bkbn Posted May 9, 2020 Share Posted May 9, 2020 (edited) 6 часов назад, Albram сказал: Но если есть желание, то можете попробовать. Записал трафик по 443 порту для прошивок 2.06 и 2.16 на роутере и wireshark. При сравнении поля TTL 2.16 с 2.06 и с Wireshark подтвердилось предположение о модификации пакета роутером. GoodbyeDPI устанавливает ttl=5. Wireshark показывает TTL=5, прошивка 2.06 TTL=5, а прошивка 2.16 TTL=63. В ридми к goodbye автор писал, что TTL не должен быть большим, чтобы пакет не дошел до адресата. Прошивка 2.16 ломает эту схему. Пакет Client Hello Прошивка 2.16 TLSv1 Скрытый текст Internet Protocol Version 4, Src: хххххххххх, Dst: 195.82.146.214 0100 .... = Version: 4 .... 0101 = Header Length: 20 bytes (5) Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT) Total Length: 555 Identification: 0x47f4 (18420) Flags: 0x4000, Don't fragment Fragment offset: 0 Time to live: 63 Protocol: TCP (6) Header checksum: 0x8978 [validation disabled] [Header checksum status: Unverified] Source: хххххххххх Destination: 195.82.146.214 Прошивка 2.06 TLSv1.2 Скрытый текст Internet Protocol Version 4, Src: хххххххххх, Dst: 195.82.146.214 0100 .... = Version: 4 .... 0101 = Header Length: 20 bytes (5) Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT) Total Length: 557 Identification: 0x319f (12703) Flags: 0x4000, Don't fragment Fragment offset: 0 Time to live: 5 Protocol: TCP (6) Header checksum: 0xd9cb [validation disabled] [Header checksum status: Unverified] Source: хххххххххх Destination: 195.82.146.214 Wireshark TLSv1 Скрытый текст Internet Protocol Version 4, Src: хххххххххх, Dst: 195.82.146.214 0100 .... = Version: 4 .... 0101 = Header Length: 20 bytes (5) Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT) Total Length: 557 Identification: 0x47f2 (18418) Flags: 0x4000, Don't fragment Fragment offset: 0 Time to live: 5 Protocol: TCP (6) Header checksum: 0x0000 [validation disabled] [Header checksum status: Unverified] Source: хххххххххх Destination: 195.82.146.214 Способ отучить 2.16 менять TTL я не нахожу. Edited May 9, 2020 by bkbn 1 Quote Link to comment Share on other sites More sharing options...
bkbn Posted May 10, 2020 Share Posted May 10, 2020 В общем, подружить 2.16 и GoodbyeDPI у меня не получилось. В журнале изменений 2.16 написано, что "IPv6: форсирована установка TTL в значение 64 во внешнем IPv4-заголовке 6in4". Эту картину я наблюдал и выложил в сообщении выше, хотя IPv6 у меня нет и этот компонент удалил. Таким образом, считаю, что без вмешательства в прошивку отключить изменение пакетов роутером не получится. За сим откланиваюсь, то есть откатываюсь на 2.06. Всем спасибо, сорри за многабукав. 1 2 Quote Link to comment Share on other sites More sharing options...
OmegaTron Posted May 22, 2020 Share Posted May 22, 2020 (edited) Может местные гуру подскажут, что не так с правилом iptables -I FORWARD -p tcp --sport 80 -m u32 --u32 "0x1E&0xFFFF=0x5010 && 0x73=0x7761726e && 0x77=0x696e672e && 0x7B=0x72742e72" -j DROP которое используется для обхода блокировок РТ на Omni II, но которое при этом не работает на рутрекере для FORWARD, но работает для OUTPUT трафика ? Причём по http проблема именно на http://rutracker.org и для FORWARD трафика. FORWARD + http://rutracker.org/forum/index.php успешно обходятся. Если правило вкорячено на целевом устройстве в OUTPUT, то проблем нет. С http://rutracker.org идёт редирект на http://rutracker.org/forum/index.php и тут его DPI подлавливает. Вот пакет с редиректом http://sendfile.su/1560637 на заглушку. Изучение вопроса привело к тому, что вероятно причина проблемы в аппаратном нате и прочих оптимизаторах. Тем не менее попытки отрубить HWNAT через rmmod hw_nat или более радикально через cli (вышибло HWNAT и SWNAT на пару) no ppe ни к чему не привели. Клиенты подключённые к роутеру продолжают напарываться на заглушку. Если правило вкорячено для FORWARD трафика на программной версии (vbox) OpenWRT, то проблем нет. Т.е. загвоздка в программных потрохах. Вот только где ? Edited May 22, 2020 by OmegaTron Quote Link to comment Share on other sites More sharing options...
vasek00 Posted May 22, 2020 Share Posted May 22, 2020 51 минуту назад, OmegaTron сказал: что не так с правилом Глушите его ранее "на самом входе" -> RAW таблица Quote Link to comment Share on other sites More sharing options...
OmegaTron Posted May 22, 2020 Share Posted May 22, 2020 7 минут назад, vasek00 сказал: Глушите его ранее "на самом входе" -> RAW таблица Да я и рад бы, но iptables v1.4.21: can't initialize iptables table `raw': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. Quote Link to comment Share on other sites More sharing options...
vasek00 Posted May 22, 2020 Share Posted May 22, 2020 2 минуты назад, OmegaTron сказал: Да я и рад бы, но iptables v1.4.21: can't initialize iptables table `raw': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. / # lsmod | grep iptable iptable_raw 1040 1 / # Flash + OPKG (Entware) + модули ядра и расширения (ПО) ПО желательно последнее например 2.16хххх 1 Quote Link to comment Share on other sites More sharing options...
