Как вы думаете, почему до сих пор не заблокированы http, https, socks прокси?

Зачем прятать SSH внутри SOCKS5? Чтобы голый SSH не палить перед ТСПУ. Возможно, такой вариант дольше проживёт, если они переключатся с борьбы с VPN-ами на борьбу с SSH-туннелями.

Уже есть довольно удобный инструмент для получения этих самых айпишников (работает по другому, но суть схожая).

Если написать простенький скрипт для введения всех ip из blacklist.txt в iptables (или попросить это сделать ChatGPT) и настроить периодическое выполнение скрипта через crontab, то можно получить довольно неплохую защиту от всяких сканеров и прочей РКН’овской нечисти - GitHub - C24Be/AS_Network_List: Blacklists generator of subnets of Russian government agencies for blocking them on one's servers.

Писал уже на другом форуме, задам тут же вопрос. Как вы думаете, что будет делать автоматика, если не достучится до сервера, с которого вы ежедневно льете гигабайты?

Около 70-100 ГБ у меня ежемесячно льётся на unknown udp. Почему я говорю unknown, за первые несколько пакетов ТСПУ не понимает что это за протокол, а потом перестаёт проверять.

ничего. не было известных случаев блокировки серверов за впн.

Вот он, мой. Бан временный, на пару дней. За VLESS без flow. МГТС, Москва.

ахренеть, какие мрази. таких провайдеров нужно знать всем. но я больше имел ввиду блокировки от ркн.

а почему не звонил провайдеру и не спрашивал?

вот для openwrt

To parse the IP addresses from the provided URL and add them to iptables on your OpenWRT router for blocking, follow these steps:

Steps Overview:

  1. Download the blacklist from the URL.
  2. Extract the IP addresses.
  3. Update iptables rules to block the IPs.
  4. Automate the process with a daily cron job to ensure the blacklist is updated.

Detailed Steps:

Step 1: Download the blacklist

You will need to download the blacklist (a plain text file containing IPs) from the given URL. You can use wget or curl on OpenWRT to do this.

wget -O /tmp/blacklist.txt https://raw.githubusercontent.com/C24Be/AS_Network_List/refs/heads/main/blacklists/blacklist.txt

Step 2: Extract IP addresses

The blacklist file contains IP addresses in various formats. You can filter out only the IPs with a simple awk command (assuming the file contains only IP addresses).

Here’s an example of how to extract the IPs and append them to the iptables rules:

cat /tmp/blacklist.txt | awk '{ print $1 }' | while read ip; do
    iptables -A INPUT -s $ip -j DROP
done

Step 3: Update iptables

The above script loops through each IP in the blacklist.txt and adds an iptables rule to reject it. The rules will persist only until the router reboots, so you’ll need to save them.

To make the rule persistent across reboots:

/etc/init.d firewall save

If you want to flush existing rules (optional), you can use:

iptables -F

Step 4: Automate with a cron job

To automatically update and block these IPs every day, you can create a cron job that runs the above script daily.

  1. Edit the crontab file:
crontab -e
  1. Add a daily cron job to download the blacklist, extract the IPs, and update the iptables rules. For example, to run at 3 AM every day:
0 3 * * * /bin/sh -c 'wget -O /tmp/blacklist.txt https://raw.githubusercontent.com/C24Be/AS_Network_List/refs/heads/main/blacklists/blacklist.txt && cat /tmp/blacklist.txt | awk "{ print \$1 }" | while read ip; do iptables -A INPUT -s \$ip -j DROP; done && /etc/init.d firewall save'

This cron job will:

  • Download the latest blacklist.txt.
  • Parse the IPs.
  • Block them using iptables.
  • Save the changes to the firewall.

