b1st Posted September 10, 2017 Share Posted September 10, 2017 Есть такая прога GoodbyeDPI обходит блокировки без прокси. Можно ли сделать пакет для роутера? Quote Link to comment Share on other sites More sharing options...
Mamay Posted September 10, 2017 Share Posted September 10, 2017 Судя по тому что оно мастдайное, да под икс86, то нет. Quote Link to comment Share on other sites More sharing options...
vasek00 Posted September 10, 2017 Share Posted September 10, 2017 4 часа назад, b1st сказал: Есть такая прога GoodbyeDPI обходит блокировки без прокси. Можно ли сделать пакет для роутера? Интернет и iptables в руки (RAW примочка имеется). Quote Link to comment Share on other sites More sharing options...
b1st Posted September 11, 2017 Author Share Posted September 11, 2017 В 10.09.2017 в 12:54, Mamay сказал: Судя по тому что оно мастдайное, да под икс86, то нет. под линукс Quote Link to comment Share on other sites More sharing options...
Mamay Posted September 11, 2017 Share Posted September 11, 2017 2 часа назад, b1st сказал: под линукс Оттуда же. У ARM и MIPS есть несколько версий. Найдите работающий на вашей системе вариант. Скорее всего таковой найдется. Если нет - вам придется собирать самостоятельно. Quote Link to comment Share on other sites More sharing options...
b1st Posted September 11, 2017 Author Share Posted September 11, 2017 4 минуты назад, Mamay сказал: Оттуда же. У ARM и MIPS есть несколько версий. Найдите работающий на вашей системе вариант. Скорее всего таковой найдется. Если нет - вам придется собирать самостоятельно. уже ставлю по той инструкции но есть непонятки. Quote Link to comment Share on other sites More sharing options...
b1st Posted September 11, 2017 Author Share Posted September 11, 2017 (edited) хотелось бы инструкцию попроще. установил но не работает. Edited September 11, 2017 by b1st отчет Quote Link to comment Share on other sites More sharing options...
Dorik1972 Posted September 12, 2017 Share Posted September 12, 2017 (edited) Попробуйте автору на гите написать Ваши непонятки там есть раздел для вопросов и общения .... Edited September 12, 2017 by Dorik1972 Quote Link to comment Share on other sites More sharing options...
vasek00 Posted September 12, 2017 Share Posted September 12, 2017 О каких не понятках может идти речь, если используются два пакета NFQWS/TPWS в связке с iptables. NFQUEUE так же использует по моему Suricata (есть в Entware). NFQUEUE передает специальному демону сам пакет целиком => пакеты выкидываются из обработки. Quote Link to comment Share on other sites More sharing options...
TheBB Posted September 12, 2017 Share Posted September 12, 2017 там же Цитата ... Что делать с openwrt/LEDE ------------------------- Установить дополнительные пакеты : opkg update opkg install iptables-mod-extra iptables-mod-nfqueue iptables-mod-filter iptables-mod-ipopt ipset curl bind-tools (для новых LEDE) opkg install kmod-ipt-raw ... Quote Link to comment Share on other sites More sharing options...
plagioklaz Posted September 12, 2017 Share Posted September 12, 2017 (edited) @b1st Здравствуйте, если у Вас получится, то прошу написать инструкцию для простых смертных надоело тормознутым тором пользоваться ((( Edited September 12, 2017 by plagioklaz 1 Quote Link to comment Share on other sites More sharing options...
vasek00 Posted September 12, 2017 Share Posted September 12, 2017 Какая инструкция должна быть для 4-5 строчек правил iptables, которые блуждают в интернете, наверное нужно повнимательней читать и не заострять внимание только на данной ссылке. Повторюсь - примочка RAW работает. Quote Link to comment Share on other sites More sharing options...
