С проксированием через vps в России можно спокойно ходить на заблокированных западных хостеров (в датацентрах фильтры менее злобные, чем у домашних провайдров). Если у вас там сайт, то настройте GeoDNS, чтоб для пользователей из России соединение шло через проксю, а для остальных напрямую.
На Мегафоне Мск блоки не 16-20 КБ, а 16-25 КБ.
curl -w '%{size_download}\n' -o /dev/null https://developers.cloudflare.com
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
17 142k 17 25182 0 0 3965 0 0:00:36 0:00:06 0:00:30 0
curl -w '%{size_download}\n' -o /dev/null https://cointelegraph.com/
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 24569 0 24569 0 0 848 0 --:--:-- 0:00:28 --:--:-- 0
(Тоже CF.)
cloudflare.com некоторое время был в вайтлисте SNI для диапазонов cloudflare, но 2 февраля его оттуда убрали.
Москва, Авелаком - нет чистого 16кб блока, зато есть блок на количество соединений на сайт. Курлить одну страницу/один файл >16кб не проблема, но когда заходишь в него с браузера, соединения спустя первых ~5-10 тупо не проходят.
~# curl -v https://xmpp.org/css/bootstrap.min.css > test
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 0* Host xmpp.org:443 was resolved.
* IPv6: (none)
* IPv4: 104.248.10.4
* Trying 104.248.10.4:443...
* ALPN: curl offers h2,http/1.1
} [5 bytes data]
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
} [1552 bytes data]
* SSL Trust Anchors:
* CAfile: /etc/ssl/certs/ca-certificates.crt
* CApath: /etc/ssl/certs
{ [5 bytes data]
* TLSv1.3 (IN), TLS handshake, Server hello (2):
{ [88 bytes data]
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
} [1 bytes data]
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
} [512 bytes data]
* TLSv1.3 (IN), TLS change cipher, Change cipher spec (1):
{ [1 bytes data]
* TLSv1.3 (IN), TLS handshake, Server hello (2):
{ [187 bytes data]
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
{ [19 bytes data]
* TLSv1.3 (IN), TLS handshake, Certificate (11):
{ [2572 bytes data]
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
{ [264 bytes data]
* TLSv1.3 (IN), TLS handshake, Finished (20):
{ [52 bytes data]
* TLSv1.3 (OUT), TLS handshake, Finished (20):
} [52 bytes data]
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384 / secp384r1 / RSASSA-PSS
* ALPN: server accepted h2
* Server certificate:
* subject: CN=xmpp.org
* start date: Dec 30 08:21:26 2025 GMT
* expire date: Mar 30 08:21:25 2026 GMT
* issuer: C=US; O=Let's Encrypt; CN=R13
* Certificate level 0: Public key type RSA (2048/112 Bits/secBits), signed using sha256WithRSAEncryption
* Certificate level 1: Public key type RSA (2048/112 Bits/secBits), signed using sha256WithRSAEncryption
* Certificate level 2: Public key type RSA (4096/152 Bits/secBits), signed using sha256WithRSAEncryption
* subjectAltName: "xmpp.org" matches cert's "xmpp.org"
* SSL certificate verified via OpenSSL.
