Zapret: обсуждение

anonimus28 · October 19, 2020, 9:54am

Думаю попробовать какие то другие техники, возможно помогут, или zapret уже не справиться с задачей которую я ставлю? Я могу с вами пообщаться в приватном чате? Или могу ли я написать вам в личку?

anonimus28 · October 19, 2020, 9:59am

Как можно реализовать эту технологию? Мне в этом поможет программа zapret?

bolvan · October 19, 2020, 10:58am

Я с этим не связывался сам, но полагаю у cloudflare можно заказать fronting с поддержкой ESNI.
Или ищите прокси-поделку для терминации TLS у себя на сервере. Где-то проскакивало, но не запомнил как называется.
zapret предназначен для обмана DPI на стороне клиента. даже не думал, что кто-то это будет использовать на сервере

Большинство DPI способно принять решение о запрете по первому пакету с данными от клиента. TLS client hello или http request. С сервера можно повлиять только на разбивку посредством wsize, но как уже сказал это далеко не всегда сработает

anonimus28 · October 19, 2020, 11:09am

Возможно это поможет, мне? Пожалуйста подскажите как мне запустить этот парметр в nfqws. А то я немного затрудняюсь.Я хочу попробовать реализовать это на сервере.

bolvan · October 19, 2020, 11:21am

Это ничем вам не поможет. Даже если вы разобьете ответ от сервера, клиент без специальных средств будет отсылать обычный ClientHello, на который тут же ополчится DPI. Вашему серверу даже отвечать не придется. DPI отрежет клиента до того, как серверу представится шанс что-то сделать

cypherpunks · February 4, 2021, 11:17am

Это ничем вам не поможет. Вашему серверу даже отвечать не придется.

О каких способах обхода блокировки тогда могла идти речь в следующей теме?

Предложение владельцам заблокированных сайтов Russia

У меня есть несколько экспериментальных способов обхода блокировок на серверной стороне заблокированных сайтов, без необходимости каких-либо действий на стороне клиентов. Способы реализованы и протестированы, они показали свою эффективность при определенных условиях, но тестировались ограниченно и на малом количестве провайдеров. Мне было бы интересно протестировать их на реальных заблокированных сайтах, с большим количеством посетителей из разных мест России. Если вы владелец заблокированного …

bolvan · February 4, 2021, 1:54pm

Если порассуждать немного…
Большинство DPI заблокируют стрим при первом же пакете с данными от клиента, где http запрос или TLS client hello.
Значит действовать надо уже на этапе 3-way handshake.
Можно попытаться сделать реверс-десинхронизацию, базируясь на пришедшем TTL. Или badsum, badseq
Чтобы desync пакеты доходили до DPI, но не доходили до клиента.
Попробовать от сервера послать RST. Как будто сервер сбросил конект. Но чтобы не дошло до клиента. Или послать какой-то левый пакет данных, например левый http response.
Возможно, какие-то DPI это задурит
По IP можно определить провайдера, и имея базу провайдеров что работает на каком, изменять тип реверс-дурения

runetchecker · September 6, 2023, 7:31pm

Как запускать custom-скрипты, такие как custom-nfqws-dht4all? Хотелось бы подробную иструкцию для работы со скриптами.

bolvan · September 7, 2023, 5:46am

Попробная инструкция написана в readme. Раздел “вариант custom”.
Готовые скрипты включаются копированием соотв. файла в файл “custom” с его замещением, затем выбор в config MODE=custom.
Код скрипта следует прочитать, там в коментах пишу необходимые дополнительные переменные в config.
dht скрипт наследует режим nfqws, потому вся остальная конфигурация ему соответствует.
Можно прогнать install_easy с MODE=nfqws, настроить, убедиться в работоспособности, затем перейти на custom

zzr · October 12, 2023, 10:32am

после того как попробовал гудбайдпи на винде и на моё удивление проканало, решил попробовать запрет на линуксе сначала он (вместе со мной)) как то приуныл (UNAVAILABLE) а потом как попёрли (AVAILABLE!!!) и ведь риально работает, спасибо вам всем за титаникстический труд!

