- Отсутствие закладок и бэкдоров от производителя, провайдера, настройщика
- Отсутствие потенциальных препятствий для работы обхода. Мало ли что он там режет. какой фулинг и TTL. Не потому ли на МГТС так мало стратегий работает ? не роутер ли виноват, который там фирменный ?
- Отсутствие лишнего NAT. Это хорошо сказывается на скорости и лучше пробивается всякими ICE. Много NAT может не пробиться
- Если внешний IP, то ты имеешь сам к нему доступ на своем контролируемом роутере. Заводской же в лучшем случае даст сделать проброс портов
bolvan уже ответил. Добавлю, конкретно у МГТС два нюанса - для включения бриджа нужно вбить параметр в html, так как в веб-морде он в списке не выпадает (есть инструкция на 4pda), и при перезагрузке (в т.ч. при отключении питания) сбрасывается port binding - решается подключением через UPS. И сохраняется конфиг, на всякий случай, чтобы восстанавливать одним движением.
Вот, это уже ответ, спасибо )
Ещё небольшой лайфхак при включении бриджа, если к интернету подключение через DHCP - настроить ту же локальную сеть на вашем роутере, как и дефолтная на роутера провайдера. Например, если на провайдерском роутере по умолчанию 192.168.1.x, то и в своём роутере задаётся эта же локалка (при обычном подключении роутера к роутеру, естественно, наоборот, локальные сети задаются разные). В этом случае при сбросе настроек или принудительном обновлении прошивки провайдером на своём роутере, когда слетит бридж, наиболее вероятно (если только заодно не сменится настройка локальной подсети), будет конфликт с подсетью и пропадёт подключение к интернету на вашем роутере, что должно привлечь внимание.
Такой вопрос, безопасно ли использовать запрет в плане посещения сайтов банков / госуслуг итд. В плане шанс того что как-либо взломают / украдут данные такой же как и без использования запрета или выше? И чтобы запрет не юзался на определенных сайтах нужно ТОЛЬКО внести в zapret-hosts-user-exclude.txt список нужных доменов / ip? Но нужно ли это если итак все работает и не влияет на безопасность?
Я не вижу никаких моментов, влияющих на безопасность, связанных с zapret.
Максимум, что можно получить, это неработающие сайты.
В сборки от васянов могут напихать что угодно, вплоть до крадущих что-то троянов.
Хостлисты не работают на стратегиях нулевой фазы.
wssize и syndata - мимо.
Так же если брать скрипты запуска, то применение фильтра по хостлисту, настроенного в /opt/zapret/config, ведется только к последнему профилю. Если есть --new, это повод задуматься
А что не так с new? И если он создает дыру в безопасности, чем его заменить? Просто в одну строку бахнуть? У меня тут в каждой строке new…
NFQWS_OPT_DESYNC="
--hostlist=/opt/zapret/zapret_lists/russia-youtubeQ.txt --filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=4 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new
--hostlist=/opt/zapret/zapret_lists/russia-youtubeGV.txt --filter-tcp=443 --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-ttl=4 --new
--hostlist=/opt/zapret/zapret_lists/russia-youtube.txt --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-ttl=3 --new
--hostlist=/opt/zapret/zapret_lists/russia-blacklist.txt --filter-tcp=80 --dpi-desync=fake,split2 --dpi-desync-fooling=md5sig --new
--hostlist=/opt/zapret/zapret_lists/russia-blacklist.txt --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sniext --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-ttl=5 --new
--hostlist=/opt/zapret/zapret_lists/russia-discord.txt --filter-udp=443 --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=7 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new
--filter-udp=50000-65535 --dpi-desync=fake,tamper --dpi-desync-any-protocol --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new
--hostlist=/opt/zapret/zapret_lists/russia-discord.txt --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sniext --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-ttl=4"
new не создает дыру в безопасности.
Но он может сделать так, что MODE=hostlist не будет применятся вообще или применяться ожидаемым образом, и тем самым дурение будет применяться к сбербанку
--filter-udp=50000-65535 --dpi-desync=fake,tamper --dpi-desync-any-protocol
вот это полностью нерабочая глупость для скриптов запуска
никаким образом инстанс из NFQWS_OPT_DESYNC не будет получать udp пакеты
в win версии это ТРЭШ С ФЛУДОМ. так везде и пишу чуть ли не матом на того идиота, кто это выкатил, и потом это копируется бездумно всеми подряд. обьяснять опять ничего не буду - надоело.
однажды кто-нибудь вас забанит, будете потом в службу поддержки сбербанка долго стучаться
(уловно говоря. но кто-то правда вас сможет забанить за ФЛУД)
--hostlist=/opt/zapret/zapret_lists/russia-discord.txt --filter-udp=443 --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=7 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new
Здесь тоже никогда не сработает
udplen параметры вообще ни с какого боку
для discord написан отдельный custom
да здравствует копипаста
Убрал приведенные выше строки, видел кастом для дискорда, но еще не разобрался, но в любом случае там помимо дискорда у меня еще 6 строк, как избавится от new?
