Zapret: обсуждение

cimon357 · October 18, 2023, 9:29pm

Спасибо Вам огромное за помощь. Все работает, сайты открываются. Замечательный скрипт.

zzr · November 9, 2023, 6:10am

* SUMMARY
ipv4 instagram.com curl_test_https_tls12 : tpws not working
ipv4 instagram.com curl_test_https_tls12 : nfqws not working
ipv4 instagram.com curl_test_https_tls13 : tpws not working
ipv4 instagram.com curl_test_https_tls13 : nfqws not working

не то чтобы он мне сильно нужон, просто интересно как такойе возможно, другие сайты открывает норм
а может быть такойе что например дпи оно пробивает но сам ихний веб-сервер дропает видоизменённые несоответствующие не одному стандарту пакеты?

bolvan · November 9, 2023, 6:34am

У таких сайтов обычно прыгающие IP, и часть из них может быть заблокирована по IP
У меня норм обходит

wigeance · January 10, 2024, 5:36am

Заметил интересную особенность, сайт windscribe.com на 99% провайдеров не имеет рабочей стратегии обхода блокировки. Блокировки по ip нет нигде, но стратегию все равно найти не удалось.

Заработало только на AS12695 DINET-AS, причем для всех заблокированных сайтов достаточно обычного fake на TCP TLS 1.2, а для windscribe.com нужен

–dpi-desync=fake,split2 --dpi-desync-split-pos=1

И заработало на NAT64 мобильного мегафона через fake,split2. На том же мегафоне без NAT64 стратегии обхода нет

bolvan · January 10, 2024, 7:53am

windscribe.com на 3 провайдерах не конектит на порт 443 вообще. таймаут
о каком zapret речь ?

wigeance · January 10, 2024, 8:06am

Как выше описал, на магафоне NAT64 и небольшом провайдере в Москве zapret срабатывает на windcribe.com, на остальных провайдерах где тестировал - нет

Видимо блок по v4 именно на порт 443 на большинстве провайдеров. Хотя просто пинги до сайта ходят. Если необходимо могу поднять ВПН и дать Вам временный доступ для теста к этой точке которую выше описывал (AS12695 DINET-AS) 85.192.51.Х

bolvan · January 10, 2024, 8:07am

блокируется по ip только порт 443
на 80 http работает даже без обхода

stanleyk · January 10, 2024, 12:21pm

del

AlexPlay · March 5, 2024, 3:09pm

Добрый день.
Настроил на роутере keenetic zapret c nfqws и wireguard сервер

Нужно чтобы через zapret проходил только трафик с wireguard

bolvan · March 5, 2024, 3:14pm

Откажитесь от скриптов, сделайте все руками

AlexPlay · March 5, 2024, 7:00pm

а через /opt/zapret/init.d/sysv/custom никак?

bolvan · March 5, 2024, 8:20pm

Можно через custom script
Переписать логику nfqws и добавить фильтр -s 192.168.5.0/24 (подсеть wireguard)

Можно взять за основу это, только избавиться от tpws и заменить его на nfqws. nftables можно не писать.

github.com

bol-van/zapret/blob/master/init.d/sysv/custom-tpws4http-nfqws4https

# this custom script demonstrates how to apply tpws to http and nfqws to https
# it preserves config settings : MODE_HTTP, MODE_HTTPS, MODE_FILTER, TPWS_OPT, NFQWS_OPT_DESYNC, NFQWS_OPT_DESYNC_HTTPS

zapret_custom_daemons()
{
	# $1 - 1 - run, 0 - stop

	local opt

	[ "$MODE_HTTP" = "1" ] && {
		opt="--port=$TPPORT $TPWS_OPT"
		filter_apply_hostlist_target opt
		do_tpws $1 1 "$opt"
	}

	[ "$MODE_HTTPS" = "1" ] && {
		opt="--qnum=$QNUM $NFQWS_OPT_DESYNC_HTTPS"
		filter_apply_hostlist_target opt
		do_nfqws $1 2 "$opt"
	}

