Zapret: обсуждение

C00LM4N · March 5, 2026, 3:11pm

Очищает ли zapret периодически ipset ipban? Я туда напихал своих айпишников, но с какой-то непредсказуемой периодичностью они оттуда исчезают. В конфиге GETLIST закомментирован.

bolvan · March 5, 2026, 3:44pm

ip файлы не стоит изменять - они генерируемые
надо вписывать в zapret-hosts-user-ipban.txt
и прогонять get_ipban.sh

C00LM4N · March 5, 2026, 4:15pm

Не, я прямо в ipset добавляю, не в файлы.

И это не хосты, а подсети (телеги). Я так понял, zapret не умеет их в ipset класть.

bolvan · March 5, 2026, 4:20pm

ipset-ы переписываются в create_ipset.sh, который вызывается раз в 2 дня через крон или системд таймер. если нужно добавлять что-то свое генерируемое, для этих целей есть ipset hook.
его задача получить имя ipset в $1 и выплюнуть в stdout на каждой строчке ip или cidr
ipv4/ipv6 определяется по имени сета
статику надо помещать в zapret-hosts-user-ipban.sh

albamef · March 5, 2026, 4:41pm

А есть варианты, как их собрать в один файл и скормить в запрет?

Raven1382 · March 5, 2026, 4:53pm

Суть как раз в том, что для каждой ASN своя стратегия. Можно еще здесь взять списки для “популярных” CDN. Но, как я уже писал, они там не совсем точные

deline · March 5, 2026, 6:28pm

сорри за оффтоп, а что за тулза позволяет вывезти эт логи, которые в первом сниппете у тебя?

d3nN · March 5, 2026, 10:55pm

В F12 всё уходит в таймауты.

Пробовал и с фейком, и без, пробить их так и не смог.

Пришёл к выводу, что да, они просто блочат доступ моим провайдерским GGC во внешку, и они не могут закешировать ролик и отдать мне. То что они успели закешировать до введения этого блока, они отдают.

Так что можно сказать они нашли новый способ бороться с дурилками DPI для ютуба, на моём провайдере тестили его. Значит вскоре будут развёртывать это по всей стране.

PirateSkull · March 6, 2026, 10:00am

Я тоже так думал что ничего не поможет. Есть опыт с одним мелким провайдером, очень вредным. Не все фейки подходят. Попробуйте stun.bin или создайте фейк от сайта ozon, avito, rzd. Ссылку на прогу по созданию фейка выложили выше.

yatolkosprosit · March 7, 2026, 10:02am

Похоже, что обход 16 кб блокировок через подстановку SNI из белого списка работает только если включен DoH. Может так всегда было, но я только сегодня обратил внимание. У меня без DoH нет досупа к сайтам за CF, а вот за Amazon - есть.

SagePtr · March 7, 2026, 10:49am

Подозреваю, что наличие DoH влияет в вашем случае на то, резольвится ли ECH-конфигурация домена, или же только IP-адрес. Без DoH скорее всего ECH использоваться не будет, потому и возникает различие в поведении. Больше никакой разницы быть не должно, сомневаюсь, что хитрый ТСПУ делает пометки вроде “клиент зарезольвил такую-то пару домен-IP только что, замедлить весь трафик к этому IP независимо от SNI” (технически, конечно, такое возможно провернуть, но затратно в плане ресурсов и плохо поддаётся лоад балансингу).

Mickern · March 7, 2026, 11:10am

Причём, на линуксе и win11 ECH может работать и без DoH. Хотя, в этом и нет особого смысла.

SagePtr · March 7, 2026, 11:31am

Смысл в некоторых ситуациях есть, например, DNS-сервер на роутере, принимающий запросы от клиентов в открытом виде, но запрашивающий у вышележащих DNS-серверов через DoH или другой протокол с шифрованием

knitabsorbed · March 7, 2026, 12:14pm

Либо со включенным DoH DNS выдаёт IP, где фильтры менее строгие.

