Zapret: обсуждение

Hentay · July 14, 2025, 12:05pm

Запрет от Ремитера

Вытащил из другого запрета (который имеет люци)
Depends: libc, nftables, curl, gzip, coreutils, coreutils-sort, coreutils-sleep, kmod-nft-nat, kmod-nft-offload, kmod-nft-queue, libnetfilter-queue1, libcap, zlib

Запрет от Кинектика

а там зависимостей больше

TITLE:=nfqws-keenetic
DEPENDS:=+iptables +iptables-mod-extra +iptables-mod-nfqueue +iptables-mod-filter +iptables-mod-ipopt +iptables-mod-conntrack-extra +ip6tables +ip6tables-mod-nat +ip6tables-extra

TITLE:=nfqws-keenetic-web
DEPENDS:=+nfqws-keenetic +php8-cgi +php8-mod-session +lighttpd +lighttpd-mod-cgi +lighttpd-mod-setenv +lighttpd-mod-rewrite +lighttpd-mod-redirect

Запрет от bol-van

НУ и у самой сборки . Хотя лучше спросить )
~~libnfnetlink~~l
~~llibmnl~~l
~~llibnetfilter_queue~~l
©Уточнено

bolvan · July 14, 2025, 12:38pm

от болвана не нужны никакие либы. бинарики в релизах собраны статически

Hentay · July 14, 2025, 12:42pm

о как.. Тогда все зачеркиваем и оставляем пустоту.
Спасибо

bolvan · July 14, 2025, 4:19pm

модули ядра и nft , касаемые queue, все еще нужны для nfqws
curl нужен для скриптов ipset и блокчека

pioli · July 14, 2025, 4:53pm

А что с KDS случилось? Почему в его теме пишут что он покинул ресурс?

Quqas · July 14, 2025, 5:53pm

а дебаг в файл только для tpws чтоли можно? nfqws не могёт?
сужу по zapret/docs at master · bol-van/zapret · GitHub

Hentay · July 14, 2025, 6:00pm

Если посмотреть ниже, под перечесление команд, то натыкаемся на блок текста. В нем расписано что может и умеет делать дебаг в nfqws

Quqas · July 14, 2025, 6:08pm

и?
про файл говорится но как его задать херпойми 0|1 это не указанье файла

а то что путь надо через собаку задавать мало того что крайне не очевидно - подчерпнуть это знание только из секции tpws можно

Hentay · July 14, 2025, 6:11pm

Проще объясняется:
Это не однокнопочное решение
А значит порой приходиться идти в исходники и вычитывать оттуда.

 --debug=0|1|syslog|@<filename>\n"

Просто Doc всегда отставал от реализации )
Doc правится часто силами сообщества на гитхабе

Quqas · July 15, 2025, 2:02am

можешь по логу сказать идёт дурение или нет?(мне кажется что да)

