Все DNS сервера работают только по 53 порту. Конечно, локальный можно повесить на какой угодно порт, но он же должен общаться с другими ? Откуда иначе он инфу возьмет. И здесь то провайдер и может срезать кайф, если он подменяет 53 порт и заворачивает на себя. Тогда это работать не будет.
Окей, не заворачивает. Будет работать ? Да, но с оговорками. Изнутри рунета очень много что заблокировано. По IP и по всякому. из 10 адресов у одного обязательно будут проблемы с достукиванием до DNS серверов SLD. И обязательно попадется что-то нужное. Че делать будем ? Можно поставить мультиплексор dnsmasq и поворачивать обращения к проблемным серверам на православный DNS. Но это придется вести список, натыкаясь на все новые и новые тупняки
Если 53 порт не завернут, то не проще ли найти какой-то незаблокированный open dns из числа непопулярных ? Такие есть. + он вне RU, поэтому с достукиванием забугор проблем не будет. Правда, может быть проблема с его достукиванием в рунет, если какой-то святой сбербанк режит обезопасить свою сеть от кибер атак оттуда , тупо порезав allowed ip до geo RU. Так что dnsmasq может все равно понадобиться, хотя и лазать в него придется пореже.
Некоторые незаблокированные, православно-халяльные , могут иметь проблемы с настройкой. Например, vk DNS сервера прописаны по ipv6 , но по ipv6 не отвечают. И если у тебя есть ipv6, named будет долбиться по ipv6 и тупить. Обращения к ВК не помогли - пробовал. Сказали передадут проблему, воз и ныне там уже года 2 или 3. Почему на провайдерских проблемы нет ? Потому что ими многие пользуются. Один потупил, второй потупил, запись попала в кэш. Следующие сутки никто не тупит, у всех все работает. Учитывая сколько это 1-2 тупняка из сотен тысяч обращений, всем по-х-рен. А ты один такой умный и уникальный, ты тупить будешь регулярно. И вообще ситуация, когда у какого-то SLD не отвечает часть DNS серверов, довольно распространена. Возможны тупняки, временные ответы “попробуйте позже”, пока не закэшится. Нагруженный сервер всегда имеет гораздо больше шансов иметь запись в кэше и выдать ее сразу
Сделал методом проб и ошибок.
Такое перекрытие используется осознанно: если уменьшаю хотя бы на 10 байт, то перестаёт работать - либо ломается соединение, либо не срабатывает «дурилка».
А так есть доступ ко всему, что мне нужно, и ничего не ломается, поэтому что-то ещё туда прикручивать не думал. Но экспериментировать мне достаточно сложно, так как в случае обнаружения попытки обхода на ТСПУ применяется какой-то более жёсткий фильтр, и всё перестаёт открываться минут 10-15 даже с заведомо рабочей стратегией.
вобщем я таки смог саму идею подмандить под tls1.2 чтоб работал например рутрахер в ie11. и тот же тестовый контабо открывает в хроме хоть он и 1.3 (а он же на tcp80 уже никак ибо нет sni халяльного ) но
сам stun способ в принципе что твой что мой вариант вызывает рандомные фризы при открытьи
и главное
особо задроченый animejoy таки всё равно не может продырявить…
p.s. поправка для http тоже можно со stun пробивку слелать - это плюс
p.p.s. а вот блоченый клауд animejoy всёж либо по часам (ночью наглухо блок, днём не наглухо) либо сменой ip в хостс на альтернативное … ИИ они на ночь чтоли включают гниды?
да, вот прям сейчас и у меня покачто открывается.
ночью же начнётся странное. конкретно с animejoy.ru это “странное” не просто по tls1.2 а даже по квику - и это самое “пугающее”
а накой ттл если фуллинг проходит? в доке вроде ясно писано
другое дело что badsum не только чебурнилы палят но и сами сайты могут не переваривать. так что далеко не всё так откроет, да ts пока что решение (да и то исключенья можно найти), но чтоб ты знал фулинги можно через запятую =профит. т.е. сайты которые ломаются от них по отдельности - вкупе их отбрасывают как и задумано
rnd можно не писать, всё что не указано по дефолту и так применяется =sni достаточно
ну а сам sni “детский” - дырявит только самые простые cdn
Спасибо за разьяснение, учту. На byedpi фулинги без ttl не пашут. А запретом я пользуюсь только для разблокировки некоторых прокси. Т.е. в режиме запустил - проверил, что все сработало - закрыл. (т.к. windivert на 7-ке ломает раздачу инета с хотспота) В остальное время byedpi + те самые прокси для обхода геоблока. Поэтому честно признаюсь - да, в запрете не шарю на том уровне, как ты. Нужно будет - пойду изучать доки)
Ну а так - чел спросил “пример рабочей стратегии”, он его получил) Дальше пусть сам копает в указанном направлении. Про sni по-моему ясно написано, даже ссылка дана на авто-подбиралку)
Кстати… Тут после экспериментов обнаружилось, что для рутрекера sni вообще не нужен. Достаточно --hostlist-exclude=exclude.txt --dpi-desync-fooling=badsum --dpi-desync=fake или --dpi-desync-fooling=ts --dpi-desync=fake У тебя тоже так?
у меня строго наоборот netsh wlan start hostednetwork в семёрке и тогда на мобиле ничего не надо. тот запрет что на компе чинит и раздаваемый вайвай. в десятке не так - на мобиле отдельно надо
ну повезло с провом м.б. хотя сранно что для клауда(рутрахер) нет а для чегото там есть. у меня 16к на домашнем с ноября. у родственников до сих пор 16к нет совсем
У меня с января. Но самое странное, что byedpi без fakesni рутрекер не пробивает, а zapret с ts или badsum - легко. Возможно, на моем прове нет проверки asn - sni , и один sni пробивает все. А в badsum/ts зашит как раз рабочий фейк ( в отличие от byedpi). Ну, мое предположение, точно не знаю
этот сайт полностью заблокировали намертво не запрет1 не запрет2 не могут пробить его блокчек ничего не находит скоро все так сайты заблокируют https://windscribe.com/
что характерно с тытрубом по tcp не помогает
ну да и ладно… по квику работает с стандартным гуглоквик.bin на lte
а вот на проводе я “распробовал” этот stun и на проводе stun тоже помогает h3 сайты дырявить с 21 попытки, а вот на lte так не канает …
