Zapret: обсуждение

bolvan · August 4, 2024, 6:28pm

отправляется quic short
0x40 0x00 0x00 …

bolvan · August 4, 2024, 6:30pm

нат разные бывают
нат от вируалок ломает почти все
линуховый нат ломает некоторые методы
еще роутеры кое что могут ломать. бадсум не пропускать

bolvan · August 4, 2024, 6:32pm

недавно узнал что с модулем ядра br_netfilter можно работать с ип нф таблес на мостах
возможно и запрет пойдет без дополнительного л3 роутинга

litev · August 4, 2024, 6:40pm

Доступен пакет kmod-br-netfilter. Это оно? Без дополнительного роутинга - это просто переткнуть основной роутер в LAN и отключить DHCP?
Скорее всего проблема в моих нулевых знаниях OpenWrt и есть просто способ объединить сети двух роутеров через WAN. Мне всего-то нужен доступ ко всем устройствам в обоих сетях

bolvan · August 5, 2024, 3:49am

да это оно. обьдинить через лан
дхцп откл на опенврт
на опенврт задать статик ип вне диапазона дхцп чтобы доступ не потерять без другого рутера

litev · August 5, 2024, 4:15am

Збс, спасибо. Будем попробовать.
Получилось настроить сам запрет и всё отлично, но есть нюанс.
В хроме ютуб работает богически, протогол h3, изредка проглядывает h1.1
Огнелис мертв совсем, там h2 и h1.1 попеременно и ничего не грузит, пакеты теряются с ns_error_dom_bad_url
Телефон грузит хорошо, но с периодическими затупами.
Куда копать?
Настройки:

NFQWS_OPT_DESYNC=“–dpi-desync=fake --dpi-desync-ttl=0 --dpi-desync-ttl6=0 --dpi-desync-fooling=badsum”
NFQWS_OPT_DESYNC_HTTP=“–dpi-desync=fake --dpi-desync-ttl=3
NFQWS_OPT_DESYNC_HTTPS=”–dpi-desync=split2 --dpi-desync-split-pos=1"
NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=fake --dpi-desync-repeats=6 --dpi-desync-fooling=md5sig”

Провайдер прихвостень ЭР-телеком, dnscrypt обязательно
П.С. Спасибо за советы и саму прогу. С неё, конечно, ёжика родишь, пока настраиваешь, но работает магистрально.
П.П.С. В блокчек можно сразу несколько доменов закидывать? Если нет - функция нужная, ибо долго и проще штук 10 разных кинуть и забыть на пару часов, а потом текстовик изучить.

bolvan · August 5, 2024, 2:17pm

домены можно вводить через пробел в блокчеке

копать в исследование что происходит
ф12 и вирешарк + знания и голова
и эксперименты со стратегиями

таблетки волшебной нет на все случаи

kobzev-dmitriy · August 5, 2024, 2:47pm

Я например нашел настройки под GDI, можно ли как-то эти опции конвертировать в nfqs? Хотел конечно через blockcheck, но он у меня не работает под keenetic

bolvan · August 5, 2024, 5:03pm

можно но зачем ?
с компа прогнать блокчек
для роутера уменьшить ттл на 1 если он есть

disappointed · August 6, 2024, 3:33pm

Нашёл еденичные хосты GGC ютуба, к которым зависает TLS даже без SNI, пробивается только режимом syndata. Подскажите насколько он проблемный в режиме hostlist? Получается он поправляет все SYN-ы на 443 порт. На первый вгляд всё работает хорошо, но даже wireshark из-за этого пейлоада в конце, не может нормально отобразить флаги tcp.
UPD: К сожалению нашёл сайт который ломается этой стратегией.

bolvan · August 6, 2024, 6:28pm

синдата не работает с хостлистами

disappointed · August 6, 2024, 6:43pm

Я неверно сформулировал вопрос, я понимаю что не работает, имеется ввиду синдата как добавление к режиму хостилист. Но я уже понял, что вполне ломает некоторые сервисы. Нашёл сайт, нужный по работе, который даже при добавлении одного 0x00 в конец SYN, перестаёт реагировать на коннект.

bolvan · August 7, 2024, 4:12am

фильтр по ип или ипсет
других вариантов не вижу

electrifying · August 7, 2024, 6:12am

Хотелось бы узнать, а почему автор не советует использовать zapret на роутерах keenetic если он там работает и многие ставят? Или это относится только к определенным старым моделям устройств? Ютуб обходится, заблокированные сайты тоже, все дело в том что кинетик каким-то образом нарушает обход если включен квик?

bolvan · August 7, 2024, 11:12am

там есть ряд проблем
используйте если хотите
автор лишь открещивается от любой поддержки этих устройств
все сами

ShiroiBara · August 10, 2024, 4:46pm

Вопрос или идея может быть уже обсуждалась, но все же спрошу снова - возможна ли будующая реализация программы с применением разных правил для разных доменов? Дело в том, что провренные методы обхода не всегда работают для всех сайтов и иногда попадается варианты, где требуется более тонкая настройка для определенного домена, которая ломает или не срабатывает на остальных. Что-то из рода такого:
–dpi-desync=fake --domain-list=domainlist1.txt для domain1.com
–dpi-desync-disorder2 --domain-list=domainlist2.txt для domain2.txt
Все это для процесса nfwqs под linux’ом. Да и все конечно в одной строке, при одном запущенном zapret’е формат привел чисто как идею.
Или это можно реализовать через запуск нескольких процессов с разной очередью и правилами файервола? Сейчас приходится часть заворачивать в 6to4 туннель, для тех, которые имеют поддержку 6го протокола и АААА записи в ДНС, а 4ые в впн, по причинам разных методов обхода, которые не всегда четко срабатывают. И да, понимаю, что с автохостлистом сложности будут, но возможно тогда просто он будет отключен в новом режиме.

bolvan · August 10, 2024, 5:44pm

планирую это в ближаший месяц-два
сейчас только через подбор стоатегии класса общий знаменатель

BOLNICHKA39 · August 14, 2024, 3:22pm

Ко мне в конце недели придет роутер banana pi r4, сейчас самый лучший вариант для обхода dpi это zapret от болвана?

bolvan · August 14, 2024, 4:19pm

если интересует автономный обход, кроме запрета есть еще byedpi. и его можно прозрачно завернуть через redsocks или tun2socks
а других аналогичных решений под линух я и не знаю

yatolkosprosit · August 14, 2024, 8:58pm

Если я верно понял, программу можно установить запуская последовательно скрипты, а можно скомпиллировать из исходников. И я слышал, что эти варианты не равнозначны. А в чем разница?