plagioklaz Posted September 14, 2017 Share Posted September 14, 2017 В 12.09.2017 в 15:01, vasek00 сказал: Какая инструкция должна быть для 4-5 строчек правил iptables, которые блуждают в интернете, наверное нужно повнимательней читать и не заострять внимание только на данной ссылке. Повторюсь - примочка RAW работает. Всему приходится учиться, даже профану в области... Так каждый скоро сможет заменить специалиста в любой области, и по инструкции с ютуба удалить себе аппендицит... Погуглил я на тему обход блокировок iptables raw и выдал мне гугл первой строкой казалось бы решение И как советуют ввёл команду iptables -t raw -I PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -j NFQUEUE --queue-num 200 --queue-bypass Которой, как написано, вполне достаточно. Но в ответ получил, что iptables: No chain/target/match by that name. Опять же гугл на это выдал разъяснение, что данный ответ означает, что в таблице raw нет цепочки PREROUTING и надо её искать в таблице nat... Но нам нужна именно таблица raw ))) Подскажите, глупому человеку, как правильно должна звучать команда для умной железки. Спасибо. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 14, 2017 Share Posted September 14, 2017 Для таблицы raw установите opkg-kmod-netfilter. Ее нет в коплекте по-умолчанию, поскольку она на 3-5% тормозит роутинг и совершенно не нужна для NDMS. 1 Quote Link to comment Share on other sites More sharing options...
plagioklaz Posted September 14, 2017 Share Posted September 14, 2017 1 час назад, Le ecureuil сказал: Для таблицы raw установите opkg-kmod-netfilter. Ее нет в коплекте по-умолчанию, поскольку она на 3-5% тормозит роутинг и совершенно не нужна для NDMS. Скрытый текст Странно, но пишет, что нет такого пакета. В модулях прошивки, всё что связанно с netfilter установил. Прошивка релиз 2.09 с установленной entware3 Или raw есть только для 10ой прошивки? Quote Link to comment Share on other sites More sharing options...
r13 Posted September 14, 2017 Share Posted September 14, 2017 В 2,09 вроде... Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 14, 2017 Share Posted September 14, 2017 # lsmod | grep raw Что у вас показывает? Quote Link to comment Share on other sites More sharing options...
vasek00 Posted September 14, 2017 Share Posted September 14, 2017 (edited) 7 часов назад, plagioklaz сказал: Всему приходится учиться.... Подскажите как правильно должна звучать команда для умной железки. Скрытый текст iptables -t raw -I PREROUTING -p tcp .... ... iptables -t mangle -I FORWARD -p tcp .... ... / # iptables -t raw -nvL Chain PREROUTING (policy ACCEPT 11M packets, 1097M bytes) pkts bytes target prot opt in out source destination 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:443 ..... 220 46132 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 .... ... / # iptables -t mangle -nvL Chain FORWARD (policy ACCEPT 462K packets, 58M bytes) pkts bytes target prot opt in out source destination 2 80 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:443 .... 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 ...... ... / # lsmod | grep iptable iptable_raw 657 1 - Live 0x86048000 iptable_rawpost 577 0 - Live 0x8607d000 (O) или /lib/modules/3.4.113 # ls -l | grep RAW -rw-r--r-- 1 root root 5692 Sep 2 13:04 xt_RAWNAT.ko /lib/modules/3.4.113 # Edited September 14, 2017 by vasek00 Quote Link to comment Share on other sites More sharing options...
