Zapret: обсуждение

tinker · December 11, 2024, 10:32am

Как правильно настроить связь хоста с запретом на виртуалке?

i-no · December 11, 2024, 11:04am

похоже что cloudflare-ech.com может блокироваться как-то динамически ...

…если регуляторной аппаратуре удается скоррелировать его с трафиком на какие-нибудь реально мразотные сайты, против истребления которых никто бы не возражал. Есть еще какие-то периоды “остывания” и даже автодеблокирования, с чем конкретно связанные сразу точно не скажешь. Может есть какие-то статистические рисковые модели, которые кормятся сводной цифрой из трафика всех клиентов или больших сегментов.

По идее вскрывается легко по

--hostlist-domains=cloudflare-ech.com --dpi-desync=fake,fakedsplit --dpi-desync-fooling=ВАШ_ФУЛИНГ

Эту конструкцию без внедрения в хостлисты я бы добавлял в конец (в низ) всей мультистратегии. По ipv4 пинг преимущественно очень низкий, по ipv6 в районе ~21, из-за этой разницы не подберешь какой-то константный TTL, поэтому понадобится какой-нибудь фулинг, и хорошо зарекомендовали себя hopbyhop и md5sig. Можно указать их оба через запятую. Без фулинга не вскроется т.к. сидит на куче разных айпи. Обнаружил разницу из-за примененного фулинга в скорости реакции сайта, но она очень маленькая, в районе десятой доли секунды.

bolvan · December 11, 2024, 11:05am

В виртуалке создать 2 интерфейса. 1 из них подцепить мостом к сетевухе с инетом. Это будет WAN.
На хосте снять привязку всех IP протоколов с сетевухи с инетом.
2-й интерфейс на виртуалке сделать host-only. Это будет LAN.
Ответную часть LAN на хосте настроить обычным образом
По желанию отказ от NAT в виртуалке с прописью статического маршрута на основном роутере до подсети за виртуалкой.

bolvan · December 11, 2024, 11:07am

Есть отдельные TTL для 4 и 6

i-no · December 11, 2024, 11:15am

Есть отдельные TTL для 4 и 6

К счастью. Тогда профиль дробится на два и для ipv6 тут можно вместо фулинга задействовать TTL. А по ipv4 сервер как будто в соседнем доме через улицу, вместе с вплотную приклеенной к нему регуляторикой.

arinoki · December 11, 2024, 11:28am

Использую badseq по сути с самого начала как стал пользоваться zapret’ом. Конфиг не менял уже месяца три - так что проблему с cloudflare внезапно даже и не заметил. Только вот на ntc читал

i-no · December 11, 2024, 11:52am

badseq если и не ломает, то хорошо, но может чуть-чуть замедлять
впрочем, это не всегда заметно и мешает

uwu · December 11, 2024, 11:58am

меня больше беспокоят динамические блокировки, когда тспу вместо дропа пакетов включает блок по ip
на билайне сайт https://dnsleaktest.com/
я пока что заметил следующую логику:

если зайти с откл. запретом, сайт не открывается, затем включается блок (который ничем не пробить), через 15 минут он сбрасывается.
если зайти с включенным запретом, то сайт открывается.
если на сайте выполнить тест dns (который правда просто зависает) - то он опять улетает в блок (вероятно трафик уходит на какой то другой домен и тспу опять видит и вместо дропа делает блок)

возможно это некая защита у тспу от автохостлиста запрета хз
либо я неправильно читаю лог шарка -_-

arinoki · December 11, 2024, 12:17pm

Меня просто смущает немного, что md5sig работает только/преимущественно с linux-серверами. Я знаю, что их большинство в сети, но всё же как часта в реальной жизни ситуация, когда он может вызвать проблемы?
upd. поменял у себя в конфиге на md5sig, посмотрю как оно будет в плане совместимости. Но вроде чуть шустрее сайты открываются.

У меня он и с включённым zapret’ом не открылся. Довольно неожиданно.

i-no · December 11, 2024, 12:32pm

Подлая вещь. Там и сям время от времени подобное всплывает. Может, кто-то найдет в себе силы немного систематизировать и в отдельную темку собрать наблюдения, или хотя бы почаще подмечать и протоколировать. Типа, подключишься куда-то в обычное место но “не тем” инструментом, и отваливается ssh, хорошо если только на нестандартных портах. Или посканишь блокчеком или чем-то еще со злыми кастомными параметрами, и отваливается куча разных публичных dns серверов, обычных, не DoH, в том числе яндексовые, на запросах от почтового клиента (DKIM и прочее).