ps
к сожительению после 24 февраля автономный обход блокировок становется всё меннее актуально всвязи с тем что ето уже нетолько лиш у нас но и на той стороне начали блокировать с росийских айпишники

pps
и в тоже самое время автономный обход блокировок не теряет свой актульности так как ркн усилили методы борьбы с впнами и прочим шифротрафиком который идёт через границу как я понел

bolvan · October 12, 2023, 12:35pm

Потому у меня и создана система “ipban”. Потому что все автономно обойти невозможно.
Но это только хелпер, основа - руками

usnevst · October 13, 2023, 4:35pm

Интересно, что смотрит ответ только если SNI нет, но TLS выявлен. При наличии SNI блокирует или прекращает следить.

zzr · October 17, 2023, 6:09am

nice

cimon357 · October 17, 2023, 5:33pm

Добрый день.

Прошу помощи в настройке zapret в такой конфигурации домашней сети:

клиенты - virtual box (192.168.199.65, openWrt, установлен zapret) - основной роутер - интернет.

Чтобы можно было указать в качестве прокси на клиентах (ПК, смартфоны) IP и порт виртуальной машины (я предпочитаю использовать privoxy, 192.168.199.65:8118).

Можно ли так настроить, если да, то как это сделать?
Или как можно настроить в подобной конфигурации?

Если после запуска файла blockcheck.sh в сводке доступных способов обхода есть строка:
ipv4 rutracker.org curl_test_http : tpws --methodeol
можно ли мне выбрать при настройке (install_easy.sh) в качестве способа обхода tpws и потом указать в файле
TPWS_OPT=“–methodeol”
Будет ли так работать?

После настройки zapret у меня запускается, как процесс, виден в htop
/opt/zapret/tpws/tpws --user=daemon --bind addr=127.0.0.127 --port=988 --methodeol

Буду благодарна за помощь.
Если вопросы некорректны, то прошу прощения - только начала с этим разбираться.
GoodByeDPI на Windows у меня работает, теперь пробую настроить на openWrt.
Если получится настроить на виртуальной машине, потом так же сделаю на роутере.

bolvan · October 17, 2023, 7:33pm

Сеть не должна быть в режиме NAT. Нужен bridge. Иначе почти никакие методы не будут работать.

Можно, но такая настройка zapret не касается, а ликбезом по linux я не занимаюсь. Ищите информацию в сети.
Если вкратце, то zapret обходит блокировки в тч на локальном устройстве. Значит надо установить любой прокси на то же устройство, и соединения с него пойдут через zapret.
Хотя такая конфигурация и не очень логична, правильнее было бы использовать маршрутизацию

Будет для http , ломая значительное количество сайтов. Для https не будет.

cimon357 · October 17, 2023, 8:03pm

Спасибо Вам за ответ

У меня в настройках виртуальной машины в разделе “Сеть” выбран “Тип подключения” - “Сетевой мост”, речь, наверное, об этом?

Тогда какие выбрать настройки для install_easy.sh, если у меня такие способы обхода:

ipv4 rutracker.org curl_test_http : tpws --methodeol
ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=split --dpi-desync-ttl=8
ipv4 rutracker.org curl_test_https_tls12 : tpws not working
ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fake,split2 --dpi-desync-ttl=4

bolvan · October 18, 2023, 5:49am

Те, что с nfqws, раздельно для http и https

cimon357 · October 18, 2023, 9:29pm

Спасибо Вам огромное за помощь. Все работает, сайты открываются. Замечательный скрипт.

zzr · November 9, 2023, 6:10am

* SUMMARY
ipv4 instagram.com curl_test_https_tls12 : tpws not working
ipv4 instagram.com curl_test_https_tls12 : nfqws not working
ipv4 instagram.com curl_test_https_tls13 : tpws not working
ipv4 instagram.com curl_test_https_tls13 : nfqws not working

не то чтобы он мне сильно нужон, просто интересно как такойе возможно, другие сайты открывает норм
а может быть такойе что например дпи оно пробивает но сам ихний веб-сервер дропает видоизменённые несоответствующие не одному стандарту пакеты?

bolvan · November 9, 2023, 6:34am

У таких сайтов обычно прыгающие IP, и часть из них может быть заблокирована по IP
У меня норм обходит