Zapret: обсуждение

easyone11 · September 30, 2024, 5:52pm

и остановку службы запрета я бы еще добавил на время теста

ShiroiBara · October 1, 2024, 4:08am

Как мне удалось выяснить это проблема дефолтного интерпретатора командной строки ash. Поставил до кучи bash. С ним ограничений на длину строки без символов переноса не возникло. ssh клиент здесь совсем не причем, проверял из двух разных систем. Так же воспользовался вашим советом и перезапустил easy_install с опцией автохоста, убрав все те кривые вставки, что до этого были. nano накатил тоже. Работает нормально. Плохо только одно - clouflare часто выдает забаненые ip для разных nsfw сайтов (причем часто два разных сайта висят на одном адресе, что 4 что и 6 протокола), и тогда запрет не помогает, приходится заворачивать в впн. Стал сталкиваться с этим последнее время, в начале грешил на стратегию кривую, но посмотрев что nslookup выдает, и проверив с блокчеком, понял, что попал на лотерею, когда выданный адрес попадает в группу забанненых провом.

bolvan · October 1, 2024, 6:54am

на счет tpws есть переменная SKIP_TPWS=1
в целом блокчек нужен для исследования dpi, а не генерации таблеток. это меняться не будет
макс что есть - это quick режим до первого попадания
выбор отдельных стратегий сложно сделать технически. в какой форме их задавать непонятно

boltor · October 1, 2024, 8:31am

/opt/zapret/blockcheck.sh | tee /tmp/blockcheck.log
grep -B 1 '!!!!!' /tmp/blockcheck.log | less
Первая команда запускает блокчек и сохраняет весь вывод в файл, вторая хватает из файла только строчки с !!!!!, с которых начинается уведомление о рабочей стратегии, и строчку над ней, т.е. саму рабочую стратегию, и опционально выводит в удобный формат для листания стрелочками или кнопками PageUp/PageDown (выход из него кнопка Q).
Файлы можете называть как хотите, например именем домена, который тестируете, чтоб собирать историю поиска и удобно организовывать результаты.

pr1v4teer · October 1, 2024, 10:40am

Да это-то понятно, что можно отгрепать результат из временного файла, просто хотелось узнать, есть ли нативный способ подавления вывода неудачных попыток. Кстати, -B 1 не подойдет в случаях, когда для успешной стратегии выводятся дополнительные комментарии (например, при использовании опции md5sig).

Можно, конечно, самостоятельно поправить скрипт под свои нужды, но не хочется лезть кривыми руками в чужой код.

boltor · October 1, 2024, 10:53am

Все комментарии показываются после строк с !!!!!, а опция -B берёт строки до совпадающей, так что работает надёжно. Всё ещё не вижу нужды нативно как-то подавлять вывод.

pr1v4teer · October 1, 2024, 11:44am

Хм. И правда. А мне почему-то казалось, что строка с комментарием выводится перед AVAILABLE. Звиняйте, my bad. Тогда да, способ рабочий. Хотя и не будет видно, для какого протокола способ сработал

zzr · October 1, 2024, 12:02pm

оказывывается есть запрет для винды! тока блокчек пока работает (а ето ~1.5часа) нету инета вобще (not cool) так же х пойми куда там чё вписывает на линуксе в етом плане интуинитивну проще

meadow_seed · October 1, 2024, 2:30pm

попробуй использовать byedpi в качестве прокси для браузера

AnyWay · October 4, 2024, 1:27pm

Всем привет! Такой вопрос, можно ли заскриптовать в OpenWrt например в полночь заменить или изменить файл config. Также например проверить обновление запрета, если есть, то обновится и т.д.
Проблематика в том, что я поставил другу zapret, позавчера у него на днях перестал работать Ютуб, пришлось приезжать, оказалось нужно было лишь убрать одну цифру и все!
Идея в том, чтобы я например на гитхабе выложил исправленный рабочий конфиг, а в 0:00 роутер сам его подтянул по моей ссылке из гитхаба, также чтобы обновлялся zapret.

bolvan · October 4, 2024, 1:53pm

это лучше делать через удаленное администрирование
если нет внешника - прокинуть впн куда-то, где он есть
или реверсный ссш

все равно придется исследовать каждый раз с того провайдера

автообновления не рекомендую
иногда бывают несовместимые изменения

ryozi · October 4, 2024, 4:18pm

Пробовал запускать варианты:
SKIP_TPWS=1 ./blockcheck.sh | tee /tmp/blockcheck.txt
SKIP_TPWS=1 PKTWS_EXTRA=“–dpi-desync-fake-tls=/home/pi/zapret/files/fake/tls_clienthello_www_google_com.bin” ./blockcheck.sh | tee /tmp/blockcheck.txt

И почему-то все равно идет проверка TWPS, запускаю вроде правильно, но не получается пропускать проверку TWPS.

