Не работает zapret на linux с использованием --ipset

vayulqq · April 16, 2025, 5:15pm

При старте zapret через /opt/zapret/init.d/sysv/zapret, вылазит сообщение об плохой опции “–ipset”.

То есть сам zapret вроде стартует, но не работает, но если убрать --ipset, он начинает работать как миленький, раньше на другом дистрибутиве, просто использовал --ipset без всяких кастом скриптов, можно ли сейчас настроить ipset просто добавляя айпишники в ядро или обязательны кастомные скрипты?

Вот сам лог:

!!! REFUSING TO USE BAD OPTIONS : 
--filter-tcp=80 --hostlist=/opt/zapret/lists/general.txt --dpi-desync=fake,fakedsplit --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new
--filter-tcp=80 --dpi-desync=fake,fakedsplit --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --hostlist-auto=/opt/zapret/lists/autohostlist.txt --new
--filter-tcp=443 --hostlist=/opt/zapret/lists/general.txt --dpi-desync=fake,multidisorder --dpi-desync-split-pos=1,midsld --dpi-desync-repeats=11 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls-mod=rnd,dupsid,sni=www.google.com --new
--filter-tcp=443 --dpi-desync=fake,multidisorder --dpi-desync-split-pos=midsld --dpi-desync-repeats=6 --dpi-desync-fooling=badseq,md5sig --hostlist-auto=/opt/zapret/lists/autohostlist.txt --new
--filter-udp=443 --hostlist=/opt/zapret/lists/general.txt --dpi-desync=fake --dpi-desync-repeats=11 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new
--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=11 --hostlist=/opt/zapret/lists/autohostlist.txt --new
--filter-tcp=80 --ipset=/opt/zapret/lists/cloudflare.txt --dpi-desync=fake,fakedsplit --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new
--filter-tcp=443 --ipset=/opt/zapret/lists/cloudflare.txt --dpi-desync=fake,multidisorder --dpi-desync-split-pos=1,midsld --dpi-desync-repeats=11 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls-mod=rnd,dupsid,sni=www.google.com --new
--filter-udp=443 --ipset=/opt/zapret/lists/cloudflare.txt --dpi-desync=fake --dpi-desync-repeats=11 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new
--filter-udp=50000-50099 --filter-l7=discord,stun --dpi-desync=fake

WARNING ! you have specified --ipset option
WARNING ! it would work but on Linux it's not the best option
WARNING ! you should use kernel mode sets. they are much more efficient.
WARNING ! to use ipsets you have to write your own custom script
Applying iptables
Creating ip list table (firewall type iptables)
setting high oom kill priority
reloading ipset backend (no-update)
Inserting iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9
Inserting iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80,443  -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:3
Inserting iptables rule for nfqws postrouting (qnum 200) : -p udp -m multiport --dports 443,50000:50099 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:9```

electrifying · April 16, 2025, 6:05pm

ipset на линукс нельзя использовать, для этого есть кастом скрипты
ipset работает только в windows

Вот комментарий болвана из install_easy.sh

–ipset СУЩЕСТВУЕТ ТОЛЬКО ДЛЯ ВИНДЫ И LINUX СИСТЕМ БЕЗ ipset (НАПРИМЕР, Android).
И ТОЛЬКО ПО ЭТОЙ ПРИЧИНЕ ОНО НЕ ВЫКИНУТО ПОЛНОСТЬЮ ИЗ LINUX ВЕРСИИ

Блокировка cf еще не иследованна и лишь идут тесты, когда заблокируют у всех тогда и появится решение

vayul · April 16, 2025, 6:54pm

Здравствуйте, я правильно настроил кастомный скрипт? Просто не сильно шарю


NFQWS_OPT_DESYNC_NFQWS_MY1="${NFQWS_OPT_DESYNC_NFQWS_MY1:---filter-tcp=80 --ipset=/opt/zapret/lists/cloudflare.txt --dpi-desync=fake,fakedsplit --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new --filter-tcp=443 --ipset=/opt/zapret/lists/cloudflare.txt --dpi-desync=fake,multidisorder --dpi-desync-split-pos=1,midsld --dpi-desync-repeats=11 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls-mod=rnd,dupsid,sni=www.google.com --new --filter-udp=443 --ipset=/opt/zapret/lists/cloudflare.txt --dpi-desync=fake --dpi-desync-repeats=11 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin}"
NFQWS_MY1_PORTS=${NFQWS_MY1_PORTS:-80,443}
NFQWS_MY1_SUBNETS="${NFQWS_MY1_SUBNETS:-34.0.48.0/21 34.0.56.0/23 34.0.59.0/24 34.0.60.0/24 34.0.62.0/23}"

