Zapret: обсуждение

bolvan · April 9, 2025, 11:21am

hardware offloading обычно реализуется средствами свитча
с wifi все гораздо сложнее. я не представляю какое должно быть hardware, чтобы оно само смогло перебрасывать пакеты с wifi на lan. если LAN - это довольно просто, если есть линк, то с wireless все несравнимо сложнее. пройти мимо ядра linux оно вряд ли сможет

любой offloading имеет смысл включать только если не справляется система без offloading, иначе этого делать не стоит. правда, есть одно НО. datanoack проходит через hardware offloading, а через полноценный linux NAT - нет

abc555 · April 9, 2025, 11:27am

Так вот как я снял галку с Аппаратная разгрузка потока со второго роутера, сразу скорость стала нормальная по вафле, столько лет прошло и я этого не знал ))) Еслиб тогда у Вас не спросил как включить офлоадинг и Вы сказали software, включил и стало норм, а потом проходит время, на втором роутере такая хреновая скорость и я вспоминаю про software, проверил и реально помогло, сам прикол что инфы об этом нет нигде, так просто описание научными терминами, то есть обычный юзер никогда не поймёт что там написано ))
и без offloading сильно падает скорость, задержки, особенно при нагрузке, когда клиентов много подключено
10 устройств кажется много, а когда их 30-40 подключено к роутеру, вот тогда понимаешь что такое много и думаешь как настроить так, чтоб у всех всё летало и никто никому не мешал, такое как sqm или qos я пробовал много раз и полная фигня получалась всегда

vicac27373 · April 9, 2025, 11:48am

Кто-нибудь сталкивался с тем, что фейки ломают QUIC соединение на IP адреса Cloudflare 188.114.98.224, 188.114.99.224?
Если не отправлять фейки или ограничивать их с помощью TTL, соединение устанавливается без проблем. К сожлению, как писал bolvan, только Firefox игнорирует ICMP ttl expired in transit. Ограничитель badsum тоже не помогает.
Помогите разобраться виноват ТСПУ или Cloudflare.

bolvan · April 9, 2025, 12:00pm

по идее QUIC сервер должен выкидывать все, что ему не понравится
в QUIC протоколе есть session id, и это важнее, чем IP адреса и порты.
QUIC вполне может скакать по мобилити, когда IP адрес меняется на лету.

ICMP expired можно загасить на роутере средствами ip/nf tables. желательно ограничиваясь ипсетом
badsum cloudflare игнорит по моим наблюдениям. в смысле не проверяет сумму, принимает badsum

wigeance · April 9, 2025, 8:19pm

Есть такой косяк, на ipv6 у меня особенно часто ловится. Если отправлять фейки, quic перестает работать. С ttl все становится ок.
Но я просто на ip адреса cloudflare сделал отдельную стратегию для quic

snow · April 10, 2025, 1:18pm

В связи с усиливающимся давлением на CF хочу спросить.
Сейчас, чтобы открывались сайты типа stackoverflow, мне приходится в FF менять security.tls.ech.grease_probability на 0. При этом, добавление в zapret так же помогает, но прописывать все это в хостлист весьма сомнительное решение.
Есть ли какой-то еще вариант без автохоста или отключения расширения протокола в браузере?

electrifying · April 10, 2025, 1:32pm

Поднять кастом скрипт где будет стратегия для дурения подсетей cf. Готовый есть тут, но он может вполне не работать у вас

github.com/bol-van/zapret

nfqws: add Cloudflare-filtering strategy (optional)

master ← Wend4r:master-cloudflare

opened 05:26PM - 04 Apr 25 UTC

Wend4r

+83 -0

Данный скрипт добавляет поддержку `nfqws`-фильтрации для официальных диапазонов …IP-адресов Cloudflare. Он использует `ipset` для группировки подсетей и применяет `iptables`/`nftables`-правила, направляя соответствующий трафик в `nfqws`. Исправляет проблемы с доступом к сайтам, которые находятся за Cloudflare-ом, необходимые <ins>для работы</ins>. Проблема замечена на МГТС (MTS Home) и Ростелекоме с 02.04.2025

snow · April 10, 2025, 2:54pm

Возможно простой ipset на подсети CF и не самое плохое решение. Конечно хотелось чего-то поизящнее.