Step 5: Test

Ensure the cron job works by running it manually:

/bin/sh -c 'wget -O /tmp/blacklist.txt https://raw.githubusercontent.com/C24Be/AS_Network_List/refs/heads/main/blacklists/blacklist.txt && cat /tmp/blacklist.txt | awk "{ print \$1 }" | while read ip; do iptables -A INPUT -s \$ip -j DROP; done && /etc/init.d firewall save'

Check that the IPs are successfully blocked:

iptables -L INPUT -v

You should see the DROP rules for the IP addresses listed.

Notes:

  • Ensure you have the necessary permissions to edit iptables and add cron jobs on your OpenWRT router.
  • Adjust the script for any variations in the format of the blacklist file if needed.
  • If you want to log blocked IPs or take other actions, you can modify the iptables rule to log, e.g., iptables -A INPUT -s $ip -j LOG --log-prefix "Blocked IP: ".

By following these steps, you will have an automated script that updates the IP blacklist daily and blocks the listed IPs on your OpenWRT router.

всем кто дома сейчас открывает порты это жизненно необходимо.

Мне что-то кажется, что очень скоро это станет мейнстримом :joy:

Ну, во-первых, я думаю, что дозвониться до кого-то полезного у меня не получится.

Во-вторых, я почти уверен, что я в каком-то списке под эксперименты, потому что у меня белый IP и тот же YouTube начал тупить сильно раньше, чем пошли новости про замедления - примерно летом. Есть стойкое ощущение, что я в фокус-группе на обкатку блокировок. Паранойей вроде не страдаю.

Ну не получится дозвониться - хоть запишешь звонок и опозоришь на весь интернет таких мразей

Flow это лишь один параметр tls, там полно других признаков что это прокси. Трасса обрывается сразу после роутера, таких блокировок еще небыло нигде: hetzner, UA ip и другие блокнутые ip всегда обрывались уже в сети провайдера, но не сразу после домашнего роутера. Склоняюсь что у вас что-то было на роутере. “Пожертвуйте” ip vps еще раз для точной проверки.

Я конечно могу, но факты для меня очевидны: пытался в подключение без flow на свежем конфиге xray - сразу потерял подключение к серверу (окромя ICMP, что характерно). Именно на целевой IP\домен. После этого я вернул взад flow, и устройства с тех пор работают нормально. Никаких изменений на роутере я не делал ни до, ни после. Блокирующих правил там тоже нет, кроме defconf. Плюс, подключения не проходили и с самого роутера.

и сделайте обязательно. после 1 раза делать выводы некорректно. могу дать конфиг если нужен.

Хорошо, а как мне в следующий раз отличить блокировку ТСПУ\провайдера от проблем с роутером? Я так и не нашел в его конфигурации никакого криминала.

подключить кабель в пк или другой роутер вместо микрота. ну вообще мне не совсем понятно как у вас подключение к инету т.к. в трассировке почти все ip убраны, лучше максимально прямо, т.е. получать ip от провайдера уже на компе через PPPOE или DHCP

Микрот с DHCP сервером → роутер МГТС в бридже (GPON) → Интернеты

Как вариант, сделать полный backup всех настроек роутера, когда все соединения работают нормально. Если начинаются проблемы, то восстановить эти настройки. Если проблемы сохраняются, то виноват провайдер\ТСПУ.

Что HTTPS-прокси с методом CONNECT, что SOCKS, открывают новое TCP-соединение на каждое проксируемое соединение.
Там нет мультиплексирования или переиспользования подключений в принципе. Поэтому достаточно только дропать подключения где в заголовке видны домены или адреса заблокированных ресурсов - на подключения через прокси к незаблокированным ресурсам это не повлияет никак.

Опять же, всякие там OpenVPN и Wireguard режут вне зависимости от того, к чему там пытается через них получить доступ пользователь (это просто невозможно определить), и никто не переживает про “а вдруг юзер идет на незапрещенный сайт, и вообще ни про что ни сном ни духом”.

см. предыдущее сообщение - вообще не нужно проверять “большой массив данных”, достаточно проверять первые N байт заголовков новых подключений, точно так же как ТСПУ это уже делает для TLS и HTTP и всего остального.