Обход блокировок на роутере!

[bkbn]

6 часов назад, Albram сказал:

Но если есть желание, то можете попробовать.

Записал трафик по 443 порту для прошивок 2.06 и 2.16 на роутере и wireshark. При сравнении поля TTL 2.16 с 2.06 и с Wireshark подтвердилось предположение о модификации пакета роутером. GoodbyeDPI устанавливает ttl=5. Wireshark показывает TTL=5, прошивка 2.06 TTL=5, а прошивка 2.16 TTL=63.
В ридми к goodbye автор писал, что TTL не должен быть большим, чтобы пакет не дошел до адресата. Прошивка 2.16 ломает эту схему.

Пакет Client Hello

Прошивка 2.16 TLSv1

Скрытый текст

Internet Protocol Version 4, Src: хххххххххх, Dst: 195.82.146.214
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes (5)
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
    Total Length: 555
    Identification: 0x47f4 (18420)
    Flags: 0x4000, Don't fragment
    Fragment offset: 0
    Time to live: 63
    Protocol: TCP (6)
    Header checksum: 0x8978 [validation disabled]
    [Header checksum status: Unverified]
    Source: хххххххххх
    Destination: 195.82.146.214

Прошивка 2.06 TLSv1.2

Скрытый текст

Internet Protocol Version 4, Src: хххххххххх, Dst: 195.82.146.214
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes (5)
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
    Total Length: 557
    Identification: 0x319f (12703)
    Flags: 0x4000, Don't fragment
    Fragment offset: 0
    Time to live: 5
    Protocol: TCP (6)
    Header checksum: 0xd9cb [validation disabled]
    [Header checksum status: Unverified]
    Source: хххххххххх
    Destination: 195.82.146.214

Wireshark TLSv1

Скрытый текст

Internet Protocol Version 4, Src: хххххххххх, Dst: 195.82.146.214
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes (5)
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
    Total Length: 557
    Identification: 0x47f2 (18418)
    Flags: 0x4000, Don't fragment
    Fragment offset: 0
    Time to live: 5
    Protocol: TCP (6)
    Header checksum: 0x0000 [validation disabled]
    [Header checksum status: Unverified]
    Source: хххххххххх
    Destination: 195.82.146.214

Способ отучить 2.16 менять TTL я не нахожу.

Edited May 9, 2020 by bkbn

[bkbn]

В общем, подружить 2.16 и GoodbyeDPI у меня не получилось.
В журнале изменений 2.16 написано, что "IPv6: форсирована установка TTL в значение 64 во внешнем IPv4-заголовке 6in4".
Эту картину я наблюдал и выложил в сообщении выше, хотя IPv6 у меня нет и этот компонент удалил.
Таким образом, считаю, что без вмешательства в прошивку отключить изменение пакетов роутером не получится.
За сим откланиваюсь, то есть откатываюсь на 2.06.
Всем спасибо, сорри за многабукав.

[OmegaTron]

Может местные гуру подскажут, что не так с правилом

iptables -I FORWARD -p tcp --sport 80 -m u32 --u32 "0x1E&0xFFFF=0x5010 && 0x73=0x7761726e && 0x77=0x696e672e && 0x7B=0x72742e72" -j DROP

которое используется для обхода блокировок РТ на Omni II, но которое при этом не работает на рутрекере для FORWARD, но работает для OUTPUT трафика ? Причём по http проблема именно на http://rutracker.org и для FORWARD трафика. FORWARD + http://rutracker.org/forum/index.php успешно обходятся. Если правило вкорячено на целевом устройстве в OUTPUT, то проблем нет. С http://rutracker.org идёт редирект на http://rutracker.org/forum/index.php и тут его DPI подлавливает. Вот пакет с редиректом http://sendfile.su/1560637 на заглушку. 

Изучение вопроса привело к тому, что вероятно причина проблемы в аппаратном нате и прочих оптимизаторах. Тем не менее попытки отрубить HWNAT через

rmmod hw_nat

или более радикально через cli (вышибло HWNAT и SWNAT на пару)

no ppe

ни к чему не привели. Клиенты подключённые к роутеру продолжают напарываться на заглушку. Если правило вкорячено для FORWARD трафика на программной версии (vbox) OpenWRT, то проблем нет. Т.е. загвоздка в программных потрохах. Вот только где ?

