Zapret: обсуждение

uwu · December 3, 2024, 2:15pm

--hostlist-exclude=<filename>

?

в идеале бы вообще все гос сайты закинуть в исключения (как это делают владельцы vpn)
но удобнее конечно использовать обычные хостлисты для заблокированных сайтов

BubaMuba · December 3, 2024, 2:17pm

В файл /opt/zapret/ipset/zapret-hosts-user-exclude.txt напишите
gosuslugi.ru

abc555 · December 3, 2024, 2:26pm

Пробовал, не работает.
Так же добавил параметр в стратегию --hostlist-exclude-domains= и создал файл /opt/zapret/ipset/zapret-hosts-user-123.txt и вообще запрет перестал работать.
Ещё раз попробую в zapret-hosts-user-exclude.txt и добавлю путь в --hostlist-exclude-domains=

abc555 · December 3, 2024, 2:38pm

Не, не работает, добавил даже домен сюда /opt/zapret/ipset/zapret-hosts-user-exclude.txt.default и пох, если добавляю параметр --hostlist-exclude-domains, то эта стратегия просто перестаёт работать, так как у меня нет списка хост
У меня просто стратегия без списка заблокированных доменов, ограничил её ttl и она срабатывает на всё и вроде всё и работает и работает нормально, вот только этот сайт почему то не хочет, наверно какой то особенный ))

abc555 · December 3, 2024, 2:45pm

Было бы классно если прикрутить hostlist-exclude-domains по умолчанию в /opt/zapret/ipset/ и добавлять туда домены, без параметра --hostlist-exclude-domains, чтоб не добавлять его в стратегию, а просто добавил в /opt/zapret/ipset/hostlist-exclude-domains нужный домен и чтоб на него реагировала по умолчанию или даже с параметром --hostlist-exclude-domains, но если нет списка хостлист, чтоб продолжала работать

easyone11 · December 3, 2024, 2:46pm

у меня так и работает, да я думаю и у всех выше написавших тоже так работает
только файл zapret-hosts-user-exclude.txt

abc555 · December 3, 2024, 2:49pm

Этот файл на ip настраивается а не на домены, сам ip я ещё не пробовал туда добавлять, поэтому у вас не правильно настроено

easyone11 · December 3, 2024, 2:52pm

попробуй ридмишку читать, вроде бывалый на форуме.

СИСТЕМА ИСКЛЮЧЕНИЯ IP. Все скрипты ресолвят файл zapret-hosts-user-exclude.txt, создавая zapret-ip-exclude.txt и zapret-ip-exclude6.txt. Они загоняются в ipset-ы nozapret и nozapret6. Все правила, создаваемые init скриптами, создаются с учетом этих ipset. Помещенные в них IP не участвуют в процессе. zapret-hosts-user-exclude.txt может содержать домены, ipv4 и ipv6 адреса или подсети.

uwu · December 3, 2024, 2:53pm

а почему мой вариант проигнорил?)
я даже специально для тебя проверил у себя (на винде правда, но на роутере должно быть также), все работает после добавления ссылки на файл

кстати госуслуги не ломаются от seqovl в том числе с pattern

abc555 · December 3, 2024, 2:57pm

С pattern я ещё не пробовал, но добавил диапазон ip в /opt/zapret/ipset/zapret-hosts-user-exclude.txt и не помогло, правда параметр --hostlist-exclude-domains в стратегию не добавлял, так как перестаёт работать полностью.
Попробую надыбать новую стратегию сегодня, но у меня 4 разных прова и у всех всё по разному работает )
и я так понял что zapret-hosts-user-exclude.txt не будет работать если не добавить параметр --hostlist-exclude-domains в стратегию, это если смотреть на примере этих услуг

abc555 · December 3, 2024, 3:12pm

О !! Спасибо помогло, я просто провтыкал )
Добавил параметр в стратегию --hostlist-exclude=/opt/zapret/ipset/zapret-hosts-user-exclude.txt
и в сам файл zapret-hosts-user-exclude.txt добавил домен и заработала

bolvan · December 3, 2024, 3:47pm

Чтобы завести вариант только exclude хостлиста, надо выбрать MODE_FILTER=hostlist, отказаться от скачивания листа (или закоментировать GETLIST в конфиге), вычистить скачиваемые листы из ipset через clear_lists.sh, сделать ipset/zapret-hosts-user.txt пустым и вносить записи в ipset/zapret-hosts-user-exclude.txt

bolvan · December 3, 2024, 3:49pm

Это плохой вариант, так не стоит делать

i-no · December 3, 2024, 4:10pm

@bolvan Может и правда дефолтный лист какой-то комплектовать на будущее.

Хотя бы федерального масштаба, в регионах там отсебятина какая-то может быть

gosuslugi.ru
gov.ru
nalog.ru
spb.ru
mos.ru
ya.ru
yandex.ru
yandex.net
vk.ru
vk.com
userapi.com
ok.ru
mycdn.me
okcdn.ru
odkl.ru
openwrt.org
...

Сейчас в сислог не пишется, что все ок, мол, столько-то профайлов. Вместо этого красивая вершн стринг и затем одна пустая.

И еще насчет --dry-run (validate)
Есть ли смысл в примерно такой конструкции:
nfqws validate [@]/tmp/zapret/test/nfqws.conf
чтобы провалидировалось содержимое конфига.

Еще одна мыслишка насчет стратегий без хостлистов. Возможно, что это плохая практика еще и потому, что так вы палите свои обходы и помогаете автоматам с той стороны собирать статистически значимые данные для тренировки своей регуляторики.

easyone11 · December 3, 2024, 6:01pm

у меня норм

easyone11 · December 3, 2024, 6:02pm

а можно для далёких в 2ух словах объяснить как это работает?
почитал что это так скажем самопроверка кода, но не понятно а как узнать результат этой самопроверки если проблем.
поэкспериментировал, вижу что нарушения части кода теперь не приводит к обвалу всего запрета, что то еще есть полезное для анализа проблем с ним?

i-no · December 3, 2024, 6:10pm

А если глянуть в ps ww|grep nfqws
то с как настроенным логированием запущено?

easyone11 · December 3, 2024, 6:18pm

root@RT-AX59U:~# ps ww|grep nfqws
7650 daemon 648 S /opt/zapret/nfq/nfqws --qnum=200 --user=daemon --dpi-desync-fwmark=0x40000000 --filter-tcp=80,443 --debug=syslog --debug=syslog --dpi-desync=fake mul…

i-no · December 3, 2024, 6:20pm

Ясно, спасибо. Так-то, конечно, все будет в логе.

Примечательно, что --debug дважды указан, и не самым первым. Хотя это не должно вызывать никаких проблем.

easyone11 · December 3, 2024, 6:22pm

а как надо в конфиге указать чтобы была проблема как у тебя?
мб 2 раза потому что 80,443? не разбираюсь