easyone11 · April 10, 2025, 3:01pm

дурить cloudflare-ech.com и encryptedsni.com не помогает?
они святились еще в этой теме Обсуждение: Блокировка (замедление) ECH Cloudflare - #401 by easyone11

snow · April 10, 2025, 3:38pm

Насколько я понимаю, речь не о реальном ECH, а о так называемом ECH GREASE.
А эти домены давно добавлены, но возможно что-то поменялось и стоит тоже проверить.

rkn-chan · April 10, 2025, 4:29pm

вполне возможно что ркн пытается future proof себя и сейчас решает как заблочить сам ech без присутствия обязательного домена cloudflare-ech.com в правиле
ведь правда. рано или поздно ech будет под любым доменом, а не только cloudflare

KDS · April 10, 2025, 4:31pm

У меня он вообще неожиданно заработал безо всяких обходов.

Спойлер

`curl -sv -o NUL https://cloudflare-ech.com

Trying 188.114.99.224:443…
Connected to cloudflare-ech.com (188.114.99.224) port 443 (#0)
schannel: disabled automatic use of client certificate
ALPN: offers http/1.1
ALPN: server accepted http/1.1
using HTTP/1.1

GET / HTTP/1.1
Host: cloudflare-ech.com
User-Agent: curl/8.0.1
Accept: /

schannel: remote party requests renegotiation
schannel: renegotiating SSL/TLS connection
schannel: SSL/TLS connection renegotiated
< HTTP/1.1 301 Moved Permanently
< Date: Thu, 10 Apr 2025 16:26:44 GMT
< Content-Type: text/html
< Content-Length: 167
< Connection: keep-alive
< Cache-Control: max-age=3600
< Expires: Thu, 10 Apr 2025 17:26:43 GMT
< Location: Cloudflare Browser Check
< Server: cloudflare
< CF-RAY: 92e39b88fb19b2aa-AMS
< alt-svc: h3=“:443”; ma=86400
<
{ [167 bytes data]
Connection #0 to host cloudflare-ech.com left intact`

При этом тот же stackowerflow без добавления в хостлист не открывается

rkn-chan · April 10, 2025, 4:32pm

потому что на этот домен не запрещено ходить, только в связке с ech на него нельзя попасть

KDS · April 10, 2025, 4:34pm

Да? И давно? Еще вчера эта команда зависала на * ALPN: offers http/1.1

rkn-chan · April 10, 2025, 4:36pm

colleteral damage во время экперимента. сейчас абсолютно у всех все разное

KDS · April 10, 2025, 4:44pm

Видимо да. Типа доступен, но сайты на ECH без обхода не открываются.
В принципе, у меня cloudflare-ech.com и stackoverflow.com висят на одном правиле фейк+мультисплит и все работает. В FF никакие ключи менять не надо, надо лишь включить DoH, ибо эта сволочь брать дох из системы ни в какую не хочет (

snow · April 10, 2025, 5:06pm

Сайты с включенным ECH (через cloudflare-ech) и так прекрасно работают (если добавить cloudflare-ech.com в обход). stackoverflow же не работает по другой причине и спокойно лечится отключением GREASE, что по идее не должно ни на что влиять.
Я просто не сторонник все подряд кидать в zapret, но крутить флаги во всех браузерах тоже не весело.

uwu · April 10, 2025, 5:37pm

я тут забавный факт заметил, что сайты за ech cloudflare вроде как могут открываться по quic без обхода блокировки ech (я тестил с выключенным запретом)

но периодически могут сваливаться в tcp (и тогда прилетает блок) и не все сайты впринципе его поддерживают

easyone11 · April 10, 2025, 6:00pm

понятно, спасибо, надо хотя бы почитать что это за ECH GREASE

Basta · April 10, 2025, 9:17pm

Просьба, подскажите, пожалуйста, куда ставить zapret при использовании ipsec? Имеет значение, на какое энд-поинт устройство (на какой конец туннеля)?
(сорри, вопрос продублирован также в другой ветке)