OmegaTron Posted May 24, 2020 Share Posted May 24, 2020 (edited) В 22.05.2020 в 21:19, vasek00 сказал: Flash + OPKG (Entware) + модули ядра и расширения (ПО) Это есть. opkg-kmod-netfilter + opkg-kmod-netfilter-addons В 22.05.2020 в 21:19, vasek00 сказал: ПО желательно последнее например 2.16хххх С этим пока напряг 😕 ПО той версии, что в подписи. lsmod | grep iptable lsmod|grep iptable iptable_rawpost 609 0 - Live 0x831cb000 (O) Edited May 24, 2020 by OmegaTron Quote Link to comment Share on other sites More sharing options...
vasek00 Posted May 24, 2020 Share Posted May 24, 2020 2 минуты назад, OmegaTron сказал: Это есть. opkg-kmod-netfilter + opkg-kmod-netfilter-addons С этим пока напряг 😕 ПО той версии, что в подписи. lsmod | grep iptable lsmod|grep iptable iptable_rawpost 609 0 - Live 0x831cb000 (O) ДА + Entware ( kmod + xtables-addons_legacy + iptables ) / # opkg list | grep xtable xtables-addons_legacy - 1.47.1-1a - Extensions not distributed in the main Xtables (1.47.1 legacy version) / # kmod - по мере нужности сам загрузит что надо для скрипта / # lsmod | grep xt_ xt_connbytes 1776 7 xt_string 784 10 xt_u32 1040 12 xt_esp 880 0 xt_CT 2672 0 xt_policy 2096 0 / # Под рукой 2.16 нет а так 3.4/3.5 /lib/modules/4.9-ndm-4 # ls -l | grep xt_ -rw-r--r-- 1 root root 15296 May 22 21:42 xt_ACCOUNT.ko -rw-r--r-- 1 root root 5304 May 22 21:42 xt_CHAOS.ko -rw-r--r-- 1 root root 2072 May 22 21:31 xt_CLASSIFY.ko -rw-r--r-- 1 root root 5332 May 22 21:31 xt_CT.ko -rw-r--r-- 1 root root 3628 May 22 21:42 xt_DELUDE.ko -rw-r--r-- 1 root root 3324 May 22 21:42 xt_DHCPMAC.ko -rw-r--r-- 1 root root 16980 May 22 21:42 xt_DNETMAP.ko -rw-r--r-- 1 root root 3496 May 22 21:31 xt_DSCP.ko -rw-r--r-- 1 root root 2544 May 22 21:42 xt_IPMARK.ko -rw-r--r-- 1 root root 4556 May 22 21:42 xt_LOGMARK.ko -rw-r--r-- 1 root root 2820 May 22 21:31 xt_NETMAP.ko -rw-r--r-- 1 root root 2248 May 22 21:31 xt_NFLOG.ko -rw-r--r-- 1 root root 5404 May 22 21:31 xt_NFQUEUE.ko -rw-r--r-- 1 root root 8180 May 22 21:42 xt_SYSRQ.ko -rw-r--r-- 1 root root 6864 May 22 21:42 xt_TARPIT.ko -rw-r--r-- 1 root root 4032 May 22 21:31 xt_TEE.ko -rw-r--r-- 1 root root 7484 May 22 21:31 xt_TPROXY.ko -rw-r--r-- 1 root root 4660 May 22 21:31 xt_addrtype.ko -rw-r--r-- 1 root root 1956 May 22 21:31 xt_comment.ko -rw-r--r-- 1 root root 6864 May 22 21:42 xt_condition.ko -rw-r--r-- 1 root root 3740 May 22 21:31 xt_connbytes.ko -rw-r--r-- 1 root root 8352 May 22 21:31 xt_connlimit.ko -rw-r--r-- 1 root root 2724 May 22 21:31 xt_dscp.ko -rw-r--r-- 1 root root 3156 May 22 21:31 xt_ecn.ko -rw-r--r-- 1 root root 2400 May 22 21:31 xt_esp.ko -rw-r--r-- 1 root root 2872 May 22 21:42 xt_fuzzy.ko -rw-r--r-- 1 root root 5688 May 22 21:42 xt_geoip.ko -rw-r--r-- 1 root root 14996 May 22 21:31 xt_hashlimit.ko -rw-r--r-- 1 root root 2296 May 22 21:31 xt_hl.ko -rw-r--r-- 1 root root 2668 May 22 21:42 xt_iface.ko -rw-r--r-- 1 root root 12496 May 22 21:42 xt_ipp2p.ko -rw-r--r-- 1 root root 2616 May 22 21:31 xt_iprange.ko -rw-r--r-- 1 root root 2084 May 22 21:42 xt_ipv4options.ko -rw-r--r-- 1 root root 2232 May 22 21:31 xt_length.ko -rw-r--r-- 1 root root 4516 May 22 21:42 xt_length2.ko -rw-r--r-- 1 root root 5560 May 22 21:42 xt_lscan.ko -rw-r--r-- 1 root root 2084 May 22 21:31 xt_mac.ko -rw-r--r-- 1 root root 2912 May 22 21:31 xt_multiport.ko -rw-r--r-- 1 root root 2444 May 22 21:31 xt_owner.ko -rw-r--r-- 1 root root 3868 May 22 21:31 xt_policy.ko -rw-r--r-- 1 root root 5552 May 22 21:42 xt_psd.ko -rw-r--r-- 1 root root 2520 May 22 21:31 xt_quota.ko -rw-r--r-- 1 root root 7140 May 22 21:42 xt_quota2.ko -rw-r--r-- 1 root root 13192 May 22 21:31 xt_recent.ko -rw-r--r-- 1 root root 7120 May 22 21:31 xt_socket.ko -rw-r--r-- 1 root root 2528 May 22 21:31 xt_statistic.ko -rw-r--r-- 1 root root 2368 May 22 21:31 xt_string.ko -rw-r--r-- 1 root root 3952 May 22 21:31 xt_time.ko -rw-r--r-- 1 root root 2532 May 22 21:31 xt_u32.ko /lib/modules/4.9-ndm-4 # 1 Quote Link to comment Share on other sites More sharing options...
