Zapret: обсуждение

в свое время интересовался и не нашел возможности заворачивать по сни в скуиде
это должен уметь хрей

у меня к сожалению 3.5.28 на windows10
он вообше многово не умеет. dst_as например и надо искать актуальные списки тех же cloudflare IP/network (причем непересекающиеся ибо squid достанет warning-ами)
но вот ваши списки раскидать в VPN/TOR/etc через cache_peer ИМХО удобно и просто. причем можно и завернуть на какой нибудь прокси на роутере с Запретом/АнтиЗапретом или на этой же машине наверно подобрать рабочие настройки как указано выше

У меня сейчас zapret работает на роутере (ImmortalWrt 21, Privoxy, переход с устройств по IP_роутера:8118), но хотелось бы еще сделать (если это возможно) переход на некоторых сайтах (например, intel.com, который закрыт с той стороны) через openVPN или что-то подобное.

Мне не хватает пошаговой инструкции, как это сделать. Может быть, кто-то, кто уже настроил у себя подобное, напишет такую инструкцию, была бы благодарна.

“просто” это врядли
тем более разные VPNы
для пользователей только варианты типа https://chromewebstore.google.com/detail/proxy-switchyomega/padekgcemlokbadohgkifijomclgjgif
и там уже прописывать .PAC антизапрета. и разные socks/https прокси включая локальные наподобие TOR / Psiphon / etc

у меня например каждый список/прокси это куча правил в конфиге. я сам иногда в них путаюсь уже :slight_smile:
acl TXT1 dstdomain “/etc/squid/_PKH1.LST”
cache_peer_access Opera allow TXT1
cache_peer_access Privoxy allow TXT1
acl PPP dstdomain “/etc/squid/_6_tor.LST”
cache_peer_access TOR deny PPP !C0NNECT
cache_peer_access TCP deny PPP !C0NNECT
cache_peer_access TOR allow PPP C0NNECT
cache_peer_access TCP allow PPP C0NNECT

писать пошаговые, конечно, не стану
но я бы решал этот вопрос через полиси роутинг и цепочку прокси
выборочно рулить на впн можно через таблицу маршрутизации, но она касается только ип адресов. либо через ip rule. а там можно выбирать в том числе по uid процесса.
если запустить под отдельным uid простой прокси типа tpws, заруливая с него на отдельную таблицу, а на сам tpws с привокси по набору фильтров, то эффект будет достигнут.
если привокси не может рулить по sni, можно использовать xray.
или если не надо обруливать сайты на cdn, то достаточно заруливания по ipset. см систему ipban в zapret
а для юзера это решается гораздо проще средствами броузера и расширениями типа фокси прокси

Вам огромное спасибо за замечательный zapret, который здорово выручает в наши дни.
Только сюда заходят люди, которые реализовали разные способы. Может быть, кто-то из них, кто уже настроил и пользуется, написал бы такую подробную инструкцию.
Лично я знаю пока один простой способ составлять списки (для пользователя начального уровня, вроде меня). Когда на устройстве с zapret настроены privoxy и tor. Тогда достаточно в конфигурационном файле privoxy указать:

forward-socks4a *.intel.com/ 192.168.199.10:9050 .

Такой способ у меня тоже работал. Проблема в том, что на маломощных роутерах (как у меня в данный момент времени) tor с obfs4proxy не запустишь. Вот и подумалось: может, есть какие-то другие способы как-то разделить трафик? Так-то удобно: у нас получается одно устройство в локальной сети, адрес которого можно прописать в том же FoxyProxy (в броузере) или на планшете, например, а оно уже разделяет трафик, что куда.

Так-то чувствуется, что инструмент мощный, только сложный в освоении.

Может завести отдельную тему на форуме, где люди будут делиться своими способами настройки (инструкциями)? Все равно их надо будет куда-то отдельно складывать. Хочется в итоге получить универсальное устройство, которое будет подключено к основному роутеру и через которое при необходимости можно пустить трафик со всех домашних устройств. (По моему, в преддверии грядущих тотальных блокировок это будет актуально).

в любом случае нужен внешний впн или прокси вне зоны ру. только выборочно рулить по домену проще через прокси. сопряжение этого с сетевым стеком ос требует дополнительных усилий, поскольку там имена доменов не используются, а ип адреса могут прыгать на цдн или по геоип.
если есть впс, то достаточно ssh. он сделает сокс прокси.

Таких тем уже несколько было. С инструкциями и способами. На intel.com хотя бы из тора заходит, в отличие от ti.com.