NFQWS_OPT_DESYNC="
--hostlist=/opt/zapret/zapret_lists/russia-youtubeQ.txt --filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=4 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new
--hostlist=/opt/zapret/zapret_lists/russia-youtubeGV.txt --filter-tcp=443 --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-ttl=4 --new
--hostlist=/opt/zapret/zapret_lists/russia-youtube.txt --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-ttl=3 --new
--hostlist=/opt/zapret/zapret_lists/russia-blacklist.txt --filter-tcp=80 --dpi-desync=fake,split2 --dpi-desync-fooling=md5sig --new
--hostlist=/opt/zapret/zapret_lists/russia-blacklist.txt --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sniext --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-ttl=5 --new
--hostlist=/opt/zapret/zapret_lists/russia-discord.txt --filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=7 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new
--dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new
--hostlist=/opt/zapret/zapret_lists/russia-discord.txt --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sniext --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-ttl=4"
Цель не в избавлении от new, а во вдумчивом его применении.
Если он пишется, надо понимать зачем
Все udp здесь работать не будет
Весь этот конфиг я взял из сборки YTDisBystro, получается он неверно написан? Или он только под винду? Я его переделал немного под linux
Этот конфиг был в ранних версиях сборки. Начиная с 1.0 такого там уже нет
--filter-udp=50000-65535 --dpi-desync=fake,tamper --dpi-desync-any-protocol
И убрали его именно после пояснения, что так делать НЕЛЬЗЯ.
Вы берите последние версии сборок, или читайте темы. Иначе странно получается, один человек выкатил ошибочный и вредный пример. Почему-то его пример все взяли и распространяют, а потом 100500 раз обсуждений и пояснений, что это ошибка была, никто НЕ читает. И по сети гуляют именно неправильные конструкции, которые еще и вредные.
Под windows запуск немного отличается, потому что там нет ip/nf tables.
Они можно сказать вшиты в сам zapret. Реализация через windivert.
И если на linux надо написать
iptables -I POSTROUTING -t mangle -o eth0 -p tcp --dport 443 … -j NFQUEUE --queue-num 200
nfqws --qnum=200 --dpi-desync=split2
То в винде это делается
winws --wf-tcp=443 --dpi-desync=split2
в linux есть скрипты запуска. Это обертка вокруг голых иптаблес и nfqws/tpws. У нее есть свои особенности. Изначально она не была расчитана на мультистратегии, поэтому исторически там пишется отдельно для http,https,quic, а все остальное пишется кастомами или отказом от скриптов и ручным запуском на свое усмотрение
Проверил, в последней версии --filter-udp=50000-50020
То есть, вот это безопасный и рабочий конфиг?:
Переделал, получилось так:
--hostlist=/opt/zapret/zapret_lists/russia-youtubeQ.txt --filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=2 --dpi-desync-cutoff=n2 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_test_00.bin --new
--hostlist=/opt/zapret/zapret_lists/russia-youtubeGV.txt --filter-tcp=443 --dpi-desync=split --dpi-desync-split-tls=sniext --dpi-desync-repeats=6 --dpi-desync-cutoff=d2 --dpi-desync-autottl --new
--hostlist=/opt/zapret/zapret_lists/russia-youtube.txt --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-ttl=autottl --new
--hostlist=/opt/zapret/zapret_lists/russia-blacklist.txt --filter-tcp=80 --dpi-desync=fake,split2 --dpi-desync-fooling=md5sig --dpi-desync-autottl --new
--hostlist=/opt/zapret/zapret_lists/russia-blacklist.txt --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sniext --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-skip-nosni=1 --dpi-desync-autottl --new
--hostlist=/opt/zapret/zapret_lists/russia-discord.txt --filter-udp=443 --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=7 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_test_00.bin --dpi-desync-cutoff=n2 --new
--filter-udp=50000-50020 --dpi-desync=fake,split2 --dpi-desync-any-protocol --dpi-desync-cutoff=d2 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_test_00 --new
--hostlist=/opt/zapret/zapret_lists/russia-discord.txt --filter-tcp=443 --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-autottl --new
--hostlist-auto=/opt/zapret/zapret_lists/autohostlist.txt --hostlist-exclude=/opt/zapret/zapret_lists/netrogat.txt --filter-tcp=443 --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-autottl
У меня роутер, куда поставил опенврт 23.05
Это строчку в начало конфига дописать?