Edited May 22, 2020 by OmegaTron

[vasek00]

51 минуту назад, OmegaTron сказал:

что не так с правилом

Глушите его ранее "на самом входе" -> RAW таблица

[OmegaTron]

7 минут назад, vasek00 сказал:

Глушите его ранее "на самом входе" -> RAW таблица

Да я и рад бы, но

iptables v1.4.21: can't initialize iptables table `raw': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

[vasek00]

2 минуты назад, OmegaTron сказал:

Да я и рад бы, но

iptables v1.4.21: can't initialize iptables table `raw': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

 

/ # lsmod | grep iptable
iptable_raw             1040  1
/ #

Flash + OPKG (Entware) + модули ядра и расширения (ПО)

ПО желательно последнее например 2.16хххх

[OmegaTron]

В 22.05.2020 в 21:19, vasek00 сказал:

Flash + OPKG (Entware) + модули ядра и расширения (ПО)

Это есть. opkg-kmod-netfilter + opkg-kmod-netfilter-addons

В 22.05.2020 в 21:19, vasek00 сказал:

ПО желательно последнее например 2.16хххх

С этим пока напряг 😕 ПО той версии, что в подписи.

lsmod | grep iptable

lsmod|grep iptable
iptable_rawpost 609 0 - Live 0x831cb000 (O)

Edited May 24, 2020 by OmegaTron

[vasek00]

2 минуты назад, OmegaTron сказал:

Это есть. opkg-kmod-netfilter + opkg-kmod-netfilter-addons

С этим пока напряг 😕 ПО той версии, что в подписи.

lsmod | grep iptable

 

lsmod|grep iptable
iptable_rawpost 609 0 - Live 0x831cb000 (O)

ДА + Entware ( kmod + xtables-addons_legacy + iptables )

/ # opkg list | grep xtable
xtables-addons_legacy - 1.47.1-1a - Extensions not distributed in the main Xtables (1.47.1 legacy version)
/ # 
kmod - по мере нужности сам загрузит что надо для скрипта


/ # lsmod | grep xt_
xt_connbytes            1776  7
xt_string                784  10
xt_u32                  1040  12
xt_esp                   880  0
xt_CT                   2672  0
xt_policy               2096  0
/ # 