This file has been truncated. show original

ivanixa333 · March 18, 2024, 10:43am

А как. Зайти. Через Google Chrome По http Я пытался. Ну что-то не получается Автоматом. Заходит. По https

hufrea · March 19, 2024, 8:09pm

К слову. Я недавно проверял возможность запутыванию с помощью TFO. Если засунуть запрос в SYN, то можно пробить некоторые DPI, однако ТСПУ (под ним имею ввиду то, что замораживает соединение, даже если пробит первый DPI), может собрать такой запрос и заблокировать, но и он пробивается, если размер данных в SYN < 3 байт, притом split на тех же позициях не работает. Похоже, что он либо учитывает расширение tfo, либо грубо сканирует все первые пакеты, размер которых превышает некоторое число.

bolvan · March 20, 2024, 6:02am

Сплит через TFO может работать только на серверах, поддерживающих TFO. А чтобы это узнать, придется отправить тестовый запрос, и если нет, то придется заново переподключаться, держа при этом клиента на связи
Действительно, я тоже замечал замораживание на http, но не на https. Под замораживанием я понимаю такое состояние, когда DPI в процессе своей грязной работы задерживает пакеты и правит sequence numbers, и в случае десинхронизации соединение ломается. Обычно это видно на disorder. Зависание. syndata так же может вызывать слом. На некоторых провайдерах норм, на других ломается.
На https TFO не пробовали ?

Смотря на результат, мы видим работу произвольного количества DPI на пути. Обычно их не один там, и разные могут вести себя по-разному

hufrea · March 20, 2024, 7:31am

Да, а серверов поддерживающих TFO не так уж и много, но rutracker, например, поддерживает.

Не придется, ядро делает это прозрачно. Если у ядра есть сохранённый cookie, то он отправит данные в первом SYN, если же нет, то он отправит обычный SYN с расширением TFO, для получения первого cookie от сайта. Затем просто отправит запрос после рукопожатия. Если сервер прислал в ответ TFO, то впредь данные ему будут отправляться в первом SYN.

Как раз на нем и пробовал (несколько недель назад у меня перестал блокироваться HTTP на всех DPI). На обычных сайтах замораживания не было, только на заблокированных. Т.е. DPI умеет собирать такие запросы при условии, что полезной нагрузки > 2 байт.

bolvan · March 20, 2024, 7:40am

Вот это и вводит неопределенность. Нельзя сделать обычными средствами так, чтобы всегда были данные в SYN. Или можно, сделав предварительный конект. Но можно ли узнать потом действительно ли сервер поддерживает TFO ?
Прозрачность удобна, но для наших целей засунуть данные в SYN может быть не очень удобна

Гуглится вот что :
The case that you are sure fast open was used is when you have a non-blocking socket, you already have a fast open cookie and sendto() does not return EINPROGRESS:
For non-blocking socket, it returns the number of bytes queued (and transmitted in the SYN-data packet) if cookie is available. If cookie is not available, it transmits a data-less SYN packet with Fast Open cookie request option and returns -EINPROGRESS like connect().

hufrea · March 20, 2024, 8:01am

Если имеется ввиду и случаи, когда на сервере нет TFO, то похоже, что это невозможно. В Linux (начиная вроде с 4.11) есть такая опция - TCP_FASTOPEN_CONNECT. Если cookie у ядра есть, то connect мнгновенно вернет 0, если нет, то EINPROGRESS. Т.е. можно сделать предварительное подключение, не отправляя данные.

ech0brav0 · March 25, 2024, 9:10pm

Возможно ли как-нибудь посредством zapretа реализовать блокировку quic (блокировка от провайдера то есть, то нет)? Максимально криво работает и единственным способом избежать проблем становится принудительное отключение quic в браузерах. Но хотелось бы найти способ заблокировать quic на домашних устройствах полностью

wigeance · March 25, 2024, 10:45pm

Закройте порт udp 443 на выход из домашней сети и никакого quic не будет