OmegaTron Posted May 25, 2020 Share Posted May 25, 2020 (edited) 20 часов назад, vasek00 сказал: ДА + Entware ( kmod + xtables-addons_legacy + iptables ) Так, а вот тут затык. Нужно накатывать entware вместо стоящего у меня entware-ng, где таких пакетов нема. А с переездом на entware придётся повременить т.к. апгрейд я не хочу делать, а при накатке с нуля нужно будет заново поставить пакеты и перенести конфиги софта, после чего протестировать его на предемет корректной работы. Цитата / # opkg list | grep xtable xtables-addons_legacy - 1.47.1-1a - Extensions not distributed in the main Xtables (1.47.1 legacy version) / # kmod - по мере нужности сам загрузит что надо для скрипта В общем, направление работы над проблемой я понял. Спасибо. Займусь чуть попозже 20 часов назад, vasek00 сказал: Под рукой 2.16 нет а так 3.4/3.5 -bash-4.4# ls -l /lib/modules/3.4.113/| grep xt_ -rw-r--r-- 1 root root 14896 Oct 2 2018 xt_ACCOUNT.ko -rw-r--r-- 1 root root 5300 Oct 2 2018 xt_CHAOS.ko -rw-r--r-- 1 root root 2184 Oct 2 2018 xt_CLASSIFY.ko -rw-r--r-- 1 root root 4704 Oct 2 2018 xt_CT.ko -rw-r--r-- 1 root root 3732 Oct 2 2018 xt_DELUDE.ko -rw-r--r-- 1 root root 3540 Oct 2 2018 xt_DHCPMAC.ko -rw-r--r-- 1 root root 16492 Oct 2 2018 xt_DNETMAP.ko -rw-r--r-- 1 root root 3544 Oct 2 2018 xt_DSCP.ko -rw-r--r-- 1 root root 2660 Oct 2 2018 xt_IPMARK.ko -rw-r--r-- 1 root root 4656 Oct 2 2018 xt_LOGMARK.ko -rw-r--r-- 1 root root 3532 Oct 2 2018 xt_NFQUEUE.ko -rw-r--r-- 1 root root 2288 Oct 2 2018 xt_NOTRACK.ko -rw-r--r-- 1 root root 5932 Oct 2 2018 xt_RAWNAT.ko -rw-r--r-- 1 root root 2432 Oct 2 2018 xt_STEAL.ko -rw-r--r-- 1 root root 8212 Oct 2 2018 xt_SYSRQ.ko -rw-r--r-- 1 root root 7040 Oct 2 2018 xt_TARPIT.ko -rw-r--r-- 1 root root 4808 Oct 2 2018 xt_TEE.ko -rw-r--r-- 1 root root 7228 Oct 2 2018 xt_TPROXY.ko -rw-r--r-- 1 root root 4560 Oct 2 2018 xt_addrtype.ko -rw-r--r-- 1 root root 2052 Oct 2 2018 xt_comment.ko -rw-r--r-- 1 root root 5640 Oct 2 2018 xt_condition.ko -rw-r--r-- 1 root root 3692 Oct 2 2018 xt_connbytes.ko -rw-r--r-- 1 root root 3320 Oct 2 2018 xt_connmark.ko -rw-r--r-- 1 root root 2820 Oct 2 2018 xt_dscp.ko -rw-r--r-- 1 root root 3236 Oct 2 2018 xt_ecn.ko -rw-r--r-- 1 root root 2464 Oct 2 2018 xt_esp.ko -rw-r--r-- 1 root root 2952 Oct 2 2018 xt_fuzzy.ko -rw-r--r-- 1 root root 5504 Oct 2 2018 xt_geoip.ko -rw-r--r-- 1 root root 11024 Oct 2 2018 xt_hashlimit.ko -rw-r--r-- 1 root root 2744 Oct 2 2018 xt_helper.ko -rw-r--r-- 1 root root 2360 Oct 2 2018 xt_hl.ko -rw-r--r-- 1 root root 2716 Oct 2 2018 xt_iface.ko -rw-r--r-- 1 root root 12120 Oct 2 2018 xt_ipp2p.ko -rw-r--r-- 1 root root 2696 Oct 2 2018 xt_iprange.ko -rw-r--r-- 1 root root 2180 Oct 2 2018 xt_ipv4options.ko -rw-r--r-- 1 root root 2312 Oct 2 2018 xt_length.ko -rw-r--r-- 1 root root 4716 Oct 2 2018 xt_length2.ko -rw-r--r-- 1 root root 5528 Oct 2 2018 xt_lscan.ko -rw-r--r-- 1 root root 2260 Oct 2 2018 xt_owner.ko -rw-r--r-- 1 root root 3128 Oct 2 2018 xt_physdev.ko -rw-r--r-- 1 root root 2228 Oct 2 2018 xt_pkttype.ko -rw-r--r-- 1 root root 3980 Oct 2 2018 xt_policy.ko -rw-r--r-- 1 root root 5480 Oct 2 2018 xt_psd.ko -rw-r--r-- 1 root root 2580 Oct 2 2018 xt_quota.ko -rw-r--r-- 1 root root 5540 Oct 2 2018 xt_quota2.ko -rw-r--r-- 1 root root 12200 Oct 2 2018 xt_recent.ko -rw-r--r-- 1 root root 5412 Oct 2 2018 xt_socket.ko -rw-r--r-- 1 root root 2620 Oct 2 2018 xt_statistic.ko -rw-r--r-- 1 root root 2512 Oct 2 2018 xt_string.ko Edited May 25, 2020 by OmegaTron Quote Link to comment Share on other sites More sharing options...
Hcimor Posted May 25, 2020 Share Posted May 25, 2020 На роутере поднят сервер L2TP/IPsec. Для клиентов подключенных по VPN правила не всегда отрабатывают. Примерно каждый 4-5 раз вылетает заглушка провайдера. Провайдер Onlime. В локальной сети все отрабатывает четко. Можно ли подкрутить то-нибудь в параметрах скрипта, чтобы для клиентов VPN не выскакивала заглушка провайдера? Quote Link to comment Share on other sites More sharing options...
Hcimor Posted May 25, 2020 Share Posted May 25, 2020 UPD. В локальной сети тоже время от времени выскакивает заглушка провайдера, но гораздо реже, чем через VPN. При этом при повторном заходе практически всегда отрабатывает нормально и заглушку уже не выдает. Quote Link to comment Share on other sites More sharing options...
nurman Posted May 30, 2020 Share Posted May 30, 2020 (edited) Добрый день, установил данный метод обхода+ HTTPS ТОР, в целом все работает, но некоторые сайты всё-равно не обходит (показывает 404), к примеру https://ruq.hotmo.org. Возникло два вопроса: 1) On 9/28/2018 at 3:10 PM, Михаил Лукьянов said: В скрипт S99zapret добавлено правило для перенаправления запрещенного HTTPS трафика в redsocks, скрипт нужно перекачать с гитхаба. Для того чтобы NDM не сбрасывало правило в таблице nat нужно создать следующий файл /opt/etc/ndm/netfilter.d/redsocks.sh: Все работает, но непонятно в инструкции что значит "скрипт нужно перекачать с гитхаба", это про что? 2) Есть ли возможность добавить сайты в исключения чтобы On 9/28/2018 at 3:10 PM, Михаил Лукьянов said: Что интересно у меня https://2ip.ru/ и https://yandex.ru/internet/ часто показывают выход через tor, а не напрямую. Видимо какой-то не тот диапазон IP попал в реестр:( не было таких моментов? Edited May 30, 2020 by nurman Quote Link to comment Share on other sites More sharing options...
