Jump to content

Обсуждаем реализацию на роутере GoodbyeDPI


Recommended Posts

4 часа назад, b1st сказал:

Есть такая прога

GoodbyeDPI

обходит блокировки без прокси. Можно ли сделать пакет для роутера?

Интернет и iptables в руки (RAW примочка имеется).

Link to comment
Share on other sites

2 часа назад, b1st сказал:

Оттуда же. 

У ARM и MIPS есть несколько версий. Найдите работающий на вашей системе вариант.
Скорее всего таковой найдется. Если нет - вам придется собирать самостоятельно.
Link to comment
Share on other sites

4 минуты назад, Mamay сказал:

Оттуда же. 


У ARM и MIPS есть несколько версий. Найдите работающий на вашей системе вариант.
Скорее всего таковой найдется. Если нет - вам придется собирать самостоятельно.

уже ставлю по той инструкции но есть непонятки.

Link to comment
Share on other sites

О каких не понятках может идти речь, если используются два пакета NFQWS/TPWS в связке с iptables.

NFQUEUE так же использует по моему Suricata (есть в Entware). NFQUEUE передает специальному демону сам пакет целиком => пакеты выкидываются из обработки.

Link to comment
Share on other sites

там же

Цитата

...
Что делать с openwrt/LEDE
-------------------------

Установить дополнительные пакеты :
opkg update
opkg install iptables-mod-extra iptables-mod-nfqueue iptables-mod-filter iptables-mod-ipopt ipset curl bind-tools
(для новых LEDE) opkg install kmod-ipt-raw
...
Link to comment
Share on other sites

@b1st Здравствуйте, если у Вас получится, то прошу написать инструкцию для простых смертных :) надоело тормознутым тором пользоваться (((

Edited by plagioklaz
  • Upvote 1
Link to comment
Share on other sites

Какая инструкция должна быть для 4-5 строчек правил iptables, которые блуждают в интернете, наверное нужно повнимательней читать и не заострять внимание только на данной ссылке.

Повторюсь - примочка RAW работает.

Link to comment
Share on other sites

В 12.09.2017 в 15:01, vasek00 сказал:

Какая инструкция должна быть для 4-5 строчек правил iptables, которые блуждают в интернете, наверное нужно повнимательней читать и не заострять внимание только на данной ссылке.

Повторюсь - примочка RAW работает.

Всему приходится учиться, даже профану в области... Так каждый скоро сможет заменить специалиста в любой области, и по инструкции с ютуба удалить себе аппендицит...

Погуглил я на тему обход блокировок iptables raw и выдал мне гугл первой строкой казалось бы решение

И как советуют ввёл команду iptables -t raw -I PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -j NFQUEUE --queue-num 200 --queue-bypass

Которой, как написано, вполне достаточно. Но в ответ получил, что  iptables: No chain/target/match by that name.

Опять же гугл на это выдал разъяснение, что данный ответ означает, что в таблице raw нет цепочки PREROUTING и надо её искать в таблице nat... Но нам нужна именно таблица raw )))

Подскажите, глупому человеку, как правильно должна звучать команда для умной железки.

Спасибо.

Link to comment
Share on other sites

1 час назад, Le ecureuil сказал:

Для таблицы raw установите opkg-kmod-netfilter. Ее нет в коплекте по-умолчанию, поскольку она на 3-5% тормозит роутинг и совершенно не нужна для NDMS.

Скрытый текст

putty.png.ffde0805cb4bd241b099c342689f8779.png

opkg-netfilter.thumb.png.9256246b440f53a354d1a45989d7aa79.png

Странно, но пишет, что нет такого пакета. В модулях прошивки, всё что связанно с netfilter установил.

Прошивка релиз 2.09 с установленной entware3

Или raw есть только для 10ой прошивки?

Link to comment
Share on other sites

7 часов назад, plagioklaz сказал:

Всему приходится учиться....

Подскажите как правильно должна звучать команда для умной железки.

Скрытый текст

iptables -t raw -I PREROUTING -p tcp ....

...

iptables -t mangle -I FORWARD -p tcp ....

...

/ # iptables -t raw -nvL
Chain PREROUTING (policy ACCEPT 11M packets, 1097M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:443 .....
  220 46132 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:80 ....

...

/ # iptables -t mangle -nvL

Chain FORWARD (policy ACCEPT 462K packets, 58M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    2    80 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:443 ....
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:80 ......

...

/ # lsmod | grep iptable
iptable_raw 657 1 - Live 0x86048000
iptable_rawpost 577 0 - Live 0x8607d000 (O)

или

/lib/modules/3.4.113 # ls -l | grep RAW
-rw-r--r--    1 root     root          5692 Sep  2 13:04 xt_RAWNAT.ko
/lib/modules/3.4.113 #

 

Edited by vasek00
Link to comment
Share on other sites

7 часов назад, Le ecureuil сказал:

Для таблицы raw установите opkg-kmod-netfilter. Ее нет в коплекте по-умолчанию, поскольку она на 3-5% тормозит роутинг и совершенно не нужна для NDMS.

Вопрос чисто для развития и информации :

1 - т.е. если CPU показывает например 0% на РТ, то реально это тормоза как можно оценить, или например у MT7621 потерю.

