Zapret: обсуждение

testing · March 29, 2026, 5:37pm

@bolvan есть запрет на openwrt роутере, есть файл zapret-hosts-user-exclude.txt с хостами, но хосты не эксклудятся, в доке написано:

Все скрипты ресолвят файл zapret-hosts-user-exclude.txt, создавая zapret-ip-exclude.txt и zapret-ip-exclude6.txt. Они загоняются в ipset-ы nozapret и nozapret6.

Вот мне надо отрезолвить zapret-hosts-user-exclude.txt, какой скрипт дернуть? Рестарт службы не помогает, по форуму/доке не нашел как грамотно сделать, ipset/create_ipset.sh дергать?

А во, нашел - ipset/get_user.sh

Мне одному кажется момент с резолвом zapret-hosts-user-exclude.txt супер неочевидным?

Это после каждого изменения его вручную резолвить надо?

bolvan · March 30, 2026, 6:42am

Да, после каждого изменения надо ресолвить.
Если используется ipset фильтрация.
Потому что это ядерный ипсет, а не юзерский. Процесс nfqws имеет к нему ноль отношения, ничего не знает об этом файле и тем более не вызывает какие-либо скрипты для автоматического загона
Сетап вставляет крон раз в 2 дня

ckjhge5ijhb · March 31, 2026, 3:38am

Помогите понять почему запрет дропает пакеты wireguard.

Openwrt 25 на роутере, zapret последний от remittor + custom wg4all с github, остальное отключено.

Если подключаться к wireguard с ПК за роутером то всё работает. В логе zapret раз в 90 секунд проскакивает пакет с wg init с вердиктом send modified.

Импортирую конфиг в luci-app-wireguard и соединения нет. В логе zapret вижу много попыток соединения. Только первый пакет проходит с send modified, а остальные с packet drop.

Единственное отличие в логе пакетов это порты из nf set, при успешном сценарии это in=br-lan out=wan, при неуспешном in=wg0 out=wan и ttl.

Смотрел tshark на сервере. При успешном сценарии вижу пакеты wg начиная с wg init. При неуспешном не вижу ничего, даже wg init не прилетает. Выглядит как блок со стороны провайдера, но я не могу понять почему вариант с коннектом с пк работает.

Подскажите, в какую сторону посмотреть?

Hentay · March 31, 2026, 5:41am

В какой группе числиться wg0 ?
Проверяем nf на наличие колизийи и если они есть, то ручками правим .
Так-же можно пойти по пути маркирования битом.

bolvan · March 31, 2026, 5:44am

send modified вызвано исключительно postnat workaround.
это делается для первого пакета в потоке, для остальных не делается
нормальный лог дурения fake - отсылка фейка + отсылка оригинала modified или unmodified
drop может быть только при использовании ipfrag или иных дурилок - udplen, tamper, но они неуместны для wg

ckjhge5ijhb · March 31, 2026, 8:31am

Никуда не добавлял wg0 в nf set. Не думаю что это нужно в моём сценарии. Интерфейс служит для VoIP звонков, три подсети туда заворачиваю через nft set стандартными средствами uci + ip rule. Но это все в prerouting работает и не доходит до zapret.

Сейчас прошил с нуля последний openwrt и zapret через easy-install, всё заработало c wireguard.

Буду смотреть свои скрипты к nft и старту сервисов, что-то намудрил.

meeeeeh · March 31, 2026, 9:21am

Поискал по форуму, с наскока ничего не нашёл.

На моём подключении не работает S2S и C2S с некоторыми XMPP-серверами. До большей части проблемных серверов удалось пробиться, но два не сдаются - и при этом они точно не забанены по IP.

Варианта десинка с any-protocol хотелось бы избежать, в таком случае частично ломаются уже рабочие S2S-подключения. Любые варианты mss-size сразу ломают все подключения.

У меня - zapret1. Если кто-то сможет подсказать стартовую позицию от которой можно отталкиваться - было бы здорово. В документации и тредах по zapret нашёл упоминание XMPP только в связи с zapret2, но по разным причинам в моей конфигурации он пока не применим.

bolvan · March 31, 2026, 11:35am

Ничего не выйдет . z1 ничего не знает о xmpp
z2 проверил на s2s. работает как ожидалось.

> packet contains xmpp_stream payload
< packet contains xmpp_stream payload
> packet contains xmpp_starttls payload
< packet contains xmpp_proceed payload
> packet contains tls_client_hello payload
< packet contains tls_server_hello payload
...
dpi desync src=xxx:31222 dst=xxx:5269 track_direction=out fixed_direction=out connection_proto=xmpp payload_type=tls_client_hello

3ph · April 1, 2026, 3:23pm

Немного первоапрельского юмора

Моя встреча с @bolvan

Спойлер

И это таки правда

Quqas · April 4, 2026, 12:59pm

можешь пояснить логику блокчека в плане “удачи”?