DennoN Posted May 30, 2020 Share Posted May 30, 2020 2 часа назад, nurman сказал: Все работает, но непонятно в инструкции что значит "скрипт нужно перекачать с гитхаба", это про что? Это если кто-то ставил до внесения изменений. Сейчас там актуальная версия лежит https://github.com/LukyanovM/zapret/blob/master/init.d/keenetic/S99zapret Если ставили позднее 2018 года 😀, то ничего делать не нужно. 2 часа назад, nurman сказал: не было таких моментов? Вроде бы не предусмотрено в скрипте это. По крайне мере я не видел такой возможности, когда им пользовался. Quote Link to comment Share on other sites More sharing options...
diqipib Posted July 14, 2020 Share Posted July 14, 2020 Всем доброго дня. Подскажите, пожалуйста, удалось ли запустить zapret от bol-van на 2.16 ? У меня Zyxel Keenetic GIGA II. Как раз с прошивкой 2.16. Сразу скажу - в линухах совсем не силён, только по гайду смог выполнить необходимый набор действий. Дошёл до пункта запуска. Получил такой результат. ~ # /opt/zapret/init.d/keenetic/S99zapret start iptable_raw.ko loaded xt_string.ko loaded nfqws is installed tpws is installed Restoring ipset Adding iptables rule Starting anti-zapret: zapret. ~ # Но заблокированные сайты по прежнему не открываются. Суть вопроса - пытаюсь обойти ограничение МТС в виде шейпинга. Провайдер включают его если DPI видит, что запросы идут с ПК (что именно мониторится не знаю). При использовании GoodbyeDPI в базовом варианте service_install_russia_blacklist.cmd на ПК, шейпинга нет, но хотелось бы на уровне роутера получить аналогичный результат, чтобы без установки доп. софта можно было работать с разных ПК. Подскажите, пожалуйста, можно ли этого добиться средствами наработки bol-van ? И если да, то есть ли готовый мануальчик для такой настройки ? Или есть альтернативные способы ? Пробовал VPN (L2TP, OpenVPN, SSTP) - сильно режется скорость. Судя по всему - пров это тоже мониторит. Quote Link to comment Share on other sites More sharing options...
Albram Posted July 20, 2020 Share Posted July 20, 2020 (edited) В 14.07.2020 в 20:35, diqipib сказал: Подскажите, пожалуйста, удалось ли запустить zapret от bol-van на 2.16 ? Здравствуйте. Да, на 2.16 zapret работает. В 14.07.2020 в 20:35, diqipib сказал: Провайдер включают его если DPI видит, что запросы идут с ПК Настроенный на роутере zapret вам тут не поможет. Он для другого предназначен. В 14.07.2020 в 20:35, diqipib сказал: При использовании GoodbyeDPI в базовом варианте service_install_russia_blacklist.cmd на ПК, шейпинга нет Придется вам продолжить его использовать, или искать по каким параметрам оператор определяет, что запросы идут с ПК (а возможно, что он определяет не то, что с ПК идут запросы, а то, что раздается интернет на тарифах для этого не предназначенных, вот и блокирует), и искать как это обойти. Подсказка: если проблема в том, о чем я написал в скобках, то вам поможет фиксация ttl, но с "игрой" с ttl в 2.16 не всё гладко, прочтите посты немного выше, например этот. Edited July 20, 2020 by Albram Quote Link to comment Share on other sites More sharing options...
Fader Posted July 25, 2020 Share Posted July 25, 2020 Пытаюсь разрешить доступ к onion-сайтам на keeneticOS 3.4.12. Делал по известной инструкции от Юрия с хабра. Обход блокировок заработал, все ОК. Стал настраивать доступ к доменной зоне onion. Там всего-то сделать правки в двух файлах. Сделал как было написано, но тщетно. torr:User root PidFile /opt/var/run/tor.pid ExcludeExitNodes {RU},{UA},{AM},{KG},{BY} StrictNodes 1 TransPort 192.168.70.1:9141 ExitRelay 0 ExitPolicy reject *:* ExitPolicy reject6 *:* GeoIPFile /opt/share/tor/geoip GeoIPv6File /opt/share/tor/geoip6 DataDirectory /opt/var/lib/torVirtualAddrNetwork 10.254.0.0/16 DNSPort 127.0.0.1:9053 AutomapHostsOnResolve 1dnsmasq.confuser=nobody bogus-priv no-negcache clear-on-reload bind-dynamic listen-address=192.168.70.1 listen-address=127.0.0.1 min-port=4096 cache-size=1536 expand-hosts log-async conf-file=/opt/etc/unblock.dnsmasq server=8.8.8.8server=/onion/127.0.0.1#9053 ipset=/onion/unblockОтвет хрома:Не удается получить доступ к сайту Не удалось найти IP-адрес сервера flibustahezeous3.onion. DNS_PROBE_FINISHED_NXDOMAIN dig к флибусте: ~ # dig +short flibustahezeous3.onion@localhost -p 9053;; connection timed out; no servers could be reached Где грабли? Quote Link to comment Share on other sites More sharing options...
diqipib Posted July 28, 2020 Share Posted July 28, 2020 (edited) В 20.07.2020 в 10:25, Albram сказал: Здравствуйте. Да, на 2.16 zapret работает. Настроенный на роутере zapret вам тут не поможет. Он для другого предназначен. Придется вам продолжить его использовать, или искать по каким параметрам оператор определяет, что запросы идут с ПК (а возможно, что он определяет не то, что с ПК идут запросы, а то, что раздается интернет на тарифах для этого не предназначенных, вот и блокирует), и искать как это обойти. Подсказка: если проблема в том, о чем я написал в скобках, то вам поможет фиксация ttl, но с "игрой" с ttl в 2.16 не всё гладко, прочтите посты немного выше, например этот. @Albram, благодарю за ответ. У меня ситуация немного иная. TTL давно настроен на модеме. В подтверждение того, что всё работает верно - вижу, что в ЛК нет расхода трафика. Т.е раздача не "палится". Но провайдер через пару минут врубает шейпинг на 1,5 мегабита, если я подключаюсь к роутеру с ПК. При этом к роутеру подключены несколько смартов на дройде и планшет и если при этом ПК не в сети, то шейпинга нет. По моим догадкам DPI либо замечает заголовки параметров браузеров в HTTP пакетах, либо хосты на которые не должен обращаться планшет или телефон. Поэтому пользуюсь пока так - на ПК включен GoodbyeDPI, а со всех мобил и планшетов свободно подключаюсь к роутеру. Как я понимаю, GoodbyeDPI фрагментирует пакеты от ПК и при этом DPI прова их не распознаёт. Но хотелось бы роутер целиково перевести на такую работу. Подскажите, пожалуйста, возможно ли это ? Edited July 28, 2020 by diqipib Quote Link to comment Share on other sites More sharing options...
