Zapret: обсуждение

Сорри, если это нубский вопрос, есть ли в nfqws или tpws аналоги --disoob и --drop-sack из byedpi? Если конкретнее, нужен аналог вот этой строки:

ciadpi -s1 -q1 -Y -a2

Здравствуйте. Использую конфиг zapret-win-bundle/zapret-winws/preset_russia.cmd at master · bol-van/zapret-win-bundle · GitHub
Решил его доработать под себя, так как насколько я понимаю, что он гонит в том числе весь https трафик через себя и если я знаю конкретные мне хосты, то лучше их добавить,снизить нагрузку и не “ломать” просто так весь трафик?
2 отдельных хостлиста, 1 для ютуба, другой для всего остального. Все что не попадает в хостлист идет мимо в неизменяемом виде.

start "zapret: http,https,quic" /min "%~dp0winws.exe" ^
--wf-tcp=80,443 --wf-udp=443 ^
--filter-tcp=80 --hostlist="%~dp0list-general.txt" --dpi-desync=fake,fakedsplit --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new ^
--filter-udp=443 --hostlist="%~dp0list-youtube.txt" --dpi-desync=fake --dpi-desync-repeats=11 --dpi-desync-fake-quic="%~dp0quic_initial_www_google_com.bin" --new ^
--filter-udp=443 --hostlist="%~dp0list-general.txt" --dpi-desync=fake --dpi-desync-repeats=11 --new ^
--filter-tcp=443 --hostlist="%~dp0list-general.txt" --dpi-desync=fake,multidisorder --dpi-desync-split-pos=midsld --dpi-desync-repeats=6 --dpi-desync-fooling=badseq,md5sig --new ^
--filter-tcp=443 --hostlist="%~dp0list-youtube.txt" --dpi-desync=fake,multidisorder --dpi-desync-split-pos=1,midsld --dpi-desync-repeats=11 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls="%~dp0tls_clienthello_www_google_com.bin"

Нормальный конфиг или я что-то не понимаю?

все вместе это так
модем в роутер
на модеме выкл фиксацию ттл
на рутере

ttl fix

iptables -I POSTROUTING -t mangle -o wan -m ttl --ttl-gt 62 -j TTL --ttl-set 65

Спойлер


Не помогает . У меня вот Такое подключение

Всем добрый день, может кто поделиться ссылкой на способы реализации запрета на древних роутерах, где памяти раз-два-четыре всё?
Есть в наличии tp link wr-840; wr-741ND ver 4.25; Asus rt-n300 b1, D-link 615 E4, openwrt поставить могу, но не до конца понимаю, как без вебморды сделать конфиг и после залить запрет. Да и в целом - без вебморды сложновато будет, т.к. хочу отдать потом роутер родителям для приложений на телефонах.
У себя реализовал запрет на xiaomi 4 giga CN, встало всё без проблем по простейшей инструкции.

Если есть место под бинарник tpws - a это ~132КБ для версии 69.3 (+ с десяток КБ на iptables-mod-extra и конфиги), то по инструкции “Установка на openwrt в режиме острой нехватки места на диске”.
Но в wr-741ND 18.06 их скорее всего даже близко не будет (к примеру в “стандартном” TL-WR740N 18.06.9 свободными есть только 84КБ), придётся автоматически подтягивать бинарник каждый раз после перезагрузки с какого нибудь доступного ресурса.
И придётся учиться пользоваться WinSCP и PuTTY (ибо Win way я так понимаю).

Как вариант можно наавитить каких нибудь SNR-CPE-W4N (rev.M) рублей по 300, там хотя бы 8/64, свободными будет пара метров места флэша, можно уже шиковать (в меру конечно же, полный лист в 100K+ записей не нужен никому, в оперативку упрётся).

WinSCP - не проблема, уже с ним заливал прошивку, как раз на wr840 с ним и закидывал.
Завтра буду пробовать, постараюсь написать итоги, вдруг кому полезно будет, если получится.

На этот, если не ошибаюсь, падаван накатывался. Недавно в форке padavan-ng прикрутили nfqws.

С флэшем 8МБ (и 23.05 соответственно) и так еще можно:

Добрый день. Спасибо всем. . Я всё-таки заставил работать Запрет. Фиксированным ttl . Пришлось переустановить entware И все пакеты которые не . Хватали . И нормально . Установить запрет . Как положено

У меня только один вопрос. Как отменить это. Выключит это действие iptables -t mangle -A POSTROUTING -j TTL --ttl-set 65

-D или ребутнуть
убрать из автостарта разумеется

сомневаюсь, что на 32/8 залезет последние openwrt

Обычный --dpi-desync=fake разблокировывает viber.com, а вот мясо вроде clients-content.viber.com уже серьезнее блокируется, простой фейк не помогает.

Оно и понятно, сама морда не используется в call’ах самого приложения

Всем привет! Провайдер Мультистрим, думаю о таком и не слышали, он наш местный.
Поставил запрет самую актуальную версию, по итогу все работает, но именно ютуб показывает 10 секунд и потом просто останавливается и грузит, соответственно смотреть невозможно.
Подскажите куда копать? :frowning:

Опробую, но только когда смогу роутер у родителей забрать, он у них сейчас стоит основным. Спасибо!

дорвался я тут до ipv6 и обескуражен - чем он более-лучше для dpi и прочих чебурнил?

а ведь были времена когда его советовали как неконтролируемый…

а сейчас в v6 тупо не работает то что работает в ip4

стратегии резко усложнились (для 80) а для tls1.2 их тупо вообще не находит blockchek

спасает лишь tls1.3 и то что в отличие от ip4 сайтов не встречал чтоб ipv6+1.2 без 1.3

Некоторые провы включают самостоятельно ютуб чтоб не терять клиентуру, но делают это через одно место, чтоб проверить включили или нет, надо в браузере включить quic, если не работает, то на примере Firefox включить ещё sni в настройках приватность и защита в самом низу на повышенную защиту на Cloudflare по умолчанию. Провы когда включают сами ютуб, то потом запрет не помогает, по началу даже не поймёшь что происходит, поэтому пробуйте варианты.
Прикол в том, что когда включить sni то половина сайтов перестаёт работать, у меня так на одном прове, постоянно включаешь и выключаешь sni, спрашивается, вот нафига было это делать, работало нормально с запретом, нет бл*, включили ютуб. Нет чтоб пригласить спеца, дать ему денег, а то самостоятельно делают, не понимая что.
И на tls 1.2 вот на нём ютуб не работает и мне пока не удалось никак его починить, работает без обхода только на quic и ещё и с sni в придачу, на телефоне включается и работает, на компе целый процесс включения

zapret v69.4

  1. nfqws: обрамление фейками обоих сегментов в fakedsplit/fakeddisorder
  2. nfqws: задание содержимого фейков в fakedsplit/fakeddisorder через --dpi-desync-fakedsplit-pattern
  3. багфиксы