А у меня наоборот в один прекрасный день все неизвестные отвалились. Ну как отвалились - там пинг огроменный стал, пользоваться нереально. Не знаю, как они это делают. А вот CF почему-то не решились трогать
Конечно они не решатся его трогать - у полРоссии (если не больше) сразу инет ляжет ))
Ну CF довольно сложно тронуть, учитывая сколько всего в интернете так или иначе с их сервисами связано.
К слову о резолверах. Я тут вчера читал про очередную приблуду от CF под названием DoOH, это типа днс запрос через прокси с приколами (фактически наподобие тора, но только для днс-запроса). Ну так и вот, в форке лисы под названием waterfox эта штука уже сейчас доступна прямо из коробки. В качестве проксей используются мосты от fastly, с которыми у ватерфокса партнерское соглашение. От блокировок сайтов это не поможет, а вот от блокировок резолверов - вполне себе.
Интересно, в обычном FF такая фишка появится?
Ну, параметры в about:config уже есть, только пустые. Я пробовал перенести из ватерфокса, думал может получится подсосаться к их проксям, но не заработало, увы. 
Так надо включить network.trr.use_ohttp я так понял ) А он у тебя false
Да это понятно. Я всё там включал и relay пробовал вставить из ватерфокса и т.п. Сейчас просто уже убрал всё.
Он вроде в интерфейсе там где doh отображается, но пишет trr connection error. Возможно нужен какой-то специфический сертификат для ватерфоксовских проксей.
Можно самому поднять такую штуку на впс, но смысл я хз. Уж проще весь трафик через впс пустить.
Может Мозилла нахаляву свои прокси прикрутит в итоге.
Я вернувся снова, мне попробовать сменить DoH?
Да. На этот https://dns.comss.one/dns-query Ну и /flushdns и прочие очистки кэша DNS после этого сделайте
Сделал, пока ничего не изменилось
Точно все сделали? Очистка кэша DNS в браузере, очистка через ipconfig /flushdns, перезапуск браузера
Теперь твиттер даже не открывается
Опять ложная тревога? ) Или они вам все DoH перебанили. Что-нибудь из этого работает? Которые с https:// в начале?
Кстати, вы проигнорировали мой предыдущий вопрос - где перейти по ссылке и показать сайт
Я перелопатил свои аккаунты, потербовалось через впнс снова зайти в твиттер чтоб новостную ленту октрыло (всё ещё без каких-либо постов) Остальные сайты работают хорошо. Сейчас остальное проверю и ссылку гляну тоже. а по поводу вопроса, я слепой видать, ибо до сих пор его не вижу xd
Отсальные DoH тоже не работают, а с adguard вообще браузер отказывается работать(
Жестко ) Тогда только hosts, но в него надо какие-то IP вписывать и не факт, что у вас они все не перебанены так же как и DoH
Попробуйте такие:
146.75.120.159 pbs.twimg.com
104.244.42.194 api.x.com
146.75.120.158 video.twimg.com
152.199.21.141 abs.twimg.com
104.244.43.131 abs-0.twimg.com
После изменения hosts надо обязательно выполнить ipconfig /flushdns из комстроки от админа, а надежнее вообще перезагрузиться. Ну и ключ в Мозилле менять или использовать другой браузер
[quote]
В about:config в лисе есть параметр network.trr.exclude-etc-hosts который должен стоять в true.
[/quote] Его надо переключить в false
У него serverhello проверяется, а вы ему айпишники с tls 1.2 подсовываете.
curl -sv -o NUL --tlsv1.3 https://pbs.twimg.com --connect-to ::146.75.120.159
* Connecting to hostname: 146.75.120.159
* Trying 146.75.120.159:443...
* Connected to 146.75.120.159 () port 443
* ALPN: curl offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
} [218 bytes data]
* CAfile: C:\Users\1\AppData\Local\Microsoft\WinGet\Packages\cURL.cURL_Microsoft.Winget.Source_8wekyb3d8bbwe\curl-8.10.0_1-win64-mingw\bin\curl-ca-bundle.crt
* CApath: none
* TLSv1.3 (IN), TLS alert, protocol version (582):
{ [2 bytes data]
* LibreSSL/3.9.2: error:1400442E:SSL routines:CONNECT_CR_SRVR_HELLO:tlsv1 alert protocol version
Я в своем прошлом посте айпишники не от балды ему давал, а нашел именно с tls1.3
network.trr.exclude-etc-hosts дожен стоять именно в true, чтобы hosts работал. С сайта мозиллы:
- network.trr.exclude-etc-hosts => true to read hosts and use it to override the cloud DNS
- network.trr.excluded-domains => list of hosts that require a local DNS lookup (comma-separated list like intranet,jukebox,dev.mysite)
Проблема в том, что его вроде надо туда-сюда преключить 1 раз, чтобы excluded-domains обновился.
Вообще ему надо zapret с wssize попробовать, чтобы фрагментировать ответ.
Я не зря выше дал ссылку на этот пост, именно эти 2 ключа (а точнее 3 - еще --wrong-seq) решают проблемы с TLS 1.2 И не надо ничего подбирать.
Но видимо, ее чел тоже не увидел. Ладно, ковыряйтесь, не буду мешать )
Так он же пробовал. Даже скрины выкладывал.
Есть, конечно, вариант что у него там всё криво настроено, не спорю. Но выше, другим человеком, приводились доказательства, что на некоторых провайдерах домены твиттера теперь проверяются по serverhello. Если у него этот случай, то он уже не решается отправкой правильного фейка. Тут либо wssize, либо редирект на айпишник с tls1.3.