Обсуждаем реализацию на роутере GoodbyeDPI

[b1st]

Есть такая прога

GoodbyeDPI

обходит блокировки без прокси. Можно ли сделать пакет для роутера?

[Mamay]

Судя по тому что оно мастдайное, да под икс86, то нет. 

[vasek00]

4 часа назад, b1st сказал:

Есть такая прога

GoodbyeDPI

обходит блокировки без прокси. Можно ли сделать пакет для роутера?

Интернет и iptables в руки (RAW примочка имеется).

[b1st]

В 10.09.2017 в 12:54, Mamay сказал:

Судя по тому что оно мастдайное, да под икс86, то нет. 

под линукс

[Mamay]

2 часа назад, b1st сказал:

под линукс

Оттуда же. 

У ARM и MIPS есть несколько версий. Найдите работающий на вашей системе вариант.
Скорее всего таковой найдется. Если нет - вам придется собирать самостоятельно.

[b1st]

4 минуты назад, Mamay сказал:

Оттуда же. 

У ARM и MIPS есть несколько версий. Найдите работающий на вашей системе вариант.
Скорее всего таковой найдется. Если нет - вам придется собирать самостоятельно.

уже ставлю по той инструкции но есть непонятки.

[b1st]

хотелось бы инструкцию попроще.

установил но не работает.

Edited September 11, 2017 by b1st
отчет

[Dorik1972]

Попробуйте автору на гите написать Ваши непонятки  там есть раздел для вопросов и общения .... 

Edited September 12, 2017 by Dorik1972

[vasek00]

О каких не понятках может идти речь, если используются два пакета NFQWS/TPWS в связке с iptables.

NFQUEUE так же использует по моему Suricata (есть в Entware). NFQUEUE передает специальному демону сам пакет целиком => пакеты выкидываются из обработки.

[TheBB]

там же

Цитата

...
Что делать с openwrt/LEDE
-------------------------

Установить дополнительные пакеты :
opkg update
opkg install iptables-mod-extra iptables-mod-nfqueue iptables-mod-filter iptables-mod-ipopt ipset curl bind-tools
(для новых LEDE) opkg install kmod-ipt-raw
...

[plagioklaz]

@b1st Здравствуйте, если у Вас получится, то прошу написать инструкцию для простых смертных  надоело тормознутым тором пользоваться (((

Edited September 12, 2017 by plagioklaz

[vasek00]

Какая инструкция должна быть для 4-5 строчек правил iptables, которые блуждают в интернете, наверное нужно повнимательней читать и не заострять внимание только на данной ссылке.

Повторюсь - примочка RAW работает.

[plagioklaz]

В 12.09.2017 в 15:01, vasek00 сказал:

Какая инструкция должна быть для 4-5 строчек правил iptables, которые блуждают в интернете, наверное нужно повнимательней читать и не заострять внимание только на данной ссылке.

Повторюсь - примочка RAW работает.

Всему приходится учиться, даже профану в области... Так каждый скоро сможет заменить специалиста в любой области, и по инструкции с ютуба удалить себе аппендицит...

Погуглил я на тему обход блокировок iptables raw и выдал мне гугл первой строкой казалось бы решение

И как советуют ввёл команду iptables -t raw -I PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -j NFQUEUE --queue-num 200 --queue-bypass

Которой, как написано, вполне достаточно. Но в ответ получил, что  iptables: No chain/target/match by that name.

Опять же гугл на это выдал разъяснение, что данный ответ означает, что в таблице raw нет цепочки PREROUTING и надо её искать в таблице nat... Но нам нужна именно таблица raw )))

Подскажите, глупому человеку, как правильно должна звучать команда для умной железки.

Спасибо.

[Le ecureuil]

Для таблицы raw установите opkg-kmod-netfilter. Ее нет в коплекте по-умолчанию, поскольку она на 3-5% тормозит роутинг и совершенно не нужна для NDMS.

[plagioklaz]

1 час назад, Le ecureuil сказал:

Для таблицы raw установите opkg-kmod-netfilter. Ее нет в коплекте по-умолчанию, поскольку она на 3-5% тормозит роутинг и совершенно не нужна для NDMS.

