Да видел я в правилах один ip которому разрешено из вне ходить. Это ip сервака для keendns
Да читал что не советуют ее использовать, только если больше ничего не помогает. Тут дело не в том что не работает. А дело почему так не работает. Сделаю скрины наверное для понимания.
Насчет quic вообще не советую его отключать, лично у меня намного медленнее работает без него.
Я к тому, что если помогло, то можно его дополнительно ограничить списками айпи сетей гугла и отдельно тех GGC что ATV использует. Под GGC придется самостоятельно подобрать, но это нетрудно. И тогда “токсичность” --wssize нейтрализуется.
quic если хорошо работает, то пусть работает, конечно.
Потестировал командный файл preset_russia_autohostlist.cmd, вроде как все сайты открываются нормально. Скопировал все пресеты в service_create.cmd, но создание службы стопорится на ошибке “не является внутренней или внешней командой, исполняемой программой или пакетным файлом”.
Есть у кого-нибудь готовый командный файл для установки службы?
Вы мне можете ответить. Как заставить. Работать. Запрет. Фиксированным ttl 65 Запрет Установлен. На роутер entware keenetic peak К нему подключён Смартфон. Через Wireless ISP В этом меню… Зафиксирован ttl 65 На отправку. И на приём. Провайдер Мобильный. Интернет летай Таттелеком. Когда я включаю Запрет. . Интернет полностью блокируется Браузер пишет Соединение сброшено Когда я отключаю запрет… И отключаю флешку Интернет начинает работать Запускаю на компьютере Запрет YTDisBystro_v2.4. Все сайты открываются Интернет не блокируется Как решить эту проблему
Смотря что вы добавили, покажите вашу стратегию в роуторе
Добрый день.
Подскажите, есть стратегия:
–dpi-desync=fake,udplen --dpi-desync-udplen-increment=2 --dpi-desync-cutoff=n3 --dpi-desync-repeats=2
с --dpi-desync-fake-quic
Для Firefox работает:
Для TVIP нет:
Видно, что с железки идёт модифицированный quick, в котором SNI виден:
Что-нибудь с этим можно сделать с помощью dvtws?
Я только сегодня на 2х разных провах тестировал quic, результат фиговый, поэтому заблокировал обратно порт udp 443, без quic хоть и медленней открывается, зато стабильно
поэтому заблокировал обратно порт udp 443
Там то ли железка туповата - блокировка порта не приводит к переходу на TCP. Возможно, надо что-то ещё кроме порта блокировать.
Я не знаю можно ли заблокировать порт если не wrt стоит. В wrt я заблокировал в файрволе через люси на вход, выход и перенаправление, так же дополнительно заблокировал в raw_prerouting и в raw_output через PuTTY и тогда он перестал работать
Так же в запрете отключил udp443 в трёх местах, я на nfqws
Я не знаю можно ли заблокировать порт если не wrt стоит.
Нет проблем - выше правила заворота в dvtws ipfw (в моём случае) add N reset udp from XXX to any 443.
Однако, спустя пару пакетов TCP TLSv1 опять наблюдаются пакеты с GQUIC на этот же IP. Вот и подумалось, что несмотря на --dpi-desync-fake-quic SNI в этих пакетах не меняются по причине различий в протоколах.
Я раньше уже говорил, если правильно заблокировать порт, то не важно включён у вас quic на устройстве или нет, значения не имеет, он не будет работать, http3 пакеты пролетать не будут. Устройство если quic включён будет отправлять этот пакет, но дальше роутера он не уйдёт. У меня к примеру сетевой стёк настроен, я изменил многое чего через sysctl причём очень давно, поэтому у меня всё нормально работает, роутер под полным моим контролем. Последнее что я сделал до установки запрета, заблокировал icmp, igmp я заблокировал намного раньше, я полностью настроил роутер в ручную и споры были по поводу icmp, но я остался при своём мнении, переубедить меня не смогли на одном из форумов, хотя идею никто не поддержал
Не надо навязывать всем свои методики как единственно верные. Задача не переубедить отказаться от quic, а попытаться сделать так, чтобы он заработал не только в FF.
Может включить --dpi-desync-any-protocol=1 и подсунуть пейлоад в
--dpi-desync-fake-unknown-udp=ваш_пейлоад ?
quic.bin (144 байта)
zapret не распознает протокол GQUIC Q046, нужно использовать --dpi-desync-any-protocol
у меня работает стратегия:
–filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=2 --dpi-desync-any-protocol --dpi-desync-cutoff=n2 --dpi-desync-fake-unknown-udp=“%~dp0quic_pl_by_ori.bin”
Только wireshark после ее применения начинает GQUIC обозначать как просто QUIC
Та в том то и дело, разные устройства, разные варианты, на одном работать будет, на другом нет
К примеру на вин 7 quic работает не так как на вин 10, так как на 7 поддержки tls 1,3 нет, так же и на старых устройствах, её тоже нет, поэтому если много устройств и все они разные, то quic лучше исключить вообще из стратегии, если у вас 2 устройства, ну как вариант можно попробовать подобрать.
Я уверен что многие понятия не имеют, поддерживает ли его устройство tls 1.3 или нет и не путайте с браузером, поддержка должна быть на уровне операционки
А как? Не по UDP?
rem это защита от деток
кто не шаря жмет на все подряд, и потом не знает как удалить
полез в батник - должен знать rem
Я это не говорил, сказал что немного по другому, скажем настраивая запрет под десятку, не факт что будет работать на 7 или ещё на чём не будь, а настраивая на семёрке, вероятность что на всех остальных устройствах будет всё работать, включая и десятку. На семёрке было последнее обновление tls 1.2, там 2 штуки их, вот оно добавляет поддержку этого протокола на уровне операционки, в десятку уже встроенный протокол tls 1.3 изначально, для семёрки его не сделали, он работает в новых браузерах на семёрке, но не так как на десятке. на ней получше он будет работать, так как совместим браузер с операционкой. Поэтому на старых устройствах, телефонах или планшетах, телевизоров или приставок. QUIC и будет работать если приложение или браузер поддерживает, но не стабильно, а даже наоборот, будет вызывать проблемы. Сам QUIC придумал гугл, чтоб быстрее загружать что нить, так как для udp рукопожатие не нужно и соответственно быстрее работает, но легко зато блокируемый этот протокол, говорят что он якобы безопасней чем tls 1.2, но у меня на счёт этого большие сомнения, верить на слово, тем более гуглу я бы не стал )
Чтоб с эмитировать на десятке так же как на семёрке нужна утилита IISCrypto, я только не знаю, поддерживает она протокол 1.3 или нет, так как на десятке ни разу её не запускал, вот через неё можно включать и отключать протоколы. То есть выключить на десятке протокол 1.3 и будет работать точно так же как на семёрке, может и даже лучше работать начнёт в чём то, я не проверял
с чегобы это?
1 работает
2 вообще от браузера зависит а не от оси