Zapret: обсуждение

Possessed · August 4, 2025, 6:24pm

Я уже ничего не понимаю, возможно уже и наземный инет замедляют, но вот всю ту неделю были проблемы с загрузкой забаненных сайтов, а сегодня я запустил сначала старую, а после вашего поста - новую версию Запрета и… одинаково шустро всё открывается…

Possessed · August 5, 2025, 11:57am

А вот подскажите, в чём может быть проблема: с недавнего времени(около недели) ролики с запрещённого сайта(не Ютуб) прекрасно стартуют при запущенном Запрете, проходит минуты 3 и начинаются лаги, зависания, которые не уходят. Даже если оставить ролик на паузе в фоне, он подгрузит немного, но потом всё равно начнёт зависать. При этом на сам сайт обычно “влетает”.
Поток в районе 3-5 Мбит при тарифе 100.
В какую сторону копать?

ech0brav0 · August 5, 2025, 12:18pm

Открывать дебаггер подключений в браузере и смотреть к каким *.googlevideo.com не устанавливается соединение. И далее тем же блокчеком искать стратегию

Hentay · August 5, 2025, 1:26pm

Инструменты разработчика в браузере
Дальше запускаешь на сайте просмотр и смотришь к каким серверам происходит обращение при просмотре видео.
Тут несколько вариантов:

не подходящая стратегия
нет нужных доменов для дурения

Стартует - значит стратегия для начало просмотра имеется. Но при обращении к другим ресурсам данного секретного сайта появляются лаги. Что жирно намекает, что запрет действует не на весь сайт

Учимся диагностировать проблему, а потом уже устранять.

Possessed · August 5, 2025, 1:36pm

Спасибо за советы, попробую. Смутило, что при одном и том же конфиге Запрета, неделю назад всё было хорошо, а потом “как отрезало”.

Hentay · August 5, 2025, 1:52pm

РКН всегда что-то мутить.
Поэтому нужно понимать, что блокировки рано или поздно что-то да сломают.
Но тут ещё может провайдер подстраховаться и заблокировать что-то о чем РКН даже не упоминал

Possessed · August 6, 2025, 11:49am

Вы оказались правы, спасибо, f<N>.*video.com забанили. Ещё не искал стратегию, но хотя бы понятно в чём дело. Вопрос такой: N - число (я видел и 70 и 77 и 80 в одном потоке), достаточно для проверки одного номера? И если я потом вдруг надумаю переносить конфиг из винды в ОпенВРТ, как в списке хостов описывать маску? Не перечислять же все известные?

ech0brav0 · August 6, 2025, 2:00pm

Вы должны были увидеть домен типа:
rr1---sn-gvnuxaxjvh-o8ge.googlevideo.com
rr12---sn-gvnuxaxjvh-bvwz.googlevideo.com

По тому домену, к которому соединение прерывается, вы проводите проверку blockcheckом. Проверяйте с опцией проверки по TLSv1.2, чтобы ютуб не прерывался на условном SmartTV. Вероятно blockcheck выдаст вам рабочую стратегию, которую вы легко сможете использовать и на Windows, и на Unix-подобным системах (у zapret полная совместимость команд с Windows и Linux

Possessed · August 7, 2025, 6:34pm

Хм, а кто-нибудь сталкивался с такой ситуацией: блокчек после быстрой проверки говорит, что сайт не блокируется, но он блокируется. Не открывается без Запрета.
Также хочу спросить, что означает ошибка ns_error_net_reset у Мозилы?
У сайта bigwarp.io куча поддоменов для доставки видео. Так вот, одни отвечают NS_BINDING_ABORTED и после этого видос зависает, а другие - ns_error_net_reset и отвечают с тормозами воспроизведётся ролик или нет - как повезёт.
fs70.bigwarp.io и fs77.bigwarp.io выдавали аборт, а fs40.bigwarp.io - Reset. Впрочем, это было в разные дни.

fresa · August 7, 2025, 6:40pm

16кб блок возможно. остальное хзз

bolvan · August 8, 2025, 6:49am

Этот вопрос задавался миллиарды раз, и уже надоело на него отвечать.
Запрос через curl к конкретному домену по конкретному протоколу с получением небольшого обьема данных НЕ РАВНО попытке ввести домен в адресной строке броузера и получить открытый сайт.
Блокчек проверяет только первое, второе - ваша задача разбираться и думать.
Это вы должны знать как открывается сайт, что при этом делается, какие протоколы и домены задействуются, как это отловить.
Все что угодно может быть : от дополнительных доменов, дергаемых броузером после интерпретации главной страницы, заканчивая другими протоколами и ситуативными ограничениями ТСПУ. 16 кб и вис - например

Possessed · August 8, 2025, 6:58am

Спасибо за ваш ответ.

easyone11 · August 10, 2025, 8:07am

Я правильно понимаю что amneziawg запретом не определяется через --filter-l7=wireguard?

bolvan · August 10, 2025, 8:41am

Если в амнезии включена модификация самого пейлоада, то не определяется.
А если только Jc,Jmin,Jmax, то определяется. Но надо , чтобы реальный пейлоад попал на nfqws. Если стоит коннбайтс, то может потребоваться увеличить.
Но накой это надо, когда амнезия выполняет функции запрета ?

easyone11 · August 10, 2025, 8:48am

ясно, спасибо
просто ради интереса потестил и увидел что запрет не определяет его в дебаглоге, подумал может что не так делаю

Marvin · August 11, 2025, 12:15am

У меня наверное немного необычная проблема. Я как-то умудрился угробить Запрет скриптом для Дискорда. Намертво.

