Zapret: обсуждение

Community software Zapret
1347

Это еще больше запутывает ситуацию…

1348

@bolvan подскажите, пожалуйста - как правильно записывать несколько хостлистов в exclude?
–hostlist-exclude=/opt/zapret/zapret_lists/youtube1.txt --hostlist-exclude=/opt/zapret/zapret_lists/youtube2.txt так?

И второй вопрос, уже ко всем - у меня YouTube на моем провайдеры выдает 2 кэширующих сервера googlevideo.com (два набора по 24 домена (3 вида х 8 штук)), но сейчас еще выпадают случайные европейские, которые относятся уже к Google напрямую. К ним вообще никак не получается достучаться. Как до них дотянуться?
Все идут по http 1.1 и отдают 403

1349

Киньте домены потыкать.

1350

Да, они таким образом обьединятся.
Но вопрос зачем эксклудить youtube ?
Это реализация “все, кроме” ?
Тогда логичней сделать сначала профиль с youtube, а потом без фильтра - остальное.
Сначала проверять на ДА, потом на НЕТ - избыточно, поскольку эти условия взаимоисключающие.

1351

А да без проблем:
Если ДОМРУ:

start “zapret” “winws.exe” ^
–wf-tcp=80,443 --wf-udp=443,50000-50050 --filter-udp=50000-50050 --dpi-desync=fake --dpi-desync-cutoff=d2 --dpi-desync-repeats=10 --dpi-desync-any-protocol --new --filter-tcp=443 --filter-udp=443 --dpi-desync=fake,split --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-fake-tls=tls_clienthello_www_google_com.bin

Если РТ или другие можно выкинуть бинарник:

start “zapret” “winws.exe” ^
–wf-tcp=80,443 --wf-udp=443,50000-50050 --filter-udp=50000-50050 --dpi-desync=fake --dpi-desync-cutoff=d2 --dpi-desync-repeats=10 --dpi-desync-any-protocol --new --filter-tcp=443 --filter-udp=443 --dpi-desync=fake,split --dpi-desync-fooling=badseq --dpi-desync-repeats=10

1352

Например эти
rr3---sn-q4flrne6.googlevideo.com
rr5---sn-5hne6nzy.googlevideo.com
rr5---sn-aigl6nzk.googlevideo.com
rr1---sn-4g5edndk.googlevideo.com
rr3---sn-q4flrnsk.googlevideo.com

@bolvan чиню весь интернет при помощи вашего “микроскопа”
Идея следующая:
Если *.googlevodeo.com (европейский) - применять один вид дурения. Мне ютуб выдает случайные результаты
Если любой из 24 доменов кеширующего сервера №1 в России - другой вид
Если любой из 24 доменов кеширующего сервера №2 в России - третий вид
Пробиться до всяких аватарок и кешей ютуба - четвертый вид
И кое-что от ютуба лежит в user hostlist, чтоб консоль была белой. Там же поднимается работа “обычных сайтов”
Ну и дискорд, но его мы опустим.
В googlevideo.txt лежит само googlevideo.com, в YouTube1,2 - перечни доменов кеширующих серверов, в list-youtube.txt - список доменов ютуба, который был актуален месяц назад.

NFQWS_OPT_DESYNC="--hostlist=/opt/zapret/zapret_lists/googlevideo.txt --dpi-desync=fake,split --dpi-desync-split-seqovl=1 --dpi-desync-cutoff=d2 --dpi-desync-repeats=10 --dpi-desync-fooling=badseq,badsum,md5sig,datanoack --hostspell=hOst --domcase --hostnospace --hostlist-exclude=/opt/zapret/zapret_lists/youtube1.txt --hostlist-exclude=/opt/zapret/zapret_lists/youtube2.txt --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --new --hostlist=/opt/zapret/zapret_lists/youtube1.txt --dpi-desync=fake,split --dpi-desync-fooling=badsum --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --new --hostlist=/opt/zapret/zapret_lists/youtube2.txt --dpi-desync=fake,split2 --dpi-desync-ttl=8 --dpi-desync-split-seqovl=1 --dpi-desync-repeats=10 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --new --hostlist=/opt/zapret/zapret_lists/list-discord.txt --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-ttl=6 --dpi-desync-fooling=badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --new --hostlist=/opt/zapret/zapret_lists/list-youtube.txt --dpi-desync=fake,split2 --dpi-desync-ttl=6 --dpi-desync-fooling=badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --new --dpi-desync=fake,disorder2 --dpi-desync-ttl=6 --dpi-desync-fooling=badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"

На первую стратегию внимания не обращайте (googlevideo.txt), просто пытаюсь вводить аргументы и наблюдаю за консолью.

