У вас каша в голове.
ttl сам по себе ничего не делает. это один из ограничителей для фейков, чтобы они не дошли до сервера. В отличие от гудбая, где опция ttl заводит фейк. В zapret это не так.
icmp expired in transit - нормальное явление на пакеты с ограниченным TTL
Раньше через гудбай просто включаешь авто ttl в лаунчере, ну мне так удобней и некоторые сайты начинают работать, не включаешь больше ничего, только авто ttl, но начинает от провайдера с его ip адресов сыпаться icmp, лавинами, поэтому лично я отказался от использования ttl вообще, стал подбирать другие варианты и флуд icmp больше не беспокоит.
В запрете я не знаю, проверить не могу, не знаю как.
Как на уровне роутера проверить что он там делает, я понятия не имею, вижу только подключения, порты какие он использует, а так, как проверить, Wireshark тут уже не поможет.
Разве только подключить его к другому роутеру и возможно что нить можно увидеть тогда, есть флуд или нет, но я так ещё не пробовал.
Раньше ещё когда пользовался стандартной прошивкой, я так и делал, проверял, не открыт ли у него порт или ещё что не будь, искал уязвимости, перед тем как подключить его напрямую в сеть и некоторые модели не оправдали моего доверия и я отказался от них, потом уже перешел на wrt, так юзал, проверял, досил его и вроде как тягу он выдержал и только тогда подключил его на прямую
tcpdump есть для этих целей
Ну им ещё надо уметь пользоваться, уметь читать логи, не всё так просто )
Если всему этому научится, то можно идти в нэт кантору работать смело как специалист )
Если бы они ещё платили нормально, то так бы и сделал )
Не знаю как где, но у нас такие дремучие работают, полный ноль, я общался с многими, там действительно одна каша в голове и никакой фантазии )
Они даже кабель не в состоянии протянуть по уму, так всё на пох делают как им удобней.
И с час реклама идёт, “набираем в школу it”, кого вы набираете, кого попала и что попало, как минимум один на тысячу который возможно осилит и какова вероятность что он придёт учится, возможно толковый такой выберет что нить с бизнесом, так как капуста сразу, а не потом может быть, поэтому никого они не найдут никогда, ну имею введу нормального кто действительно осилит )
А где можно скачать сборку со старым скриптом, а не новым? Разобрался
Кстати, а почему установка и конфиг поменялись? В старой что-то было не так? У меня просто старая версия раскатана нужно ли обновляться до совсем новой?
Есть соседняя тема whatsnew. Там описаны все причины.
Если кратко, то старая конфигурация была расcчитана на старый вариант без мультистратегий, и народ начал им злоупотреблять после их введения. + добавлена гибкость в настройке и облегчен перенос конфигов с винды
Хотел проверить версию с больше чем 20 репитсами.
Поменял и поставил в стратегии 40 репитсов:
case 21: /* dpi-desync-repeats */
if (sscanf(optarg,"%u",&dp->desync_repeats)<1 || !dp->desync_repeats || dp->desync_repeats>100)
{
DLOG_ERR("dpi-desync-repeats must be within 1..100\n");
exit_clean(1);
}
break;
а в логе (дебаг) все равно пишет:
dpi-desync-repeats must be within 1…20
Вроде больше нигде проверку на repeats>20 не нашел, только если внутри бинарника она
А компилировать кто будет ? Это не шелл скрипт, а код на C
Простите за глупый вопрос, но можно, пожалуйста, какой-нибудь пример флуда в вайршарке? Чтобы знать чего избегать.( и чтобы вы не ругались 
) Просто посматривая туда я не наблюдаю какой-то огромной стены пакетов нескончаемой…но вдруг что-то упускаю.