Под рукой 2.16 нет а так 3.4/3.5
/lib/modules/4.9-ndm-4 # ls -l | grep xt_
-rw-r--r--    1 root     root         15296 May 22 21:42 xt_ACCOUNT.ko
-rw-r--r--    1 root     root          5304 May 22 21:42 xt_CHAOS.ko
-rw-r--r--    1 root     root          2072 May 22 21:31 xt_CLASSIFY.ko
-rw-r--r--    1 root     root          5332 May 22 21:31 xt_CT.ko
-rw-r--r--    1 root     root          3628 May 22 21:42 xt_DELUDE.ko
-rw-r--r--    1 root     root          3324 May 22 21:42 xt_DHCPMAC.ko
-rw-r--r--    1 root     root         16980 May 22 21:42 xt_DNETMAP.ko
-rw-r--r--    1 root     root          3496 May 22 21:31 xt_DSCP.ko
-rw-r--r--    1 root     root          2544 May 22 21:42 xt_IPMARK.ko
-rw-r--r--    1 root     root          4556 May 22 21:42 xt_LOGMARK.ko
-rw-r--r--    1 root     root          2820 May 22 21:31 xt_NETMAP.ko
-rw-r--r--    1 root     root          2248 May 22 21:31 xt_NFLOG.ko
-rw-r--r--    1 root     root          5404 May 22 21:31 xt_NFQUEUE.ko
-rw-r--r--    1 root     root          8180 May 22 21:42 xt_SYSRQ.ko
-rw-r--r--    1 root     root          6864 May 22 21:42 xt_TARPIT.ko
-rw-r--r--    1 root     root          4032 May 22 21:31 xt_TEE.ko
-rw-r--r--    1 root     root          7484 May 22 21:31 xt_TPROXY.ko
-rw-r--r--    1 root     root          4660 May 22 21:31 xt_addrtype.ko
-rw-r--r--    1 root     root          1956 May 22 21:31 xt_comment.ko
-rw-r--r--    1 root     root          6864 May 22 21:42 xt_condition.ko
-rw-r--r--    1 root     root          3740 May 22 21:31 xt_connbytes.ko
-rw-r--r--    1 root     root          8352 May 22 21:31 xt_connlimit.ko
-rw-r--r--    1 root     root          2724 May 22 21:31 xt_dscp.ko
-rw-r--r--    1 root     root          3156 May 22 21:31 xt_ecn.ko
-rw-r--r--    1 root     root          2400 May 22 21:31 xt_esp.ko
-rw-r--r--    1 root     root          2872 May 22 21:42 xt_fuzzy.ko
-rw-r--r--    1 root     root          5688 May 22 21:42 xt_geoip.ko
-rw-r--r--    1 root     root         14996 May 22 21:31 xt_hashlimit.ko
-rw-r--r--    1 root     root          2296 May 22 21:31 xt_hl.ko
-rw-r--r--    1 root     root          2668 May 22 21:42 xt_iface.ko
-rw-r--r--    1 root     root         12496 May 22 21:42 xt_ipp2p.ko
-rw-r--r--    1 root     root          2616 May 22 21:31 xt_iprange.ko
-rw-r--r--    1 root     root          2084 May 22 21:42 xt_ipv4options.ko
-rw-r--r--    1 root     root          2232 May 22 21:31 xt_length.ko
-rw-r--r--    1 root     root          4516 May 22 21:42 xt_length2.ko
-rw-r--r--    1 root     root          5560 May 22 21:42 xt_lscan.ko
-rw-r--r--    1 root     root          2084 May 22 21:31 xt_mac.ko
-rw-r--r--    1 root     root          2912 May 22 21:31 xt_multiport.ko
-rw-r--r--    1 root     root          2444 May 22 21:31 xt_owner.ko
-rw-r--r--    1 root     root          3868 May 22 21:31 xt_policy.ko
-rw-r--r--    1 root     root          5552 May 22 21:42 xt_psd.ko
-rw-r--r--    1 root     root          2520 May 22 21:31 xt_quota.ko
-rw-r--r--    1 root     root          7140 May 22 21:42 xt_quota2.ko
-rw-r--r--    1 root     root         13192 May 22 21:31 xt_recent.ko
-rw-r--r--    1 root     root          7120 May 22 21:31 xt_socket.ko
-rw-r--r--    1 root     root          2528 May 22 21:31 xt_statistic.ko
-rw-r--r--    1 root     root          2368 May 22 21:31 xt_string.ko
-rw-r--r--    1 root     root          3952 May 22 21:31 xt_time.ko
-rw-r--r--    1 root     root          2532 May 22 21:31 xt_u32.ko
/lib/modules/4.9-ndm-4 # 

 

[OmegaTron]

20 часов назад, vasek00 сказал:

ДА + Entware ( kmod + xtables-addons_legacy + iptables )

Так, а вот тут затык. Нужно накатывать entware вместо стоящего у меня entware-ng, где таких пакетов нема. А с переездом на entware придётся повременить т.к. апгрейд я не хочу делать, а при накатке с нуля нужно будет заново поставить пакеты и перенести конфиги софта, после чего протестировать его на предемет корректной работы.

Цитата

/ # opkg list | grep xtable
xtables-addons_legacy - 1.47.1-1a - Extensions not distributed in the main Xtables (1.47.1 legacy version)
/ #
kmod - по мере нужности сам загрузит что надо для скрипта

В общем, направление работы над проблемой я понял. Спасибо. Займусь чуть попозже

20 часов назад, vasek00 сказал:

Под рукой 2.16 нет а так 3.4/3.5

 

