:
rutr.life
ej.ru
lenta.ru
host распознает по Host: в http. как сделать распознавание TLS SNI и заворот на upstream по нему пока не знаю, чтобы не делать полную расшифровку со своим cert.
если нужен socks, то squid его не умеет, но можно через privoxy конвертировать http_proxy => socks
на большом листе РКН проверил. 5 мб. кажется работает
тупило если upstream proxy - tinyproxy. заменил на squid, все норм стало
чтобы включить transparent режим, надо добавить в http_port в конце "intercept"
|
|
|
|
vlad_ns
Стаж: 14 лет 8 месяцев Сообщений: 1713
|
vlad_ns ·
20-Дек-20 20:16
(спустя 15 мин., ред. 20-Дек-20 20:16)
kx77 писал(а):
80609581как сделать распознавание TLS SNI пока не знаю
Код:
...
http_port 3128
http_port 3129 intercept
https_port 3130 intercept ssl-bump connection-auth=off options=NO_SSLv3,NO_TLSv1,NO_TLSv1_1 tls-cert=/etc/squid/squidCA.pem
sslproxy_cert_error allow all
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump splice all
...
У меня так работает.
|
|
|
|
kx77
Стаж: 11 лет 11 месяцев Сообщений: 718
|
kx77 ·
20-Дек-20 20:18
(спустя 2 мин.)
vlad_ns писал(а):
У меня так работает.
splice работает. но не работает редирект по acl в always/never_direct
|
|
|
|
Triblekill
Стаж: 10 лет 5 месяцев Сообщений: 51
|
Triblekill ·
21-Дек-20 09:30
(спустя 13 часов)
kx77 Я так понял что ты всё таки звернул работу с прокси или не ?
|
|
|
|
kx77
Стаж: 11 лет 11 месяцев Сообщений: 718
|
kx77 ·
21-Дек-20 11:18
(спустя 1 час 48 мин.)
Triblekill писал(а):
80612740kx77 Я так понял что ты всё таки звернул работу с прокси или не ?
Простого решения с прокси не будет
|
|
|
|
Dicrock
Стаж: 12 лет 6 месяцев Сообщений: 1087
|
Dicrock ·
21-Дек-20 12:21
(спустя 1 час 2 мин.)
В общем, прогнал я намедни тесты tpws - для меня он на РТ навернулся мнедным тазом. Гонял с большинством комбинаций, заряжал по максимум опции, пробовал играться с split-pos (1 - 5), включал hostpad (6 байт) - везде глухо. Попробую nfqws, но особой надежды нет. Новый активный DPI Ростелекома глушит и GDPI, видать РТ-ки все дыры позакрывали.
kx77 писал(а):
80609009
Dicrock писал(а):
Мб какой-нибудь прокси по типу squid'a, что будет работать со списком хостов ?
antizapret openvpn просто настраивается
Там у меня свои погремушки с редиректом через iptables и использование прокси с хот-листом будет проще VPN'a
vlad_ns писал(а):
80609027Dicrock
Наверно, любой прокси (программа) это умеет, privoxy, tinyproxy, polipo, 3proxy и т.п.
Как это сделать в polipo я так и не понял - он вроде такого не умеет (он под рукой за счёт TOR'a). Privoxy тоже есть, но я не знаю, работает ли он с host-листами. Поверхностный поиск ничего вменяемого не дал.
kx77 писал(а):
80609581Так работает squid
squid.conf
Код:
acl localhet src 127.0.0.0/8
acl localnet src 192.168.0.0/16
acl localnet src ::1
acl localnet src fc00::/7
acl myhostlist dstdomain "/tmp/hostlist.txt"
cache_peer proxy.myhost.com parent 8888 0 default
always_direct deny myhostlist
always_direct allow all
http_port 3128
http_access allow localnet
/tmp/hostlist.txt
Код:
rutr.life
ej.ru
lenta.ru
Попробую, спасибо  Хотя со сквидом дела не имел до этого, буду ходить по граблям :|
Цитата:
если нужен socks, то squid его не умеет, но можно через privoxy конвертировать http_proxy => socks
Не критично, можно и http - всё равно только локалхост.
