Обход блокировок на роутере!

[Alex caswell]

А если руками добавить правила в iptables? 

[EvelRus]

On 10/5/2019 at 5:31 PM, Alex caswell said:

А если руками добавить правила в iptables? 

Это предложение так поступить или вопрос, возможно ли так?

Если предложение, ткните дурака как именно надо вставить ) 

[Konst]

Здравствуйте.

Я пытаюсь выполнить прикреплённую инструкцию по шагам. И как некоторые люди в этой ветке тоже получаю ошибку

Quote

iptables: No chain/target/match by that name

при попытке 

/opt/zapret/init.d/keenetic/S99zapret start

Я прочитал всю ветку, но не увидел где было бы в явном виде приводилось решение данной проблемы. Компоненты системы пп. 1-3 установлены.

Не могли бы гуру данного форума указать, что и где дописать/поправить в максимально доступной форме? Идеально было бы подредактировать прикреплённый пост, чтоб другие не наступали на те же грабли.

Спасибо.

UPD. Я использую KeeneticOS: 3.1.10 на Keenetic Giga III

 

Edited November 13, 2019 by Konst
firmware version added

[Alex caswell]

Волею судеб роутер залагал и пришлось обновиться на последнюю прошивку. Эта штука заработала в режиме перенаправления HTTPS через тор. Собственно говоря для меня этого достаточно т.к. https без тора у моего провайдера не работает.

Что сделал: Обновил, выключил OPKG, удалил с флешки всё, создал папку install и наживил entware, дальше поставил всё по инструкции отсюда. Ругани не было, https работает. Список сайтов у меня ограниченный потому каких-то особых сбоев возможно не заметил.

[Фото Звездочек]

On 11/13/2019 at 1:07 PM, Konst said:

Здравствуйте.

Я пытаюсь выполнить прикреплённую инструкцию по шагам. И как некоторые люди в этой ветке тоже получаю ошибку

при попытке 

/opt/zapret/init.d/keenetic/S99zapret start

Я прочитал всю ветку, но не увидел где было бы в явном виде приводилось решение данной проблемы. Компоненты системы пп. 1-3 установлены.

Не могли бы гуру данного форума указать, что и где дописать/поправить в максимально доступной форме? Идеально было бы подредактировать прикреплённый пост, чтоб другие не наступали на те же грабли.

Спасибо.

UPD. Я использую KeeneticOS: 3.1.10 на Keenetic Giga III

 

В течении недели пытаюсь настроить обход через tor пробовал кучу инструкций (после одной в итоге пришлось сбросить настройки до заводских) и с этой темы  варианты не получались и с 4pda в итоге получилось идеально по инструкции https://habr.com/ru/post/428992/

 

P.S. Модули ядра подсистемы Netfilter получилось включить только после поддержки ipv6 и только в мобильном приложении

[Alex caswell]

В общем я зря написал что удалось запустить, работает всё очень странно. HTTPS отваливается.

Решил проблему так: эту штуку временно выключить пока автор не вернётся, на последней прошивке включить встроенное шифрование DNS, а нужные адреса пустить через встроенный OpenVPN. Работает такая связка стабильно. Пробуйте.

[Dim McAlastair]

On 11/25/2019 at 11:03 AM, Alex caswell said:

нужные адреса пустить через встроенный OpenVPN. Работает такая связка стабильно

Не могли бы вы объяснить поподробнее, как это сделать. Модуль OpenVPN клиента у меня установлен, но я им пока не пользовался.

[Alex caswell]

On 11/27/2019 at 4:24 PM, Dim McAlastair said:

Не могли бы вы объяснить поподробнее, как это сделать. Модуль OpenVPN клиента у меня установлен, но я им пока не пользовался.

Нужен OpenVPN сервер. Как сделать свой можно поискать в интернете. Либо есть конторы которые продают VPN. В конфиге на клиенте вы прописываете пути к ресурсам которые должны работать через OpenVPN. Возможно это можно как-то автоматизировать, но я не знаю как.

Пример:

pull-filter ignore "block-outside-dns"

client

nobind

dev tun

remote-cert-tls server

remote тут адрес сервера 1194 udp

<key>

</key>

<cert>

</cert>

<ca>

</ca>

key-direction 1

<tls-auth>

</tls-auth>

route адрес сайта 255.255.255.255

[Dim McAlastair]

On 12/4/2019 at 11:20 AM, Alex caswell said:

route адрес сайта 255.255.255.255

Как я понимаю это и есть строчка для сайта который должен работать через OpenVPN? В каком формате прописывать адрес сайта, IP-адрес или доменное имя?