vasek00 Posted September 14, 2017 Share Posted September 14, 2017 7 часов назад, Le ecureuil сказал: Для таблицы raw установите opkg-kmod-netfilter. Ее нет в коплекте по-умолчанию, поскольку она на 3-5% тормозит роутинг и совершенно не нужна для NDMS. Вопрос чисто для развития и информации : 1 - т.е. если CPU показывает например 0% на РТ, то реально это тормоза как можно оценить, или например у MT7621 потерю. 2 - а разве про набор правил в iptables -t nat -nvL Chain PREROUTING (policy ACCEPT 24369 packets, 2600K bytes) pkts bytes target prot opt in out source destination 24369 2600K _NDM_DNAT all -- * * 0.0.0.0/0 0.0.0.0/0 24369 2600K _NDM_SD_DNSREDIRECT all -- * * 0.0.0.0/0 0.0.0.0/0 24369 2600K _NDM_SD_WEBREDIRECT all -- * * 0.0.0.0/0 0.0.0.0/0 24369 2600K _NDM_UPNP_REDIRECT all -- * * 0.0.0.0/0 0.0.0.0/0 24369 2600K _NDM_YD_REDIRECT all -- * * 0.0.0.0/0 0.0.0.0/0 ... Chain POSTROUTING (policy ACCEPT 6938 packets, 2066K bytes) pkts bytes target prot opt in out source destination 20434 3242K _NDM_IPSEC_POSTROUTING_NAT all -- * * 0.0.0.0/0 0.0.0.0/0 20434 3242K _NDM_SNAT all -- * * 0.0.0.0/0 0.0.0.0/0 1014 443K _NDM_NAT_UDP udp -- br0 * 0.0.0.0/0 0.0.0.0/0 udp 12481 733K MASQUERADE all -- br0 * 0.0.0.0/0 0.0.0.0/0 0 0 _NDM_NAT_UDP udp -- br1 * 0.0.0.0/0 0.0.0.0/0 udp 0 0 MASQUERADE all -- br1 * 0.0.0.0/0 0.0.0.0/0 0 0 MASQUERADE all -- vpn+ * 0.0.0.0/0 0.0.0.0/0 ... нельзя сказать, что так же любое правило тормозит роутинг. Quote Link to comment Share on other sites More sharing options...
plagioklaz Posted September 15, 2017 Share Posted September 15, 2017 (edited) 19 часов назад, Le ecureuil сказал: # lsmod | grep raw Что у вас показывает? Скрытый текст Edited September 15, 2017 by plagioklaz Quote Link to comment Share on other sites More sharing options...
b1st Posted September 17, 2017 Author Share Posted September 17, 2017 В 12.09.2017 в 12:27, plagioklaz сказал: @b1st Здравствуйте, если у Вас получится, то прошу написать инструкцию для простых смертных надоело тормознутым тором пользоваться ((( И вам того же, я свои попытки оставил, а тему создал как раз чтоб умные люди помогли и инструкцию сделали! Quote Link to comment Share on other sites More sharing options...
Popular Post Михаил Лукьянов Posted September 13, 2018 Popular Post Share Posted September 13, 2018 (edited) Начиная с версии 2.13.A.3.0-1 в ядре появилась поддержка NFQUEUE и стало возможно использовать наработки от bol-van. Делюсь своим вариантом настройки с нуля. Устанавливаем компоненты системы (через веб интерфейс) : Протокол IPv6. Поддержка открытых пакетов. Перезагрузка. Подключаем entware. Модули ядра подсистемы Netfilter. Перезагрузка. Пакет расширения Xtables-addons для Netfilter. Перезагрузка. Далее работаем по ssh: ssh root@192.168.1.1 Ставим необходимые пакеты: opkg install ipset curl bind-tools iptables cron nano git-http Для того чтобы можно было пользоваться crontab -e в /opt/etc/profile добавляем строку (это не обязательно): export EDITOR='/opt/bin/nano' В файле /opt/etc/init.d/S10cron вместо ARGS="-s" оставляем просто ARGS="" иначе в логах будет мусор каждую минуту. Скачиваем сам скрипт; git clone https://github.com/LukyanovM/zapret.git /opt/zapret в файл /opt/zapret/ipset/zapret-hosts-user.txt добавляем те сайты для которых хотим отключить блокировки: rutracker.org kinozal.tv Генерируем список IP для обхода, эту команду нужно выполнять каждый раз когда вы хотите изменить перечень сайтов в /opt/zapret/ipset/zapret-hosts-user.txt: /opt/zapret/ipset/get_user.sh Делаем пробный запуск: /opt/zapret/init.d/keenetic/S99zapret start Если всё хорошо, то в консоли должно быть примерно так: iptable_raw.ko is already loaded xt_string.ko is already loaded nfqws is installed tpws is installed Restoring ipset Adding iptables rule Starting anti-zapret: zapret. На данном этапе за роутером должны заработать рутрекер и кинозал. Если тут всё нормально делаем симлинк на автозапуск: ln -s /opt/zapret/init.d/keenetic/S99zapret /opt/etc/init.d/S99zapret У скрипта 3 режима работы Fragmentation - принудительно выставляется малый размер TCP окна, в результате чего пакеты фрагментируются и не попадают под анализ DPI. Используется NFQUEUE. Самый быстрый режим. Установлен по умолчанию. Работает в IPv4 для HTTP и для HTTPS (не всегда) Modification - прозрачное HTTP проксирование с модификацией HTTP заголовков. Работает в IPv4 и в IPv6 но только для HTTP Combined - комбинированный режим. Для HTTP используется проксирование(tpws), для HTTPS - фрагментирование пакетов(nfqws). Обязательная часть на этом закончена. Дальнейшее касается выгрузки из РКН и может быть пропущено. Для этой цели есть два скрипта: get_reestr.sh и get_antizapret.sh. Первый берет оригинал реестра и парсит его в айпи самостоятельно - нагрузка низкая, но парсить может сутками. Второй берет готовый список айпи с antizapret.prostovpn.org, отрабатывает за полминуты. Я использовал второй вариант: /opt/zapret/ipset/get_antizapret.sh Cейчас за роутером должно заработать всё. Осталось только вставить в cron актуализацию выгрузки: cp /opt/zapret/ipset/get_antizapret.sh /opt/etc/cron.daily/get_antizapret.sh Правим cron скрипт /opt/etc/cron.daily/get_antizapret.sh: Строку SCRIPT=$(readlink -f $0) удаляем, а строку EXEDIR=$(dirname $SCRIPT) меняем на EXEDIR=/opt/zapret/ipset Теперь роутер сам каждую ночь будет обновлять выгрузку. Чтобы отключить обход блокировок достаточно выполнить команду (действует до перезагрузки) : /opt/etc/init.d/S99zapret stop UPD: Если протокол HTTPS так и не заработал можно настроить прозрачное проксирование через тор или пустить заблокированный трафик через штатный openvpn. Edited April 5, 2019 by Михаил Лукьянов Установка через git. Комбинированный режим работы. 15 7 Quote Link to comment Share on other sites More sharing options...
Александр Рыжов Posted September 13, 2018 Share Posted September 13, 2018 5 часов назад, Михаил Лукьянов сказал: Копируем бинарные версии nfqws и tpws соответствующие нашей архитектуре (можно просто позапускать версии из разных папок и посмотреть что заработает) или opkg install http://bin.entware.net/mipselsf-k3.4/archive/libnetfilter-queue_2017-06-27-601abd1c-1_mipsel-3.4.ipk opkg install http://bin.entware.net/mipselsf-k3.4/archive/zapret_0.19-20180818-1_mipsel-3.4.ipk для MIPSEL роутеров. Quote Link to comment Share on other sites More sharing options...