Скрытый текст

Странно, но пишет, что нет такого пакета. В модулях прошивки, всё что связанно с netfilter установил.

Прошивка релиз 2.09 с установленной entware3

Или raw есть только для 10ой прошивки?

[r13]

В 2,09 вроде...

 

[Le ecureuil]

# lsmod | grep raw

Что у вас показывает?

[vasek00]

7 часов назад, plagioklaz сказал:

Всему приходится учиться....

Подскажите как правильно должна звучать команда для умной железки.

Скрытый текст

iptables -t raw -I PREROUTING -p tcp ....

...

iptables -t mangle -I FORWARD -p tcp ....

...

/ # iptables -t raw -nvL
Chain PREROUTING (policy ACCEPT 11M packets, 1097M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:443 .....
  220 46132 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:80 ....

...

/ # iptables -t mangle -nvL

Chain FORWARD (policy ACCEPT 462K packets, 58M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    2    80 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:443 ....
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:80 ......

...

/ # lsmod | grep iptable
iptable_raw 657 1 - Live 0x86048000
iptable_rawpost 577 0 - Live 0x8607d000 (O)

или

/lib/modules/3.4.113 # ls -l | grep RAW
-rw-r--r--    1 root     root          5692 Sep  2 13:04 xt_RAWNAT.ko
/lib/modules/3.4.113 #

 

Edited September 14, 2017 by vasek00

[vasek00]

7 часов назад, Le ecureuil сказал:

Для таблицы raw установите opkg-kmod-netfilter. Ее нет в коплекте по-умолчанию, поскольку она на 3-5% тормозит роутинг и совершенно не нужна для NDMS.

Вопрос чисто для развития и информации :

1 - т.е. если CPU показывает например 0% на РТ, то реально это тормоза как можно оценить, или например у MT7621 потерю.

2 - а разве про набор правил в

 iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 24369 packets, 2600K bytes)
 pkts bytes target     prot opt in     out     source               destination         
24369 2600K _NDM_DNAT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
24369 2600K _NDM_SD_DNSREDIRECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
24369 2600K _NDM_SD_WEBREDIRECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
24369 2600K _NDM_UPNP_REDIRECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
24369 2600K _NDM_YD_REDIRECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0   
...
Chain POSTROUTING (policy ACCEPT 6938 packets, 2066K bytes)
 pkts bytes target     prot opt in     out     source               destination         
20434 3242K _NDM_IPSEC_POSTROUTING_NAT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
20434 3242K _NDM_SNAT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 1014  443K _NDM_NAT_UDP  udp  --  br0    *       0.0.0.0/0            0.0.0.0/0            udp
12481  733K MASQUERADE  all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
    0     0 _NDM_NAT_UDP  udp  --  br1    *       0.0.0.0/0            0.0.0.0/0            udp
    0     0 MASQUERADE  all  --  br1    *       0.0.0.0/0            0.0.0.0/0           
    0     0 MASQUERADE  all  --  vpn+   *       0.0.0.0/0            0.0.0.0/0  
...

нельзя сказать, что так же любое правило тормозит роутинг.

[plagioklaz]

19 часов назад, Le ecureuil сказал:

# lsmod | grep raw

Что у вас показывает?

Скрытый текст

 

Edited September 15, 2017 by plagioklaz

[b1st]

В 12.09.2017 в 12:27, plagioklaz сказал:

@b1st Здравствуйте, если у Вас получится, то прошу написать инструкцию для простых смертных  надоело тормознутым тором пользоваться (((

И вам того же, я свои попытки оставил, а тему создал как раз чтоб умные люди помогли и инструкцию сделали!

[Михаил Лукьянов]

Начиная с версии 2.13.A.3.0-1 в ядре появилась поддержка NFQUEUE и стало возможно использовать наработки от bol-van. Делюсь своим вариантом настройки с нуля.

