Zapret: обсуждение

Благодарю за помощь, это действительно md5sig…
И без него к сожалению кое что перестаёт работать.

Что ж, пожалуй откажусь от QUIC, всё равно ростелеком его у youtube рубит…а жаль, с ним работало быстрее.

Спасибо что readme обновили, надеюсь кому-то поможет.

а QUIC то здесь причем ? md5 относится к tcp

А разве QUIC без kyber будет работать?
Он и с ним то уже не работает здесь.

Конечно будет. Сам по себе quic не требует kyber.
kyber это лишь один из способов key agreement, требующий передачи значительного количество информации, что и раздувает handshake до нескольких пакетов
В фоксе кибер отдельно управляется для tls и quic
Но как на кибер и некибер реагирует конкретный DPI - это отдельный вопрос

Теоретически возможно ли научить nfqws этому? Если да, то планируется ли в будущем появление данной фичи?

Это непросто обыграть и требуется только для одного единственного случая.
Так что нет, не планируется

Здравствуйте, не совсем понимаю работу tpws
С nfqws разобрался.
Есть такой конфиг

Можете пожалуйста помочь переписать его под tpws?

tpws и nfqws не эквивалентны.
nfqws работает на уровне пакетов, tpws на уровне потока через стандартные tcp сокеты
поэтому сделать точно такой же конфиг нельзя

Спасибо, но тогда вопрос:
Можно ли использовать tpws просто как прокси
То есть запустить nfqws допустим на порту 210
tpws на порт 9990
И с помощью iptables гонять трафик tpws через nfqws?

nfqws не работает на порту. Он слушает очереди NFQUEUE.
tpws можно запустить без параметров дурения как --socks.
iptables для этого не нужны

кто-нибудь ещё сталкивался с новым видом блокировок когда ERR_CONNECTION_TIMED_OUT вместо привычного reset?

ситуация неясная. с одной стороны только на одном провайдере, а с другой стороны только для одного ресурса, хоть и на разных ip и частично разных маршрутах

а именно hdrezka.in и rezka.ag слишком часто не открываются по таймауту чтобы подумать что трабл на их стороне, тем более что на других провайдерах сколько не тестил - в эти же моменты всегда доступны.
более того и на проблемном прове, тот же icmp всегда идёт без потерь и трабл лишь на 443
и в завершении всего сам трабл 50на50 т.е. то открывает нормально, то таймаут.

а главное нет даже мыслей как именно “доказать” что это чебурнилы гадят? в данном случае как понимаю никакой сниффер не спасёт. нету ни от кого пакета с rst. и понять какой из промежуточных хопов блочит нельзя. или есть у кого идеи?

нужно убедиться, что твоя стратегия пробивает TLS1.2, проверь на других таких же сайтах.

если другие заблокированные tls1.2 сайты открываются корректно, то убери всю автоматику по типу autottl для проверки и вместо этого укажи ttl вручную.

если используется фейк, то берешь ttl и понижаешь по единице до тех пор пока сайт не перестанет открываться, ну либо потом повышаешь, если считаешь, что у тебя стоит несколько тспу (но это сомнительно)

советы прочёл. оценил. ни листов ни ttl в своих стратегиях не юзаю. 1.2 действительно сложней дырявить чем 1.3 но тотже animejoy.ru и без quic открывает с теми параметрами что есть. а blockchek для резки не может подобрать чтоб 10из10 успех

тут что ещё странно - если с запретом зайти на любой блоченный сайт - то после сам запрет можно выключить и некоторое время по страницам сайта лазить нормально. пока tls не обновиться. т.е. после первого clienthello уже всё идёт шифрованным и чебурнилы сосут
а с резкой беда - даже если заходит на главную - не обновляя страницу можно схватить таймаут на первый же клик в рамках того же сайта - т.е. tls не должен ещё обновляться - а каким-то бесом рвётся связь… крайне неприятный симптом, если эти ублюдки внедрят такое на более широкий спектр адресов…

