Но из реестра.
Результат блокировки почтовиков в ходе борьбы с лже-минерами. Борьбы была суровой, доставалось даже пейджерам.
Заработала . При смене DNS
Доброе утро А Можно ли добавить Ещё один старт в config например http Отдельно https Отдельно vpn Отдельно
Если запихать все редко желаемые хотелки в систему, то система станет перегруженой. Программы с кучей редко используемых неуниверсальных, частных функций и кнопок в тулбаре плохо юзабельны, поэтому я по такому пути не пойду.
Сейчас можно включить или выключить http, https, quic раздельно в конфиге.
Другие конфигурации, тем более VPN, где нет ни стандартного порта, ни стандартного протокола, реализуются либо custom скриптами, либо руками. Другого не дано
Спасибо. Всё понял. У меня при такой конфигурации работает
# CHOOSE OPERATION MODE
# MODE : nfqws,tpws,tpws-socks,filter,custom
# nfqws : nfqws for dpi desync
# tpws : tpws transparent mode
# tpws-socks : tpws socks mode
# filter : no daemon, just create ipset or download hostlist
# custom : custom mode. should modify custom init script and add your own code
MODE=custom
# apply fooling to http
MODE_HTTP=1
# for nfqws only. support http keep alives. enable only if DPI checks for http request in any outgoing packet
MODE_HTTP_KEEPALIVE=1
# apply fooling to https
MODE_HTTPS=1
# apply fooling to quic
MODE_QUIC=1
# none,ipset,hostlist
MODE_FILTER=none
# CHOOSE NFQWS DAEMON OPTIONS for DPI desync mode. run "nfq/nfqws --help" for option list
DESYNC_MARK=0x40000000
#NFQWS_OPT_DESYNC="--dpi-desync=fake --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-fooling=md5sig"
NFQWS_OPT_DESYNC_HTTP="--dpi-desync=split --dpi-desync-fooling=md5sig --dpi-desync-fooling=badsum"
NFQWS_OPT_DESYNC_HTTPS="--dpi-desync=fake,disorder --dpi-desync-ttl=9 --dpi-desync-fooling=badsum --dpi-desync-any-protocol --dpi-desync-cutoff=d2 --dpi-desync-repeats=6"
#NFQWS_OPT_DESYNC_HTTP6="--dpi-desync=split --dpi-desync-ttl=5 --dpi-desync-fooling=none"
#NFQWS_OPT_DESYNC_HTTPS6="--wssize=1:6 --dpi-desync=split --dpi-desync-ttl=5 --dpi-desync-fooling=none"
NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-any-protocol --dpi-desync-cutoff=d2 --dpi-desync-repeats=6 --dpi-desync-ttl=9"
#NFQWS_OPT_DESYNC_QUIC6="--dpi-desync=hopbyhop"
Но хотелось бы Чтобы https Сайтaм не мешало
Если вы при этом ничего не делали с самим custom скриптом, то эта конфигурация не будет делать ровно ничего. Выбирать custom - это как бы для полупрограммистов. Нельзя просто так взять, сделать custom, и все заработало. Тут нет никакой простой и волшебной таблетки
Ну работает же Open VPN tcp udp работает wireguard работает ikev2 работает При такой конфигурации
в custom Я кое-какие поправки делаль для udp
Спасибо за zapret На Windows Всё отлично работает
Добрый день, запустил blockcheck.sh и получил такую информацию:
* SUMMARY
ipv4 twitter.com curl_test_http : working without bypass
ipv4 twitter.com curl_test_https_tls12 : tpws not working
ipv4 twitter.com curl_test_https_tls12 : nfqws --dpi-desync=syndata --dpi-desync-fake-syndata=/opt/zapret/files/fake/tls_clienthello_iana_org.bin
ipv4 twitter.com curl_test_https_tls13 : tpws not working
ipv4 twitter.com curl_test_https_tls13 : nfqws --dpi-desync=syndata --dpi-desync-fake-syndata=/opt/zapret/files/fake/tls_clienthello_iana_org.bin
Сейчас zapper запущен в режиме:
Starting daemon 1: /opt/zapret/tpws/tpws --user=tpws --bind-addr=127.0.0.127 --port=988 --hostspell=HOST --split-http-req=method --split-pos=3 --oob
Не совсем понятно, как перенастроить демон на работу с nfqws.
Был бы признателен, если ткните носом в какую сторону копать, спасибо!