Устанавливаем компоненты системы (через веб интерфейс) :

1. Протокол IPv6. Поддержка открытых пакетов. Перезагрузка.
2. Подключаем entware. Модули ядра подсистемы Netfilter. Перезагрузка.
3. Пакет расширения Xtables-addons для Netfilter. Перезагрузка.

Далее работаем по ssh:

ssh root@192.168.1.1

Ставим необходимые пакеты:

opkg install ipset curl bind-tools iptables cron nano git-http

Для того чтобы можно было пользоваться crontab -e в /opt/etc/profile добавляем строку (это не обязательно):

export EDITOR='/opt/bin/nano'

В файле /opt/etc/init.d/S10cron вместо ARGS="-s" оставляем просто ARGS="" иначе в логах будет мусор каждую минуту.

Скачиваем сам скрипт;

git clone https://github.com/LukyanovM/zapret.git /opt/zapret

в файл  /opt/zapret/ipset/zapret-hosts-user.txt добавляем те сайты для которых хотим отключить блокировки:

rutracker.org
kinozal.tv

Генерируем список IP для обхода, эту команду нужно выполнять каждый раз когда вы хотите изменить перечень сайтов в /opt/zapret/ipset/zapret-hosts-user.txt:

/opt/zapret/ipset/get_user.sh

Делаем пробный запуск:

/opt/zapret/init.d/keenetic/S99zapret start

Если всё хорошо, то в консоли должно быть примерно так:

iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
Starting anti-zapret: zapret.

На данном этапе за роутером должны заработать рутрекер и кинозал. Если тут всё нормально делаем симлинк на автозапуск:

ln -s /opt/zapret/init.d/keenetic/S99zapret /opt/etc/init.d/S99zapret

У скрипта 3 режима работы

1. Fragmentation - принудительно выставляется малый размер TCP окна, в результате чего пакеты фрагментируются и не попадают под анализ DPI. Используется NFQUEUE. Самый быстрый режим. Установлен по умолчанию. Работает в IPv4 для HTTP и для HTTPS (не всегда)
2. Modification - прозрачное HTTP проксирование с модификацией HTTP заголовков. Работает в IPv4 и в IPv6 но только для HTTP
3. Combined - комбинированный режим. Для HTTP используется проксирование(tpws), для HTTPS - фрагментирование пакетов(nfqws).

Обязательная часть на этом закончена. Дальнейшее касается выгрузки из РКН и может быть пропущено. Для этой цели есть два скрипта: get_reestr.sh и get_antizapret.sh. Первый берет оригинал реестра и парсит его в айпи самостоятельно - нагрузка низкая, но парсить может сутками. Второй берет готовый список айпи с antizapret.prostovpn.org, отрабатывает за полминуты. Я использовал второй вариант:

/opt/zapret/ipset/get_antizapret.sh

Cейчас за роутером должно заработать всё. Осталось только вставить в cron актуализацию выгрузки:

cp /opt/zapret/ipset/get_antizapret.sh /opt/etc/cron.daily/get_antizapret.sh

Правим cron скрипт /opt/etc/cron.daily/get_antizapret.sh:

Строку 

SCRIPT=$(readlink -f $0)

удаляем, а строку

EXEDIR=$(dirname $SCRIPT)

меняем на 

EXEDIR=/opt/zapret/ipset

Теперь роутер сам каждую ночь будет обновлять выгрузку. Чтобы отключить обход блокировок достаточно выполнить команду (действует до перезагрузки) :

/opt/etc/init.d/S99zapret stop

UPD: Если протокол HTTPS так и не заработал можно настроить прозрачное проксирование через тор или пустить заблокированный трафик через штатный openvpn.

Edited April 5, 2019 by Михаил Лукьянов
Установка через git. Комбинированный режим работы.

[Александр Рыжов]

5 часов назад, Михаил Лукьянов сказал:

Копируем бинарные версии nfqws и tpws соответствующие нашей архитектуре (можно просто позапускать версии из разных папок и посмотреть что заработает)

или

opkg install http://bin.entware.net/mipselsf-k3.4/archive/libnetfilter-queue_2017-06-27-601abd1c-1_mipsel-3.4.ipk
opkg install http://bin.entware.net/mipselsf-k3.4/archive/zapret_0.19-20180818-1_mipsel-3.4.ipk

для MIPSEL роутеров.

