Zapret: обсуждение

electrifying · April 13, 2025, 7:21am

Резка только с фейк стратегий работает.Копипаста стратегий не поможет как уже много раз говорил болван, надо брать блокчек прогонять домены и искать одну сратегию которая откроет большинство сайтов, если не получится тогда делать мультистратегию. И в новых версиях запрета вроде давно нету сплит, сплит 2 они заменены

MaxCross · April 13, 2025, 7:32am

Она вроде в russia-blacklist.txt, у которой fake,split2 - т.е нужен просто fake?
blockcheck мне почему-то ничего работающего не находил (хотя я не исключаю, что не так запускал или копипастил - позже ещё прогоню).

А на что заменили split? В readme на github вроде есть split-pos, но угадывать не хочется.

electrifying · April 13, 2025, 7:36am

в 69 версии их переименовали а у вас,видимо, еще очень старая версия запрета

nfqws : переименование split => fakedsplit , disorder => fakeddisorder. старые варианты остаются как синонимы.

bolvan · April 13, 2025, 8:09am

резка не поддерживает TLS 1.3
–wf - это параметры windivert. на linux нет windivert.
его функции выполняют ip/nf tables

MaxCross · April 13, 2025, 8:55am

В общем, я на самом деле не тот файл в nix импортировал, и всё это время запускал с

"${pkgs.zapret}/bin/nfqws --pidfile=/run/nfqws.pid --qnum=200"
"--dpi-desync=split" "--dpi-desync-split-pos=1" "--dpi-desync-fooling=badseq" "--dpi-desync-repeats=10" "--dpi-desync-autottl"

Работает ютуб, рутрекер сейчас выдаёт Web server is down от cloudflare, rezka всё ещё нет.

Попробовал прогнать blockcheck на rezka.ag, он выдал это:

* SUMMARY
ipv4 rezka.ag curl_test_http : tpws --split-http-req=method --hostcase --oob
ipv4 rezka.ag curl_test_http : nfqws --dpi-desync=split2 --dpi-desync-split-pos=50
ipv4 rezka.ag curl_test_https_tls12 : tpws --split-pos=1 --oob --mss=88
ipv4 rezka.ag curl_test_https_tls12 : nfqws --dpi-desync=fake,split --dpi-desync-ttl=5

Но это не работает вообще (в т.ч и без filter-tcp и только с одной стратегией (без --new, только для https или http)).

"${pkgs.zapret}/bin/nfqws --pidfile=/run/nfqws.pid --qnum=200"
"--new --filter-tcp=80 --dpi-desync=split2 --dpi-desync-split-pos=50"
"--new --filter-tcp=443 --dpi-desync=fake,split --dpi-desync-ttl=5"

И ещё вопрос - а блокчек можно на ютуб прогонять? Вроде где-то читал, что доступ к ютуб ещё не значит доступ к *googlevideo.com.

ech0brav0 · April 13, 2025, 9:12am

electrifying · April 13, 2025, 9:13am

Часто в последнее время у рутрекера с серверами проблема

spv82 · April 13, 2025, 11:09am

Блокчек нужно натравить на конкретный домен гугла. В DevTools браузера можно отфильтровать сетевую активность по домену domain:*.googlevideo.com или в wireshark tls.handshake.extensions_server_name contains "googlevideo.com"

easyone11 · April 13, 2025, 11:17am

Подробно тут:

Подбор рабочего конфига для GGC ютуба через blockcheck Zapret

Примечание: На время проверки нужно отключить фаерволл / брандмауэр / антивирус. Если до этого стоял goodbyedpi, то запустить от имени администратора service_remove.cmd Скачать и распаковать архив с zapret (автор bolvan) https://github.com/bol-van/zapret-win-bundle/archive/refs/heads/master.zip Примечание для системы x32 либо windows 7: Зайти в папку blockcheck. Сохранить туда 2 файла quic_initial_google_com.bin и tls_clienthello_www_google_com.bin Перезаписать файл blockcheck.cmd таким: b…