Получилось собрать конфиг для нового zapret на openwrt на основе сборки YTDisBystro
Summary
NFQWS_ENABLE=1
NFQWS_PORTS_TCP=80,443,50000-50090
NFQWS_PORTS_UDP=443,50000-50090
NFQWS_TCP_PKT_OUT=9
NFQWS_TCP_PKT_IN=3
NFQWS_UDP_PKT_OUT=9
NFQWS_UDP_PKT_IN=0
--filter-tcp=80 --hostlist=/opt/zapret-lists/netrogat.txt --new
--filter-tcp=443 --hostlist=/opt/zapret-lists/netrogat.txt --new
--filter-udp=443 --hostlist=/opt/zapret-lists/russia-youtubeQ.txt --dpi-desync=fake --dpi-desync-repeats=2 --dpi-desync-cutoff=n2 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_pl_by_ori.bin --new
--filter-tcp=443 --hostlist=/opt/zapret-lists/russia-youtubeGV.txt --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-autottl --new
--filter-tcp=443 --hostlist=/opt/zapret-lists/russia-youtube.txt --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=2 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-autottl
--filter-tcp=80 --hostlist=/opt/zapret-lists/russia-blacklist.txt --dpi-desync=fake,split2 --dpi-desync-fooling=md5sig --dpi-desync-autottl --new
--filter-tcp=443 --hostlist=/opt/zapret-lists/russia-blacklist.txt --hostlist=/opt/zapret-lists/myhostlist.txt --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sniext --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_c
--filter-udp=443 --hostlist=/opt/zapret-lists/russia-discord.txt --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=7 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_pl_by_ori.bin -
--filter-udp=50000-50090 --dpi-desync=fake --dpi-desync-any-protocol --dpi-desync-cutoff=d2 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_pl_by_ori.bin --new
--filter-tcp=443 --hostlist=/opt/zapret-lists/russia-discord.txt --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-autottl --new
--filter-tcp=443 --hostlist-auto=/opt/zapret-lists/autohostlist.txt --hostlist-exclude=/opt/zapret-lists/netrogat.txt --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-autottl"
Возможно 100%, некоторые параметры отсюда не работают или не имеют смысла) Мне главное, что оно работает и возвращает работоспособность дискорда и ютуба.
Из особенностей:
- Скопировал все hostlists из YTDisBystro в /opt/zapret-lists/
- Сделал russia-blacklist.txt пустым, так как весит слишком много и содержит сайты, которые мне не нужны
- Скопировал quic_pl_by_ori.bin из YTDisBystro в /opt/zapret/files/fake
tcp на диапазоне 50000-50090 лишнее, это только для дискорда и только udp.
ну и в целом я вижу некоторые опечатки.
--dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_co--filter-udp=443
----filter-udp=50000-50090
надеюсь тут видно что не так =)
и ещё - раз вы сделали russia-blacklist.txt пустым, то там, где он всё же прописан, видимо правильнее будет использовать hostlist-auto, а не просто hostlist, иначе какой в этом смысл.
То есть по идее как-то так.
Спойлер
NFQWS_ENABLE=1
NFQWS_PORTS_TCP=80,443
NFQWS_PORTS_UDP=443,50000-50090
NFQWS_TCP_PKT_OUT=9
NFQWS_TCP_PKT_IN=3
NFQWS_UDP_PKT_OUT=9
NFQWS_UDP_PKT_IN=0
NFQWS_OPT="
--filter-tcp=80 --hostlist=/opt/zapret-lists/netrogat.txt --new
--filter-tcp=443 --hostlist=/opt/zapret-lists/netrogat.txt --new
--filter-udp=443 --hostlist=/opt/zapret-lists/russia-youtubeQ.txt --dpi-desync=fake --dpi-desync-repeats=2 --dpi-desync-cutoff=n2 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_pl_by_ori.bin --new
--filter-tcp=443 --hostlist=/opt/zapret-lists/russia-youtubeGV.txt --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-autottl --new
--filter-tcp=443 --hostlist=/opt/zapret-lists/russia-youtube.txt --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=2 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-autottl --new
--filter-tcp=80 --hostlist-auto=/opt/zapret-lists/russia-blacklist.txt --dpi-desync=fake,split2 --dpi-desync-fooling=md5sig --dpi-desync-autottl --new
--filter-tcp=443 --hostlist-auto=/opt/zapret-lists/russia-blacklist.txt --hostlist=/opt/zapret-lists/myhostlist.txt --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sniext --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --new
--filter-udp=443 --hostlist=/opt/zapret-lists/russia-discord.txt --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=7 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_pl_by_ori.bin --dpi-desync-cutoff=n2 --new
--filter-udp=50000-50090 --dpi-desync=fake --dpi-desync-any-protocol --dpi-desync-cutoff=d2 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_pl_by_ori.bin --new
--filter-tcp=443 --hostlist=/opt/zapret-lists/russia-discord.txt --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-autottl --new
--filter-tcp=443 --hostlist-auto=/opt/zapret-lists/autohostlist.txt --hostlist-exclude=/opt/zapret-lists/netrogat.txt --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-autottl"
Флуд возникает, когда на nfqws перенаправляется трафик без ограничения по connbytes, либо используется winws, тк на нем connbytes отсутствует по определению + задан --dpi-desync=fake|split|disorder и --dpi-desync-any-protocol без --dpi-desync-cutoff, особенно с --dpi-desync-repeats.
