Силами запрета нельзя. Средствами nf/ip table можно перенаправить трафик на определённый MAC
Правда тут что мы хотим перенаправить…
Стратегия принесёт больше веса .
Приставка - смотря что ты хочешь сделать
Если возникает желание что-то для zapret фильтровать по mac, значит вы что-то делаете неверно.
Всегда можно зафиксировать IP по dhcp и фильтровать по IP.
Если нужна отдельная стратегия для девайса из LAN, здесь надо поднимать отдельный инстанс nfqws и направлять трафик к нему. Придется писать руками таблицы и запуск nfqws или кастом скрипт.
Очень уж кастомный случай
Люди, киньте кто не будь рабочую стратегию для 80 порта, чтоб к примеру открывала этот сайт http://www.fast-torrent.club/ блокчек ничего не находит, в нэте я ничего не нашел, может кто то смог надыбать, поделитесь если не жалко, а жалко у пчёлки, но всё же. Есть некоторые игры, ип тв и прочее которые используют этот порт и без него никак. Я тут вроде читал кто то писал что типа 80 порт нафиг нужен, но тот кто это писал сильно заблуждается. Смотрю просто у всех упор на 443 порт, а вот про 80 почему то все забыли. Сделайте кто не будь новогодний подгон
факе от 443 будет работать и для 80
никакой разницы нет
нет
белый “адрес” да
а остальное неверно
и операнд запрета другой и “bin” самому делать и это не tls
У меня gdpi открыл с первого раза..) На ростелеке наглухо, ничего не помогает, как, собственно, и image.hashrate.no обойти
как уже правильно заметили не то что 1.1 а даже 1.2 многие сайты не поддерживают
в byedpi есть ключ который на лету меняет цифру после точки - но что это даст… можешь сам оценить
–filter-tcp=80,88,443,2053,2083,2087,2096,8443
–hostlist-exclude=/opt/zapret/ipset/zapret-hosts-user-exclude.txt
–dpi-desync=fake,fakeddisorder
–dpi-desync-split-pos=10,midsld
–dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin
–dpi-desync-fake-tls-mod=rnd,dupsid,sni=fonts.google.com
–dpi-desync-fake-tls=0x0F0F0F0F
–dpi-desync-fake-tls-mod=none
–dpi-desync-fakedsplit-pattern=/opt/zapret/files/fake/tls_clienthello_vk_com.bin
–dpi-desync-split-seqovl=336
–dpi-desync-split-seqovl-pattern=/opt/zapret/files/fake/tls_clienthello_gosuslugi_ru.bin
–dpi-desync-fooling=badseq,badsum
–dpi-desync-badseq-increment=0
У меня такая, Ростелеком.
Твою ссылку открывает.
Смотри только - тут работа не по списку, все домены пойдут через запрет.
Твой сайт у меня открывается с дефолтной стратегией для порта 80 из конфига от bolvan.
Но на сайте тааакаааая фоновая обвеска… И вся эта дрянь не работает по http. Там и https, и quick.
UPD. Извини, соврал. Твоего сайта нет в моих листах. Т.е. у меня он просто открывается.
Изумительная каша.
Вы сами, хоть примерно, представляете, что ЭТО должно делать и что делает на самом деле?
Вы в курсе, что отработка стратегии - это не пошаговый интерпретатор? И последовательность десинков не имеет значения. В данной стратегии. И как, по вашему, сосуществуют
–dpi-desync-fake-tls-mod=rnd,dupsid,sni=fonts.google.com
и
–dpi-desync-fake-tls-mod=none
Это только одно, что в глаза бросается.
none уже относится ко второму фейку 0x0F
иначе он будет пытаться модифицировать хекс и выдаст ошибку. в этом плане там все ок
как скажешь)
Несколько фейков с модами на каждый - это не каша, а поддерживаемая функция.
Делать тлс мод на 0x0F0F0F0F действительно безумно, но там стоит none, так что будем считать, что это просто чтобы не убирать опцию, если надо что-то там подкрутить
Неплохо у РТ DPI
Что только 5 фейк пакетов их пробивает
Но я бы отделил tls от телека/вотапа и другого.
Хотя бы ограничили ttl (по сути хоп DPI убивайте, а то так можно послать и реальный хост)
На рт это все не нужно, там же сековл + фейк из БС надо ,а тут вк и гу бесполезные, да и 16кб это не побеждает без фейка из белого списка + инкремент ломает кучу всего, типо иксбокс приложения.
И вот у меня выше стоящий ростелик и не могу его никак победить
Помогая мне, вы поможете самому себе
Недавно мне потребовалась обновка стратегий для youtube. И я уже два дня не могу прийти к нужному результату. Детали:
- Если верно понимаю, это кб блок, т.к. страница стабильно перестаёт загружаться после передачи 11кб данных.
- Я натравливал blockcheck и в дефолтном виде, и с параметрами. И во обоих случаях на разные странички youtube. Во всех случаях он выдавал какой-то набор стратегий.
- Также я использовал blockcheck при работающим zapret, использующим какую-нибудь стратегию из пункта 2. Даже в таких условиях он видел, что доступа к сайту нет и начинал что-то искать.
Не знаю какие выводы делать, но как минимум есть два вопроса. Первый вопрос исходит из пункта 3: как так выходит, что blockcheck предлагает стратегии, под которыми он же приходит к выводу, что они не работают? И второй вопрос, я точно помню, как blockcheck последнего бандла мне помимо available-unavailable на стратегиях показывал сколько байтов было передано. Сейчас он этого не делает. Эта особенность привязана к какому-то параметру?
Это разбиралось
Блокчек - лишь тестирует ресурс через dpi и предлагает стратегии обхода. Для ловли блока на ресурсах нужно через cli задать переменные, где будет отправляться запрос более объемный чем шлет чистый curl.
Потому что наступил блок и стал результат обратный.
Смотрим талмуд на гите. Там обычно перечислены параметры. (можно поиск использовать)
Но иногда талмуд устаревает и нужно смотреть в код)
Мне стоило уточнить, что под “с параметрами” я имел в виду запуск blockcheck c HTTPS_GET и с отдельными фейками. Я это воспринимал, как полноценную загрузку страницы. Или это совсем другое?
В смысле, сама попытка проверки сразу же научила DPI не пропускать подобные запросы?
Да, там перечислены набор дополнительных параметров в части “проверка провайдера”, но ближайшее по сути там только CURL_CMD, который эту информацию не показывает. Да и в целом из параметров я помню, как использовал только CURL_HTTPS_GET, DOMAINS и PKTWS_EXTRA. И бандл я скачал месяц назад, с тех пор не обновлял.
Запуск блокчека с работающим запретом - действие неверное, оно может привести к неверному результату.
Один инстанс будет дурить другой, в итоге второй не поймет запрос и не задурит, а первый задурит плохо - и получается не задурили, хотя без блокчека задурили бы