Zapret: обсуждение

Ori · November 3, 2024, 8:40pm

Quqas:

казалосьбы нашёл отличную стратегию
 --dpi-desync=fake --dpi-desync-fooling=datanoack
но в хроме обычный неблоченый яху сдох
https://www.yahoo.com/
и
http://mail.yahoo.com/

дают ERR_CONNECTION_RESET а приэтом в древнейшем ie11 заходит и curl тоже (поэтому blockchek не помогает)

Может у вас ipv6? Я не знаю на всех ли роутерах/провайдерах это так работает, но на моем, ipv6 выдается непосредственно устройству за роутером. Т.е. роутер по ipv6 перестает играть роль NAT (вроде как, я не эксперт если что, хз как оно на самом деле работает).
Поэтому по ipv6 datanoack работает, а по ipv4 - уже нет. И, соответственно, если браузер сначала тычется в ipv6 - то всё норм. А если сначала в ipv4 (или одновременно туда и туда) - то фейл. Сам недавно такой прикол у себя обнаружил.

manwithbox · November 3, 2024, 10:03pm

Если хром древний, чему удивляешься?
Если на 7 нужно что-то хромоподобное, то Supermium в помощь. Не занимайся некрофилией.

Quqas · November 4, 2024, 12:55am

как в винде разделить дурение http и https?

чтоб для 80 порта datanoack а для 443 badseq

"C:\++\winws.exe" --wf-l3=ipv4 --wf-tcp=443,22220-22226,25500-25800 --dpi-desync=fake --dpi-desync-fooling=badseq --wf-tcp=80 --dpi-desync=fake --dpi-desync-fooling=datanoack --wf-udp=443 --dpi-desync=fake

такое проглатывает без ошибки но эффекта не наблюдаю

или стопицот процессов только делать?

Ori · November 4, 2024, 1:17am

Типа такого
"C:\++\winws.exe" --wf-l3=ipv4 --wf-udp=443 --wf-tcp=80,443,22220-22226,25500-25800 --filter-tcp=443,22220-22226,25500-25800 --dpi-desync=fake --dpi-desync-fooling=badseq --new --filter-tcp=80 --dpi-desync=fake --dpi-desync-fooling=datanoack --new --filter-udp=443 --dpi-desync=fake

Хотя я не уверен проглотит ли filter-tcp такую штуку 443,22220-22226,25500-25800. Если нет то разнеси по отдельным фильтрам.

start "" /min "winws.exe" --wf-l3=ipv4 --wf-udp=443 --wf-tcp=80,443,22220-22226,25500-25800 ^
--filter-tcp=443 --dpi-desync=fake --dpi-desync-fooling=badseq --new ^
--filter-tcp=22220-22226 --dpi-desync=fake --dpi-desync-fooling=badseq --new ^
--filter-tcp=25500-25800 --dpi-desync=fake --dpi-desync-fooling=badseq --new ^
--filter-tcp=80 --dpi-desync=fake --dpi-desync-fooling=datanoack --new ^
--filter-udp=443 --dpi-desync=fake

bolvan · November 4, 2024, 6:24am

Провайдер не может выдавать ipv6 устройствам за роутером. Это делает роутер.
Провайдер выдает маршрутизируемый префикс обычно через DHCPv6-PD. Prefix delegation.
Чаще всего /64, иногда /56 или даже /48.
NAT не используется. Для раздачи клиентам адресов используется 2 механизма : stateless SLAAC и statefull DHCPv6

В фоксе есть установка fast-fallback-to-IPv4. По умолчанию включена. В этом случае броузер пытается законектиться так, как считает быстрее. Если отключить, будет следовать правилам приоритета в ОС, которые по дефолту предпочитают ipv6. Что может быть полезно для обхода блокировок, но если сайт сломан по ipv6, будет хуже для него. Будет тупняк с открытием

bolvan · November 4, 2024, 6:26am

Порты уже можно писать через ЗПТ в filter, дублирование не нужно

abc555 · November 4, 2024, 9:20am

Интересует этот параметр --ctrack-timeouts по умолчанию 60:300:60:60
Раньше я его не замечал, он появился в обновлённой версии ?
Я так понимаю по умолчанию выглядит так нужно добавлять на прмере --ctrack-timeouts=60:300:60:60 это значение ?
У меня стоит так, я изменил через sysctl
net.netfilter.nf_conntrack_generic_timeout=60
net.netfilter.nf_conntrack_tcp_timeout_close_wait=30
net.netfilter.nf_conntrack_tcp_timeout_established=180
net.netfilter.nf_conntrack_tcp_timeout_fin_wait=30
net.netfilter.nf_conntrack_tcp_timeout_syn_recv=30
net.netfilter.nf_conntrack_tcp_timeout_syn_sent=60
net.netfilter.nf_conntrack_tcp_timeout_time_wait=30
net.netfilter.nf_conntrack_udp_timeout_stream=60
и на какое значение --ctrack-timeouts надо изменить чтоб соответствовало моим значением ?
А то мне не совсем понятно что это S:E:F[:U]