Цитата:
чтобы включить transparent режим, надо добавить в http_port в конце "intercept"
ОК.
|
|
|
|
vlad_ns
Стаж: 14 лет 8 месяцев Сообщений: 1713
|
vlad_ns ·
21-Дек-20 19:52
(спустя 7 часов, ред. 21-Дек-20 19:52)
kx77 писал(а):
80610130но не работает редирект
squid я использую чтоб организовать прозрачный прокси, в том числе и для https. Это основное что мне требуется. Всё остальное я разруливаю через privoxy, т.к. там это намного гибче настроить, плюс фильтрация всего web трафика и наличие web интерфейса для настройки. А squid даже socks не умеет, зато у него другие задачи хорошо получаются.
Dicrock писал(а):
80613351работает ли он с host-листами.
Работает со всем что можно придумать. У меня например через него идут ресурсы заблокированные в России со списка РКН, который формируется раз в сутки, примерно так:
Код:
{ +forward-override{forward-socks5t 127.0.0.1:9050 .} }
site.com/
site.ru/
где 127.0.0.1:9050 tor, работающий тут же. В +forward-override можно прописать любой тип прокси и ниже, портянку, что хотите туда пропустить. Вот пример настроек: https://sites.google.com/site/rpfteam/
|
|
|
|
kx77
Стаж: 11 лет 11 месяцев Сообщений: 718
|
kx77 ·
22-Дек-20 13:16
(спустя 17 часов, ред. 22-Дек-20 13:16)
Цитата:
В общем, прогнал я намедни тесты tpws - для меня он на РТ навернулся мнедным тазом. Гонял с большинством комбинаций, заряжал по максимум опции, пробовал играться с split-pos (1 - 5), включал hostpad (6 байт) - везде глухо. Попробую nfqws, но особой надежды нет. Новый активный DPI Ростелекома глушит и GDPI, видать РТ-ки все дыры позакрывали.
Если GDPI работает с set-ttl=4, то сработает zapret как указано на 1-й странице с ttl=3 (тк на роутере, а не за ним)
Есть вероятность, что ростелек оставил старый DPI вместе с новым
Тогда в дополнение к dpi-desync=fake может потребоваться применить обычное правильно iptables для резки пассивного DPI от RT (см выше по теме или в соседнюю тему про iptables)
|
|
|
|
Dicrock
Стаж: 12 лет 6 месяцев Сообщений: 1087
|
Dicrock ·
22-Дек-20 15:56
(спустя 2 часа 39 мин.)
vlad_ns писал(а):
Работает со всем что можно придумать. У меня например через него идут ресурсы заблокированные в России со списка РКН, который формируется раз в сутки, примерно так:
Код:
{ +forward-override{forward-socks5t 127.0.0.1:9050 .} }
site.com/
site.ru/
А без заморочек дефолтный хост-лист ему не скормить ? Не, можно echn'уть первую строку и sed'ом перемахать $ на "/", но всё же это лишние телодвижения, имхо. Но в любом случае за пример спасибо
kx77 писал(а):
Если GDPI работает с set-ttl=4
Дохлый номер :/
Код:
-1 --wrong-chksum --set-ttl 4
скрытый текст
Код:
curl -sviL "http://rutr.life" 1>nul
* Trying 195.82.146.214:80...
* Connected to rutr.life (195.82.146.214) port 80 (#0)
> GET / HTTP/1.1
> Host: rutr.life
> User-Agent: curl/7.72.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 307 Temporary Redirect
< Location: http://warning.rt.ru/
* no chunk, no close, no size. Assume close to signal end
<
* Closing connection 0
* Issue another request to this URL: 'http://warning.rt.ru/'
* Trying 95.167.13.50:80...
* Connected to warning.rt.ru (95.167.13.50) port 80 (#1)
> GET / HTTP/1.1
> Host: warning.rt.ru
> User-Agent: curl/7.72.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Tue, 22 Dec 2020 12:54:10 GMT
< Server: Apache/2.2.15 (CentOS)
< Connection: close
< Transfer-Encoding: chunked
< Content-Type: text/html; charset=utf-8
<
* Closing connection 1
|
|
|
|
kx77
Стаж: 11 лет 11 месяцев Сообщений: 718
|
kx77 ·
22-Дек-20 18:55
(спустя 2 часа 59 мин., ред. 22-Дек-20 18:55)
А без wrong-checksum ? Wrong-checksum заводские прошивки рутеров обычно не пропускают. Отсекается по state=INVALID
И не заводские часто тоже без net.netfilter.nf_conntrack_checksum=0. в openwrt это из коробки сделано
В гитхабной ветке писали у кого-то работает.
Значит это или из-за checksum, или где-то ставят пропатченную версию DPI, а где-то старую
На всяк случай стоит попробовать ttl=5
|
|
|
|