TheBB Posted September 13, 2018 Share Posted September 13, 2018 и для MIPS (DSL, LTE, VOX) opkg install http://bin.entware.net/mipssf-k3.4/keenetic/archive/libnetfilter-queue_2017-06-27-601abd1c-1_mips-3.4.ipk opkg install http://bin.entware.net/mipssf-k3.4/keenetic/archive/zapret_0.19-20180818-1_mips-3.4.ipk Quote Link to comment Share on other sites More sharing options...
vlad Posted September 13, 2018 Share Posted September 13, 2018 13 часа назад, Михаил Лукьянов сказал: Включаем сохранение готовых айписетов, для этого в конец файла /opt/zapret/ipset/create_ipset.sh добавляем строку: ipset save zapret -f /opt/zapret/ipset/zapret.ipset Добавил строчку. Выдаёт ошибку. Adding to ipset ipban (hash:net) : /opt/zapret/ipset/zapret-ip-user-ipban.txt /opt/zapret/ipset/create_ipset.sh: line 29: ipset : not found Quote Link to comment Share on other sites More sharing options...
Михаил Лукьянов Posted September 13, 2018 Share Posted September 13, 2018 (edited) 2 часа назад, vlad сказал: Добавил строчку. Выдаёт ошибку. Adding to ipset ipban (hash:net) : /opt/zapret/ipset/zapret-ip-user-ipban.txt /opt/zapret/ipset/create_ipset.sh: line 29: ipset : not found Вы когда с форума копируете код, проверьте чтобы вопросов лишних туда не навставляло, а то у меня так выглядит после вставки в консоль ~ # ipset??? save zapret -f /opt/zapret/ipset/zapret.ipset????? -sh: ipset: not found И прошивка у вас надеюсь не та что в профиле указана? нужна не ниже 2.13.A.3.0-1. Александр Рыжов, TheBB, круто конечно, но как узнать об этом? Тут и тут ничего нет, в opkg list тоже. Магия какая-то. Edited September 13, 2018 by Михаил Лукьянов Про версию прошивки Quote Link to comment Share on other sites More sharing options...
Александр Рыжов Posted September 13, 2018 Share Posted September 13, 2018 10 минут назад, Михаил Лукьянов сказал: Александр Рыжов, TheBB, круто конечно, но как узнать об этом? Это тестовые пакеты. Если будет доказана их работоспособность и полезность, они войдут в основной состав. 2 часа назад, vlad сказал: Добавил строчку. Выдаёт ошибку. Adding to ipset ipban (hash:net) : /opt/zapret/ipset/zapret-ip-user-ipban.txt /opt/zapret/ipset/create_ipset.sh: line 29: ipset : not found opkg install ipset Quote Link to comment Share on other sites More sharing options...
vlad Posted September 13, 2018 Share Posted September 13, 2018 2 часа назад, Михаил Лукьянов сказал: Вы когда с форума копируете код, проверьте чтобы вопросов лишних туда не навставляло, а то у меня так выглядит после вставки в консоль Ваш совет помог. Спасибо. Сделал все по инструкции но почему то не запускается ни один сайт. Какими командами можно про верить работоспособность схемы ? Прошивка 2.13 B2 роутер GIGA III Entware самая свежая. Quote Link to comment Share on other sites More sharing options...
Михаил Лукьянов Posted September 13, 2018 Share Posted September 13, 2018 26 минут назад, vlad сказал: Ваш совет помог. Спасибо. Сделал все по инструкции но почему то не запускается ни один сайт. Какими командами можно про верить работоспособность схемы ? Прошивка 2.13 B2 роутер GIGA III Entware самая свежая. По инструкции нужно было остановиться на этапе рутрекера и кинозала если ничего не работает) Какой провайдер, что говорит blockcheck (перед запуском обязательно нужно гасить zapret через /opt/etc/init.d/S99zapret stop)? Quote Link to comment Share on other sites More sharing options...
vlad Posted September 13, 2018 Share Posted September 13, 2018 1 минуту назад, Михаил Лукьянов сказал: По инструкции нужно было остановиться на этапе рутрекера и кинозала если ничего не работает) Какой провайдер, что говорит blockcheck (перед запуском обязательно нужно гасить zapret через /opt/etc/init.d/S99zapret stop)? К сожаление нет компа под рукой чтоб запустить blockcheck ;(( Провайдер ЭГС-Телеком. Наверное малоизвестный Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.