Много текста, мало мыслей. Так и не ответил на ваш вопрос. Да, это реализация “все, кроме”
В “кроме” у меня дискорд, googlevideo
Дальше googlevideo, “кроме” двух основных оживленных рф кэширующих серверов. Они разделены на два потому, что на одном работает только --dpi-desync-fooling=md5sig, а на втором только --dpi-desync-fooling=badsum. Ну и один поднимается только при --dpi-desync=fake,split, а второй при --dpi-desync=fake,split2

1353

Ага, Европа и США. У меня прекрасно с обходом по quic к ним цепляется. Вот такие бы мне YT отдавал вместо московских.

1354

У меня крутится на киннетике, там нет quic работающего из коробки. С удовольствием бы поставил в разрыв между провайдером и киннтетиком Raspberry Pi, но у меня в тот же кинетик втыкается оптика напрямую.

1355

Для начала причешем для восприятия

NFQWS_OPT_DESYNC="
--hostlist=/opt/zapret/zapret_lists/googlevideo.txt --dpi-desync=fake,split --dpi-desync-split-seqovl=1 --dpi-desync-cutoff=d2 --dpi-desync-repeats=10 --dpi-desync-fooling=badseq,badsum,md5sig,datanoack --hostspell=hOst --domcase --hostnospace --hostlist-exclude=/opt/zapret/zapret_lists/youtube1.txt --hostlist-exclude=/opt/zapret/zapret_lists/youtube2.txt --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --new
--hostlist=/opt/zapret/zapret_lists/youtube1.txt --dpi-desync=fake,split --dpi-desync-fooling=badsum --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --new
--hostlist=/opt/zapret/zapret_lists/youtube2.txt --dpi-desync=fake,split2 --dpi-desync-ttl=8 --dpi-desync-split-seqovl=1 --dpi-desync-repeats=10 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --new
--hostlist=/opt/zapret/zapret_lists/list-discord.txt --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-ttl=6 --dpi-desync-fooling=badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --new
--hostlist=/opt/zapret/zapret_lists/list-youtube.txt --dpi-desync=fake,split2 --dpi-desync-ttl=6 --dpi-desync-fooling=badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --new
--dpi-desync=fake,disorder2 --dpi-desync-ttl=6 --dpi-desync-fooling=badseq --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin"

В доке я сразу написал, что стратегии надо обьединять по возможности. Если полагаться только на профили - получится каша, в которой легко запутаться

cutoff здесь лишний, поскольку отсутствует --desync-any-protocol
–dpi-desync-fooling=badseq,badsum,md5sig,datanoack
это перебор, который скорее всего на чем-нибудь застрянет и не сработает. badseq может сломать http на некоторых DPI.
–hostcase,–domcase и прочие относятся к http и давно не работают на ТСПУ. работает только --methodeol

Необходимость в exclude вызвана пересекающимися множествами хостов в листах. Если их сделать непересекающимися, необходимость отпадет

-dpi-desync=fake,split2 и -dpi-desync=fake,split
имеют общий знаменатель -dpi-desync=fake,split
к нему и надо вести
ttl крутится к максимальному, добавляется fooling md5sig для случаев, когда сервера ближе
если работает datanoack, от ттл можно и вовсе отказаться и выбросить все остальные ограничители

seqovl - это случай отдельный. для DPI это похоже на отсылку фейка, только засунутого в пакет с нефейком. скрытый фейк

1356

Спасибо вам, кое что прояснили. Особенно то, что не обязательно писать в одну строчку, так и правда удобнее.

У меня основная проблема в том, что определенные домены работают только через определенный –dpi-desync-fooling= последние пару дней и приходится каждый вариант перебирать, будто на пути в интернет вместо одного черного ящика теперь их несколько, на каждом из маршрутов.
А для badseq и badsum нужен ограничитель по ttl?