-bash-4.4# ls -l /lib/modules/3.4.113/| grep xt_
-rw-r--r--    1 root     root         14896 Oct  2  2018 xt_ACCOUNT.ko
-rw-r--r--    1 root     root          5300 Oct  2  2018 xt_CHAOS.ko
-rw-r--r--    1 root     root          2184 Oct  2  2018 xt_CLASSIFY.ko
-rw-r--r--    1 root     root          4704 Oct  2  2018 xt_CT.ko
-rw-r--r--    1 root     root          3732 Oct  2  2018 xt_DELUDE.ko
-rw-r--r--    1 root     root          3540 Oct  2  2018 xt_DHCPMAC.ko
-rw-r--r--    1 root     root         16492 Oct  2  2018 xt_DNETMAP.ko
-rw-r--r--    1 root     root          3544 Oct  2  2018 xt_DSCP.ko
-rw-r--r--    1 root     root          2660 Oct  2  2018 xt_IPMARK.ko
-rw-r--r--    1 root     root          4656 Oct  2  2018 xt_LOGMARK.ko
-rw-r--r--    1 root     root          3532 Oct  2  2018 xt_NFQUEUE.ko
-rw-r--r--    1 root     root          2288 Oct  2  2018 xt_NOTRACK.ko
-rw-r--r--    1 root     root          5932 Oct  2  2018 xt_RAWNAT.ko
-rw-r--r--    1 root     root          2432 Oct  2  2018 xt_STEAL.ko
-rw-r--r--    1 root     root          8212 Oct  2  2018 xt_SYSRQ.ko
-rw-r--r--    1 root     root          7040 Oct  2  2018 xt_TARPIT.ko
-rw-r--r--    1 root     root          4808 Oct  2  2018 xt_TEE.ko
-rw-r--r--    1 root     root          7228 Oct  2  2018 xt_TPROXY.ko
-rw-r--r--    1 root     root          4560 Oct  2  2018 xt_addrtype.ko
-rw-r--r--    1 root     root          2052 Oct  2  2018 xt_comment.ko
-rw-r--r--    1 root     root          5640 Oct  2  2018 xt_condition.ko
-rw-r--r--    1 root     root          3692 Oct  2  2018 xt_connbytes.ko
-rw-r--r--    1 root     root          3320 Oct  2  2018 xt_connmark.ko
-rw-r--r--    1 root     root          2820 Oct  2  2018 xt_dscp.ko
-rw-r--r--    1 root     root          3236 Oct  2  2018 xt_ecn.ko
-rw-r--r--    1 root     root          2464 Oct  2  2018 xt_esp.ko
-rw-r--r--    1 root     root          2952 Oct  2  2018 xt_fuzzy.ko
-rw-r--r--    1 root     root          5504 Oct  2  2018 xt_geoip.ko
-rw-r--r--    1 root     root         11024 Oct  2  2018 xt_hashlimit.ko
-rw-r--r--    1 root     root          2744 Oct  2  2018 xt_helper.ko
-rw-r--r--    1 root     root          2360 Oct  2  2018 xt_hl.ko
-rw-r--r--    1 root     root          2716 Oct  2  2018 xt_iface.ko
-rw-r--r--    1 root     root         12120 Oct  2  2018 xt_ipp2p.ko
-rw-r--r--    1 root     root          2696 Oct  2  2018 xt_iprange.ko
-rw-r--r--    1 root     root          2180 Oct  2  2018 xt_ipv4options.ko
-rw-r--r--    1 root     root          2312 Oct  2  2018 xt_length.ko
-rw-r--r--    1 root     root          4716 Oct  2  2018 xt_length2.ko
-rw-r--r--    1 root     root          5528 Oct  2  2018 xt_lscan.ko
-rw-r--r--    1 root     root          2260 Oct  2  2018 xt_owner.ko
-rw-r--r--    1 root     root          3128 Oct  2  2018 xt_physdev.ko
-rw-r--r--    1 root     root          2228 Oct  2  2018 xt_pkttype.ko
-rw-r--r--    1 root     root          3980 Oct  2  2018 xt_policy.ko
-rw-r--r--    1 root     root          5480 Oct  2  2018 xt_psd.ko
-rw-r--r--    1 root     root          2580 Oct  2  2018 xt_quota.ko
-rw-r--r--    1 root     root          5540 Oct  2  2018 xt_quota2.ko
-rw-r--r--    1 root     root         12200 Oct  2  2018 xt_recent.ko
-rw-r--r--    1 root     root          5412 Oct  2  2018 xt_socket.ko
-rw-r--r--    1 root     root          2620 Oct  2  2018 xt_statistic.ko
-rw-r--r--    1 root     root          2512 Oct  2  2018 xt_string.ko

Edited May 25, 2020 by OmegaTron

[Hcimor]

На роутере поднят сервер L2TP/IPsec. Для клиентов подключенных по VPN правила не всегда отрабатывают. Примерно каждый 4-5 раз вылетает заглушка провайдера. Провайдер Onlime. В локальной сети все отрабатывает четко. Можно ли подкрутить то-нибудь в параметрах скрипта, чтобы для клиентов VPN не выскакивала заглушка провайдера?

[Hcimor]

UPD. В локальной сети тоже время от времени выскакивает заглушка провайдера, но гораздо реже, чем через VPN. При этом при повторном заходе практически всегда отрабатывает нормально и заглушку уже не выдает.

