# auto - automatically detects blocked resources and adds them to the auto.list
NFQWS_EXTRA_ARGS="--hostlist=/opt/etc/nfqws/user.list --hostlist-auto=/opt/etc/nfqws/auto.list --hostlist-auto-debug=/opt/var/log/nfqws.log --hostlist-exclude=/opt/etc/nfqws/exclude.list"
# list - applies rules only to domains in the user.list
#NFQWS_EXTRA_ARGS="--hostlist=/opt/etc/nfqws/user.list"
# all - applies rules to all traffic except domains from exclude.list
#NFQWS_EXTRA_ARGS="--hostlist-exclude=/opt/etc/nfqws/exclude.list"
То, что с решёткой игнорируется. Соответственно по умолчанию используется первый вариант (соответствует auto). Если вы хотите режим all, то вам надо первую строку NFQWS_EXTRA_ARGS законнментировать (вписав символ решётки перед NFQWS_EXTRA_ARGS), а последнюю строку расскомментировать:
# auto - automatically detects blocked resources and adds them to the auto.list
#NFQWS_EXTRA_ARGS="--hostlist=/opt/etc/nfqws/user.list --hostlist-auto=/opt/etc/nfqws/auto.list --hostlist-auto-debug=/opt/var/log/nfqws.log --hostlist-exclude=/opt/etc/nfqws/exclude.list"
# list - applies rules only to domains in the user.list
#NFQWS_EXTRA_ARGS="--hostlist=/opt/etc/nfqws/user.list"
# all - applies rules to all traffic except domains from exclude.list
NFQWS_EXTRA_ARGS="--hostlist-exclude=/opt/etc/nfqws/exclude.list"
После этого весь трафик будет пропускаться через nfqws и дальше нужно отыскать такое сочетание правил коверкарья трафика, которое будет пролезать через блокировки конкретно у вашего провайдера.
А есть какие либо примеры правил “коверканья” трафика? Что за что отвечает итд
!!!!! AVAILABLE !!!!!
!!!!! curl_test_https_tls12: working strategy found for ipv4 rutracker.org : nfqws --dpi-desync=multidisorder --dpi-desync-split-pos=2 !!!!!
clearing nfqws redirection
* SUMMARY
ipv4 rutracker.org curl_test_http : nfqws --methodeol
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=multidisorder --dpi-desync-split-pos=midsld
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=fakedsplit --dpi-desync-ttl=5 --dpi-desync-split-pos=method+2
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=fakedsplit --dpi-desync-fooling=datanoack --dpi-desync-split-pos=method+2
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=fakedsplit --dpi-desync-fooling=md5sig --dpi-desync-split-pos=method+2
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=fake,multisplit --dpi-desync-ttl=5 --dpi-desync-split-pos=method+2
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=fake,multisplit --dpi-desync-fooling=datanoack --dpi-desync-split-pos=method+2
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=fake,multisplit --dpi-desync-fooling=md5sig --dpi-desync-split-pos=method+2
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=multisplit --dpi-desync-split-pos=method+2 --dpi-desync-split-seqovl=1
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=fakedsplit --dpi-desync-ttl=1 --dpi-desync-autottl=1 --dpi-desync-split-pos=method+2
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=fake,multisplit --dpi-desync-ttl=1 --dpi-desync-autottl=1 --dpi-desync-split-pos=method+2
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=fake,multisplit --dpi-desync-ttl=1 --dpi-desync-autottl=2 --dpi-desync-split-pos=midsld --dpi-desync-fake-http=0x00000000
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=fake,multisplit --dpi-desync-ttl=1 --dpi-desync-autottl=3 --dpi-desync-split-pos=method+2
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=syndata,multisplit --dpi-desync-split-pos=method+2
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=syndata,multisplit --dpi-desync-fake-syndata=/opt/tmp/nfqws-keenetic/strategy/zapret/zapret-v69.9/files/fake/http_iana_org.bin --dpi-desync-split-pos=method+2
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=multidisorder --dpi-desync-split-pos=2
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fakedsplit --dpi-desync-ttl=5 --dpi-desync-split-pos=1
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fakedsplit --dpi-desync-fooling=badseq --dpi-desync-split-pos=1
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fakedsplit --dpi-desync-fooling=datanoack --dpi-desync-split-pos=1
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fakedsplit --dpi-desync-fooling=md5sig --dpi-desync-split-pos=1
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fake,multisplit --dpi-desync-ttl=5 --dpi-desync-split-pos=1