[TheBB]

и для MIPS (DSL, LTE, VOX)

opkg install http://bin.entware.net/mipssf-k3.4/keenetic/archive/libnetfilter-queue_2017-06-27-601abd1c-1_mips-3.4.ipk
opkg install http://bin.entware.net/mipssf-k3.4/keenetic/archive/zapret_0.19-20180818-1_mips-3.4.ipk

 

[vlad]

13 часа назад, Михаил Лукьянов сказал:

Включаем сохранение готовых айписетов, для этого в конец файла /opt/zapret/ipset/create_ipset.sh добавляем строку:

ipset save zapret -f /opt/zapret/ipset/zapret.ipset

Добавил строчку. Выдаёт ошибку. 

Adding to ipset ipban (hash:net) : /opt/zapret/ipset/zapret-ip-user-ipban.txt
/opt/zapret/ipset/create_ipset.sh: line 29: ipset : not found

[Михаил Лукьянов]

2 часа назад, vlad сказал:

Добавил строчку. Выдаёт ошибку. 

Adding to ipset ipban (hash:net) : /opt/zapret/ipset/zapret-ip-user-ipban.txt
/opt/zapret/ipset/create_ipset.sh: line 29: ipset : not found

Вы когда с форума копируете код, проверьте чтобы вопросов лишних туда не навставляло, а то у меня так выглядит после вставки в консоль

~ # ipset??? save zapret -f /opt/zapret/ipset/zapret.ipset?????
-sh: ipset: not found

И прошивка у вас надеюсь не та что в профиле указана? нужна не ниже 2.13.A.3.0-1.

Александр Рыжов, TheBB, круто конечно, но как узнать об этом? Тут и тут ничего нет, в opkg list тоже. Магия какая-то.

Edited September 13, 2018 by Михаил Лукьянов
Про версию прошивки

[Александр Рыжов]

10 минут назад, Михаил Лукьянов сказал:

Александр Рыжов, TheBB, круто конечно, но как узнать об этом?

Это тестовые пакеты. Если будет доказана их работоспособность и полезность, они войдут в основной состав.

2 часа назад, vlad сказал:

Добавил строчку. Выдаёт ошибку. 

Adding to ipset ipban (hash:net) : /opt/zapret/ipset/zapret-ip-user-ipban.txt
/opt/zapret/ipset/create_ipset.sh: line 29: ipset : not found 

opkg install ipset

 

[vlad]

2 часа назад, Михаил Лукьянов сказал:

Вы когда с форума копируете код, проверьте чтобы вопросов лишних туда не навставляло, а то у меня так выглядит после вставки в консоль

Ваш совет помог. Спасибо.

Сделал все по инструкции но почему то не запускается ни один сайт. Какими командами можно про верить работоспособность схемы ?  Прошивка 2.13 B2 роутер GIGA III Entware самая свежая. 

[Михаил Лукьянов]

26 минут назад, vlad сказал:

Ваш совет помог. Спасибо.

Сделал все по инструкции но почему то не запускается ни один сайт. Какими командами можно про верить работоспособность схемы ?  Прошивка 2.13 B2 роутер GIGA III Entware самая свежая. 

По инструкции нужно было остановиться на этапе рутрекера и кинозала если ничего не работает) Какой провайдер, что говорит blockcheck (перед запуском обязательно нужно гасить zapret через /opt/etc/init.d/S99zapret stop)?

[vlad]

1 минуту назад, Михаил Лукьянов сказал:

По инструкции нужно было остановиться на этапе рутрекера и кинозала если ничего не работает) Какой провайдер, что говорит blockcheck (перед запуском обязательно нужно гасить zapret через /opt/etc/init.d/S99zapret stop)?

К сожаление нет компа под рукой чтоб запустить blockcheck ;(( Провайдер ЭГС-Телеком. Наверное малоизвестный