iptables -I POSTROUTING -t mangle -o eth0 -p tcp --dport 443 … -j NFQUEUE --queue-num 200
nfqws --qnum=200 --dpi-desync=split2
--hostlist=/opt/zapret/zapret_lists/russia-youtubeQ.txt --filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=2 --dpi-desync-cutoff=n2 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_test_00.bin --new
--hostlist=/opt/zapret/zapret_lists/russia-youtubeGV.txt --filter-tcp=443 --dpi-desync=split --dpi-desync-split-tls=sniext --dpi-desync-repeats=6 --dpi-desync-cutoff=d2 --dpi-desync-autottl --new
--hostlist=/opt/zapret/zapret_lists/russia-youtube.txt --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-ttl=autottl --new
--hostlist=/opt/zapret/zapret_lists/russia-blacklist.txt --filter-tcp=80 --dpi-desync=fake,split2 --dpi-desync-fooling=md5sig --dpi-desync-autottl --new
--hostlist=/opt/zapret/zapret_lists/russia-blacklist.txt --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sniext --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-skip-nosni=1 --dpi-desync-autottl --new
--hostlist=/opt/zapret/zapret_lists/russia-discord.txt --filter-udp=443 --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=7 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_test_00.bin --dpi-desync-cutoff=n2 --new
--filter-udp=50000-50020 --dpi-desync=fake,split2 --dpi-desync-any-protocol --dpi-desync-cutoff=d2 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_test_00 --new
--hostlist=/opt/zapret/zapret_lists/russia-discord.txt --filter-tcp=443 --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-autottl --new
--hostlist-auto=/opt/zapret/zapret_lists/autohostlist.txt --hostlist-exclude=/opt/zapret/zapret_lists/netrogat.txt --filter-tcp=443 --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-autottl
Это лучше. Я не берусь судить что там автор раскидал по листам.
cutoff обязателен только если есть --dpi-desync-any-protocol. Но автор, видимо, этого все еще не понимает. Но хотя бы флуда нет. На linux вместо cutoff есть connbytes в ip/nf таблес, потому там без него можно обойтись
У меня роутер, куда поставил опенврт 23.05
Это строчку в начало конфига дописать?
Нет, все не так просто.
Не надо просто так бездумно ничего добавлять. Это просто пример был различий в реализации “фильтра” на Linux И Windows.
У вас на роутере свои конфиги будут, просто так копипастить между этим конфигом и тем нельзя.
А может понимает, но хочет посмотреть на вашу реакцию, когда конфиг потащат сюда 
Главное - не мешает и ничего не ломает. На винде. Как уж на линуксах я не знаю )
Не заработало с cutoff, без - полет отличный.
Сейчас такой конфиг:
--hostlist=/opt/zapret/zapret_lists/russia-youtubeQ.txt --filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=4 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new
--hostlist=/opt/zapret/zapret_lists/russia-youtubeGV.txt --filter-tcp=443 --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-autottl --new
--hostlist=/opt/zapret/zapret_lists/russia-youtube.txt --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-ttl=autottl --new
--hostlist=/opt/zapret/zapret_lists/russia-blacklist.txt --filter-tcp=80 --dpi-desync=fake,split2 --dpi-desync-fooling=md5sig --dpi-desync-autottl --new
--hostlist=/opt/zapret/zapret_lists/russia-blacklist.txt --filter-tcp=443 --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sniext --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-skip-nosni=1 --dpi-desync-autottl --new
--hostlist=/opt/zapret/zapret_lists/russia-discord.txt --filter-udp=443 --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=7 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new
--filter-udp=50000-50020 --dpi-desync=fake --dpi-desync-any-protocol --dpi-desync-cutoff=n2 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new
--hostlist=/opt/zapret/zapret_lists/russia-discord.txt --filter-tcp=443 --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-autottl --new
--dpi-desync=fake,split2 --hostlist-auto=/opt/zapret/zapret_lists/autohostlist.txt --hostlist-exclude=/opt/zapret/zapret_lists/netrogat.txt --filter-tcp=443 --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-autottl
Не подскажите как на опенврт роутере прописать (из виндового конфига)
--wf-tcp=80,443 --wf-udp=443,50000-50020
Чтобы уж полноценный был конфиг рабочий, спасибо за помощь
Если так делать, то оставлять
MODE_FILTER=none
убирать весь udp из NFQWS_OPT_DESYNC
udp с 443 помещать в NFQWS_OPT_DESYNC_QUIC с редактированием. достаточно оставить --dpi-desync=fake --dpi-desync-repeats=1 (или чуть больше, надо блокчек гнать. возможно, потребуется пробив нестандартным фейком)
убирать --filter-udp
убирать cutoff и desync any protocol
убирать tamper и udplen (они не работают в данном конфиге)
убирать все со словом “discord” (тк специализация для discord не имеет смысла, udplen не работает)
ставить MODE=custom
MODE_HTTP=1 MODE_HTTP_KEEPALIVE=0 MODE_HTTPS=1 MODE_QUIC=1
в init.d/openwrt/custom.d скопировать файлы
init.d/openwrt/custom.d.examples/{10-inherit-nfqws,50-discord}
и то, гарантий по стратегии, разумеется, никаких
как видите, кроме простого переноса конфига, есть еще куча бесполезных настроек, которые желательно убирать. и доисследование параметров на своем провайдере