Zapret: обсуждение

Community software Zapret
2191

winws win7sp1x64
казалосьбы нашёл отличную стратегию

 --dpi-desync=fake --dpi-desync-fooling=datanoack

но в хроме обычный неблоченый яху сдох
https://www.yahoo.com/
и
http://mail.yahoo.com/

дают ERR_CONNECTION_RESET а приэтом в древнейшем ie11 заходит и curl тоже (поэтому blockchek не помогает)

чё с этим убогим хромом? без winws яху начинает работать

сам хром древний v97 и никаких киберов в нём нет

не понимаю что не так конкретно с сайтом что в хроме какимто бесом fake его ломает (почему долазит?)

раньше с gbd яху дох от badsum

2192

нужно добавить хостлист с указанием доменов. для которых эта стратегия применяется (чтобы она не лезла к сайтам, которые не требуется разблокировать)
дополнительно еще можно ограничить фейк через ttl

2193

хостлист это петушь - лишняя большая нагрузка + никогда не будет полным. разве что лист от обратного для которых не применять и внести яху…

а с ttl ломает кабинет прова + blockchek от 7 до 10 показывает на разные сайты и стратегии

а на 10м хопе уже половина “настоящих” сайтов

2195

ttl можно совместно с fooling применять, чтобы не ломал кабинет прова
hostlist - небольшая нагрузка. там нет цикла от 1 до 100000 если совпадает, то

2196

Есть же --hostlist-exclude. Зачем такие приколы ?

2197

Эммм, я опять что-то пропустил? Он существует сам по себе или в кооперации с обычным?

2198

Он может и сам по себе, и вместе. Листов на профиль может быть неограниченное количество.
Считается, что у профиля есть хостлист, если присутствует хотя бы 1 домен в любых из листах include и exclude по этому профилю. Полная пустота всех листов равносильна их отсутствию.
Пустота всех include листов равносильна отсутствию include листов.

2199

Поэтому приходиться держать два листа минимум
Один для “махинаций”
Второй для “не тронь каку”

Хотя за последнее время только и успевай следить за запретом. Там что-то много изменений уже

2200

Понял. Значит достаточно

--wf-tcp=80,443 ^
--filter-tcp=80,443 --hostlist-exclude="%~dp0yahoo.txt" --dpi-desync=fake --dpi-desync-fooling=datanoack

В txt пишем yahoo.com и любые другие незаблоченные сайты, которые ломаются

@Hentay Я себе сделал еще “трожь каку но не так” ))

Но так как теперь порты в фильтре можно юзать через запятую, то минус одна строка в конфиге

2201

прошу прощения за оффтоп, но вы случайно не мой сосед по провайдеру? у меня с началом блокировок ютуба начал умирать интернет по вечерам, причем проблема была явно локальная до выхода на магистральный канал (и до тспу). кое-как решил вопрос с провом, такое ощущение что там кто-то канал забивал=)
/trolling off

2202
Спойлер

Таких соседей у каждого … Много
ТСПУ у некоторых так иногда ложиться, что интернет в обнимке тоже

2203

Хотелось бы уточнений, какой именно NAT оно ломает, а то не совсем понятно. Нат в роутере? нат провайдера? Оба?

2204

покачто пальцем в небо сменил на md5sig вместо datanoack
и в первом приближении работает

но хочется всёж первопричину поймать

  • с одной стороны хром (в ie гуд)
  • -с другой стороны яху (другие работают)
  • а с третий winws… но что именно ломает datanoack или fake ? и но опять почему тока яху и в хроме…

и напоследок если --hostlist-exclude прикручу какие правила подстановки?
yahoo.com понятно
а чтоб *.yahoo.com как?

2205

кстати да, пинг 250+ был именно в nat провайдера, дальше уже не повышался. но тут речь была впринципе об использовании хостлистов (ипсетов) для любой стратегии.

2206

Судя по стратегии там нет ломки NAT
datanoack его ломает, например.
Что вообще такое ломка NAT ? Это когда conntrack помечает пакет как INVALID, отказывается делать для него NAT, а правило типа такого : -m conntrack --ctstate INVALID -j DROP
в цепочке OUTPUT блокирует отсылку пакета. В этом случае отсылатель получает permission denied.
Если сделать iptables -I OUTPUT -j DROP, то любая отсылка будет вызывать денай
Можно сделать так : iptables -I OUTPUT -m conntrack --ctstate INVALID -j LOG
и смотреть dmesg нет ли чего “такого”

2207

Поддомены обрабатываются автоматом при наличии в списке основного домена, в нашем случае yahoo.com Ничего дополнительно указывать не надо.

И упаси вас бог совать звездочки в хостлист - это мало что не работает, так еще и смешно выглядит.

@bolvan В общем, неоднозначный тип (как это правильно назвать то? Ограничитель?). Я бы лично подыскал что-нибудь другое.

2208

А можно ли как-то прописать для портов 80 и 443, чтобы проходили сначала профили с md5sig, а затем, если не пробивает, уже с datanoack?

Типа вот так или как грамотно прописать?:

--filter-tcp=80 --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new ^
--filter-tcp=443 --hostlist="%~dp0list-youtube.txt" --dpi-desync=fake,split2 --dpi-desync-repeats=11 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls="%~dp0tls_clienthello_www_google_com.bin" --new ^
--filter-tcp=80,443 --hostlist-auto="%~dp0my_hostlist.txt" --dpi-desync=fake,split2 --dpi-desync-repeats=11 --dpi-desync-autottl=2 --dpi-desync-fooling=datanoack
2209

Единственная обратная связь присутствует в логике auto hostlist. Больше ее нигде нет.
Вряд ли md5sig нужен, если работает datanoack

2210

То бишь смысла нет писать отдельно для 80 и 443, а затем вместе стратегию для 80,443? Верхние строчки с отдельно стратегиями для 80 и 443 можно убрать?

2211

Первая строчка здесь полностью сьедает 80, дальше он уже не пойдет ни при каких условиях.
Вторая строчка имеет дополнительное условие по хостлисту. Что мимо пойдет на 3 строчку.
Получается в 3 строчке лишний порт 80. И автолист будет работать только по https. http будет дуриться всегда