1357

Понятно. Спасибо

1358

Можно ещё момент спросить, вот при таком раскладе как в примере, в каком порядке происходит поиск домена, если к примеру он присутствует в хостлисте первой стратегии, но также есть и в какой-то ещё далее.

1359

Коллеги, подскажите как перенести такие настройки на openwrt?

--wf-tcp=80,443 --wf-udp=443,50000-65535 ^
--filter-udp=443 --hostlist="%~dp0russia-youtubeQ.txt" --dpi-desync=fake --dpi-desync-repeats=4 --dpi-desync-fake-quic="%~dp0quic_initial_www_google_com.bin" --new ^
--filter-tcp=443 --hostlist="%~dp0russia-youtubeGV.txt" --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-ttl=4 --new ^
--filter-tcp=443 --hostlist="%~dp0russia-youtube.txt" --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3 --dpi-desync-fake-tls="%~dp0tls_clienthello_www_google_com.bin" --dpi-desync-ttl=3 --new ^
--filter-tcp=80 --hostlist="%~dp0russia-blacklist.txt" --dpi-desync=fake,split2 --dpi-desync-fooling=md5sig --new ^
--filter-tcp=443 --hostlist="%~dp0russia-blacklist.txt" --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sniext --dpi-desync-fake-tls="%~dp0tls_clienthello_www_google_com.bin" --dpi-desync-ttl=5 --new ^
--filter-udp=443 --hostlist="%~dp0russia-discord.txt" --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=7 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic="%~dp0quic_initial_www_google_com.bin" --new ^
--filter-udp=50000-65535 --dpi-desync=fake --dpi-desync-any-protocol --dpi-desync-cutoff=n1 --dpi-desync-fake-quic="%~dp0quic_initial_www_google_com.bin" --new ^
--filter-tcp=443 --hostlist="%~dp0russia-discord.txt" --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sniext --dpi-desync-fake-tls="%~dp0tls_clienthello_www_google_com.bin" --dpi-desync-ttl=4 --new ^
--dpi-desync=fake,split2 --hostlist-auto="%~dp0autohostlist.txt" --dpi-desync-fooling=md5sig --dpi-desync-fake-tls="%~dp0tls_clienthello_www_google_com.bin" --dpi-desync-autottl=2
1360

Так удобнее, так примет шелл, но инсталлятор install_easy с таким не работает. Будут накладки.
Это больше для просмотра и анализа. Ищем по new и делаем новую строчку после

1361

Там идет чек профилей от начала в конец.
Если написано несколько раз - будет чек несколько раз, пока не удовлетворятся все условия.
Если удовлетворилось, дальше не идем.
Если ничего не подошло, включается пустой профиль 0. Он подходит всегда, но стоит в конце.

1362

Так и есть. Там столько путей и столько желающих что-то ограничить, что получается вот такое.

Для badseq - нет. Если increment выводит seq из tcp окна. Сервак такое отбросит.
Дефолтный инкремент -66000 вроде, так что TLS/HTTP уедут точно, учитывая их запрос-ответный характер.
badsum - по идее не должно быть еще что-то нужно. Серваки должны проверять l4 checksum.
Но есть странное исключение. cloudflare это принимает. Так что лучше написать badsum,md5sig

1363

А если у меня работает вообще без --dpi-desync-fooling-методов, то в принципе оно и не надо, да?
--dpi-desync=split2 --dpi-desync-split-seqovl=652 --dpi-desync-split-seqovl-pattern=tls_clienthello_www_google_com.bin

1364

при обновлении через инстал изи он забирает настройки старого config и пихает в новый? (если мы указываем сохранить данные), думал он просто его не трогает и затирает, если не указываем сохранить настройки.

1365

Что имеется ввиду под всеми условиями? К примеру есть один и тот же домен сразу в паре файлов хостлистов. В первой по счёту от начала стратегии делается только split, а во второй fake,split2, что произойдёт? Какой из двух вариантов будет выбран?

PS Нашёл в доке! Вопрос снят.

1366

Привет а можно ли настройки вбить в какой то файл а запрету указывать этот файл при запуске просто хочу уйти от .bat и .cmd например вот “winws.exe” -config.cfg