C00LM4N · March 7, 2026, 1:04pm

У меня несколько хостлистов с разными стратегиями. Сегодня долго не мог понять, почему обход перестал работать на части хостов. Оказалось, виной всему пустой хостлист в одной из стратегий (перенес хосты в другой лист, а в этом остались только закомментированные). Видимо, пустой хостлист равняется его отсутствию и стратегия применяется ко всем хостам, так что следующие по списку стратегии уже не будут работать. Наверное, правильнее было бы стратегию с пустым хостлистом ни к кому не применять, чем применять ко всем, раз уж юзер указал –hostlist.

Schiz23 · March 7, 2026, 2:26pm

Уже обсуждалось такое поведение.

Проще добавить в хостлист какой-нибудь example.com, а еще лучще использовать --skip для профиля, чем переписывать логику запрета.

Об этом и в доке сказано.

uwu · March 10, 2026, 5:44am

github.com/bol-van/zapret

баг профилей --dup=1 и --dpi-desync-any-protocol

открытые 03:46AM - 07 Mar 26 UTC

Telariust

Пусть есть два профиля - 1й UDP "--dup=1", 2й TCP "--dpi-desync-any-protocol"; п…о раздельности они правильно работают; попытка их подружить в одном файле - перестает работать профиль где "--dpi-desync-any-protocol"; если в 1ом убрать "--dup=1"(или изменить на "--dup=0") то 2ой сразу начинает правильно работать; разные порты, разные протоколы, разные пейлоады,... профили вроде не должны мешать друг другу.. но мешают; прежде чем написать сюда - перечитал несколько раз readme, и перепробовал все безумные варианты; менял порядок строк, добавлял "--dup-ip-id" и "--dup-badseq-increment",.. не влияет есть ли реальный трафик на порте профиля "--dup=1"; дискорд l7 взят для примера, можно варп вписать, можно что угодно вписать, главное чтобы в страте был "--dup=1"; использование "--dpi-desync-skip-nosni=0" вместо "--dpi-desync-any-protocol" не помогает; версия ядра 72.10; я надеюсь что не учитываю какой-то тонкий ньюанс, но ощущение что в ядре есть баг подобный v72.5; автор, пожалуйста, помоги понять почему так происходит; пример кода ``` start "zapret: %~n0" /min "winws.exe" --wf-tcp=9000 --wf-udp=55555 ^ --filter-tcp=9000 --dpi-desync=multisplit --dpi-desync-split-pos=1 --dpi-desync-split-seqovl-pattern="tls_clienthello_www_google_com.bin" --dpi-desync-split-seqovl=681 --dpi-desync-any-protocol --dpi-desync-cutoff=n3 --new ^ --filter-udp=55555 --filter-l7=discord,stun --dpi-desync=fake --dpi-desync-fake-quic="quic_initial_www_google_com.bin" --dpi-desync-repeats=2 --dpi-desync-cutoff=n3 --dup=1 --dup-cutoff=n3 ```

тут скорее всего dup включает глобальный режим пустых ack (который по умолчанию выключен) и соответственно cutoff переносится на +1

bolvan · March 10, 2026, 5:58am

Так и есть

yatolkosprosit · March 11, 2026, 12:48pm

Я тут немного поторопился с выводами. Ситуация следующая. Есть два домена, по отношению к которым задействована 16 кб блокировка: dl-alps-2.gcdn.ac и dln1.ncdn.ec . (Это не сайты, оттуда скачиваются файлы). Они находятся за Cloudflare (ASN13335).

В Запрете применяю стратегию:
--dpi-desync=fake --dpi-desync-fooling=ts --dpi-desync-fake-tls-mod=sni=сайт_из_БС
в --hostlist записи:
cloudflare-ech.com
dl-alps-2.gcdn.ac
dln1.ncdn.ec

В Firefox 148 блокировка обходится, а в Chrome 145 - ни в какую.
У кого-нибудь есть какие идеи почему так происходит в Хроме? Все это у меня на Linux, на Windows не проверял. Я не знаю как там Запрет настраивать.

Gadeus · March 11, 2026, 1:13pm

Вывод про DoH скорее всего правильный, т.к. в Фаерфоксе сейчас по умолчанию включается DoH от Cloudflare, а в Хроме надо ручками включить