[nurman]

Добрый день, установил данный метод обхода+ HTTPS ТОР, в целом все работает, но некоторые сайты всё-равно не обходит (показывает 404), к примеру https://ruq.hotmo.org. Возникло два вопроса: 

1)

On 9/28/2018 at 3:10 PM, Михаил Лукьянов said:

В скрипт S99zapret добавлено правило для перенаправления запрещенного HTTPS трафика в redsocks, скрипт нужно перекачать с гитхаба. Для того чтобы NDM не сбрасывало правило в таблице nat нужно создать следующий файл /opt/etc/ndm/netfilter.d/redsocks.sh:

Все работает, но непонятно в инструкции что значит "скрипт нужно перекачать с гитхаба", это про что?

2) Есть ли возможность добавить сайты в исключения чтобы 

On 9/28/2018 at 3:10 PM, Михаил Лукьянов said:

Что интересно у меня https://2ip.ru/ и https://yandex.ru/internet/ часто показывают выход через tor, а не напрямую. Видимо какой-то не тот диапазон IP попал в реестр:(

не было таких моментов?

Edited May 30, 2020 by nurman

[DennoN]

2 часа назад, nurman сказал:

Все работает, но непонятно в инструкции что значит "скрипт нужно перекачать с гитхаба", это про что?

Это если кто-то ставил до внесения изменений. Сейчас там актуальная версия лежит

https://github.com/LukyanovM/zapret/blob/master/init.d/keenetic/S99zapret

Если ставили позднее 2018 года 😀, то ничего делать не нужно.

2 часа назад, nurman сказал:

не было таких моментов?

Вроде бы не предусмотрено в скрипте это. По крайне мере я не видел такой возможности, когда им пользовался.

[diqipib]

Всем доброго дня. Подскажите, пожалуйста, удалось ли запустить zapret от bol-van на 2.16 ?

У меня Zyxel Keenetic GIGA II. Как раз с прошивкой 2.16. Сразу скажу - в линухах совсем не силён, только по гайду смог выполнить необходимый набор действий. 

Дошёл до пункта запуска. Получил такой результат.

~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko loaded
xt_string.ko loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
Starting anti-zapret: zapret.
~ # 

Но заблокированные сайты по прежнему не открываются.

Суть вопроса - пытаюсь обойти ограничение МТС в виде шейпинга. Провайдер включают его если DPI видит, что запросы идут с ПК (что именно мониторится не знаю). При использовании GoodbyeDPI в базовом варианте service_install_russia_blacklist.cmd на ПК, шейпинга нет, но хотелось бы на уровне роутера получить аналогичный результат, чтобы без установки доп. софта можно было работать с разных ПК.

Подскажите, пожалуйста, можно ли этого добиться средствами наработки bol-van ? И если да, то есть ли готовый мануальчик для такой настройки ? Или есть альтернативные способы ? Пробовал VPN (L2TP, OpenVPN, SSTP) - сильно режется скорость. Судя по всему - пров это тоже мониторит.

[Albram]

В 14.07.2020 в 20:35, diqipib сказал:

Подскажите, пожалуйста, удалось ли запустить zapret от bol-van на 2.16 ?

Здравствуйте.

Да, на 2.16 zapret работает.

В 14.07.2020 в 20:35, diqipib сказал:

Провайдер включают его если DPI видит, что запросы идут с ПК

Настроенный на роутере zapret вам тут не поможет. Он для другого предназначен.

 

В 14.07.2020 в 20:35, diqipib сказал:

При использовании GoodbyeDPI в базовом варианте service_install_russia_blacklist.cmd на ПК, шейпинга нет

Придется вам продолжить его использовать, или искать по каким параметрам оператор определяет, что запросы идут с ПК (а возможно, что он определяет не то, что с ПК идут запросы, а то, что раздается интернет на тарифах для этого не предназначенных, вот и блокирует), и искать как это обойти. Подсказка: если проблема в том, о чем я написал в скобках, то вам поможет фиксация ttl, но с "игрой" с ttl в 2.16 не всё гладко, прочтите посты немного выше, например этот.

Edited July 20, 2020 by Albram

[Fader]

Пытаюсь разрешить доступ к onion-сайтам на keeneticOS 3.4.12.

Делал по известной инструкции от Юрия с хабра. Обход блокировок заработал, все ОК.

Стал настраивать доступ к доменной зоне onion. Там всего-то сделать правки в двух файлах. Сделал как было написано, но тщетно.