2 - а разве про набор правил в

 iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 24369 packets, 2600K bytes)
 pkts bytes target     prot opt in     out     source               destination         
24369 2600K _NDM_DNAT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
24369 2600K _NDM_SD_DNSREDIRECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
24369 2600K _NDM_SD_WEBREDIRECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
24369 2600K _NDM_UPNP_REDIRECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
24369 2600K _NDM_YD_REDIRECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0   
...
Chain POSTROUTING (policy ACCEPT 6938 packets, 2066K bytes)
 pkts bytes target     prot opt in     out     source               destination         
20434 3242K _NDM_IPSEC_POSTROUTING_NAT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
20434 3242K _NDM_SNAT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 1014  443K _NDM_NAT_UDP  udp  --  br0    *       0.0.0.0/0            0.0.0.0/0            udp
12481  733K MASQUERADE  all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
    0     0 _NDM_NAT_UDP  udp  --  br1    *       0.0.0.0/0            0.0.0.0/0            udp
    0     0 MASQUERADE  all  --  br1    *       0.0.0.0/0            0.0.0.0/0           
    0     0 MASQUERADE  all  --  vpn+   *       0.0.0.0/0            0.0.0.0/0  
...

нельзя сказать, что так же любое правило тормозит роутинг.

Link to comment
Share on other sites

В 12.09.2017 в 12:27, plagioklaz сказал:

@b1st Здравствуйте, если у Вас получится, то прошу написать инструкцию для простых смертных :) надоело тормознутым тором пользоваться (((

И вам того же, я свои попытки оставил, а тему создал как раз чтоб умные люди помогли и инструкцию сделали!

Link to comment
Share on other sites

  • 11 months later...
5 часов назад, Михаил Лукьянов сказал:

Копируем бинарные версии nfqws и tpws соответствующие нашей архитектуре (можно просто позапускать версии из разных папок и посмотреть что заработает)

или

opkg install http://bin.entware.net/mipselsf-k3.4/archive/libnetfilter-queue_2017-06-27-601abd1c-1_mipsel-3.4.ipk
opkg install http://bin.entware.net/mipselsf-k3.4/archive/zapret_0.19-20180818-1_mipsel-3.4.ipk

для MIPSEL роутеров.

Link to comment
Share on other sites

и для MIPS (DSL, LTE, VOX)

opkg install http://bin.entware.net/mipssf-k3.4/keenetic/archive/libnetfilter-queue_2017-06-27-601abd1c-1_mips-3.4.ipk
opkg install http://bin.entware.net/mipssf-k3.4/keenetic/archive/zapret_0.19-20180818-1_mips-3.4.ipk

 

Link to comment
Share on other sites

13 часа назад, Михаил Лукьянов сказал:

Включаем сохранение готовых айписетов, для этого в конец файла /opt/zapret/ipset/create_ipset.sh добавляем строку:


ipset save zapret -f /opt/zapret/ipset/zapret.ipset

Добавил строчку. Выдаёт ошибку. 

Adding to ipset ipban (hash:net) : /opt/zapret/ipset/zapret-ip-user-ipban.txt
/opt/zapret/ipset/create_ipset.sh: line 29: ipset : not found

Link to comment
Share on other sites

2 часа назад, vlad сказал:

Добавил строчку. Выдаёт ошибку. 

Adding to ipset ipban (hash:net) : /opt/zapret/ipset/zapret-ip-user-ipban.txt
/opt/zapret/ipset/create_ipset.sh: line 29: ipset : not found

Вы когда с форума копируете код, проверьте чтобы вопросов лишних туда не навставляло, а то у меня так выглядит после вставки в консоль

~ # ipset??? save zapret -f /opt/zapret/ipset/zapret.ipset?????
-sh: ipset: not found

И прошивка у вас надеюсь не та что в профиле указана? нужна не ниже 2.13.A.3.0-1.

Александр РыжовTheBBкруто конечно, но как узнать об этом? Тут и тут ничего нет, в opkg list тоже. Магия какая-то.

Edited by Михаил Лукьянов
Про версию прошивки
Link to comment
Share on other sites

10 минут назад, Михаил Лукьянов сказал:

Александр РыжовTheBBкруто конечно, но как узнать об этом?

Это тестовые пакеты. Если будет доказана их работоспособность и полезность, они войдут в основной состав.

2 часа назад, vlad сказал:

Добавил строчку. Выдаёт ошибку. 

Adding to ipset ipban (hash:net) : /opt/zapret/ipset/zapret-ip-user-ipban.txt
/opt/zapret/ipset/create_ipset.sh: line 29: ipset : not found 

opkg install ipset

 

Link to comment
Share on other sites

2 часа назад, Михаил Лукьянов сказал:

Вы когда с форума копируете код, проверьте чтобы вопросов лишних туда не навставляло, а то у меня так выглядит после вставки в консоль

Ваш совет помог. Спасибо.

Сделал все по инструкции но почему то не запускается ни один сайт. Какими командами можно про верить работоспособность схемы ?  Прошивка 2.13 B2 роутер GIGA III Entware самая свежая. 

Link to comment
Share on other sites

26 минут назад, vlad сказал:

Ваш совет помог. Спасибо.

Сделал все по инструкции но почему то не запускается ни один сайт. Какими командами можно про верить работоспособность схемы ?  Прошивка 2.13 B2 роутер GIGA III Entware самая свежая. 

По инструкции нужно было остановиться на этапе рутрекера и кинозала если ничего не работает) Какой провайдер, что говорит blockcheck (перед запуском обязательно нужно гасить zapret через /opt/etc/init.d/S99zapret stop)?

Link to comment
Share on other sites

1 минуту назад, Михаил Лукьянов сказал:

По инструкции нужно было остановиться на этапе рутрекера и кинозала если ничего не работает) Какой провайдер, что говорит blockcheck (перед запуском обязательно нужно гасить zapret через /opt/etc/init.d/S99zapret stop)?

К сожаление нет компа под рукой чтоб запустить blockcheck ;(( Провайдер ЭГС-Телеком. Наверное малоизвестный ;)

Link to comment
Share on other sites

  • Илья Хрупалов changed the title to Обсуждаем реализацию на роутере GoodbyeDPI

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...