лог

`desync profile search for tcp target=64.233.164.101:443 l7proto=unknown ssid=‘’ hostname=‘’
IP4: 192.168.1.72 => 64.233.164.101 proto=tcp ttl=64 sport=59748 dport=443 flags=S seq=3458923871 ack_seq=0
packet: id=1527 len=60 mark=0FFFFF00 ifin=(0) ifout=apcli0(11)
packet: id=1526 pass unmodified
using cached desync profile 0
IP4: 192.168.1.72 => 77.88.55.242 proto=tcp ttl=64 sport=51084 dport=80 flags=A seq=3229316947 ack_seq=2676223956
packet: id=1526 len=52 mark=00000000 ifin=(0) ifout=apcli0(11)
packet: id=1525 pass unmodified
using cached desync profile 0
IP4: 192.168.1.72 => 77.88.55.242 proto=tcp ttl=64 sport=51084 dport=80 flags=AF seq=3229316946 ack_seq=2676223955
packet: id=1525 len=52 mark=00000000 ifin=(0) ifout=apcli0(11)
packet: id=1524 pass unmodified
using cached desync profile 0
IP4: 192.168.1.72 => 77.88.55.242 proto=tcp ttl=64 sport=51084 dport=80 flags=A seq=3229316946 ack_seq=2676223955
packet: id=1524 len=52 mark=00000000 ifin=(0) ifout=apcli0(11)
packet: id=1523 pass unmodified
desync profile 0 matches
desync profile search for tcp target=77.88.55.242:80 l7proto=unknown ssid=‘’ hostname=‘’
IP4: 192.168.1.72 => 77.88.55.242 proto=tcp ttl=64 sport=51084 dport=80 flags=S seq=3229316945 ack_seq=0
packet: id=1523 len=60 mark=00000000 ifin=(0) ifout=apcli0(11)
packet: id=1522 drop
rawsend: bind (ignoring): Address not available
sending multisplit part 2 2-158 len=157 seqovl=0 : 54 20 2F 6D 61 6B 65 54 75 6E 6E 65 6C 0D 20 20 48 54 54 50 2F 31 2E 31 0A 48 6F 73 74 3A 20 39 … : T /makeTunnel. HTTP/1.1.Host: 9 …
rawsend: bind (ignoring): Address not available
sending multisplit part 1 0-1 len=2 seqovl=0 : 47 45 : GE
rawsend: bind (ignoring): Address not available
sending fake[1] : 47 45 54 20 2F 20 48 54 54 50 2F 31 2E 31 0A 48 6F 73 74 3A 20 6F 74 75 73 2E 72 75 0A 43 6F 6E … : GET / HTTP/1.1.Host: otus.ru.Con …
normalized multisplit pos: 2
multisplit pos: 2
dpi desync src=192.168.5.169:57270 dst=95.213.212.50:80
desync profile changed by revealed l7 protocol or hostname !
desync profile 4 matches
hostlist check for 50 : negative
hostlist check for 212.50 : negative
hostlist check for 213.212.50 : negative
[/opt/etc/nfqws/exclude.list] exclude hostlist check for 95.213.212.50 : negative

hostlist check for profile 4
desync profile search for tcp target=95.213.212.50:80 l7proto=http ssid=‘’ hostname=‘95.213.212.50’
discovered hostname
discovered l7 protocol
hostname: 95.213.212.50
req retrans : tcp seq interval 2157756232-2157756390
forced wssize-cutoff
packet contains HTTP request
using cached desync profile 0
TCP: len=159 : 47 45 54 20 2F 6D 61 6B 65 54 75 6E 6E 65 6C 0D 20 20 48 54 54 50 2F 31 2E 31 0A 48 6F 73 74 3A … : GET /makeTunnel. HTTP/1.1.Host: …
IP4: 192.168.5.169 => 95.213.212.50 proto=tcp ttl=63 sport=57270 dport=80 flags=AP seq=2157756232 ack_seq=2498006788
packet: id=1522 len=211 mark=00000000 ifin=(0) ifout=apcli0(11)
packet: id=1521 pass unmodified
using cached desync profile 0
IP4: 192.168.5.169 => 95.213.212.50 proto=tcp ttl=63 sport=57270 dport=80 flags=A seq=2157756232 ack_seq=2498006788
packet: id=1521 len=52 mark=00000000 ifin=(0) ifout=apcli0(11)
packet: id=1520 pass unmodified
desync profile 0 matches
desync profile search for tcp target=95.213.212.50:80 l7proto=unknown ssid=‘’ hostname=‘’
IP4: 192.168.5.169 => 95.213.212.50 proto=tcp ttl=63 sport=57270 dport=80 flags=S seq=2157756231 ack_seq=0
packet: id=1520 len=60 mark=00000000 ifin=(0) ifout=apcli0(11)
packet: id=1519 pass unmodified
desync profile 0 matches`

в чистом http и просто по адресу обращение за имя считается?
hostname=‘95.213.212.50’
это как?
не представляю что это за “браузер” но так кинетик туннель устанавливает но не может из-за md5sig в стратегии для tcp80
а как я понимаю ip в exlude лист вносить =идиотство. или нет? тем более что ip щас один через минуту другой, а имён не видать

а, ну и главное: а как можно заставить запрет такие “hostname” не обрабатывать как не обрабатываются hostname=‘’