Albram Posted July 29, 2020 Share Posted July 29, 2020 17 часов назад, diqipib сказал: либо хосты на которые не должен обращаться планшет или телефон. Вот это скорее всего. 17 часов назад, diqipib сказал: Подскажите, пожалуйста, возможно ли это ? В первом сообщении этой темы написано: "У скрипта 3 режима работы Fragmentation - принудительно выставляется малый размер TCP окна, в результате чего пакеты фрагментируются и не попадают под анализ DPI. Используется NFQUEUE. Самый быстрый режим. Установлен по умолчанию. Работает в IPv4 для HTTP и для HTTPS (не всегда) " Перед установкой вы проводили тестирование на компе со всеми выключенными средствами обхода (включая dnscrypt, или что-то иное) вот этим ? Quote Link to comment Share on other sites More sharing options...
diqipib Posted July 29, 2020 Share Posted July 29, 2020 8 часов назад, Albram сказал: Вот это скорее всего. В первом сообщении этой темы написано: "У скрипта 3 режима работы Fragmentation - принудительно выставляется малый размер TCP окна, в результате чего пакеты фрагментируются и не попадают под анализ DPI. Используется NFQUEUE. Самый быстрый режим. Установлен по умолчанию. Работает в IPv4 для HTTP и для HTTPS (не всегда) " Перед установкой вы проводили тестирование на компе со всеми выключенными средствами обхода (включая dnscrypt, или что-то иное) вот этим ? @Albram, да blockcheck прогонял. Привожу его лог ниже. И да, обратил внимание на "установлен по умолчанию". Но как я понял из инструкции топикстартера, этот режим включается для сайтов из списка, а мне нужно для абсолютно всех хостов включить функцию обхода DPI. Или я неправильно понял идею ? Скрытый текст BlockCheck v0.0.9.8 Для получения корректных результатов используйте DNS-сервер провайдера и отключите средства обхода блокировок. Проверка работоспособности IPv6: IPv6 недоступен. [O] Тестируем IPv4 DNS Через системный DNS: ['104.18.182.1', '104.18.183.1', '104.26.10.39', '104.26.11.39', '104.26.4.231', '104.26.5.231', '172.67.70.38', '172.67.70.99', '195.8.215.136', '195.82.146.214', '208.100.28.56', '67.202.114.141'] Через Google DNS: ['104.18.182.1', '104.18.183.1', '104.26.10.39', '104.26.11.39', '104.26.4.231', '104.26.5.231', '172.67.70.38', '172.67.70.99', '195.8.215.136', '195.82.146.214', '208.100.28.56', '67.202.114.141'] Через Google API: ['104.18.182.1', '104.18.183.1', '104.26.10.39', '104.26.11.39', '104.26.4.231', '104.26.5.231', '172.67.70.38', '172.67.70.99', '195.8.215.136', '195.82.146.214', '208.100.28.56', '67.202.114.141'] Несуществующий DNS не вернул адресов (это не ошибка) [✓] DNS-записи не подменяются [✓] DNS не перенаправляется [O] Тестируем HTTP Открываем http://a.putinhuylo.com/ [✓] Сайт открывается Открываем http://furry.booru.org/ [✓] Сайт открывается Открываем http://furry.booru.org/index.php?page=post&s=view&id=111173 [☠] Сайт не открывается, пробуем через прокси [☠] Сайт не открывается через прокси Проверяем доступность через isup.me [⁇] Неожиданный ответ от isup.me, код 403 Открываем http://pbooru.com/ [☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси. [☠] Сайт не открывается через прокси Проверяем доступность через isup.me [⁇] Неожиданный ответ от isup.me, код 403 Открываем http://pbooru.com/index.php?page=post&s=view&id=303026 [☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси. [☠] Сайт не открывается через прокси Проверяем доступность через isup.me [⁇] Неожиданный ответ от isup.me, код 403 Открываем http://rutracker.org/forum/index.php [☠] Сайт не открывается, пробуем через прокси [☠] Сайт не открывается через прокси Проверяем доступность через isup.me [⁇] Неожиданный ответ от isup.me, код 403 [O] Тестируем HTTPS Открываем https://e621.net/ [☠] Сертификат подменяется Открываем https://lolibooru.moe/ [☠] Сертификат подменяется Открываем https://rutracker.org/forum/index.php [☠] Сертификат подменяется Открываем https://www.dailymotion.com/ [☠] Сертификат подменяется [O] Тестируем обход DPI Пробуем способ «дополнительный пробел после GET» на pbooru.com [☠] Сайт не открывается Пробуем способ «заголовок hOSt вместо Host» на pbooru.com [☠] Сайт не открывается Пробуем способ «заголовок hoSt вместо Host» на pbooru.com [☠] Сайт не открывается Пробуем способ «значение Host БОЛЬШИМИ БУКВАМИ» на pbooru.com [☠] Сайт не открывается Пробуем способ «необычный порядок заголовков» на pbooru.com [☠] Сайт не открывается Пробуем способ «отсутствие пробела между двоеточием и значением заголовка Host» на pbooru.com [☠] Сайт не открывается Пробуем способ «перенос строки в заголовках в UNIX-стиле» на pbooru.com [☠] Сайт не открывается Пробуем способ «перенос строки перед GET» на pbooru.com [☠] Сайт не открывается Пробуем способ «табуляция в конце домена» на pbooru.com [☠] Сайт не открывается Пробуем способ «точка в конце домена» на pbooru.com [☠] Сайт не открывается Пробуем способ «фрагментирование заголовка» на pbooru.com [☠] Сайт не открывается Пробуем способ «фрагментирование заголовка, hoSt и отсутствие пробела одновременно» на pbooru.com [☠] Сайт не открывается Пробуем способ «дополнительный пробел после GET» на rutracker.org [☠] Ошибка: ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None) Пробуем способ «заголовок hOSt вместо Host» на rutracker.org [✓] Сайт открывается Пробуем способ «заголовок hoSt вместо Host» на rutracker.org [✓] Сайт открывается Пробуем способ «значение Host БОЛЬШИМИ БУКВАМИ» на rutracker.org [✓] Сайт открывается Пробуем способ «необычный порядок заголовков» на rutracker.org [☠] Ошибка: ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None) Пробуем способ «отсутствие пробела