Я говорил про приложение ATV. Под genymotion оно у меня не грузило даже через VPN в NL.
Дальше не стал копать.
Чтобы посмотреть видит ли он TLS надо дебаг глянуть. Если есть “packet contains TLS ClientHello” и видит hostname, значит все нормально
Починилось дропом udp/443 и:
Summary
–dpi-desync=fake,multisplit --dpi-desync-split-seqovl=1 --dpi-desync-split-pos=midsld-1 --dpi-desync-fooling=md5sig,badseq --dpi-desync-fake-tls=tls_clienthello_4.bin --dpi-desync-autottl
Видимо, есть особенности работы у этой железки, отличающиеся от свежих десктопных версий браузеров. Спасибо!
теоретический вопрос: может ли SSL handshake failed Error code 525 клаудфлара быть последствием dpi или zapret ?
сайт animejoy.ru - всегда без тупняков открывался, но как заблочили = стало 50на50 525 или нормальное открытие
причём именно на 443 траблы. по 80 100из100 с запретом доходит до 301 на https и после этого 50на50
и как ни стараюсь на своём прове - не найти стратегии чтоб блокчек 15из15 попыток поимел успех. но на другом прове при простом fake с ttl 15из15 гут
Если код http, то не может быть. Скорее это проблема между фронт и бэкэндом самого сайта
просто как говорят в зомбиящеге - Совпадение? -Не думаю
аккурат как чебурнилы заблочили началось…
и на другом прове опять же норм с обходом… единственная мысль что ddos у сайта бажит… но тоже так себе теория.
У меня сейчас так. hostlist - любой ваш хостлист, который со временем накапливается.
--filter-tcp=443 --hostlist-auto=C:\Soft\zapret\zapret-winws\blocked.txt --dpi-desync=fake,split --dpi-desync-fooling=md5sig,badseq --dpi-desync-fake-tls=C:\Soft\zapret\my_fakes\tls_clienthello_drive_google_com.bin --dpi-desync-repeats=10
update. что-то вечером тож стал глючить этот сайт. но, у них зеркало есть - animejoy.site - с ним проблем по крайней мере пока нет.
На OpenWrt 21.02 для запуска скрипта 50-wg4all не может найти модуль u32, хотя я его доустановил (kmod-ipt-u32):
Inserting iptables rule for nfqws postrouting (qnum 65400) : -p udp -m u32 --u32 0>>22&0x3C@4>>16=0x9c&&0>>22&0x3C@8=0x01000000
iptables v1.8.7 (legacy): Couldn't load match `u32':No such file or directory
# modinfo xt_u32
module: /lib/modules/5.4.188/xt_u32.ko
alias: ip6t_u32
alias: ipt_u32
license: GPL
depends: x_tables
intree: Y
name: xt_u32
vermagic: 5.4.188 SMP mod_unload MIPS32_R2 32BIT
Что-то еще упустил?
А обновить версию wrt никак, древний агрегат ?
Обновить чтобы что? И так должно работать по идее. На “взрослом” линуксе работает.
Ну чтоб работал новый функционал, в старой версии и curl дырявый, та просто древняя )
23.05 хотя бы поставьте, нравится iptables, там есть пакеты, можно поставить
Просто скоро выключат поддержку 23.05 и генератор прошивок возможно не будет работать на эту версию, устанавливать пакеты придётся только через opkg, ну или придётся самому как то ваять )
А с 24.10 я откатился обратно на 23.05, у меня глюканул роутер с новой прошивкой )
По u32
По идее, если модуль загружен и виден по lsmod то если скомандовать
insmod xt_u32
то должно же быть так
module is already loaded - xt_u32
и далее, если проверочно скомандовать
iptables -m u32
то ответ
iptables v1.8.7 (legacy): u32: option "--u32" must be specified
означает, что iptables сможет работать с u32
Ну и в /etc/modules.d должен быть ipt-u32 для автозагрузки
Кому насалили сборки запрета что их решили внести в списки адблокера?
https://malware-filter.gitlab.io/malware-filter/urlhaus-filter-online.txt
Забыл установить саму либу libxt_u32.so (iptables-mod-u32)
Для iptables нужно синхронно ставить и модуль ядра, и плагин (.so) для программы iptables.
opkg install iptables-mod-u32
он подтянет и kmod
Malicious URL blocklist ни включен по умолчанию ни в одном адблокере, список просто подтягивает правила с URLhaus если был детект на вирусы пусть даже и ложный
ну там в блоке только версия 1.1.1 с тем самым any protocol без ограничений, на который ругается Bol-van
в 1.3 это уже пофикшено вроде
То есть кто-то пометил ТРЭШ ФЛУД как малварь именно из-за флуда ?
В последних версиях winws будет громко кричать на трэш флуд, но не запрещать , тк может умный кто-то сделал свой wf-raw фильтр
скорее всего нет)
просто сейчас в ublock списке 2 ссылки на запрет сторонние гитхабы и в обоих случаях any protocol без ограничений.
тогда с версией 1.1.1 насколько помню был поддельный flowseal на который много попалось народу. скорее с этим связано
https://ntc.party/t/%E2%9A%A0%EF%B8%8F-%D1%84%D0%B5%D0%B9%D0%BA%D0%BE%D0%B2%D1%8B%D0%B9-zapret-discord-youtube/11560
Та расширение ublock вообще фонарь. не знаю кто им пользуется, я это понял ещё 80 лет назад как только поставил, luci-app-adblock на wrt вот это тема нормальная, всё остальное все эти расширения не знаю на кого рассчитаны