Quqas · July 15, 2025, 3:13am

покачто костылём --ipset-exclude-ip= 2 подсетки добавил

но это костыль же

не пойму баг или фича, что безымянные ip за хостнэйм считают? (в чистом http)

bolvan · July 15, 2025, 5:03am

hostname берется из host:
буду вносить особую логику проверки хостов как ип адресов. но не очень скоро

Quqas · July 15, 2025, 5:12am

ок.
значит не показалось.
с exludelist кстати тоже прокатило
но ipset-exclude имхо кашернее

Quqas · July 15, 2025, 6:47am

каким бесом в этой конструкции
--filter-tcp=443 --dpi-desync=fake,multisplit --dpi-desync-fooling=badseq --dpi-desync-fake-tls-mod=sni=www.google.com
фейк может доходить до сервера?
т.е. сайт даёт ошибку, но не от badseq, а от =sni=www.google.com
если --filter-tcp=443 --dpi-desync=fake,multisplit --dpi-desync-fooling=badseq --dpi-desync-fake-tls-mod=sni=google.com то сайт не крашится. такое противоречит моему пониманию для чего фуллинги, а для чего фейк(и)

electrifying · July 15, 2025, 9:27am

Попробуй поставь ограничитель по ttl

Quqas · July 15, 2025, 9:39am

это другое
может и сработало бы если бы это не был модем с фиксированным ttl
+ttl “универсальный” сложней найти чем фуллинги
и речь не про “починить”, а про понять - как так

ivanixa333 · July 15, 2025, 1:39pm

добрый день Хотел спросить у кого-нибудь получилось обойти proton vpn с новыми блокировками запретом

Quqas · July 15, 2025, 4:07pm

какой из 3х его протоколов?
если wg то вполне.
fake или ipfrag2 на udp порт. от прова зависит.
главная “тонкость”, надо убрать галку “блочить нетунельный трафик” в настройках. иначе запрет не поможет
более того wg ещё и на 146% банят. можно найти серваки работающие даже без запрета

tetoni · July 15, 2025, 8:00pm

Спойлер

cloudflare-ech.com
dis.gd
discord-attachments-uploads-prd.storage.googleapis.com
discord.app
discord.co
discord.com
discord.design
discord.dev
discord.gift
discord.gifts
discord.gg
discord.media
discord.new
discord.store
discord.status
discord-activities.com
discordactivities.com
discordapp.com
discordapp.net
discordcdn.com
discordmerch.com
discordpartygames.com
discordsays.com
discordsez.com
yt3.ggpht.com
yt4.ggpht.com
yt3.googleusercontent.com
googlevideo.com
jnn-pa.googleapis.com
stable.dl2.discordapp.net
wide-youtube.l.google.com
youtube-nocookie.com
youtube-ui.l.google.com
youtube.com
youtubeembeddedplayer.googleapis.com
youtubekids.com
youtubei.googleapis.com
youtu.be
yt-video-upload.l.google.com
ytimg.com
ytimg.l.google.com
frankerfacez.com
ffzap.com
betterttv.net
7tv.app
7tv.io
twitter.com
www.twitter.com
x.com
www.x.com
mobile.twitter.com
api.twitter.com
abs.twimg.com
pbs.twimg.com
video.twimg.com
t.co

Это просто прекрасное поведение, от которого, думаю, не стоит отказываться.

Ничего не противоречит. Приходит 0 kB по h3 в браузере при нажатии F12, 404 приходит в ответ на curl, который я писал выше. Это все по одному и тому же ggc моего провайдера, который в 1 мс от меня.

Вы имеете в виду вообще без фейка, т.е. так?

--filter-tcp=443 --hostlist="%LISTS%list-general.txt" --dpi-desync=fake,multisplit --dpi-desync-repeats=6 -–dpi-desync-fake-tls-mod=rnd,dupsid,sni=www.google.com

uwu · July 15, 2025, 8:13pm

у вас какой то неправильный браузер. если quic недоступен то ютуб автоматически переходит на tcp.
у вас это не происходит. что за браузер? в хром /ff тоже самое?

я ни в одном из ваших сообщений не нашел адрес вашего сервера ggc. курл был от какого то левого сервера