Zapret: обсуждение

fresa · July 31, 2025, 6:25pm

у него есть конфиг, только он работает по-разному на мопеде и на компе

Possessed · July 31, 2025, 6:51pm

Добились, чего добивались - стало хуже! (с)
Вообще никакая запрещёнка не открывается, даже ютуб отвалился.

PirateSkull · July 31, 2025, 7:38pm

На каком мопеде?

Значит хостлист не заполнен или прочая запрещена открывалась

--filter-tcp=443 <HOSTLIST>
--dpi-desync=fake
--dpi-desync-fooling=badseq
--dpi-desync-fake-tls=0x00000000
--dpi-desync-fake-tls=!
--dpi-desync-fake-tls-mod=rnd,rndsni,dupsid
--new

Только хостлист добавьте иначе не заблокированные сайты сломает

Hentay · July 31, 2025, 8:27pm

Эмн
На разных системах работает по разному запрет

К тому-же универсальные стратегии (с переменными) лучше опустить вниз, а специальные с листами подять вверх. А то есть риск поглощение специальных стратегий универсальными.
Так-же некоторые специальные стратегии тоже могут поглощать друг-друга если будут иметься пересечение по порту, листу или другому признаку.

uwu · July 31, 2025, 8:40pm

потестил. по пробиваемости на уровне datanoack (это хорошо)
ютуб заработал с -10
на ютубе к слову какая то совсем дешевая блокировка стала. он у меня заработал с видео на таком
--fakedsplit +ограничитель

но некоторые сайты не отбрасывают ts. например forum ruboard

bolvan · August 1, 2025, 5:50am

ruboard не поддерживает timestamps.
видимо они были выключены админом в ядре через sysctl
md5sig имеет еще меньшее покрытие как мне кажется. на нем точно не будут работать не-linux сервера.
а с ts работает почти все, кроме тех, где по каким-то причинам ts выключили
это еще один повод с такими фулингами использовать листы или ипсеты

electrifying · August 1, 2025, 6:00am

А таких много разве, кто вместо линукс сервера для хостинга сайта использует на windows? Обычно если пробовать дать curl на какой-нибудь сайт там в заголовках либо apache, либо nginx

bolvan · August 1, 2025, 6:15am

bsd еще бывает.
или что-то специфические теоретически может быть. антиддос, построенный непонятно на чем, терминирующий tcp.

md5sig имеет еще один недостаток. он увеличивает размер пакета, поэтому fakedsplit с кибером и md5 не работает. отлуп по MTU
md5 начали сечь в обновах ТСПУ. приходится забарывать этот уровень защиты.
сечь таймштампы они пока не научились

KDS · August 1, 2025, 6:31am

Видимо, что-то изменилось. У меня отлично работает фейкедсплит онли с мд5сиг

bolvan · August 1, 2025, 6:52am

значит кибера нет
или ошибка игнорируется, а срабатывает другой метод
он будет лепить еррорами в консоль

KDS · August 1, 2025, 6:54am

Кибер есть. Других методов нет, только мд5сиг.
Бывают незначительные затыки на сайтах 1.2, сайты 1.3 работают идеально, ютуб тоже

bolvan · August 1, 2025, 6:55am

В некоторых случаях будет срабатывать, в других - нет.
Зависит от сплит позиции.
Если сплит_пос=сни, а сни во 2-м пакете, то будет ошибка, тк первая часть пойдет “под завязку”
Будет хаотичная лотерея на хромиуме

KDS · August 1, 2025, 6:57am

На хромиуме и проверялось. Сплитпос=3,endsld-1

Может от MTU зависит? У меня на роутере выставлен, чтобы предотвратить фрагментацию пакетов, 1492 вроде

bolvan · August 1, 2025, 6:59am

Если на клиенте mtu больше, чем на роутере, то увеличенный пакет может изойти с клиентской системы, но в случая ipv4 он вынужденно будет фрагментироваться на ip уровне. Фрагменты ip от tcp почти всегда режутся в инете. Или будет дроп, если выставлен флаг DF (dont fragment)
Если же там ipv6, то фейк пакет будет дропнут, тк PMTU discovery и фрагментация там возложены на клиент

KDS · August 1, 2025, 7:00am

Нет, IPv6 точно мимо - у меня его нет. Причем стратегия ни то что не работает на заблокированных, она даже не ломает не заблокированные, мне попался только 1 который не открылся ну вот никак

bolvan · August 1, 2025, 7:04am

Спорить с физикой процесса бесполезно.
Система подбирает MSS под MTU, чтобы пакеты были максимального размера.
При дальнейшем увеличении размера за счет md5 tcp option пакет в mtu не влезет.
Если это случится, будет ошибка отправки, дурение будет отменено.
Но до этого мог сработать fake, например. И кажется, что дурится

KDS · August 1, 2025, 7:06am

Откуда он мог сработать, если в стратегии его нет? там только фейкедсплит.
Я не спорю с физикой, я просто уточняю - может физический закон не так понят или ошибочно описан, либо недостаточно протестирован. Один сайт банка и порнохаб - еще не показатель неработы

bolvan · August 1, 2025, 7:34am

Протестировано достаточно хорошо.
Проблема всплывала даже в issues, и таким образом была открыта.
Применение md5+fakedsplit - это лотерея. Зависит от сплит позиций.
Если написано что-то типа “20,midsld”, то на обычных броузерах сбоев не будет,
поскольку они дают всего 2 пакетный кибер, первый пакет порежется, а 2-й сильно меньше mtu.
Но случись изобрести супер-кибер на 3 пакета, и это опять сломается

electrifying · August 1, 2025, 8:10am

Keenetic роутеры для pppoe по умолчанию так и ставят, а ещё у них есть статья как выбрать оптимальный mtu

https://help.keenetic.com/hc/ru/articles/214470885-Как-определить-оптимальный-размер-MTU

oniksofers · August 1, 2025, 11:43am

А модификация ts для оригинальных пакетов планируется? С моей профанской точки зрения, начать сравнивать ts фейков и оригиналов не чуть не сложнее, чем делать это с ttl.