* Established connection to xmpp.org (104.248.10.4 port 443) from xxx.xxx.xxx.xxx port 44020
* using HTTP/2
* [HTTP/2] [1] OPENED stream for https://xmpp.org/css/bootstrap.min.css
* [HTTP/2] [1] [:method: GET]
* [HTTP/2] [1] [:scheme: https]
* [HTTP/2] [1] [:authority: xmpp.org]
* [HTTP/2] [1] [:path: /css/bootstrap.min.css]
* [HTTP/2] [1] [user-agent: curl/8.18.0]
* [HTTP/2] [1] [accept: */*]
} [5 bytes data]
> GET /css/bootstrap.min.css HTTP/2
> Host: xmpp.org
> User-Agent: curl/8.18.0
> Accept: */*
>
* Request completely sent off
} [5 bytes data]
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
{ [265 bytes data]
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
{ [265 bytes data]
< HTTP/2 200
< server: nginx/1.26.3
< date: Fri, 13 Feb 2026 07:13:44 GMT
< content-type: text/css
< content-length: 232803
< last-modified: Fri, 13 Feb 2026 00:18:38 GMT
< etag: "698e6dde-38d63"
< content-security-policy: default-src 'self' xmpp.org; style-src 'self' 'unsafe-inline'; img-src * data:; script-src 'self'; connect-src 'self'; object-src 'self'; child-src 'self' xmpp-office-hours.netlify.app; frame-src 'self' xmpp-office-hours.netlify.app; worker-src 'none'; frame-ancestors 'self'; form-action 'self' xmpp-office-hours.netlify.app; upgrade-insecure-requests; block-all-mixed-content
< referrer-policy: strict-origin-when-cross-origin
< accept-ranges: bytes
< strict-transport-security: max-age=15778476
<
{ [7501 bytes data]
100 227.3k 100 227.3k 0 0 215.3k 0 00:01 00:01 193.4k
* Connection #0 to host xmpp.org:443 left intact
Но в браузерах же лимит 6 соединений на домен
То, что у меня происходит, вообще не связан с данным лимитом. Иногда 6 запросов проходят, иногда чуть больше, иногда чуть меньше. В этот раз, например, прошли 9 запросов.
После них ничего не дальше не грузится, при этом лечится фейком с помощью zapret-а. Такое поведение ещё наблюдается исключительно на сайтах на Cloudflare/OVH/DigitalOcean/т. д., которые не в белом списке.
Edit: Оказывается, что при http2 используется одно соединение для всех запросов.
На Мегафоне белые списки на CF были “удалены”.
Нет, они не вернули доступ. Теперь нет доступа совсем, даже для избранных хостов.
Всё на заблокированном IP диапазоне не работает.
UPD: Через 30 минут, откатили.
Да, Cloudflare полностью в Блоке. Мск, несколько провайдеров. Пока пробить не удалось
Московская область. Блок клауда полный.
видимо в очередной раз нанесли удар по популярным решениям. проверил ради интереса, у фловсила ни один батник не работает с дс. при этом мои конфиги не задело
Судя по тому, что отвалились безобидные сайты из БС, типа npmjs.com, не понятно, по чему они нанесли удар и насколько это вообще запланировано.
А вот заблокированные через реестр сайты на Cloudflare (по типу Danbooru, Gelbooru и прочих) работают с любой стратегией. Удивительно.
У меня (ЦФО, местечковый провайдер, апстримы Вымпелком и Мегафон) после получасового перекура заработало всё без каких-либо изменений к конфигу - даже не успел начать тестить. Умерло ориентировочно в 16-15, заработало только что.
Тоже только что cf ожил со старой стратегией. Видимо обновление отправили на доработку.
Через 30 минут (или сколько оно было) откатили полную блокировку CloudFlare. Сайты из белого списка опять работают.
Тоже подтверждаю откат блокировок.
На скайнете в СПб тоже вводили, сейчас сняли. Что интересно, даже ру сайты, типа ВК или мыла открывались через раз и с жуткими задержками. Думал это из-за ДНС, но с quad9 ситуация не улучшилась. Кстати, варп (и usque, и awg) прекрасно себе работали со сни от озона, на блокировки cf им пофиг как-то оказалось.
Просто старые сессии не порвало. У меня usque продержался всё это время и помер только после рестарта zapret. Вот новые уже не поднимались.
Не, я переподключался специально, чтобы проверить.
У меня usque падал по таймауту на подключении, SNI выставлен stackoverflow.com, который точно в вайтлисте. HTTP/3 весь рубился в корне, это у вас наверное просто активная сессия была.