Zapret: обсуждение

bolvan · October 23, 2024, 1:30pm

В доке все описано.
Не работает по разным причинам. Например, из-за ассиметрии исходящего и входящего пути.
autottl основано на предположениях, которые не всегда оказываются верными

notAlx · October 23, 2024, 3:02pm

Здравствуйте. Объясните пожалуйста, для чего в preset_russia(_autohostlist).cmd вот это:
--filter-udp=50000-50099 --new ^
Если мы перед этим уже отфильтровали по этим ip, проверили адрес назначения в ipset и применили методы дурения. Что будет происходить без этого правила? Просто хотелось бы понять, надо ли так же для других наборов портов и ip делать аналогичное пустое правило.

arinoki · October 23, 2024, 3:41pm

У меня впечатление, что эта строчка вообще ничего не делает и вероятно как-то случайно появилась.

bolvan · October 23, 2024, 3:52pm

О, нет. Она там далеко не случайно.
Она нужна, чтобы udp 50000-50099 на адреса не из ipset discord не попало сюда
–dpi-desync=fake,disorder2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig
Всегда при анализе конфигов pktws следует придерживаться алгоритма и мысленно его трассировать по шагам. На входе некий пакет, куда он попадет ?

notAlx · October 23, 2024, 4:05pm

Значит оно попадает на --filter-udp=50000-50099 --new ^ и это равносильно правилу “ничего не делать с этими пакетами”. А если на всех стратегиях есть --hostlist или вообще нет стратегий без конкретного указания --filter-tcp или --filter-udp, то необходимости в той строке уже нет?

bolvan · October 23, 2024, 4:12pm

Верно

Тогда оно упадет в profile 0, и будет тот же самый эффект.
Но надо помнить еще про autohostlist. Он приоритетен, может упасть туда

viveler · October 23, 2024, 5:36pm

каким то образом после блокчека заработал preset_russia с x.com

незнаю как но спасибо

Crab_malevi4 · October 23, 2024, 7:10pm

Доброго дня, сегодня отвалился yt3.ggpht.com во вкладке Network в хроме вот такое - (failed) net::ERR_CONNECTION_RESET.
Как вообще проверить по ip его забанили или как? Потому как все адреса связанные с ютубом работают, и этот также работал 2 дня назад и вдруг перестал резко. Пользуюсь сборкой Zapret-а YTDisBystro от KDS-а если что

SanSerg · October 23, 2024, 8:34pm

Первая проверка ping yt3.ggpht.com
обычно если блок прямо по IP То и пинг не работает. Еще обратить внимание на то какой IP будет.
можно еще проверить nslookup yt3.ggpht.com и IP должен быть один из “реальных” IP этого адреса, а не подставленный провайдером левый например. Список всех “реальных” IP можно найти скриптом IPFinder от @Ori .
Хотя опять же это больше для того случая если НЕ включен DoH в браузере. А если включен, то проверять ping на тот IP к которому браузер обращается. Его можно увидеть в консоли разработчика F12
Блок чисто по IP хорошо видно еще в Wireshrkе. Там видно что даже ответов на SYN нет. Но это всё частные случаи, у разных провайдеров может быть по разному всё.

arinoki · October 23, 2024, 8:56pm

Я правильно понимаю, что если в эту строчку добавить --filter-tcp=443, то эффект по сути будет ровно тот же?
--filter-tcp=443 --dpi-desync=fake,disorder2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --hostlist-auto="%~dp0autohostlist.txt"

AnyWay · October 23, 2024, 9:17pm

Парни, кто как мету обходит?
У меня идет через autohostlist обход, а у друга он тупо не пашет, потому что оптоволокно, от ростелекомовского роутера идет кабель.
Весь запрет работает, а вот инста и прочее от мета никак.

arinoki · October 23, 2024, 9:54pm

dns-over-https в браузере или на уровне системы включен?
blockcheck пытались прогонять по нужным доменам?

Спойлер

fbcdn.net
fbsbx.com
facebook.com
instagram.com
cdninstagram.com

Примерный список доменов. Можете надёргать и из своего hostlist-auto, раз у вас всё работает. Если не поможет - можно занести домены с правильными айпишниками в hosts. Айпишники можно найти через этот скрипт.

