Теперь поддерживает и как то можно собрать curl по проще?
https://openwrt.org/releases/24.10/notes-24.10.0-rc1
TLS 1.3 support in default images
Activate POSIX Access Control Lists and file system security attributes for all file systems on devices with big flash sizes. This is needed by docker nowadays.
Activate kernel support for Multipath TCP on devices with big flash sizes.
можно проверить на снапшоте в виртуалке
Ого! --dpi-desync-fakedsplit-pattern творит чудеса!
Без паттерна не творит ?
Тут на теле2 проверял нифига fakedsplit не работал, пока оба сегмента не облепил фейками. fakeddisorder работал
Как оказалось, этот чудотворный fakedsplit как-то очень ускорил открытие клаудфлерных ECH сайтов даже без кастомного паттерна.
То есть можно заменить dpi-desync-fake-tls к примеру на dpi-desync-fakedsplit-pattern=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin ?
Я просто не понял что это за новый параметр
Покажите на примере --dpi-desync=fake,multisplit --dpi-desync-fakedsplit-pattern= ??? как должно быть или только влияет на --dpi-desync=fake,fakedsplit этот новый параметр ?
А то вчера поставил 69.4 версию, но ещё не разбирался, просто поставил и старую стратегию оставил
паттерн относится только к факед сплиту и факед дисордеру
если их нет ни на что не влияет
факе тлс относится только к факе
не влияет если факе нет
причем паттерн режется параллельно с оригиналом и отсылаются куски с аналогичным смещением
А блокчек я смотрю вы уже обновили, то есть в него уже заложены новые варианты ? Попробую поюзать вечером, а та на старой стратегии как то притормаживает, с задержкой открываются страницы в последнее время
А ютуб на одном прове на tls 1.2 я до сих пор не смог завести, работает только на tls 1.3, возможно в этот раз мне повезёт, не знаю ещё )
У меня 4 разных прова, есть на чём проводить тестирование, на 3х вроде всё нормально, а вот на одном они там воду мутят постоянно )
1.2 можно завести только фейком или вссайз
в чекере не менялось ничего
Перед запуском блокчека обязательно отключать запрет?
обязательно
На билайне факедсплит без паттерна не заводится, если в паттерн кормить набор рандомных байт, то тоже не заводится. Если в паттерн скормить фейк, то заводится
del
не работает так
p,s проверил, fakedsplit-pattern hex от client hello работает в контексте обычных заблокированных сайтов, например ntc, но нужно все равно добавлять fake+fakedsplit
в случае ютуба - не работает. (правда я особо не тестил)
В dpi-desync-fakedsplit-pattern какой вы туда фейк гугла поставили или пофиг какой ? Вечером хочу провести эксперимент, уже наверно месяц не могу никак одного прова победить
попробуйте 0x1603010203
добавление фейк тлс хело в паттерн
создает ситуацию, когда замешаны 2 разных тлс в соседних сегментах и сложно сказать какой настоящий
| Column 1 | Column 2 | Column 3 | Column 4 |
|---|---|---|---|
| AS8402 Beeline tls1.3 test | rr3---sn-n8v7kn7k.googlevideo.com | instagram.com | windscribe.net |
| random hex data | fail | ok | fail |
| 0x1603010203 | fail | ok | fail (50/50) |
| tls_clienthello_with_erased_sni | ok | ok | ok |
| tls_clienthello_with_valid_googleservices_sni | ok | ok | ok |
| 0x00 (Default) | fail | ok | fail (50/50) |
Как-то так у меня вышло, с 0x1603010203 замирает курл на гуглвидео
@bolvan
есть очередная глупая идея для защиты от дураков
возможно ли при запуске zapret проверять строчки конфига на синтаксические ошибки?
например:
кол-во -- в -dpi-desync-fakedsplit-pattern
лишние пробелы либо их отсутствие --dpi-desync=fake --dpi-desync-fooling=badseq--dpi-desync=syndata --dpi-desync=fake --dpi-desync-fooling=badseq ___ --dpi-desync=syndata
ошибки в напасании каких то параметров <HOStLIST>
вариантов наверно слишком много как можно ошибиться, может быть сделать какой то минимум и то что не сложно, но в целом наверно я передал суть
есть подозрение, что на части ресурсов
включают схему рубилки по “я не понял что это было”. проходит обмен начальный, он тему не сечет и рубит
там слишком много вариантов ошибки
дублирующий алгоритм на шелле - не вариант
только если сделать параметр --dry-run и анализировать экзит коде
идея неплохая , может сделаю
Что то я упустил, заметил что госуслуги не работают )) А есть куда добавить домен в исключение или только по ip это можно делать ?
Понижение ttl результата не дало, останавливаешь запрет начинает работать.
Я просто не использую список доменов, срабатывает на все сайты, ограничил через ttl и если бы мне не сказали что этот сайт не работает, то и не узнал бы )) Но как сказали пофиг что он не работает, главное что всё остальное работает, но хотелось бы его починить )