между двоеточием и значением заголовка Host» на rutracker.org [✓] Сайт открывается Пробуем способ «перенос строки в заголовках в UNIX-стиле» на rutracker.org [☠] Ошибка: ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None) Пробуем способ «перенос строки перед GET» на rutracker.org [✓] Сайт открывается Пробуем способ «табуляция в конце домена» на rutracker.org [☠] Сайт не открывается Пробуем способ «точка в конце домена» на rutracker.org [☠] Ошибка: ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None) Пробуем способ «фрагментирование заголовка» на rutracker.org [✓] Сайт открывается Пробуем способ «фрагментирование заголовка, hoSt и отсутствие пробела одновременно» на rutracker.org [✓] Сайт открывается [!] Результат: [⚠] Ваш провайдер подменяет HTTPS-сертификат на свой для сайтов из реестра. [⚠] isup.me даёт неожиданные ответы или недоступен. Рекомендуем повторить тест, когда он начнёт работать. Возможно, эта версия программы устарела. Возможно (но маловероятно), что сам isup.me уже занесён в чёрный список. [⚠] Если проигнорировать isup.me, то у вашего провайдера "полный" DPI. Он отслеживает ссылки даже внутри прокси, поэтому вам следует использовать любое шифрованное соединение, например, VPN или Tor. Quote Link to comment Share on other sites More sharing options...
Albram Posted July 30, 2020 Share Posted July 30, 2020 15 часов назад, diqipib сказал: а мне нужно для абсолютно всех хостов включить функцию обхода DPI Неординарное, конечно, применение, но реализовать такое проще, т.к. не нужно вести и обновлять ipset и фильтровать запросы по соответствию этому списку. Глянул в скрипты, которые сейчас используются, их структура и размещение стали совсем другими, чем было когда я это настраивал... Попробуйте удалить из всех используемых скриптом правил iptables опции сравнения с ipset, чтобы все пакеты направить на фрагментацию. Для примера, применительно к настройкам по умолчанию в скриптах, в файле firewall.user.mns в двух местах удалите значения: -m set --match-set zapret src Quote Link to comment Share on other sites More sharing options...
>hbq Posted August 1, 2020 Share Posted August 1, 2020 On 7/29/2020 at 7:38 PM, diqipib said: @Albram, да blockcheck прогонял. Привожу его лог ниже. И да, обратил внимание на "установлен по умолчанию". Но как я понял из инструкции топикстартера, этот режим включается для сайтов из списка, а мне нужно для абсолютно всех хостов включить функцию обхода DPI. Или я неправильно понял идею ? Reveal hidden contents BlockCheck v0.0.9.8 Для получения корректных результатов используйте DNS-сервер провайдера и отключите средства обхода блокировок. Проверка работоспособности IPv6: IPv6 недоступен. [O] Тестируем IPv4 DNS Через системный DNS: ['104.18.182.1', '104.18.183.1', '104.26.10.39', '104.26.11.39', '104.26.4.231', '104.26.5.231', '172.67.70.38', '172.67.70.99', '195.8.215.136', '195.82.146.214', '208.100.28.56', '67.202.114.141'] Через Google DNS: ['104.18.182.1', '104.18.183.1', '104.26.10.39', '104.26.11.39', '104.26.4.231', '104.26.5.231', '172.67.70.38', '172.67.70.99', '195.8.215.136', '195.82.146.214', '208.100.28.56', '67.202.114.141'] Через Google API: ['104.18.182.1', '104.18.183.1', '104.26.10.39', '104.26.11.39', '104.26.4.231', '104.26.5.231', '172.67.70.38', '172.67.70.99', '195.8.215.136', '195.82.146.214', '208.100.28.56', '67.202.114.141'] Несуществующий DNS не вернул адресов (это не ошибка) [✓] DNS-записи не подменяются [✓] DNS не перенаправляется [O] Тестируем HTTP Открываем http://a.putinhuylo.com/ [✓] Сайт открывается Открываем http://furry.booru.org/ [✓] Сайт открывается Открываем http://furry.booru.org/index.php?page=post&s=view&id=111173 [☠] Сайт не открывается, пробуем через прокси [☠] Сайт не открывается через прокси Проверяем доступность через isup.me [⁇] Неожиданный ответ от isup.me, код 403 Открываем http://pbooru.com/ [☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси. [☠] Сайт не открывается через прокси Проверяем доступность через isup.me [⁇] Неожиданный ответ от isup.me, код 403 Открываем http://pbooru.com/index.php?page=post&s=view&id=303026 [☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси. [☠] Сайт не открывается через прокси Проверяем доступность через isup.me [⁇] Неожиданный ответ от isup.me, код 403 Открываем http://rutracker.org/forum/index.php [☠] Сайт не открывается, пробуем через прокси [☠] Сайт не открывается через прокси Проверяем доступность через isup.me [⁇] Неожиданный ответ от isup.me, код 403 [O] Тестируем HTTPS Открываем https://e621.net/ [☠] Сертификат подменяется Открываем https://lolibooru.moe/ [☠] Сертификат подменяется Открываем https://rutracker.org/forum/index.php [☠] Сертификат подменяется Открываем https://www.dailymotion.com/ [☠] Сертификат подменяется [O] Тестируем обход DPI Пробуем способ «дополнительный пробел после GET» на pbooru.com [☠] Сайт не открывается Пробуем способ «заголовок hOSt вместо Host» на pbooru.com [☠] Сайт не открывается Пробуем способ «заголовок hoSt вместо Host» на pbooru.com [☠] Сайт не открывается Пробуем способ «значение Host БОЛЬШИМИ БУКВАМИ» на pbooru.com [☠] Сайт не открывается Пробуем способ «необычный порядок заголовков» на pbooru.com [☠] Сайт не открывается Пробуем способ «отсутствие пробела между двоеточием и значением заголовка Host» на pbooru.com [☠] Сайт не открывается Пробуем способ «перенос строки в заголовках в UNIX-стиле» на pbooru.com [☠] Сайт не открывается Пробуем способ «перенос строки перед GET» на pbooru.com [☠] Сайт не открывается Пробуем способ «табуляция в конце домена» на pbooru.com [☠] Сайт не