Zapret: обсуждение

Хреновые параметры. Будут на любой чих реагировать. Любое подвисание сервера и все

А какие параметры лучше - threshold=3 и time=30 хотя бы? Так будет лучше?

Ночью отключалось электричество, это не норма, там где я живу. С утра заметил, что не работает ютуб. Перезагрузил запрет и все заработало. Последняя запись в логе была, что он не может открыть текстовый файл с доменами ютуба. Есть мысли, почему это технически произошло?

Зависает роутер на openWRT (23.05.4) из-за запрета, судя по логике из-за скрипта, роутер зависает при запуске если подключен интернет и не убить запрет (после подключения к инету можно запустить install_easy.sh, запрет заработает и все будет хорошо). Также роутер падает в 2 часа ночи. Видимо какой то скрипт обновления его ложит (?)

Маловероятно что из за запрета у вас виснет роутер. У меня версия 23.05.5, использую nftables. Если вы внимательно почитаете о wrt, то там написано, что эти новые версии не очень дружат с iptables и возможны косяки. Так же причина может быть в чём угодно, от не правильной настройки самого роутера и до бесконечности

Перед тем, как менять параметры автолиста, надо изучить его дебаг лог и понять что происходит.
Действительно ли изменение параметров может что-то дать.

Изучил. Запрещенный домен у меня добавляется теперь в диапазоне 30 секунд:

16.10.2024 17:28:05 : vak-sms.com : profile 4 : tcp retrans threshold reached
16.10.2024 17:28:05 : vak-sms.com : profile 4 : fail counter 1/3
16.10.2024 17:28:08 : vak-sms.com : profile 4 : tcp retrans threshold reached
16.10.2024 17:28:08 : vak-sms.com : profile 4 : fail counter 2/3
16.10.2024 17:28:27 : vak-sms.com : profile 4 : tcp retrans threshold reached
16.10.2024 17:28:27 : vak-sms.com : profile 4 : fail counter 3/3
16.10.2024 17:28:27 : vak-sms.com : profile 4 : adding to E:\Downloads\zapret-win-bundle-master (6)\zapret-win-bundle-master\zapret-winws\my_hostlist.txt

Не так долго, как по умолчанию, но и не быстро на случай подвисания сервера.

Подскажите, как правильно подобрать стратегию для роутера. Методом тыка это я умею, но хотелось бы научится делать по уму. Где почитать инструкцию и что для этого надо.
На роуторе openwrt, на компе винда

проблема с запретом, позавчера обновил его до новой версии что-бы был дискорд без костыля в виде QUIC, после чего он стал зависать. До этого месяц исправно работал без намека на проблемы. (nftables режим)

прост если снесу удаляю запрет, он перестает виснуть.

попробуй чистую установку или --debug может что то покажет

• сегодня апдейт вышел, может его еще

Продолжая обсуждение из темы Zapret: what's new:

Блин, ждал этой фишки, а толку нет, нат убирать какой то геморрой ради такого функционала.

