В целом все верно, только
-
интерфейсы можно указать через пробел. и это должно работать
если не работает - пишем в тему Zapret: обсуждение
с указанием подробностей
LAN нужен только для tpws. WAN только для nfqws и tpws для запросов с самого роутера -
инсталятор знает об openwrt, systemd, openrc. в иных случаях (кинетик - иной случай) он понятия не имеет как прописать скрипты в автозапуск. поэтому это полностью ложится на вас
/opt/zapret/init.d/sysv/zapret start
все, что делает инсталятор, это настраивает конфиг в случае generic linux -
если вдруг появится желание что-то делать с QUIC, то там особая магия с патченым ядром и ndmmark. только пакеты с особым ndmmark идут на MASQUERADE, поэтому десинхронизация первого (quic initial - первый) пакета udp напарывается на отсутствие MASQUERADE. нужно прописывать в NAT таблицу безусловный masquerade. либо ручками , либо zapret custom скрипт делать. если этого не делать и включить QUIC, то zapret будет работать фактически на drop этого пакета. дропать будет провайдер, к которому выходят пакеты с source ip 192.168.1.x
-
кто-то говорил ndm живет своей жизнью по части управления iptables. может периодически взять и что-то там вычистить, и обход перестанет работать. так это или нет, и в каких случаях это может происходить, мне неведомо, так что вам придется это исследовать самостоятельно.
если это так, то вам придется найти какой-то фаервол хук и делать в нем
/opt/zapret/init.d/sysv/zapret start_fw
стоит провести стресс тест на предмет реконфигурации сетевых интерфейсов : выдергивание/задергивание кабеля инет, сохранение настроек в UI ndm, может еще что-то. что по логике может заставить ndm переписать iptables -
если есть возможность перешиться на openwrt - это стоит того