роутеры даже сейчас ИМХО не настолько круты по всем параметрам
CPU / RAM / SSD / “OS” (гибкость настроек и доступных пакетов)
самое “простое” и надежное если понимать что делать это ПК с линуксом
а уж на нем поднимать все нужное
причем сейчас есть довольно компактные хоть и дорогие “сборки”. на 4пда вроде были темы https://4pda.to/forum/index.php?showforum=1077
и самое главное тот же ЗАПРЕТ и другое работает без напильника

Что значит “без напильника”? По любому на разных провайдерах надо блокчек прогонять. У меня дома один провайдер (проводной), на даче другой (беспроводной) и “общий конфиг” не работает (пробовала).

У меня сейчас zapret работает на компактном (но маломощном) tl-mr3020 и я им очень даже довольна. (Эти роутеры мне за их дизайн нравятся, они маленькие и таких устройств можно раскидать где угодно: дома/на даче/у родственников и т.д., подключенными к основному роутеру). Только вот tor на нем не запустишь, а другие варианты настроить - пока тому не научена, не умею. Вот и ищу доступную инструкцию.
Мне с zapret-ом повезло, что удалось найти пошаговую инструкцию по настройке.

Можно неттоп с Linux использовать (я взяла б/у, подешевле…)
У меня была идея подключаться удаленно к моему домашнему неттопу и использовать его как прокси-сервер. Попробовать хотелось (интересно же…), но по некоторой причине не получилось (выключили тот неттоп).

Варианты разные могут быть. Сам zapret нетребователен к ресурсам и запускать его можно на любом подходящем оборудовании - как удобнее настроить.

Оставьте это на сервере и десктопе. На роутере онли OPNsense, на крайняк pfSense

С чего бы это? Путаете, наверное, что-то. То, что вы скинули больше похоже на роутер, чем чудовища франкештейна, которые впаривают людям недобросовестные провайдеры, где 4-в-1 модем+AP+роутер+свитч и арм проц хорошо если пятнадцатого года

не знаю чем так привлекает *sense
интерфейсом может быть?
на деле linux далеко обогнал bsd по возможностям
на фаерволах pf и ipfw очень много чего нельзя из того, что можно с netfilter, nftables, iproute

Тем, что это устоявшийся проект конкретно для роутеров, фаерволлов, и т.д.

Но в данном случае такой спорный их недостаток как отсутствие приемлемой дефолтной конфигурации перевешивает. Чтобы поставить OPNsense и настроить там VPN, Pi-hole, лоад балансинг и мб даже шейпинг трафика – много ума не надо, о лине такого не скажешь. Рядовой Вася не обязан иметь скиллы нетадмина для того, чтобы самому установить роутер. Да и помщников никаких нет в любом случае, самый очевидный претендент занят продажей китайских недоразумений с 256мб оперативы и флеш-памяти

Роутер – это почти такое же критическое звено в телекоммуникациях как браузер, так что нужны не возможности, а безопасность. В случае *sense её гарантируют и упомянутые выше дефолты, и компания Netgate, спонсирующая как сам проект, так и патчи CVE в используемых пакетах, и лицензия (нарушений меньше, чем у GPL, самое крупное от Sony, то есть вообще в другой плоскости). Вот где точно обогнал, так это в поддержке устройств (удачи на *BSD если сетевая карта с чипом не от intel) и беспроводной связи

Некорректно сравнивать appliance в веб мордой с голым linux.
Тогда уж с openwrt сравнивайте.
И прикиньте что будет, когда предложенных в морде возможностей станет недостаточно.
Когда станут нужны юниксоидные прикрутки через шелл. Нестандартные схемы. Хаки, борьба против системы.
zapret тот же. Очень это удобно будет ?
А тупо проNATить и раскидать инет может любая мыльница со стоком

Про перезапись в TCP.
Возьмем такие фейк-данные:
00 00 00 00 16 03
Если их отправить в пакете со смещением SEQ в -4 от предыдущего, то первые нули отбросятся, а 1603 попадет в приложение.
Таким образом можно объединить фейковые данные и полезную нагрузку в один пакет, так что DPI не сможет ни правильно спарсить его, ни проигнорировать, т.к. потеряет начало следующего пакета.
В nfqws можно сделать как-то так:
./nfqws --qnum=200 --dpi-desync=fake --dpi-desync-fake-tls=0x000000001603 --dpi-desync-fooling=badseq --dpi-desync-badack-increment=0 --dpi-desync-badseq-increment=-4
Однако второй пакет все-же будет целый + нужен кастомный фейк.
Было бы неплохо иметь некий параметр --fake-overwrite=n, который скопирует n байт в конец фейка и обрежет начало настоящего пакет на столько же.

Спасибо за идею. Будет время - рассмотрю этот вариант