не ты ли писал, что animejoy у тебя то открывается, то нет?)
я в прошлый раз предлагал стратегии для tls1.2 но их так никто и не использовал…

Спойлер

изображение575×775 16.3 KB

сомневаюсь, что тут что-то решится без перевода на хостлисты
например, недавно опытным путем выяснил, что смайликам на твиче 7tv не нравится split , они начинают тупить и иногда не прогружаться (и иногда даже выдавать какой-то split error). решилось просто вывести в отдельную стратегию с обычным fake
как ты все сайты с одной tcp443 стратегией используешь я хз

Всем ку, в новой версии запрета как сделать, чтобы не висело окно в винде? Раньше можно было General.bat запустить и забыть, тут же не понятно ничего, пытался вникнуть в эту килотонну текста, что написан в гайде на самом гитхабе, в итоге вообще не понял эту ахинею, какие то пути обхода, какие то стратегии, хрен поймешь. Сейчас запускаю через preset_russia.cmd, Все остальные таски и сервисы не работают, запускал от админа, при перезагрузке приходится снова это окно врубать preset_russia.cmd

В батнике установки службы специально сделана защита против нубов.
Нубы ткнут, потом орут, что интернет пропал, и не знают как починить
Оригинал проекта на нубов не рассчитан. Это к сборщикам, обсуждать сборки у самих сборщиков
general.bat - из сборки какой-то

А, всё, понял, спс, я даже не знал, что какие-то ещё сборки бывают. У меня раньше была zapret от flowseal, оказывается. Вот, сейчас скачал, 2 кнопки нажал и готово, не нужно тратить время на непонятно написанные километровые текста, информация из которых по жизни не пригодится никогда 99% пользователям

zapret v70.4

• nfqws,tpws: префикс “^” перед доменом в хостлистах исключает поддомены из проверки
• nfqws,tpws: сборка через “make systemd” для поддержки явного оповещения systemd о старте юнита (Type=notify)
• systemd: шаблоны юнитов systemd для отдельного запуска nfqws и tpws без скриптов
• nfqws,tpws: отделение кода сброса UID/GID от дропа linux capabilities. Позволяет использовать минимальные ambient caps в systemd юнитах и запуск не от рута.
• tpws: детектирование WSL 1 и предупреждение о проблемах при использовании некоторых параметров
• blockcheck: предупреждение о проблемах md5sig с fakedsplit/fakeddisorder , когда применяется многосегментный TLS (kyber) и указана низкая сплит-позиция

добрый день. при использовании утилиты blockcheck, могу ли я пытаться достучаться до конкретного айпишника? вчера пытался починить себе дискорд, через wireshark смог вытащить конкретный айпи их сервера, к которому не получается достучаться, но не смог понять, на какой домен стоит пытаться пробиться, так как при использовании успешных стратегий из blockcheck и goodcheck для доменов дискорда:

в комбинации с другими важными для меня доменами (в т.ч. этого форума и cloudflare), мне обе утилиты выдавали успешные стратегии, гудчек так вообще выдал несколько, где 12 из 12 доменов в используемом списке успешно заработали. тем не менее, почему-то дискорд с ними не завелся, я в итоге методом тыка перебирал стратегии, получилось завести его через syndata, но тогда все остальные сайты не работали, пришлось вытащить решение в отдельный профиль. хочу узнать на будущее, как поступить в такой ситуации, чтобы не пытаться искать решения методом тыка, ломая существующие, и что я сделал не так, потому что по ридми и этому форуму я могу ориентироваться успешно и настроить утилиту сам, но дальше этого у меня ноль познаний в нетворкинге, да и вообще в компьютерах.

blockcheck работает по доменам, а не IP адресам.
zapret не может обойти блокировку по IP

у дискорда есть веб часть и не-веб часть udp на верхних портах
они обходятся по-разному
веб дурится обычным образом для сайтов, а наверху разве что фейки прокатят в разном количестве (repeats). и блокчек для верхов бесполезен. он работает только по веб

чтобы понять где затык надо сначала сниффануть есть ли обращения на порты udp 50000-50099. если нет, то до media даже не доходит