wigeance · November 4, 2024, 9:28am

Параметр есть давно и относится к процессу nfqws и встроенному в него контраку
К системному это отношения не имеет

anon27947102 · November 4, 2024, 9:28am

Какая правельная практика выявления причины задержки на 1 секунду в приложении ютуба? Как анализирубт проблемы в приложениях? Думаю уже многие этим интересовались и есть ссылки даже на форуме на это.

abc555 · November 4, 2024, 9:30am

Ну так он должен соответствовать с моим, а то системный удалил, а этот его ещё держит.
Или он отталкивается от системного ? Вот это я не знаю, поэтому и спрашиваю.
bolvan просто упорядочил инструкцию и этот параметр сразу бросился мне в глаза

toxae1 · November 4, 2024, 11:13am

Благодарю, все получишось и работает заметно лучше чем на стоке.

Quqas · November 4, 2024, 12:37pm

так как строка должна быть, не понимаю?

"C:\///\winws.exe" --wf-l3=ipv4 --wf-tcp=443,22220-22226,25500-25800 --dpi-desync=fake --dpi-desync-fooling=badseq --wf-l3=ipv4 --wf-tcp=80 --dpi-desync=fake --dpi-desync-fooling=datanoack --wf-udp=443 --dpi-desync=fake

что тут удалить и где --filter вставить ?

Quqas · November 4, 2024, 12:53pm

"//\winws.exe" --wf-l3=ipv4 --wf-tcp=80,443,22220-22226,25500-25800 --dpi-desync=fake --dpi-desync-fooling=badseq --filter-tcp=80 --dpi-desync=fake --dpi-desync-fooling=datanoack --wf-udp=443 --dpi-desync=fake

так тоже не даёт эффект

bolvan · November 4, 2024, 1:18pm

–ctrack-timeouts

Не надо в это лезть.
К sysctl имеет нулевое отношение. Это внутренняя кухня nfqws.
Без ее детального понимания не стоит менять

bolvan · November 4, 2024, 1:21pm

Ерунда написана. Перехватывается то, что потом не обрабатывается
В один профиль запихано tcp 80 и udp 443.
Профили разделяются ключом --new, а не --filter

bolvan · November 4, 2024, 1:24pm

Шарк, голова и знания. Других рецептов не знаю.

Quqas · November 4, 2024, 2:32pm

так я и не спорю что ерунда - но самому не получается
вот в 2 процесса разделяется

\zapret-winws\winws.exe" --wf-l3=ipv4 --wf-tcp=443,22220-22226,25500-25800 --dpi-desync=fake --dpi-desync-fooling=badseq --wf-udp=443 --dpi-desync=fake

\zapret-winws\winws.exe" --wf-l3=ipv4 --wf-tcp=80 --wf-l3=ipv4 --wf-tcp=80 --dpi-desync=split --dpi-desync-fooling=md5sig

а как в 1 строку=процесс не хватает мозга понять

речь про винду

bolvan · November 4, 2024, 3:05pm

А даже так ерунда.
На портах 22220-22226,25500-25800 есть TLS или HTTP ?
Если нет, то ничего не будет происходить.
2 раза написано --dpi-desync=fake.
Если кажется, что если второй раз написать --filter, будет другая стратегия, то это не так

Первая строчка будет дурить все http и tls на портах tcp 443,22220-22226,25500-25800 и quic на udp 443
с параметрами --dpi-desync=fake --dpi-desync-fooling=badseq.
В случае udp badseq будет проигнорирован

Фильтр перехвата --wf глобален. Он не относится к отдельным профилям

Quqas · November 4, 2024, 4:04pm

ок а вот так

\zapret-winws\winws.exe" --wf-l3=ipv4 --wf-tcp=443,22220-22226,25500-25800 --dpi-desync=fake --dpi-desync-fooling=badseq --wf-udp=443

и

\zapret-winws\winws.exe" --wf-l3=ipv4 --wf-tcp=80 --wf-l3=ipv4 --wf-tcp=80 --dpi-desync=split --dpi-desync-fooling=md5sig

на 22220+ hola работает поэтому надо, но как для tcp80 свою стратегию не так как для 443? если это вообще для 1го процесса=строки возможно?

bolvan · November 4, 2024, 6:15pm

docs/quick_start_windows.txt