@pr1v4teer пробовали запускать? Получилось пропускать проверку TWPS?

bolvan · October 4, 2024, 4:56pm

запускать из рутового шелла
встроенная элевация теряет переменные

yatolkosprosit · October 4, 2024, 5:45pm

Не совсем понятно. Если я выполняю команду su - я получаю рутовый шелл или нет?

bolvan · October 4, 2024, 6:18pm

Скопировал это в свой рутовый шелл. Работает без TPWS

roskompozor · October 4, 2024, 11:52pm

Всем шалом! На ПК ютуб работает нормально, а по Wifi, через смартфоны не работает.
Почему так?

С MODE_QUIC=0 тоже не работает через смартфон

Конфиг ниже

WS_USER=nobody
FWTYPE=iptables

SET_MAXELEM=522288

IPSET_OPT="hashsize 262144 maxelem $SET_MAXELEM"

IP2NET_OPT4="--prefix-length=22-30 --v4-threshold=3/4"
IP2NET_OPT6="--prefix-length=56-64 --v6-threshold=5"

AUTOHOSTLIST_RETRANS_THRESHOLD=3
AUTOHOSTLIST_FAIL_THRESHOLD=3
AUTOHOSTLIST_FAIL_TIME=60
AUTOHOSTLIST_DEBUGLOG=0

MDIG_THREADS=30

GZIP_LISTS=1

MODE=nfqws

MODE_HTTP=1

MODE_HTTP_KEEPALIVE=0

MODE_HTTPS=1

MODE_QUIC=1

MODE_FILTER=none

DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000

NFQWS_OPT_DESYNC="--dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-ttl=0 --dpi-desync-fooling=md5sig,badsum --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"

NFQWS_OPT_DESYNC_QUIC="--dpi-desync=fake --dpi-desync-repeats=6 --dpi-desync-ttl=0 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_google_com.bin"

TPWS_OPT="--hostspell=HOST --split-http-req=method --split-pos=3 --oob"

FLOWOFFLOAD=donttouch

IFACE_LAN=br0
IFACE_WAN=ppp0

INIT_APPLY_FW=1

DISABLE_IPV6=0

Dhogzhenya · October 5, 2024, 12:39am

Здраствуйте. Сейчас обнаружил, что ютуб видео ролики то работают, то не работают. Помогает либо включение впн, либо включение одного и того же ролика от 5 до 10 раз. От чего именно это зависит я не знаю. Прошу помощи так как не знаю как решить эту проблему

Config

FWTYPE=iptables

SET_MAXELEM=522288
IPSET_OPT=“hashsize 262144 maxelem $SET_MAXELEM”

IP2NET_OPT4=“–prefix-length=22-30 --v4-threshold=3/4”
IP2NET_OPT6=“–prefix-length=56-64 --v6-threshold=5”
AUTOHOSTLIST_RETRANS_THRESHOLD=3
AUTOHOSTLIST_FAIL_THRESHOLD=3
AUTOHOSTLIST_FAIL_TIME=60
AUTOHOSTLIST_DEBUGLOG=0

MDIG_THREADS=30

GZIP_LISTS=1

MODE=tpws
MODE_HTTP=1
MODE_HTTP_KEEPALIVE=0
MODE_HTTPS=1
MODE_QUIC=0
MODE_FILTER=none

DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000
NFQWS_OPT_DESYNC=“–dpi-desync=fake --dpi-desync-fooling=md5sig --dpi-desync-fake-http=0x00000000”
NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=fake --dpi-desync-repeats=6”

TPWS_OPT=“–split-tls=sni --oob --mss=88”

FLOWOFFLOAD=donttouch

INIT_APPLY_FW=1

DISABLE_IPV6=1

arinoki · October 5, 2024, 5:24am

Dhogzhenya · October 5, 2024, 4:58pm

Я это уже пытался делать. Blockcheck не смог найти ни одну рабочую стратегию для поддоменов гуглвидео. Но он мне выдал на tls 1.3, что installed curl version does not support http3 QUIC. tests disabled

boltor · October 6, 2024, 5:01pm

Я не раз видел, что у некоторых в конфигах используется одновременно --dpi-desync-ttl и --dpi-desync-autottl, но мне кажется, они друг другу противоречат. Есть ли смысл их использовать одновременно? Как они сочетаются? Если не сочетаются, то что в приоритете? В талмуде не заметил инфу об этом.