Zapret: обсуждение

Community software Zapret
526

Вот для Линукса.
zapret/docs/quick_start.txt at master · bol-van/zapret (github.com)

527

Он падал недавно и не у всех сейчас работает.

528

Ну это моветон. Запуск скриптов, которые делают все волшебство автоматически, противоречит здешней догме, что надо самому во все вникать и разбираться.

Они все на одних принципах и техниках основаны. Упадет один, упадет и другой.

529

bolvan
посмотрите мой вопрос а то он уже затерялся.

530

Суть режима в автоматическом определении TTL, чтобы он почти наверняка прошел DPI и немного не дошел до сервера. Берутся базовые значения TTL 64,128,255, смотрится входящий пакет (да, требуется направить первый входящий пакет на nfqws !). Вычисляется длина пути, отнимается delta (1 по умолчанию). Если TTL вне диапазона (min,max - 3,20 по умолчанию), то берутся значения min,max, чтобы вписаться в диапазон. Если при этом полученный TTL больше длины пути, то автоматизм не сработал и берутся фиксированные значения TTL

Можно подробнее про механизм работы autottl? Как долго хранится рабочее значение, по каким событиям пересчитывается? Интересно в привязке к MultiWAN конфигурации.

531

Вот зачем мне zapret на Windows? Там GoodbyeDPI работает.

Под виндой у неё тоже есть преимущества по сравнению с GoodbyeDPI:

  1. Дружит нормально с Kyber и QUIC, не надо ничего отключать в браузерах
  2. Автоматический список доменов, который сам пополняется в реальном времени, при обнаружении нового заблоченного не надо его руками вносить в текстовик и перезапускать программу
532

Как и предполагал, сутра на свежую голову быстро нашел проблему.
Редактировался один файл с настройками nfqws, а запускался другой. Facepalm.

Зато теперь знаю, что на моем прове где-то 5% шведских GCS, а не только российские.

Естественно, заработали все предложенные стратегии без fake, включая голый disorder2, который изначально предлагал blockcheck.

Но пришлось добавить fake и кастомный пейлоад от google.com, чтобы завелся yt на android tv.

Итого, рабочая страта для всех моих устройств сейчас:
--dpi-desync=fake,split2 --dpi-desync-split-pos=1 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls=tls_clienthello_google_com.bin --hostlist=youtube.txt

Спасибо за помощь

533

image
image1867×128 7.31 KB

А есть ли отличия от того, который вчера публиковал disappointed

534

На гитхабе файл с ECH экстеншном фаерфокса. У меня в посте - без него.

535

А это сильно как-то влияет на качество дурения dpi?

536

Скорее всего никак не влияет. Они на SNI смотрят.

537

А в чем вы измеряете “лучшесть” ? В килограмах или в сантиметрах ?
Правила пишутся под конкретную задачу.
docs/nftables.txt и docs/iptables.txt содержат лишь шпаргалку для тестов
в реальности там может быть масса других нюансов
Разные режимы могут требовать дополнительных правил
ipfrag, autohostlist

538

На счет ютуба.
Как выяснилось, на моем провайдере старый фейк работает по ipv4, но не работает по ipv6.
На другом провайдере не работает по ipv4.
Причем на некоторых GGC серверах (видимо тех, что нытьем и катанием собирал РКН от провайдеров) не работает, а на некоторых работает.
Запостил в git files/fake/tls_clienthello_www_google_com.bin
Его можно применять для обмана всех сайтов, включая и youtube

539

А рандомизацию фейков решили не делать?

540

Сделаю для профилактики. Но как выясняется, это не поможет в данном случае.
Тут надо мультистратегию делать. Пока еще можно без нее. ГуглоСНИ работает.
Но дальше могут начаться такие приколы, что уже никак
Если по той же схеме заблочат еще какой-то ресурс, уже будет не совместить без вывертов с ipset-ами

541

Какие ваши прогнозы по дурению дпи сколько еще сможет это все держаться, стоит ли уже сейчас озадачиваться покупкой впс?

542

В новости о выделении 60 лярдов значатся сроки 25-30 годы
Сейчас у них , похоже, не хватает мощностей, чтобы везде круто все заблочить
Но знать что делать надо уже сейчас.
Уметь хотя бы себе xray поднять. Знать чем оплачивать VPS. Иметь какой-то запас биткоинов. Не все будут принимать рублевые карты.
Не лишним будет настроить себе пожарный вариант на VPS. dnstt, например.
dnstt можно сделать ipv6-only, даже если провайдер не предоставляет ipv6 клиентам, но сам к нему подключен, и VPS тоже.
Так можно выжить в случае блокировки IP vps

543

bolvan
Я ознакомился с вашим мнением на Гитхабе, касательно предложения одного из пользователей отредактировать документацию. Обсуждение этого вопроса меня немного удивило и местами позабавило. Я даже написал ответ, потом передумал и стер.

Ну хорошо, я могу понять и принять вашу позицию. Вы не хотите, чтобы священные тайные знания достались профанам, чайникам и всяким Васянам-скуфидонам. Я понял и даже не осуждаю. Но речь не про упрощенчество, не про то, чтобы любая домохозяйка могла запустить программу нажатием одной кнопки. Но нужно как-то, упорядочить информацию. Где-то описать функциональность более подробно, где-то убрать лишнее, структурировать. Сейчас все изложено как-то путанно и бессистемно.

Я вообще-то ничего с вас не требую. Это так… информация к сведению. Вы высказали свое мнение, я посчитал, что в таком случае имею моральное право высказать свое.

544

Поэтому я и не отказался от помощи того товарища.
Но на счет безсистемности я не соглашусь.
Система есть. Только она техно-центрирована, а не юзеро-центрирована.
Она пляшет от того, КАК ЭТО РАБОТАЕТ, а не КАК ПРОСТО СДЕЛАТЬ
for educational purposes так сказать

545

В принципе можно, если там идет блокировка.
Но как выяснилось , для пробития фейком нужен фейк от доменов гугла
blockcheck это пробовать не будет. слишком частно.
А без фейков для tls 1.2 могут предложить не очень хорошие стратегии