Подбор рабочего конфига для GGC ютуба через blockcheck Zapret

Как оказалось, в прошлой версии я сломал парсер, когда переписывал его для параллельных запросов. В итоге учитывались только результаты из 1 потока. Исправил. Также немного переделал систему тестирования найденных айпи. Добавил пинг, улучшил проверку редиректа (теперь он реагирует только на смену домена, редиректы из разряда google.com → www.google.com считаются безопасными). В целом сделал отображение покрасивше~ IPfinder.cmd (15,7 КБ) [ffffff]

fresa · October 24, 2024, 11:28am

--dpi-desync=split2 \
--dpi-desync-split-seqovl=1 \

работает всё, кроме главной instagram.com. для твиттера отдельная стратегия понадобилась. ютубы через впн, там постоянно надо что-то чинить, а мне лень

arinoki · October 24, 2024, 12:54pm

Честно говоря не знаю что там постоянно надо чинить. У меня в целом стратегия для tcp-443 не менялась уже почти месяц и работает универсально на всё. И youtube, и facebook/instagram/x тоже.

fresa · October 24, 2024, 1:01pm

мета и трекеры, обходятся чуть ли не просто запуском запрета. для ютуба я для себя стратегию так и не нашёл, все блокчекеры говорят одно, но вижу я только фигу, а не котиков

arinoki · October 24, 2024, 1:27pm

А по инструкции отсюда подбирали?

Подбор рабочего конфига для GGC ютуба через blockcheck Zapret

Примечание: На время проверки нужно отключить фаерволл / брандмауэр / антивирус. Если до этого стоял goodbyedpi, то запустить от имени администратора service_remove.cmd Скачать и распаковать архив с zapret (автор bolvan) https://github.com/bol-van/zapret-win-bundle/archive/refs/heads/master.zip
Примечание для системы x32 либо windows 7:
На x32 zapret не работает, а на windows 7 нужно скопировать файлы WinDivert.dll и WinDivert64.sys из папки x86_64\ с goodbyedpi и заменить в zapret-е в 2 мес…

fresa · October 24, 2024, 1:34pm

спасибо за советы, но мне не интересно это, у меня есть впска. я просто челу написал как работает у меня, я не искал стратегию для себя

Acindaz · October 25, 2024, 8:33am

Кол-во рабочих стратегий, находимых блокчеком на моем прове, с каждом днем все меньше и меньше. А те, которые найдены, на деле без добавления десятка повторов практически неработоспособны. У меня на два оставшихся кое-как обходимых провайдерских ggc нашлось сегодня только это для tls v1.3:

первый

--dpi-desync=split --dpi-desync-fooling=badseq
--dpi-desync=fake,split --dpi-desync-ttl=3 --dpi-desync-fake-tls=0x00000000
--dpi-desync=fake,split --dpi-desync-fooling=badseq --dpi-desync-fake-tls=0x00000000
--dpi-desync=split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3
--dpi-desync=fake,split --dpi-desync-ttl=1 --dpi-desync-autottl=1 --dpi-desync-fake-tls=0x00000000
--dpi-desync=fake,split --dpi-desync-ttl=1 --dpi-desync-autottl=3 --dpi-desync-fake-tls=0x00000000
--dpi-desync=fake,split --dpi-desync-ttl=1 --dpi-desync-autottl=5 --dpi-desync-fake-tls=0x00000000
--dpi-desync=syndata,split2

второй

--dpi-desync=fake,split --dpi-desync-fooling=md5sig --dpi-desync-fake-tls=0x00000000
--dpi-desync=split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-pos=2
--dpi-desync=split2 --dpi-desync-split-seqovl=3 --dpi-desync-split-pos=4
--dpi-desync=fake,split --dpi-desync-ttl=1 --dpi-desync-autottl=3 --dpi-desync-fake-tls=0x00000000

Из них более-менее уверенно работает только:
--dpi-desync=split --dpi-desync-fooling=badseq,md5sig --dpi-desync-repeats=13

abc555 · October 25, 2024, 9:08am

Столкнулся с арчером с7 v4 и нихрена не получилось чтоб работал запрет на nftables пробовал, главное на арчере с20 v4 всё чётко и все те же настройки, всё тоже самое на c7 нифига не завелись, та и вообще он как то работает неправильно сам по себе. В общем к чему я клоню, к тому что у каждой модели свои косяки. Похоже что с дровами от wrt какие то проблемы судя по его работе, но так как роутер не мой, решать вопрос не хочу. Просто хочу сказать, чтоб вы не думали что купите новый какой не будь роутер и всё будет хорошо. Если он без запрета работает со странностями, то ставя запрет, вы вообще ничего не поймёте что происходит. Я просто натыкался на коменты, типа что за фигня, а фигня как раз в самом роуторе изначально и запрет тут явно не приделах )

abc555 · October 25, 2024, 9:17am

Без unzip я ещё не пробовал, но спасибо, минус 100 кб как раз то что надо, следующую сборку попробую