открывается Пробуем способ «точка в конце домена» на pbooru.com [☠] Сайт не открывается Пробуем способ «фрагментирование заголовка» на pbooru.com [☠] Сайт не открывается Пробуем способ «фрагментирование заголовка, hoSt и отсутствие пробела одновременно» на pbooru.com [☠] Сайт не открывается Пробуем способ «дополнительный пробел после GET» на rutracker.org [☠] Ошибка: ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None) Пробуем способ «заголовок hOSt вместо Host» на rutracker.org [✓] Сайт открывается Пробуем способ «заголовок hoSt вместо Host» на rutracker.org [✓] Сайт открывается Пробуем способ «значение Host БОЛЬШИМИ БУКВАМИ» на rutracker.org [✓] Сайт открывается Пробуем способ «необычный порядок заголовков» на rutracker.org [☠] Ошибка: ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None) Пробуем способ «отсутствие пробела между двоеточием и значением заголовка Host» на rutracker.org [✓] Сайт открывается Пробуем способ «перенос строки в заголовках в UNIX-стиле» на rutracker.org [☠] Ошибка: ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None) Пробуем способ «перенос строки перед GET» на rutracker.org [✓] Сайт открывается Пробуем способ «табуляция в конце домена» на rutracker.org [☠] Сайт не открывается Пробуем способ «точка в конце домена» на rutracker.org [☠] Ошибка: ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None) Пробуем способ «фрагментирование заголовка» на rutracker.org [✓] Сайт открывается Пробуем способ «фрагментирование заголовка, hoSt и отсутствие пробела одновременно» на rutracker.org [✓] Сайт открывается [!] Результат: [⚠] Ваш провайдер подменяет HTTPS-сертификат на свой для сайтов из реестра. [⚠] isup.me даёт неожиданные ответы или недоступен. Рекомендуем повторить тест, когда он начнёт работать. Возможно, эта версия программы устарела. Возможно (но маловероятно), что сам isup.me уже занесён в чёрный список. [⚠] Если проигнорировать isup.me, то у вашего провайдера "полный" DPI. Он отслеживает ссылки даже внутри прокси, поэтому вам следует использовать любое шифрованное соединение, например, VPN или Tor. скажите у вас получилось это осуществить? можно ли все это проделать через keenetic /a Quote Link to comment Share on other sites More sharing options...
nurman Posted August 8, 2020 Share Posted August 8, 2020 (edited) Добрый день, Обход отлично работал, но вчера сменил провайдера. И тут началось, есть запустить или перезапустить /opt/etc/init.d/S99zapret start, то всё работает несколько минут, потом опять провайдер блокирует сайты (перезапускаешь опять S99zapret, несколько минут работает и всё ). Может с этим кто то сталкивался? да, может это связано с типом соединения, до этого был l2tp, сейчас просто через внутреннюю сеть, так называемое: динамический IP (без логина и пароля) Edited August 8, 2020 by nurman Quote Link to comment Share on other sites More sharing options...
Albram Posted August 9, 2020 Share Posted August 9, 2020 В 08.08.2020 в 10:58, nurman сказал: может это связано с типом соединения Это может быть связано с чем угодно, вы же никакой технической информации не привели. Вам нужно начать с самого начала, с запуска blockcheck при отключенных всех обходах и dnscrypt (если используется). А потом, по полученным результатам, сравнивать этот вывод с режимом, в котором работает скрипт, и смотреть подходит этот режим или его нужно менять. Quote Link to comment Share on other sites More sharing options...
nurman Posted August 10, 2020 Share Posted August 10, 2020 (edited) 21 hours ago, Albram said: Это может быть связано с чем угодно, вы же никакой технической информации не привели. Сделал сброс роутера, дохожу до этапа когда внес в файл zapret-hosts-user.txt сайты, вношу их /opt/zapret/ipset/get_user.sh, запускаю скрипт И вот результат: ~ # /opt/zapret/init.d/keenetic/S99zapret start iptable_raw.ko is already loaded xt_string.ko is already loaded nfqws is installed tpws is installed Restoring ipset Adding iptables rule net.ipv4.conf.br0.route_localnet = 1 ip: RTNETLINK answers: File exists ip: RTNETLINK answers: Address family not supported by protocol ip6tables: No chain/target/match by that name. В чем может быть проблема? Edited August 10, 2020 by nurman Quote Link to comment Share on other sites More sharing options...
nurman Posted August 10, 2020 Share Posted August 10, 2020 (edited) 13 minutes ago, nurman said: Edited August 10, 2020 by nurman Quote Link to comment Share on other sites More sharing options...
nurman Posted August 10, 2020 Share Posted August 10, 2020 21 hours ago, Albram said: Это может быть связано с чем угодно, вы же никакой технической информации не привели. Вам нужно начать с самого начала, с запуска blockcheck при отключенных всех обходах и dnscrypt (если используется). А потом, по полученным результатам, сравнивать этот вывод с режимом, в котором работает скрипт, и смотреть подходит этот режим или его нужно менять. Сделал сброс роутера, делаю заново данный метод обхода, дохожу до этапа когда внес в файл zapret-hosts-user.txt (плюс зарегистрировал данные через /opt/zapret/ipset/get_user.sh), запускаю скрипт И вот результат: ~ # /opt/zapret/init.d/keenetic/S99zapret start iptable_raw.ko is already loaded xt_string.ko is already loaded nfqws is installed tpws is installed Restoring ipset Adding iptables rule net.ipv4.conf.br0.route_localnet = 1 ip: RTNETLINK answers: File exists ip: RTNETLINK answers: Address family not supported by protocol ip6tables: No chain/target/match by that name. В чем может быть проблема? Quote Link to comment Share on other sites More sharing options...
