Zapret: обсуждение

abc555 · November 28, 2024, 1:19pm

Та этот ваш роутер нужно было выкинуть ещё 15 лет назад, фишка в чём, что покупая свежий и даже на обычной стандартной прошивке он работает быстрее, лучше намного, таких как у вас, у меня валяется штуки три, и выбросить жалко и подарить некому ))
Хотя у них 4 мгб памяти, походу они даже лучше вашего )) Ну а ваш получается нужно было выкинуть 25 лет тому назад )

wigeance · November 28, 2024, 1:22pm

quic и tls 1.3 немного разные вещи
и в офф приложениях гугла для ютуба везде quic используется, но некоторые служебные домены по https ходят и в старых дейвайсах по https с tls 1.2, а не 1.3

abc555 · November 28, 2024, 1:23pm

Нет, quic это и есть tls 1.3, работает этот протокол совместно с tcp и udp, гугл придумал эту хрень

Ori · November 28, 2024, 1:25pm

Я конечно не эксперт, но каким образом блокировка udp 443 приведет к блокировке tls 1.3? Tls 1.3 встроен в quic, но это же не значит что заблокировав quic он у вас перестанет по tcp работать? Quic и udp - это просто транспортные протоколы.

abc555 · November 28, 2024, 1:27pm

Именно перестанет работать, я лично провёл этот тест, заблокировав порт udp 443, включил в браузере quic и не одного пакета http/3 не пролетело, только http/2 и http/1
Если вы заблокировали этот порт и пакеты http/3 пролетают, значит вы умеете правильно блокировать этот порт

wigeance · November 28, 2024, 1:30pm

Так вы же знаете, что http2 может быть с tls 1.2 и tls 1.3?
А вот quic уже требует наличие tls 1.3 для работы и не работает с 1.2
Так что quic и tls1.3 это разные вещи, одно связанно с другим, но это не одно и тоже

Ori · November 28, 2024, 1:32pm

Вы путаете прикладной протокол (http), сеансовый протокол защиты (tls) и транспортный протокол (quic/udp/tcp).
https://datatracker.ietf.org/doc/html/rfc7540
https://datatracker.ietf.org/doc/html/rfc8446
https://datatracker.ietf.org/doc/html/rfc9000
https://datatracker.ietf.org/doc/html/rfc9001

abc555 · November 28, 2024, 1:33pm

При блокировке udp 443 я заходил на разные сайты, не только на ютуб и ни одного пакета http3 не пролетело, хотя в браузере включено и сделал вывод что quic и tls 1.3 это одно и тоже, немного почитав и изучив этот протокол, я понял что это за хрень.
Первый раз я плохо заблокировал этот порт и пакеты пролетали, но имея немного опыта, я всё же этот порт прибил наглухо и всё, все пакеты http3 ушли в туман )

Ori · November 28, 2024, 1:36pm

http/3 - это http-over-quic. То есть прикладной протокол через транспорт quic. Quic - это “модифицированная версия” udp, в которую, в том числе, встроено tls 1.3.

Понятное дело, что заблокировав udp 443 вы перестанете видеть http/3, т.к. вы заблочили quic. Однако это не значит что tls1.3 по tcp перестал использоваться.

Не говоря уже о том, что tls1.3 и до quic использовался.

abc555 · November 28, 2024, 1:38pm

Именно так и есть, работают они совместно udp и tcp, но если заблокировать udp, то и tcp 1.3 работать не будет

Ori · November 28, 2024, 1:40pm

Бро, запусти курл с verbose да посмотри

abc555 · November 28, 2024, 1:41pm

Ещё раз повторяю, если плохо заблокировать, то пакет всё равно будет проходить, я тоже сначала не понял кого он проходит, но добил его до конца )

electrifying · November 28, 2024, 1:43pm

Вы опять не знаете о чем говорите, все там есть.

abc555 · November 28, 2024, 1:44pm

Давайте тему засорять не будем, нет там такого, вы просто не видели и не понимаете о чём я.
А я даже бывает пишу что нить этому кренделю который поддерживает эту прогу, он катается на доме на колёсах где то в штатах, короче мозг, в очках такой )

electrifying · November 28, 2024, 1:49pm

Давайте не будем, сразу же после того как вы перестанете вводить пользователей в заблуждения

Вот все что делает https-dns-proxy

It receives regular (UDP) DNS requests and resolves them via DoH resolver

То есть я просто могу игнорировать любые днс прописав кастомные doh/dot к которым и будут обращения. А волшебный https-dns-proxy сюрприз, сюрприз при разворачивании entware так же легко ставится на кинетик как и любой волшебный пакет из openwrt неудобно получилось,да?

abc555 · November 28, 2024, 1:52pm

Я особо в кинетик не вникаю, для меня любой роутер со стандартной прошивкой это вражеский роутер, я не знаю что они туда засунули, но некоторые модели я находил бэктор лично, юзая стандартную прошивку, в неё внедрён ip с которого могут зайти в роутер, причём не важно какие у вас настройки, этот ip имеет полный доступ и зная это, то спрашивается надо оно вам или нет.
Чтоб вы знали, с 15 года это я точно знаю, во все процессоры внедрён бектор и если у вас стандартная прошивка, то кому то достаточно нажать одну кнопку и ваше устройство потухнет и не важно какое, телефон это или телевизор )

toxae1 · November 28, 2024, 2:18pm

Да одно и тоже везде https + quic.
На роутере стоит dnsmasq так что ходят на один сервер.
Это не на телике а на приставке.
При этом на телефоне и пк в хроме что с quic что без него все работает.
Если сменить стратегию на эту

--dpi-desync=fake,multisplit --dpi-desync-split-pos=1,midsld --dpi-desync-ttl=0 --dpi-desync-repeats=16 --dpi-desync-fooling=badseq,md5sig --dpi-desync-fake-tls=/opt/etc/nfqws/tls_clienthello.bin"

то все работает для quic стратегия прежняя.
А со стратегией чисто на мультидесордер без фейка работает на пк и телефоне а атв не хочет

toxae1 · November 28, 2024, 2:21pm

У меня прописан 192.168.1.1 и 127.0.0.1 как раз на них слушает dnsmasq

toxae1 · November 28, 2024, 2:23pm

Там отключается полность днс и используется например dnsmasq или adguard home

i-no · November 28, 2024, 2:29pm

А --wssize тестово именно для атв не помогает?