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fake,multisplit --dpi-desync-fooling=badseq --dpi-desync-split-pos=1
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fake,multisplit --dpi-desync-fooling=datanoack --dpi-desync-split-pos=1
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fake,multisplit --dpi-desync-fooling=md5sig --dpi-desync-split-pos=1
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=multisplit --dpi-desync-split-pos=10 --dpi-desync-split-seqovl=1
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=multisplit --dpi-desync-split-pos=10,sniext+1 --dpi-desync-split-seqovl=1
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=multisplit --dpi-desync-split-pos=10,sniext+4 --dpi-desync-split-seqovl=1
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=multisplit --dpi-desync-split-pos=10,midsld --dpi-desync-split-seqovl=1
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=multisplit --dpi-desync-split-pos=2 --dpi-desync-split-seqovl=336 --dpi-desync-split-seqovl-pattern=/opt/tmp/nfqws-keenetic/strategy/zapret/zapret-v69.9/files/fake/tls_clienthello_iana_org.bin
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fakedsplit --dpi-desync-ttl=1 --dpi-desync-autottl=1 --dpi-desync-split-pos=1
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fake,multisplit --dpi-desync-ttl=1 --dpi-desync-autottl=1 --dpi-desync-split-pos=midsld
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fake,multisplit --dpi-desync-ttl=1 --dpi-desync-autottl=3 --dpi-desync-split-pos=midsld
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=syndata,multisplit --dpi-desync-split-pos=1
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=syndata,multisplit --dpi-desync-fake-syndata=/opt/tmp/nfqws-keenetic/strategy/zapret/zapret-v69.9/files/fake/tls_clienthello_iana_org.bin --dpi-desync-split-pos=1
Please note this SUMMARY does not guarantee a magic pill for you to copy/paste and be happy.
Understanding how strategies work is very desirable.
This knowledge allows to understand better which strategies to prefer and which to avoid if possible, how to combine strategies.
Blockcheck does it's best to prioritize good strategies but it's not bullet-proof.
It was designed not as magic pill maker but as a DPI bypass test tool.
press enter to continue
Не совсем понимаю как отредактировать мой конфиг основываясь на проведённый тест
Ниже мой стандартный конфиг после установки на кинетик
# Provider network interface, e.g. eth3
# You can specify multiple interfaces separated by space, e.g. ISP_INTERFACE="eth3 nwg1"
ISP_INTERFACE="eth3"
# All arguments here: https://github.com/bol-van/zapret (search for `nfqws` on the page)
# HTTP(S) strategy
NFQWS_ARGS="--dpi-desync=fake,multisplit --dpi-desync-split-pos=1,midsld --dpi-desync-ttl=0 --dpi-desync-repeats=16 --dpi-desync-fooling=badseq,md5sig --dpi-desync-fake-tls=/opt/etc/nfqws/tls_clienthello.bin"
# QUIC strategy
NFQWS_ARGS_QUIC="--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=11 --dpi-desync-fake-quic=/opt/etc/nfqws/quic_initial.bin"
# UDP strategy (doesn't use lists from NFQWS_EXTRA_ARGS)
NFQWS_ARGS_UDP="--filter-udp=50000-50099 --dpi-desync=fake --dpi-desync-any-protocol --dpi-desync-repeats=6 --dpi-desync-cutoff=n2"
# auto - automatically detects blocked resources and adds them to the auto.list
NFQWS_EXTRA_ARGS="--hostlist=/opt/etc/nfqws/user.list --hostlist-auto=/opt/etc/nfqws/auto.list --hostlist-auto-debug=/opt/var/log/nfqws.log --hostlist-exclude=/opt/etc/nfqws/exclude.list"
# list - applies rules only to domains in the user.list
#NFQWS_EXTRA_ARGS="--hostlist=/opt/etc/nfqws/user.list"
# all - applies rules to all traffic except domains from exclude.list
#NFQWS_EXTRA_ARGS="--hostlist-exclude=/opt/etc/nfqws/exclude.list"
# IPv6 support
IPV6_ENABLED=0
# TCP ports for iptables rules
TCP_PORTS=443
# UDP ports for iptables rules
UDP_PORTS=443,50000:50099
# Keenetic policy name
POLICY_NAME="nfqws"
# Syslog logging level (0 - silent, 1 - debug)
LOG_LEVEL=0
NFQUEUE_NUM=200
USER=nobody
CONFIG_VERSION=5
т.е. на момент установки скрипт правильно нашёл ISP_INTERFACE=
было подключено по проводу - заработало после поправки стратегий
а дальше я добавил момед (и допустим могу другой потом добавить т.е. с новым cdc-br) - единственный способ это конфиг править и в ISP_INTERFACE= через пробел добавить новое или политика какраз для этого и нужна? т.е. сможет ли она фильтровать если в ISP_INTERFACE= только eth2.2 а инет щас через cdc0 ?