[Alex caswell]

On 12/5/2019 at 8:04 PM, Dim McAlastair said:

Как я понимаю это и есть строчка для сайта который должен работать через OpenVPN? В каком формате прописывать адрес сайта, IP-адрес или доменное имя?

Как хотите. Главное прикрыть DNS (смотрите тему про встроенное шифрование DNS). 

[Dim McAlastair]

Спасибо, я, кажется, разобрался. Включил шифрование днс, подключился к бесплатному openvpn серверу, а потом добавил статический маршрут до нужного сайта с пропуском трафика через openvpn подключение. 

[mk202]

Оффтопик. 😏

Возможно ли использовать функциональность ENTWARE и настройки описанные в данной ветке в роутерах MikroTic?

Вроде бы не менее (если не более) навороченный Роутер.

На IXBT не нашёл сообщений по строке "MikroTic DPI"

[Lstt]

Keenetic OS 3.3 - ошибка  - Cannot find iptable_raw.ko kernel module, aborting

Как правильно установить модуль?

 

Edited January 12, 2020 by Lstt

[Boomer]

Путем проб и ошибок выяснил, ошибка

iptables: No chain/target/match by that name 

появляется из-за строки

iptables -t raw -I PREROUTING -m multiport -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass

С ней что-то не так?

и еще вопрос,

в строке

#FILL THE ADRESS OF BLACKHOLE PAGE
BLACKHOLE=safe.ooonet.ru

Как-то можно две страницы-заглушки прописать? А то у меня иногда заглушка "Зеленая точка", а иногда "Билайн"

[shammy]

NFQUEUE 

On 3/3/2020 at 12:06 AM, Boomer said:

Путем проб и ошибок выяснил, ошибка

iptables: No chain/target/match by that name 

появляется из-за строки

iptables -t raw -I PREROUTING -m multiport -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass

С ней что-то не так?

 

А в... /proc/net/ip_tables_targets - NFQUEUE есть?

У меня в Linux Keenetic_Giga 4.9-ndm-4 (KeeneticOS 3.3.12) отсутствует.

Netfilter в админкe установлен

[Boomer]

В 15.03.2020 в 00:09, shammy сказал:

А в... /proc/net/ip_tables_targets - NFQUEUE есть?

А как это проверить?

[TheBB]

9 часов назад, Boomer сказал:

А как это проверить?

~ # grep NFQUEUE /proc/net/ip_tables_targets 
NFQUEUE
NFQUEUE
NFQUEUE
NFQUEUE
~ #

 

[Boomer]

Спасибо.

В 15.03.2020 в 00:09, shammy сказал:

А в... /proc/net/ip_tables_targets - NFQUEUE есть?

Нет, нету ничего.

Роутер Keenetic GIGA III, версия прошивки 3.3.15

[TheBB]

А сами модули ядра загружены? Некоторые надо руками (скриптом) подгружать, т.к. не все они нужны для работы устройства.

[Boomer]

А как проверить и как запустить?

[Федор]

В 18.03.2020 в 07:57, TheBB сказал:

А сами модули ядра загружены? Некоторые надо руками (скриптом) подгружать, т.к. не все они нужны для работы устройства.

А как их подгрузить? Столкнулся с такой же проблемой, что и человек постом выше.

[TheBB]

insmod /lib/modules/*/$нужный_модуль напр.,

~ # insmod /lib/modules/*/xt_NFQUEUE.ko
~ # lsmod | grep NFQU
xt_NFQUEUE 3504 0 - Live 0x8fd9b000
~ # 

 

[Федор]

8 минут назад, TheBB сказал:

insmod /lib/modules/*/$нужный_модуль напр.,

~ # insmod /lib/modules/*/xt_NFQUEUE.ko
~ # lsmod | grep NFQU
xt_NFQUEUE 3504 0 - Live 0x8fd9b000
~ # 

 

Добавил, но ошибка все равно сохраняется.

~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
iptables: No chain/target/match by that name.

 

[TheBB]

Данным способом не пользуюсь, откуда мне знать, каких модулей не хватает для работы. Терзайте тех, кто пользуется этим методом.

[vasek00]

2 часа назад, Федор сказал:

Добавил, но ошибка все равно сохраняется.

iptables: No chain/target/match by that name.