Будет примерно следующее
оригинал
ругань
ругань
ругань
оригинал
ругань
ругань
ругань
оригинал
ругань
ругань
ругань
…
до бесконечности
Потому что ему сказали фейкать любой протокол. Чем он и занимается. Без разницы что ему дают, он на все кричит.
Если указан split,split2,disorder,disorder2, ipfrag2 , то будет фрагментация каждого оригинала.
Короче, применение стратегии будет по каждому пакету без ограничения. Канал upload будет зафлужен.
Спасибо. Cutoff просто задал в первый день, когда увидел ваше сообщение с недовольством ( но со своими “bird ideas” если понимаете о чем я. дурачок я в этом плане), а остальные найденные страты его вроде и не требуют тк нет any protocol. Стало чуть понятнее. В общем буду обращать внимание на вайршарк и ковыряться если что).
Поставил новую версию запрета, настройки все те же поставил как и в предыдущей версии, но вроде даже получше стало работать, спасибо !
Спасибо, что подсветили опечатки (у меня шизанулся терминал и начал криво копировать и вставлять текст). Почему-то с --hostlist-auto перестает работать дискорд, возможно, нужно, чтоб был выбран соответствующий режим фильтрации при установке, а при MODE_FILTER=none эти строки игнорятся. В итоге просто убрал этот хостлист из конфига, и всё работает.
Summary
NFQWS_ENABLE=1
NFQWS_PORTS_TCP=80,443
NFQWS_PORTS_UDP=443,50000-50090
NFQWS_TCP_PKT_OUT=9
NFQWS_TCP_PKT_IN=3
NFQWS_UDP_PKT_OUT=9
NFQWS_UDP_PKT_IN=0
NFQWS_OPT="
--filter-tcp=80 --hostlist=/opt/zapret-lists/netrogat.txt --new
--filter-tcp=443 --hostlist=/opt/zapret-lists/netrogat.txt --new
--filter-udp=443 --hostlist=/opt/zapret-lists/russia-youtubeQ.txt --dpi-desync=fake --dpi-desync-repeats=2 --dpi-desync-cutoff=n2 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_pl_by_ori.bin --new
--filter-tcp=443 --hostlist=/opt/zapret-lists/russia-youtubeGV.txt --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-autottl --new
--filter-tcp=443 --hostlist=/opt/zapret-lists/russia-youtube.txt --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=2 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-autottl --new
--filter-tcp=443 --hostlist=/opt/zapret-lists/myhostlist.txt --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sniext --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --dpi-desync-autottl --new
--filter-udp=443 --hostlist=/opt/zapret-lists/russia-discord.txt --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=7 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_pl_by_ori.bin --dpi-desync-cutoff=n2 --new
--filter-udp=50000-50090 --dpi-desync=fake --dpi-desync-any-protocol --dpi-desync-cutoff=d2 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_pl_by_ori.bin --new
--filter-tcp=443 --hostlist=/opt/zapret-lists/russia-discord.txt --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-autottl --new
--filter-tcp=443 --hostlist-auto=/opt/zapret-lists/autohostlist.txt --hostlist-exclude=/opt/zapret-lists/netrogat.txt --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-autottl"
Если нет маркера <HOSTLIST> в опциях, то MODE_FILTER никак не влияет на параметры запуска nfqws.
Скрипты запуска не занимаются разбором и эвристикой вписанных опций.
Кроме реплейса маркера там ничего нет.
Еще есть проверка на запрещенный параметр --ipset.
@bolvan, огромное спасибо. Изменение прям 10/10
@bolvan Ну, милок, что-то я не совсем поняла, отчего такой форс-пуш на коммит 2aaa2f7c случился? Может, расскажешь, что там произошло, а то на старости лет я уже не соображаю, что за ветер в голове у молодёжи!
Просто чистка истории для облегчения репы на тэге v64.
Все равно там нет совместной разработки . Нужно лишь перекачать репу.
Тэги и релизы остались
А в чем смысол? Если надо, можно клонировать только последний коммит например, или гитхаб стал ругаться что репа слишком большая?