блокчек был выполнен без остановки zapret ? странные результаты. если так, то это все неверно.
инсталятор позволяет все выбрать, что нужно
Прошу прощения за вопрос, не относящийся напрямую к теме…А что означает (как расшифровывается) суффикс ws в именах приложений? nfqws, tpws, winws 
проект начинался в далеком 2016. тогда первой идеей была смена window size с целью фрагментации запроса. отсюда пошло название. дальше обросло фукнциями, а название осталось
Вопросы по настройке zapret’а в связке со Squid’ом: что нужно будет изменить в nftables? Нужно ли заварачивать трафик с кальмара в запрет или наоборот? Или это будет зависить от самого режима настроек прокси, а точнее от того, как он слушает трафик: 1. Браузер настроен жестко на работу с прокси через прописывание самого прокси и порта, 2. Браузер работает без настроек прокси, а трафик на калшьмар заварачивается средствами таблиц. Второй вариант предпочтительнее и интереснее, так как отпадает необходимость прописывать прокси на всех девайсах домашней сети. Буду признателен к паре-тройке примеров готовых правил табличек. Сам запрет крутится в режиме авто-хост листа, т.е. самоубучении возможным заблокированным сайтам и как следствие добавления оных в нужный лист обхода. Не нужно ли будет менять режим работы запрета при этом?
с nfqws проблем быть не должно в обоих случаях.
с tpws проблем нет в режиме squid как обычный прокси, но возможны проблемы в транспарент варианте. хотя и они решаются, но придется понять как оно все вместе.будет жить.
в чем смысл squid ?
Смысл в том, что из-за массовых блокировок подсетей на ТСПУ вынужден был поднять подключение к vpn через SoftetherVPN клиент (последний правда кривоватый и на openwrt стабильно работает только 4 версия, да и то, консольная vpncmd в режиме клиента не умеет подключаться к udp vpn серверам ни в какую, есть даже топик в issue у разрабов, но его почему-то закрыли как solved), соответственно хочу немного покэшировать трафик, который ползет через vpn через squid, так как zapret не может (что очевидно и было уже упомянуто) пробивать ip блокировки. Вообщем наверное это кривые костыли, но сейчас у меня работает все так - все что можно надурить zapret’ом идет напрямую в сеть, все что забанено по ip роутиться статическими маршрутами через vpn. А хочу еще и добавить прокси в эту цепочку. И как понимаю zapret точно должен быть после squid’а, так как вроде Вы говорили, что кальмар все пересобирает и дурение не будет работать если пустить трафик с zapret’а на него. Если конечно моя задумка вообще возможна практически к реализации. Проблем с местом и памятью не будет, так как все крутится на реальной машине с 8Гб оперативы и жирным ССД. Ах да, самое главное, что забыл указать, в zapret’е вертится у меня nfqws.
squid не может кэшировать https. plain http уже почти нет. да и смысл кэширования для пробивки ип блоков в чем?
ваша проблема решается через полиси роутинг. в запрете для этого существует ipban. есть и мануал по прикрутке к вирегард. но суть от замены впн не меняется
да запрет должен быть после прокси
Ах-да, конечно же Вы правы, как я мог забыть про https. Что бы кешировать https, это надо сувать самопальный сертификат в цепочку сервер - прокси - клиент, расшифровывать и зашифровывать им, да и плюс дырка это в безопасности будет. Тупо забыл, мой косяк. Эту затею видимо придется отбросить. Одно мне тогда не понятно (хоть и к запрету уже отношения не имеет) - как тогда работают обычные открытые прокси, использующиеся для обхода блокировок? Или там крутится что-то продвинутое или используются какие-то прокси, котрые умееют проксировать https трафик?
они проксят без дешифровки
для кэширования нужно лезть в содержимое под тлс
squid удобен только более или менее внятными и удобными настройками
и можно почти без гимора подсовывать все списки (от автора. от валдика. етк) чтобы заворачивать нужные домены/ИП куда то.
у меня IPv6+частьРФ DIRECT, чтото в VPN (socks5 через Privoxy), остальное вообще в TOR (через HTTPTunnelPort оно понимает/принимает только CONNECT)
на роутерах это тоже иногда можно сделать но ИМХО с большим гемороем
часть задумок можно завернуть через Безопасный HTTPS-прокси менее чем за 10 минут / Хабр (от автора opera/hola/etc-proxy)