 

Данная ошибка при вводе команды

iptables -t raw -I PREROUTING -m multiport -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass

ошибка может быть из-за "-m set --match-set zapret" отсутствия "zapret", так же $QNUM должно быть значение

Скрытый текст

Раздел match задает критерии проверки, по которым определяется подпадает ли пакет под действие этого правила или нет. Здесь мы можем указать самые разные критерии -- IP-адрес источника пакета или сети, IP-адрес места назначения,порт, протокол, сетевой интерфейс и т.д. Существует множество разнообразных критериев.

https://www.opennet.ru/docs/RUS/iptables/

В итоге например

ipset create zapret hash:net
iptables -t raw -I PREROUTING -m multiport -p tcp --sports 443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass

Все в порядке.

 

Чтоб меньше думать о модулях можно использовать "S00kmod_config" есть в репозитарии

Скрытый текст

/opt/etc/init.d #
/opt/etc/init.d # opkg list | grep kmod
kmod - 20-2 - Linux kernel module handling kmod is a set of tools to handle common tasks with Linux kernel modules like insert, remove, list, check properties, resolve dependencies and aliases.
kmod_ndms - 24-5 - Linux kernel module handling kmod is a set of tools to handle common tasks with Linux kernel modules like insert, remove, list, check properties, resolve dependencies and aliases.
/opt/etc/init.d #

Будет скрипт запуска в /opt/etc/init.d c номером S00...... т.е. запуск самого первого, который поможет решить проблему в ручном запуске модулей (если только они есть в системе).

[Федор]

15 минут назад, vasek00 сказал:

ошибка может быть из-за "-m set --match-set zapret" отсутствия "zapret"

/opt/zapret/ipset/zapret.ipset присутствует, в нем какие-то адреса прописаны. Или речь не об этом?

[Федор]

ipset zapret создался:

/opt/zapret/ipset # ipset list zapret
Name: zapret
Type: hash:ip
Revision: 4
Header: family inet hashsize 131072 maxelem 524288
Size in memory: 260
References: 0
Members:
104.27.140.68
195.82.146.214
195.82.146.120
104.27.141.68
81.17.30.22

Но ошибка все равно присутствует. Куда дальше копать?

[Федор]

1 час назад, vasek00 сказал:

В итоге например

ipset create zapret hash:net
iptables -t raw -I PREROUTING -m multiport -p tcp --sports 443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass

Все в порядке.

Удалил zapret и попробовал - та же самая ошибка iptables: No chain/target/match by that name.

Быть может модулей каких не хватает? Где взять S00kmod_config?

/opt/etc/init.d # opkg list | grep kmod
kmod - 20-2 - Linux kernel module handling kmod is a set of tools to handle common tasks with Linux kernel modules like insert, remove, list, check properties, resolve dependencies and aliases.
kmod_ndms - 24-5 - Linux kernel module handling kmod is a set of tools to handle common tasks with Linux kernel modules like insert, remove, list, check properties, resolve dependencies and aliases.
libkmod - 20-2 - Linux kernel module handling (library)
shairport-sync-mini - 3.3.5-1 - Shairport Sync plays audio from iTunes and AirPlay sources, including iOS devices, Quicktime Player and third party sources such as forkedDaapd. Audio played by a Shairport Sync-powered device stays synchronised with the source and hence with similar devices playing the same source.  Shairport Sync does not support AirPlay video or photo streaming. Ensure Kernel Modules > Sound Support > kmod-sound-core is selected. Also select kmod-usb-audio if you want to use USB-connected sound cards.  Minimal version uses mbed TLS and does not include libsoxr and avahi support.
shairport-sync-openssl - 3.3.5-1 - Shairport Sync plays audio from iTunes and AirPlay sources, including iOS devices, Quicktime Player and third party sources such as forkedDaapd. Audio played by a Shairport Sync-powered device stays synchronised with the source and hence with similar devices playing the same source.  Shairport Sync does not support AirPlay video or photo streaming. Ensure Kernel Modules > Sound Support > kmod-sound-core is selected. Also select kmod-usb-audio if you want to use USB-connected sound cards.

 

[vasek00]

46 минут назад, Федор сказал:

Удалил zapret и попробовал - та же самая ошибка iptables: No chain/target/match by that name.

Быть может модулей каких не хватает? Где взять S00kmod_config?=

Выполнить

opkg install kmod_ndms 

И в догонку доставьте еще пакетик

opkg install xtables-addons_legacy

 

Edited March 19, 2020 by vasek00

[Федор]

8 минут назад, vasek00 сказал:

Выполнить

opkg install kmod_ndms 

И в догонку доставьте еще пакетик

opkg install xtables-addons_legacy

 

Заработало!

 

Только ни один из сайтов /opt/zapret/ipset/zapret-hosts-user.txt не открывается...

Edited March 19, 2020 by Федор