Zapret: обсуждение

@bolvan А можно вопрос, какие аргументы указываются глобально, а какие только на один профиль?
На сколько я понимаю, --wf-* работают на все профили, т.е. их можно указать в начале и забыть про них, но если брать во внимание ваш пресет из вин бандла в котором фильтр юдп потом сбрасывается, на чистый, то кажется что и --filter-* должен работать на все профили

но, буквально двумя строчками ниже есть вот такое и дальше никак не “обнуляется”

И кажется что как будто бы не сбрасывается, я честно говоря немножко запутался, можете обьяснить?

И еще вопрос, что будет если не указывать --filter-tcp\udp=*, будет просто кидать фейки на все открытые с помощью --wf-* порты?

Присоединюсь к вопросу. В частности, в отношении --dpi-desync-fwmark

Вчера решился на всё таки запустить blockcheck. Выбрал только TLS1.2 на https, думал может будет быстрее, так как quic не использую, включил 2 стандарт на рутрекер и брутфорс этот работал целый час и не нашел он ничего, а Вы говорите что так делать правильно, я методом тыка за 5 минут подобрал комбинацию, а тут час и результат по нулям. Смотрел на логи и там такие комбинации типа wsize, ttl, quic,как раз которые у меня не работают или просто не нужны такие варианты. А можно как то довести эту утилиту до ума ? Например когда выбираешь только TLS1.2 чтоб подгружались комбинации именно только для него, а не всё подряд, чтоб был выбор для nfqws или для tpws и я понимаю что это не просто сделать, но может в свободное время, Вы всё же доведёте её до ума когда не будь, а так конечно тема прикольная, но толку мало от неё на данный момент

И ведь выбор ‘проверять только tpws’ в blockcheck для нас, грязных минимальщиков с 4/32, очень бы не помешал.

на сколько понимаю нулевая фаза работает всегда, в ридмишки искать по “фаз” там и будут команды (но лучше конечно болван ответит)

И не возможно скопировать ссылку в батник, точнее в это окно, приходится прописывать, проверять по три раза, к примеру от гуглвидео, там целый набор всяких символов, ошибся на один и всё коту под хвост

что такое нулевая фаза, можете на пальцах объяснить, без хитрых слов, как её включить или что там надо сделать

Пользуйтесь нормальной современной версией ОС - в той же Windows 10 всё отлично копируется в окно консоли.
А если у вас условная Win7, поддержка которой вообще-то уже закончилась, и ей в принципе не слишком безопасно пользоваться - сами себе злобный буратино.

Та не спасибо, я не из тех кто шагает в ногу со временем и у меня не условная 7, а модная, такую вы не видели, ваша 10 просто отдыхает, но не будем про это, здесь тема о запрете, а не о винде

Не лучшая идея тестить 1.2 на сайте с 1.3 да еще и с ECH

Брехня. У меня запрет стоит на x86_32 линуксе у которого тоже уже суппорт на исходе, однако эта машина выполняет колосальную работу как бутлеговский роутер. Тут скорее суппорт кончится в каком нить golang нежели в ядре. К тому же есть нетбсд у которого даже 486 суппорт имеется.

тут я да, протупил с 1.3 )) но я и не сразу разобрался вообще как запустить blockcheck
а поставил бы 1.3, то до утра наверно бы юзало, час этот я ели выдержал, думал оно не закончится никогда ))

Что-то не работает этот фоллбэк. При автоттл сайт выдает MALFORMED_SERVER_HELLO при указании рядом просто ttl (любого) - то же самое. Если указать просто ttl (хоть 1) без автоттл - открывается.
Сайт, если это важно, https://rutor.info

Проверил, у меня открывается. ttl вообще не использую, с лета больше не работает эта функция, возможно даже к лучшему, до вас может эти их новации ещё не дошли, поэтому ttl ещё у вас работает )

судя по ридми он не так прост, как кажется и нет чоткой работы у него нет

На каких-то провайдерах эта техника будет работать неплохо, на других доставит больше проблем, чем пользы.
Где-то может потребоваться тюнинг параметров. Лучше использовать с дополнительным ограничителем.

Вот и мне интересно, с каким дополнительным ограничителем?

Все у него есть четкая работа - ни с одним сайтом нет проблем, кроме этого рутора

Перечитайте еще раз описание алгоритма поиска профиля в readme.
Он идет слева направо. От первого профиля до последнего, пока не будет найдено совпадение.
Поэтому положение важно.
Ничего там не сбрасывается. Повторный фильтр на 50000-50099 сделан, чтобы не удовлетворяющие ipset IP адреса упали на пустой профиль и не шли дальше, тк там на последнем нет фильтра по портам. Чтобы туда не упало. Как альтернатива можно было бы там написать фильтр. Но когда писался этот батник, еще не было возможности указывать порты через запятную в filter.

И еще вопрос, что будет если не указывать --filter-tcp\udp=*, будет просто кидать фейки на все открытые с помощью --wf-* порты?

Зависит от стратегии. Если any protocol, то будет. Иначе только на распознанные протоколы.

desync-fwmark - глобальный параметр, и это не параметр дурения

SKIP_PKTWS=1 ./blockcheck.sh

Работает. В данном случае работает потому что не работает.
В autottl он вычисляется неправильно.
fallback не срабатывает.
Он работает , когда невозможно вычислить длину пути до сервера на базе предположений или вычисленный TTL, приведенный к указанному диапазону во 2 и 3 параметрах оказывается больше вычисленной длины пути. В этом случае идет отказ алгоритма и переход на статический ttl

Юзер предполагает, наверно, что если сайт не открыл автоттл, то его откроет ttl. Это в корне не верно

uint8_t autottl_guess(uint8_t ttl, const autottl *attl)
{
	uint8_t orig, path, fake;

	// 18.65.168.125 ( cloudfront ) 	255
	// 157.254.246.178 			128
	// 1.1.1.1				 64
	// guess original ttl. consider path lengths less than 32 hops
	if (ttl>223)
		orig=255;
	else if (ttl<128 && ttl>96)
		orig=128;
	else if (ttl<64 && ttl>32)
		orig=64;
	else
		return 0;

	path = orig - ttl;

	fake = path > attl->delta ? path - attl->delta : attl->min;
	if (fake<attl->min) fake=attl->min;
	else if (fake>attl->max) fake=attl->max;

	if (fake>=path) return 0;

	return fake;
}