TOOM · April 13, 2025, 3:57pm

Здравствуйте я недавно столкнулся с проблемой что дефолтный конфиг запрета для роутера на open wrt перестал у меня работать а также дефолтный конфиг запрета для windows тоже я нашел какой то другой конфиг но без понятия как его адаптировать под open wrt
рабочий конфиг -

–wf-tcp=80,443 --wf-udp=443,50000-50099 ^
–filter-tcp=80 --dpi-desync=fake,fakedsplit --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --hostlist-auto=“…\autohosts.txt” --new ^
–filter-tcp=443 --hostlist=“…\youtube.txt” --dpi-desync=fake,multidisorder --dpi-desync-split-pos=1,midsld --dpi-desync-repeats=11 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls-mod=rnd,dupsid,sni=www.google.com --new ^
–filter-tcp=443 --dpi-desync=fake,multidisorder --dpi-desync-split-pos=midsld --dpi-desync-repeats=6 --dpi-desync-fooling=badseq,md5sig --hostlist-auto=“…\autohosts.txt” --new ^
–filter-udp=443 --hostlist=“…\youtube.txt” --dpi-desync=fake --dpi-desync-repeats=11 --dpi-desync-fake-quic=“quic_initial_www_google_com.bin” --new ^
–filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=11 --hostlist=“…\autohosts.txt” --new ^
–filter-tcp=80 --ipset=“…\cloudflare.txt” --dpi-desync=fake,fakedsplit --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new ^
–filter-tcp=443 --ipset=“…\cloudflare.txt” --dpi-desync=fake,multidisorder --dpi-desync-split-pos=1,midsld --dpi-desync-repeats=11 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls-mod=rnd,dupsid,sni=www.google.com --new ^
–filter-udp=443 --ipset=“…\cloudflare.txt” --dpi-desync=fake --dpi-desync-repeats=11 --dpi-desync-fake-quic=“quic_initial_www_google_com.bin” --new ^
–filter-udp=50000-50099 --filter-l7=discord,stun --dpi-desync=fake

я пытался просто поменять пути к листам почему то это не сработало(

–wf-tcp=80,443 --wf-udp=443,50000-50099 ^
–filter-tcp=80 --dpi-desync=fake,fakedsplit --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --hostlist-auto=“/opt/zapret/ipset/zapret-hosts-auto.txt” --new ^
–filter-tcp=443 --hostlist=“/opt/zapret/ipset/cust3.txt” --dpi-desync=fake,multidisorder --dpi-desync-split-pos=1,midsld --dpi-desync-repeats=11 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls-mod=rnd,dupsid,sni=www.google.com --new ^
–filter-tcp=443 --dpi-desync=fake,multidisorder --dpi-desync-split-pos=midsld --dpi-desync-repeats=6 --dpi-desync-fooling=badseq,md5sig --hostlist-auto=“/opt/zapret/ipset/zapret-hosts-auto.txt” --new ^
–filter-udp=443 --hostlist=“/opt/zapret/ipset/cust3.txt” --dpi-desync=fake --dpi-desync-repeats=11 --dpi-desync-fake-quic=“quic_initial_www_google_com.bin” --new ^
–filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=11 --hostlist=“/opt/zapret/ipset/zapret-hosts-auto.txt” --new ^
–filter-tcp=80 --ipset=“/opt/zapret/ipset/cust4.txt” --dpi-desync=fake,fakedsplit --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new ^
–filter-tcp=443 --ipset=“/opt/zapret/ipset/cust4.txt” --dpi-desync=fake,multidisorder --dpi-desync-split-pos=1,midsld --dpi-desync-repeats=11 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls-mod=rnd,dupsid,sni=www.google.com --new ^
–filter-udp=443 --ipset=“/opt/zapret/ipset/cust4.txt” --dpi-desync=fake --dpi-desync-repeats=11 --dpi-desync-fake-quic=“quic_initial_www_google_com.bin” --new ^
–filter-udp=50000-50099 --filter-l7=discord,stun --dpi-desync=fake