alloc_dnum DNUM_NFQWS_MY1
alloc_qnum QNUM_NFQWS_MY1
NFQWS_MY1_SET_NAME=my1nfqws4

zapret_custom_daemons()
{
	# $1 - 1 - run, 0 - stop

	local opt="--qnum=$QNUM_NFQWS_MY1 $NFQWS_OPT_DESYNC_NFQWS_MY1"
	do_nfqws $1 $DNUM_NFQWS_MY1 "$opt"
}

zapret_custom_firewall()
{
	# $1 - 1 - run, 0 - stop

	local f
	local first_packets_only="$ipt_connbytes 1:3"
	local NFQWS_MY1_PORTS_IPT=$(replace_char - , $NFQWS_MY1_PORTS)
	local dest_set="-m set --match-set $NFQWS_MY1_SET_NAME dst"
	local subnet

	local DISABLE_IPV6=1

	[ "$1" = 1 ] && {
		ipset create $NFQWS_MY1_SET_NAME hash:net hashsize 8192 maxelem 4096 2>/dev/null
		ipset flush $NFQWS_MY1_SET_NAME
		for subnet in $NFQWS_MY1_SUBNETS; do
			echo add $NFQWS_MY1_SET_NAME $subnet
		done | ipset -! restore
		[ -f /opt/zapret/lists/cloudflare.txt ] && {
			while read -r ip; do
				[ -n "$ip" ] && echo add $NFQWS_MY1_SET_NAME "$ip"
			done < /opt/zapret/lists/cloudflare.txt | ipset -! restore
		}
	}

	f="-p tcp -m multiport --dports $NFQWS_MY1_PORTS_IPT"
	fw_nfqws_post $1 "$f $first_packets_only $dest_set" "" $QNUM_NFQWS_MY1

	f="-p udp --dport 443"
	fw_nfqws_post $1 "$f $first_packets_only $dest_set" "" $QNUM_NFQWS_MY1

	[ "$1" = 0 ] && {
		ipset destroy $NFQWS_MY1_SET_NAME 2>/dev/null
	}
}

zapret_custom_firewall_nft()
{


	local f
	local first_packets_only="$nft_connbytes 1-3"
	local dest_set="ip daddr @$NFQWS_MY1_SET_NAME"
	local subnets

	local DISABLE_IPV6=1

	make_comma_list subnets $NFQWS_MY1_SUBNETS
	nft_create_set $NFQWS_MY1_SET_NAME "type ipv4_addr; size 4096; auto-merge; flags interval;"
	nft_flush_set $NFQWS_MY1_SET_NAME
	nft_add_set_element $NFQWS_MY1_SET_NAME "$subnets"
	[ -f /opt/zapret/lists/cloudflare.txt ] && {
		nft_add_set_element $NFQWS_MY1_SET_NAME "$(tr '\n' ',' < /opt/zapret/lists/cloudflare.txt | sed 's/,$//')"
	}

	f="tcp dport {$NFQWS_MY1_PORTS}"
	nft_fw_nfqws_post "$f $first_packets_only $dest_set" "" $QNUM_NFQWS_MY1

	f="udp dport 443"
	nft_fw_nfqws_post "$f $first_packets_only $dest_set" "" $QNUM_NFQWS_MY1
}

zapret_custom_firewall_nft_flush()
{

	nft_del_set $NFQWS_MY1_SET_NAME 2>/dev/null
}

electrifying · April 16, 2025, 7:23pm

Так вы тут ничего и не настроили, просто стратегию перенесли и то не рабочую

vayulqq · April 16, 2025, 8:19pm

А гайда какого-нибудь нет?

electrifying · April 16, 2025, 8:29pm

Нет, но то что выше это скрипт болвана для ipv4 как пример. В пр есть готовый скрипт для cf, но работает он или нет неизвестно