Albram Posted August 10, 2020 Share Posted August 10, 2020 5 часов назад, nurman сказал: В чем может быть проблема? Чтобы это понять, нужно знать какой провайдер у вас указан в настройках скрипта, какой провайдер у вас на самом деле, в каком режиме работает скрипт (fragmentation, modification и т.д.), и видеть вывод запуска blockcheck при отключенных всех обходах и dnscrypt. А по тем данным, которые приведены, можно сказать, что проблема начинается здесь: 6 часов назад, nurman сказал: ip: RTNETLINK answers: Address family not supported by protocol и возможно она связана с использованием ipv6. Quote Link to comment Share on other sites More sharing options...
nurman Posted August 10, 2020 Share Posted August 10, 2020 6 hours ago, Albram said: Чтобы это понять, нужно знать какой провайдер у вас указан в настройках скрипта, какой провайдер у вас на самом деле, в каком режиме работает скрипт (fragmentation, modification и т.д.), и видеть вывод запуска blockcheck при отключенных всех обходах и dnscrypt. Установил причину, почему скрипт после переустановки не запускался, надо было установить еще два компонента opkg install kmod_ndms и opkg install xtables-addons_legacy. Но скрипт по прежнему работает только некоторое время и потом вылетает: Провайдер freedom-vrn.ru, станица блокировки freedom-vrn.ru/support/block.html ----------------- 1) Проверил если просто BLACKHOLE=freedom-vrn.ru без u/support/block.htm Стало так: ~ # /opt/etc/init.d/S99zapret start iptable_raw.ko is already loaded xt_string.ko is already loaded nfqws is installed tpws is installed Restoring ipset Adding iptables rule net.ipv4.conf.br0.route_localnet = 1 ip: RTNETLINK answers: Address family not supported by protocol Starting anti-zapret: zapret. Fragmentation вообще не работает, при заходе на заблокированный сайт из списка просто ошибка 404 (НЕ freedom-vrn.ru/support/block.html). Modification и combined работает HTTP минут 20, 30 потом просто ошибка (НЕ freedom-vrn.ru/support/block.html), но HTTPS (https://rutracker.org) работает, как понимаю уже через ТОР, то-есть проблема только http. Но есть плюс, если просто заново запустить (без предварительной остановки) /opt/etc/init.d/S99zapret start то всё работает, можно в cron поставит на 10 минут ----------------- 2) Проверил с полным адресом BLACKHOLE=freedom-vrn.ru/support/block.html Стало так: ~ # /opt/etc/init.d/S99zapret start iptable_raw.ko is already loaded xt_string.ko is already loaded nfqws is installed tpws is installed Restoring ipset Adding iptables rule net.ipv4.conf.br0.route_localnet = 1 ip: RTNETLINK answers: File exists ip: RTNETLINK answers: Address family not supported by protocol Starting anti-zapret: ~ # Fragmentation вообще не работает, при заходе на заблокированный сайт из списка заглушка freedom-vrn.ru/support/block.html. Modification и combined работает HTTP минут 20, 30 потом заглушка freedom-vrn.ru/support/block.htm ----------------- Раньше при BLACKHOLE=blackhole.beeline.ru работал не более 5 минут. Пребывал на флешке, HDD, в главном соединение включал/выключал Использовать IPv6, равнозначно В целом описал всё что просили, кроме blockcheck (но это как понимаю если скрипт вообще не работает), а тут работает, но только некоторое время, в чем может быть причина? Да и второй вопрос, а возможно пусть http, также как https через ТОР, (есть отдельные скрипты, но там надо делать opkg dns-override, а это выводи из строя мои тв боксы (перестают работать по шнуру) Quote Link to comment Share on other sites More sharing options...
Albram Posted August 11, 2020 Share Posted August 11, 2020 9 часов назад, nurman сказал: кроме blockcheck (но это как понимаю если скрипт вообще не работает) Нет, это нужно для понимания как работает DPI вашего провайдера. 9 часов назад, nurman сказал: но там надо делать opkg dns-override, а это выводи из строя мои тв боксы Т.е. вы этого не делали при настройке? 10 часов назад, nurman сказал: а возможно пусть http, также как https через ТОР Конечно, просто добавить правило iptables для перенаправления всех запросов на 80 порт в тор, но это снизит быстродействие, т.к. тор ещё тот тормоз, и нужно делать исключения для нужных веб интерфейсов (например роутера). Ещё вам нужно выяснить какое правило вызывает вот эту ошибку: "ip: RTNETLINK answers: Address family not supported by protocol" Quote Link to comment Share on other sites More sharing options...
nurman Posted August 11, 2020 Share Posted August 11, 2020 3 hours ago, Albram said: Нет, это нужно для понимания как работает DPI вашего провайдера. Хорошо, сделаю в ближайшее время (просто сегодня уже работа, на эксперименты нужен выходной, пока в крон добавил /opt/etc/init.d/S99zapret start) 3 hours ago, Albram said: Т.е. вы этого не делали при настройке? Да это отвратительная настройка, её не применяю, до этого стоял другой скрипт обхода блокировки по своему списку полностью (http и https) через ТОР, так там требовалось переключение на opkg dns-override, от этой надстройки половину оборудования подключенные через шнур перестают работать (по wi-fi работает), к примеру X96Max 3 hours ago, Albram said: Конечно, просто добавить правило iptables для перенаправления всех запросов на 80 порт в тор, но это снизит быстродействие, т.к. тор ещё тот тормоз, и нужно делать исключения для нужных веб интерфейсов (например роутера). А зачем делать исключения для http или https, если и так у нас свой список сайтов zapret-hosts-user.txt (глобальным скриптом не пользуюсь, там много лишнего, проще самому потихоньку добавлять сайты для обхода блокировки) 3 hours ago, Albram said: Ещё вам нужно выяснить какое правило вызывает вот эту ошибку: "ip: RTNETLINK answers: Address family not supported by protocol" Данная ошибка только на режимах modification и combined (но обход блокировки работает некоторое время), на режиме fragmentation такой ошибки нет, но как писал выше на этом режиме обход не работает -------------------- Еще есть такой вопрос, почему если открывать сайт kinogo.by или z1.fm через ТОР который на роутере (к примеру тот метод который указан в данной теме) сперва требуется ввести капчу, а если открывать эти же сайты через ТОР браузер то никакой капчи нет? Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.