Соберите новую сборку https://firmware-selector.openwrt.org/
добавьте туда пакеты
unzip kmod-nfnetlink-queue kmod-nft-queue gzip
и какие ещё там вам нужны лично для вас
можно добавить русик
luci-i18n-base-ru luci-i18n-firewall-ru luci-i18n-opkg-ru
сохраните настройки роутера и прошейте без сохранения, затем зальёте сохранку после прошивки и на чистую установите запрет.
если вы себе не устанавливаете https-dns-proxy, то тогда зайдите через люси в DHCP и DNS - перенаправление и добавьте туда в Перенаправление запросов DNS эту строку
/use-application-dns.net/
хотя я бы рассмотрел на вашем месте возможность установить эти два пакета
luci-app-https-dns-proxy luci-i18n-https-dns-proxy-ru
тогда и добавлять строку не надо, сама добавится
так же рассмотрите эти 2 пакета
zram-swap kmod-lib-lz4
это из оперативки создаст дополнительных 27 мгб или зависит от памяти ram
на главной странице люси появится этот раздел - Свободно подкачки (swap)
это типа файла подкачки как на копме и не важно сколько у вас памяти, она будет всё равно использоваться, исключая нехватку памяти.
В идеале работает роутер когда все нужные пакеты установлены в образе, это экономит память и лучше работает, это я заметил фактически сразу как перебшел на wrt
Если у вас pppoe не забудьте поставить mtu 1480 и не спрашивайте почему, много тех кто не согласен с моим мнением, пытаются оспаривать, но это личное их дело, пусть ставят что хотят, а потом пишут что за фигня, вчера работала, сегодня нет.
Программный flow offloading в файрволе у меня включён и нормально всё работает, ну у меня во всяком случаи, хоть и рекомендация его не включать, но у меня всё работает нормально, тут на любителя
Пакеты типа QOS не устанавливайте, я проводил тесты, режут скорость, увеличивают нагрузку и пинг, толку от них нету
Вместо этого, можно рассмотреть установку таких пакетов kmod-tcp-bbr kmod-sched-cake
включается через sysctl этой командой
echo “net.ipv4.tcp_congestion_control=bbr
net.core.default_qdisc=cake” > /etc/sysctl.conf
сетевой стёк начинает работать ровно, нет скачков резких при включении торрента, когда он наглухо вырубает всем скорость, работает более плавно, но опять же на любителя.
Учитывайте что пакетик icmp может вам выключить нэт, такой пакет их неоткуда, поэтому рассмотрите возможность заблокировать весь icmp протокол, это создаст неудобство в плане проверить пинг, но зато такой вот пакетик не сможет вам навредить ) Все функции связанные с icmp нужно будет отключить. Это как все говорят вредный совет и со мной никто не согласен, но моё мнение немного отличается от всех несогласных )

В POSTNAT режиме nfqws не получает адрес клиента.
Он нужен, чтобы беспрепятственно задействовать дурение, ломающее NAT. Как можно ближе к выплевыванию на сетевой адаптер в инет.
Без этого некоторые атаки перестанут работать на проходящий трафик

После обновления в zapret-hosts-auto-debug.log
стали появляться

видимо стратегия для квика не может дурить и потом наверно переключается на tls (проверить сложно, если смотреть с компа то квик подключение не учавствует, а все эти логи я получаю с десткого ютуба с телефона), но просто в предыдущей версии такое не писалось
в --hostlist=/opt/zapret/ipset/zapret-hosts-youtube.txt есть googlevideo.com, а zapret-hosts-auto.txt теперь будет засираться всякими r10—sn-n8v7kne6
либо подбирать стратегию под квик
log3.txt (357,3 КБ)
в логе rr7---sn-n8v7znsl.googlevideo.com
ps
не понятно почему в прошлой версии не спамило квиком в логе

Есть возможность проверить стратегию, не останавляивая zapret? Желательно под линукс. Было бы удобно фоном раз в день автоматом прогнать несколько доменов.

qemu kvm libvirt опционально virt-manager

Я вчера как раз разбирался как в OpenWrt устроена установка/обновление/удаление IPK.
В итоге сделал так: Alpha version (test) · remittor/zapret-openwrt · Discussion #1 · GitHub

изображение808×769 43.4 KB

Нет, надо останавливать

В прошлой версии оно писалось , но без указания протокола.
Это вырезка из лога или таков он и есть ? После threshold reached должна быть инфа о fail counter.
Если не нужно, можно googlevideo.com унести в exclude.
Если оно пытается считать попытки retrans, значит в листе его еще нет

я лог файл выложил
какие то сервера добавляются, какие то нет
fail counter бывает 1 бывает 2, и пропадает ну и бывает 3 и добавление
а листе он есть, в логе видно
Hostlist check for rr7---sn-n8v7znsl.googlevideo.com : negative
Hostlist check for googlevideo.com : positive

если в прошлой версии писалось, тогда не понятно почему я не видел такого спама в логе
PS
ну ладно, в целом то всё работает, а лог всё равно отключу тк по ip не увидеть какое конкретно устройство спамит