Это, насколько я понимаю, не такая фундаментальная вещь, как контрольная сумма пакета или сиквенс нумерация. По моим наблюдениям косвенного влияния именно на регуляторику пока не замечаю. В отличие от badseq, seqovl (хотя это все полезные вещи).

upd Но вроде чуть шустрее сайты открываются.

Вот-вот.

Вот такое может сработать

--dpi-desync=fake,multisplit --dpi-desync-repeats=2 --dpi-desync-split-pos=1,midsld+1,sniext+1,endhost-2,-10 --dpi-desync-fooling=md5sig

Добавил в лист, после этого открылся, протестировал разок — перестал открываться. Набычился типа)

после этого

Хотя, после не значит в следствие.

bolvan · December 11, 2024, 12:43pm

На dnsleak тесте вряд ли есть блок.
У меня на нескольких провайдерах норм, на одном виснет после конекта при любых SNI.
dnsleaktest.com на других IP не вызывает зависания.
Что-то с сервером. Он сам набычился. Защищается от дос атак
На рутракере однажды было похожее. само прошло на след день

bolvan · December 11, 2024, 12:45pm

Меня просто смущает немного, что md5sig работает только/преимущественно с linux-серверами. Я знаю, что их большинство в сети, но всё же как часта в реальной жизни ситуация, когда он может вызвать проблемы?

Достаточно часто, чтобы 1 из 20 сломался

uwu · December 11, 2024, 1:00pm

понятно, правда получается, что запрет частично пробивает его ddos защиту, потому что после снятия блока по стандартному конфигу для tls1.3 --dpi-desync=multisplit --dpi-desync-split-seqovl=1 на сайт заходит и там можно тыкать все, кроме теста
а без запрета сразу же блок прилетает

tinker · December 11, 2024, 2:50pm

Вот допустим выпал мне нормальный рабочий айпи для сайта, на винде нужно закинуть его в хост, а как тоже самое сделать на уровне роутера?

bolvan · December 11, 2024, 3:02pm

Если openwrt, то

/etc/hosts
или /etc/config/dhcp

service dnsmasq restart

arinoki · December 12, 2024, 1:58am

Хм, то есть в принципе как workaround можно сделать отдельный hostlist, куда добавлять ручками несовместимые с md5sig хосты.

--new --filter-tcp=443 --hostlist=C:\Soft\zapret\zapret-winws\blocked-badseq.txt --dpi-desync=fake,split --dpi-desync-fooling=badseq --dpi-desync-fake-tls=C:\Soft\zapret\my_fakes\tls_clienthello_drive_google_com.bin --new --filter-tcp=443 --hostlist-auto=C:\Soft\zapret\zapret-winws\blocked.txt --dpi-desync=fake,split --dpi-desync-fooling=md5sig --dpi-desync-fake-tls=C:\Soft\zapret\my_fakes\tls_clienthello_drive_google_com.bin

bolvan · December 12, 2024, 6:17am

Прежде чем плодить крокодилов, лучше несколько раз подумать как это можно приравнять к общему знаменателю.
Обычно вариант находится.

Можно все их на badseq повесить. Можно сделать badseq,md5sig. Двойной фулинг

ivanixa333 · December 12, 2024, 6:47am

Доброе утроУ меня вот такие ошибки Вылазиют. Когда я Включаю
Запрет но сам запрет работает Как это исправить

Спойлер

seccomp: Invalid argument
recv: errno 105
recv: No buffer space available

bolvan · December 12, 2024, 7:08am

Кинетик ? Исправлял это в 69.6
seccomp это нормально для кинетика
В целом даже на старой версии если это случается не сплошной простыней, а иногда, если процесс не выходит, то это нормальная процедура восстановления из стандартной для NFQUEUE ошибки ENOBUFS

easyone11 · December 12, 2024, 7:41am

оффтопик про обфускацию

Задам глупый вопрос тем кто разбирается, может как то лакончино можно будет ответить).
VPN которые еще работают у нас используют, как я читал “обфускацию”, это же тоже дурения трафика на сколько я понял или нет?
Если да, то нельзя такой же метод использовать в запрете? или это совсем другое и связи никакой нет?