или неправильно понял и наоборот логика? т.е. не все что в isp указаны будут обрабатываться если в политике меньше?
p.s. ваще шляпа если политос включать… сначала неработало потомучто кинетиковый iptables не хавает порты через дефис - нужно двоеточие. потом когда разобрался и оба инета в isp добавил всё заработало, но опять вернулся к созданью политики и напрочь перестало.совсем. пока назад политос не удалил и не рестартнул. кароче нужен пример от автора что имелось в виду про политику…
p.p.s с политикой разобрался - это не про провайдеров а про клиентов которых ещё и регать на кинетике надо чтоб появились в gui = почему бы и нет…
а вот предложенье про конфиг - заслуживает внимания - у самого уже 3 варика прописал : провод, момед и вайвай клиент
и ещё мысль в плане конфига - ладно я ещё соображаю как новый интерфейс и куда вписать…
а для тупых надо (рац.предложение) добавить команду в ssh и кнопку на вебморде - “обновить конфиг” в 2х вариантах целиком - если какойто васян намудрил в нём до неработоспособности и частично в плане обновить только часть ISP_INTERFACE= я проверял скрипт правильно прописывает и момед и провод - другое дело для этого целиком надо удалить оба пакета и заного поставить. а команда обновленья конфиг не трогает
Добавьте в Системный профиль DNS какой-нибудь DoH-сервер. Например, https://dns.google/dns-query
Отключите OpenVPN-подключение АнтиЗапрета на роутере
Перезагрузите своё клиентское устройство (компьютер, смартфон), чтобы сбросился кэш DNS.
Если после этого обход блокировок на этом устройстве будет работать нормально, то АнтиЗапрет не нужен.
Вернуть всё обратно несложно: просто откатите обратно то, что сделали в 1-2, и снова перезагрузите.
никогда ни vpn ни прокси не пользовался. для обхода.
исключение di.fm и holavpn но это про другое. там геоблок.
если настроить норм.стратегию без листов - в впн смыслу не вижу. тем более сами vpn постоянно пытаются детектить и рубить => нужен обфусикатор - а с ним и блок обходится. правда утырки чебурнетные всё чаще по ip стали блочить - и тут либо альтернативные ip в hosts либо таки vpn
Xiaomi 3G, перешитый в Keenetic: при POLICY_EXCLUDE=1 (и соответственно созданной политике, куда добавлены устройства, для которых обход блокировок применять не нужно) через несколько часов nfqws перестаёт оказывать эффект - он запущен, но блокировки работают в полную силу. С 0 (когда в политику добавляются устройства, которым нужен обход) такой проблемы нет.
Телефон на Android, подключённый к этому роутеру, мобильный Firefox: эффекта вообще нет, заблокированные ресурсы недоступны. Из Chrome, установленном на этом же устройстве, всё доступно. В Firefox последовательно отключено вообще всё, что может влиять (HTTP/2, HTTP/3, ECH, Kyber) - пока эффекта ноль.