- curl_test_http ipv4 pwa.bspb.ru : winws --wf-l3=ipv4 --wf-tcp=80 --dpi-desync=hostfakesplit --dpi-desync-fooling=badseq --dpi-desync-badseq-increment=0 --dpi-desync-hostfakesplit-mod=altorder=1 --dpi-desync-hostfakesplit-midhost=midsld --dpi-desync-split-seqovl=20 --dpi-desync-split-seqovl-pattern=0x0054000100502112A442 --dup=1 --dup-cutoff=n2 --dup-fooling=badsum
!!!!! AVAILABLE !!!!!
- curl_test_http ipv4 pwa.bspb.ru : winws --wf-l3=ipv4 --wf-tcp=80 --dpi-desync=hostfakesplit --dpi-desync-fooling=datanoack --dpi-desync-split-seqovl=20 --dpi-desync-split-seqovl-pattern=0x0054000100502112A442 --dup=1 --dup-cutoff=n2 --dup-fooling=badsum
suspicious redirection 301 to : https://pwa.bspb.ru:443/
UNAVAILABLE

это тот самый “работает потому что не работает”?

301 (80% стратегий на этом сайте) это штатный ответ но почему “неудача”?. и интересно что за ответ что авалибабл в первом случае?

bolvan · April 4, 2026, 1:08pm

В детекторе редиректа не предусмотрено двоеточие с портом видимо
какой смысл пробивать банк санкт-петербург ? он что , заблокирован ?

Quqas · April 4, 2026, 1:12pm

он наеборот ломается.
ищу с чем не ломается чтоб не мудится с исключениями
про двоеточие понял, так а почему тогда всё же “удача”?

bolvan · April 4, 2026, 1:45pm

CURL_OPT=-v

electrifying · April 4, 2026, 5:39pm

кто первой версией запрета пользуется, у вас старые стратегии отъехали? Теперь получаю ERR_SSL_PROTOCOL_ERROR

GreLI · April 4, 2026, 8:30pm

На некоторых сайтах встречается. Обычно помогает или добавить их в исключение, или использовать для стратегию попроще, вместо фейка для пробива жёстких и 16 КБ блоков простой hostfakesplit с фулингом (какое-то время в прошлом году им прямо всё пробивалось).

Но некоторые сайты порой как будто пятисотят на российский айпи, тут только прокси или впн. А ещё есть некоторые сайты вроде xda-developers.com, howtogeek.com и ряда других, на них ERR_HTTP2_PROTOCOL_ERROR и даже из-под тора не открываются (как-то раз открылось далеко не с первого раза). Вроде все они хостятся на американском Амазоне, и фиг знает что с ними делать. Прямо аномалия какая-то.

Shararamosh · April 4, 2026, 8:37pm

xda-developers.com и xdaforums.com блокируют часть российских, японских и некоторых других IP из-за DDoS-атак. У меня на работе с IP от Orange Business, например, оба открываются без проблем, а с IP от Дом.ру открывается заглушка “Page could not be loaded”.

GreLI · April 4, 2026, 8:40pm

Ну, если бы они хоть что-то показывали, пусть даже банальный 503, было бы понятно. Но у меня прямо ERR_HTTP2_PROTOCOL_ERROR (в Firefox тоже ошибка соединения). Что за хрень? Увы, я не настолько силён в сетевых делах, чтобы разбирать пакеты и смотреть, что там не так.

SeamniZ · April 4, 2026, 8:50pm

Впн, это геоблок, пример polygon.com

d3nN · April 7, 2026, 12:11am

Подскажите насчёт пробива голосового чата в дискорде. Сейчас не обязательно настраивать дурение на определённые домены и IP дискорда, а можно это сделать через фильтр? Как это сделать?

–filter-udp=50000-50090 --filter-l7=discord,stun < и дальше идёт стратегия >

Правильно?

discord - пробивает непосредственно голосовой чат дискорда.
stun - пробивает звонки в телеграме (Если это ещё возможно и их по IP не грохнули).

TesterTi · April 7, 2026, 10:16am

Насколько понимаю, с фильтрами --wf-raw порты не нужно указывать:

winws.exe --wf-tcp=80,443 ^
--wf-raw-part=@"windivert.filter\windivert_part.stun.txt" ^
--wf-raw-part=@"windivert.filter\windivert_part.discord_media.txt" ^
--filter-l7=discord,stun < и дальше идёт стратегия >