Ещё весной. Поставил, последнюю на тот момент версию, изучил чего нового в мануале, попробовал прогнать блокчек, настроить, и уже тут как-то не задалось, не знаю, и уже плохо помню, почему, но в итоге просто переписал под новые параметры стратегии со старой версии (65 с NFQWS_OPT_DESYNC) с основной машины (она и сейчас тут стоит и работает, и я с тех пор боюсь её обновлять вообще) и всё (сайты, Ютуб) заработало. Дискордом пользовался редко, голосачем почти никогда и поэтому до этого отдельно его, кроме как добавлением хост-листа не настраивал, но тут хотел попробовать и звонки починить, если получится. По гайду на Гитхабе скопировал скрипт из кастомов, перезагрузил сервис. Не получилось. Более того, всё остальное тоже умерло. Удалил скрипт, снова перезагрузил сервис. Но ничего не ожило.
После этого не помогли ни перезагрузки ни сервиса, ни даже всей системы, со скриптом в папке, без скрипта, ни даже переустановки, с полным удалением папки, без удаления, ни попытка поставить старую версию с основной машины тем же конфигом. Сейчас уже не помню, была ли тогда версия новее, чтоб и её попробовать, но сейчас стоит 70.4, и скорее всего новее тогда не было.

Тогда я это оставил, сейчас дошли руки. Пытался посмотреть, что такого мог делать скрипт чтоб так наследить в нём самом, но так и не смог понять. Можно было бы попробовать накатить новую версию, но если со старой и обратно не помогло не уверен что в этом есть смысл, и единственное что я думал, но не делал это полная переустановка nft, потому что, опять же, не уверен будет ли в этом смысл.
Сейчас ещё раз всё проверил - блокчек показывает, что находит стратегии (то есть из под него-то с курлом сайты, я так понимаю, открываются) но в браузере те же сайты на которых шла проверка ни по тем же стратегиям ни по переписке со старой версии не работают. Ютуб и Дискорд (сайт) открываются, но они похоже конкретно сейчас почему-то и без Запрета открываются. Журнал усыпан всё теми же ошибками.
zapret-journalctl (5,6 КБ)

bolvan · August 11, 2025, 4:39am

Чтобы не ловить непонятно что, надо сделать uninstall_easy, снести /opt/zapret
и сделать все от и до заново. С последней версии, а не какой-то многомесячной давности, с оф репозитория, а не сборки васяна или инструкции “скопипасти этот китайский язык, и оно само установится”
В последних версиях схема работы с дискорд войсе исключает кастом скрипты
Система какая ? Старые ядра/старый nft более ~4 летней давности не годятся

Marvin · August 11, 2025, 8:35am

Делал. Несколько раз, и с разными версиями.

Разумеется. Из васянских сборок только хост-листы для дискорда и ютаба. “Гайд” то ли из ишьюзов то ли из дискашшанов в оффициальной(тм) репе. Могу найти конкретную ссылку если нужно, но там буквально просто “скопируйте скрипт из кастом-экземплов в sysv, и оно должно само заработать” - буквально больше ничего, кроме этого, и рестарта сервиса и не делал.

На тот момент это последняя и была. Сейчас не стал ставить только потому что в прошлый раз прыжки по версиям никак не помогли, и сюда пишу чтобы подсказали куда можно копать, прежде чем просто ещё ещё раз вдарить в бубен (особенно если не факт что поможет). Но если других подсказок не будет, попробовать, конечно, могу.
То что скрипт с тех пор уже убрали, в курсе, проблема именно в, том что после него, и без него ничего не работает. Не только Дискорд, а именно обычные сайты.

– Defined-By: systemd
– Support: Enterprise open source support | Ubuntu

Конкретно 20.04, ядро 5.4, ntfables 0.9.3, да - старая, уже даже EoL, так что просто обновить не вариант, но это LTS, и она собственно только весной и протухла (для сравнения, на основной, где всё робит 5.15 и 1.0.2 - тоже давненько не обновлялась), и с какого-то раза тогда настроить получилось (плюс и сейчас блокчек показывает рабочие стратегии, вопрос - что он делает иначе, чем обычный запуск/автозапуск сервиса, вот кстати скачать курлом под нормально запущенным сервисом ручками - не пробовал, с какими параметрами блокчек его запускает?), в нулину всё умерло именно после скрипта Дискорда.

bolvan · August 11, 2025, 10:09am

Обновляйтесь. nft 0.9.3 не поддерживается
мин 1.0.2
или переходите на iptables

оно и ругается, потому что команды, скармливаемые nft, вызывают ошибку, тк использованы не реализованные тогда возможности
возможно, даже не обновляя ядро, достаточно будет из сорцов собрать последний nft
или может понадобиться поискать в репе более новое ядро. в убунтах обычно oem ядра более новые есть

easyone11 · August 12, 2025, 4:39am

Поясните за скрипты кто шарит, болван сделал для stun отдельный и пишет что можно не определять порты, получается работает надёжней и меньше нагрузка.
Значит и для дискорд войса можно сделать (ведь запрет определяет этот протокол) скрипт и не использовать перехват определённых портов? Но тогда почему болван пишет использовать страту, а не скрипт?