easyone11 · April 13, 2025, 4:01pm

Не надо адаптировать
Надо научиться использовать блокчек и понять структуру конфига для дурения.
структура и основы тут, займёт 10 минут zapret/docs/quick_start.md at master · bol-van/zapret · GitHub
про blockcheck или там или в общей

discord

Для того чтобы он запускался и обновлялся, использовать стратегии дурения доменов дискорда и только после этого приступать к голосвым дискорда.
Запустить blockcheck например для discord.com, подобрать рабочую стратегию использовать её как общую либо как отдельную для доменов дискорда.

Нажми, чтобы раскрыть список доменов Discord

discord.com
discord-attachments-uploads-prd.storage.googleapis.com
dis.gd
discord.co
discord.design
discord.dev
discord.gg
discord.gift
discord.gifts
discord.media
discord.new
discord.store
discord.tools
discordapp.com
discordapp.net
discordmerch.com
discordpartygames.com
discord-activities.com
discordactivities.com
discordsays.com
comdiscord.com
discordapp.io

2.1
Для войса discord
до v70.5 перекинуть скрипт 50-discord из папки \init.d*\custom.d.examples в custom.d
с v70.6 убрать 50-discord из папки \init.d*\custom.d и вместо него добавить в основной конфиг еще один профиль такого вида (не забываем что все стратегии для определенных хостов или особых протоколов идут первыми(сверху))
–filter-udp=50000-50099 --filter-l7=discord,stun --dpi-desync=fake --new

На linux\opwenwrt в конфиге найти NFQWS_ENABLE=1 и ниже добавить порты 50000-50099 к 443
NFQWS_PORTS_UDP=443,50000-50099
На windows
–wf-udp=443,50000-50099

ютуб

Этот текст будет скрыт

Agent-4 · April 13, 2025, 7:16pm

Ответ с задержкой. На wolfsll и openssl openwrt можно точно собрать с curl поддерживающим http3. Пару месяцев назад вышла openwrt 24.10.0 c mbedtls, в котором заявлена поддержка tls 1.3.

TOOM · April 14, 2025, 1:51pm

Спасибо! Разобрался, кстати я заметил что по вашим же советам раньше google play чинил)

easyone11 · April 14, 2025, 1:51pm

жизнь прожита не зря))
гуд

drmirro · April 14, 2025, 3:26pm

А можете подсказать , хотя бы дату сообщения. Поиск по теме не находит , а тоже надо.

TOOM · April 14, 2025, 5:45pm

Не то отправил позже прекреплю список хостов

TOOM · April 15, 2025, 11:11am

добавьте эти хосты в исключения (zapret-hosts-user-exclude.txt)
хосты:
play.google.com android.com
google-analytics.com
googleusercontent.com
gstatic.com
gvt1.com
ggpht.com
dl.google.com
dl-ssl.google.com
android.clients.google.com
gvt2.com
gvt3.com

drmirro · April 15, 2025, 1:55pm

Спасибо!
Загрузил ,только в Google hostname entries , там где и хосты ЮТ.
Но , нет -не расцветает Каменный цветок.

Avanairn · April 15, 2025, 2:25pm

Чтож синий экран у меня как раз сегодня и появился. Так как основной терабайтник HDD у меня весь загружен, то система крайне медленно загружается, и во время этой “прогрузки” я решил запустить запрет. По нацалу инициализация windivert не состоялась это та надпись “windivert intialized. capture is started”. Решил еще раз перезапустить запрет, и поймал экран смерть. Причину не помню, начинается вроде с driver что то там, а причина был windivert.

TOOM · April 15, 2025, 2:34pm

Либо я не понял суть комментария либо не вы не так сделали
нужно именно в исключения загружать именно в exclude так как нам надо чтобы он эти хосты не прогонял через запрет, у нас в этом и проблема что если хосты прогоняются то загрузка не пойдет