 

torr:
User root
PidFile /opt/var/run/tor.pid
ExcludeExitNodes {RU},{UA},{AM},{KG},{BY}
StrictNodes 1
TransPort 192.168.70.1:9141
ExitRelay 0
ExitPolicy reject *:*
ExitPolicy reject6 *:*
GeoIPFile /opt/share/tor/geoip
GeoIPv6File /opt/share/tor/geoip6
DataDirectory /opt/var/lib/tor
VirtualAddrNetwork 10.254.0.0/16
DNSPort 127.0.0.1:9053
AutomapHostsOnResolve 1

dnsmasq.conf
user=nobody
bogus-priv
no-negcache
clear-on-reload
bind-dynamic
listen-address=192.168.70.1
listen-address=127.0.0.1
min-port=4096
cache-size=1536
expand-hosts
log-async

conf-file=/opt/etc/unblock.dnsmasq
server=8.8.8.8

server=/onion/127.0.0.1#9053
ipset=/onion/unblock

Ответ хрома:
Не удается получить доступ к сайту
Не удалось найти IP-адрес сервера flibustahezeous3.onion.
DNS_PROBE_FINISHED_NXDOMAIN

 

dig к флибусте:

~ # dig +short flibustahezeous3.onion@localhost -p 9053
;; connection timed out; no servers could be reached

 

Где грабли?

[diqipib]

В 20.07.2020 в 10:25, Albram сказал:

Здравствуйте.

Да, на 2.16 zapret работает.

Настроенный на роутере zapret вам тут не поможет. Он для другого предназначен.

 

Придется вам продолжить его использовать, или искать по каким параметрам оператор определяет, что запросы идут с ПК (а возможно, что он определяет не то, что с ПК идут запросы, а то, что раздается интернет на тарифах для этого не предназначенных, вот и блокирует), и искать как это обойти. Подсказка: если проблема в том, о чем я написал в скобках, то вам поможет фиксация ttl, но с "игрой" с ttl в 2.16 не всё гладко, прочтите посты немного выше, например этот.

@Albram, благодарю за ответ. У меня ситуация немного иная. TTL давно настроен на модеме. В подтверждение того, что всё работает верно - вижу, что в ЛК нет расхода трафика. Т.е раздача не "палится". Но провайдер через пару минут врубает шейпинг на 1,5 мегабита, если я подключаюсь к роутеру с ПК. При этом к роутеру подключены несколько смартов на дройде и планшет и если при этом ПК не в сети, то шейпинга нет. По моим догадкам DPI либо замечает заголовки параметров браузеров в HTTP пакетах, либо хосты на которые не должен обращаться планшет или телефон. Поэтому пользуюсь пока так - на ПК включен GoodbyeDPI, а со всех мобил и планшетов свободно подключаюсь к роутеру. Как я понимаю, GoodbyeDPI фрагментирует пакеты от ПК и при этом DPI прова их не распознаёт. Но хотелось бы роутер целиково перевести на такую работу. Подскажите, пожалуйста, возможно ли это ?

Edited July 28, 2020 by diqipib

[Albram]

17 часов назад, diqipib сказал:

либо хосты на которые не должен обращаться планшет или телефон.

Вот это скорее всего.

17 часов назад, diqipib сказал:

Подскажите, пожалуйста, возможно ли это ?

В первом сообщении этой темы написано:

"У скрипта 3 режима работы

1. Fragmentation - принудительно выставляется малый размер TCP окна, в результате чего пакеты фрагментируются и не попадают под анализ DPI. Используется NFQUEUE. Самый быстрый режим. Установлен по умолчанию. Работает в IPv4 для HTTP и для HTTPS (не всегда) "

Перед установкой вы проводили тестирование на компе со  всеми выключенными средствами обхода (включая dnscrypt, или что-то иное) вот этим ?

[diqipib]

8 часов назад, Albram сказал:

Вот это скорее всего.

В первом сообщении этой темы написано:

"У скрипта 3 режима работы

1. Fragmentation - принудительно выставляется малый размер TCP окна, в результате чего пакеты фрагментируются и не попадают под анализ DPI. Используется NFQUEUE. Самый быстрый режим. Установлен по умолчанию. Работает в IPv4 для HTTP и для HTTPS (не всегда) "

Перед установкой вы проводили тестирование на компе со  всеми выключенными средствами обхода (включая dnscrypt, или что-то иное) вот этим ?

@Albram, да blockcheck прогонял. Привожу его лог ниже. И да, обратил внимание на "установлен по умолчанию". Но как я понял из инструкции топикстартера, этот режим включается для сайтов из списка, а мне нужно для абсолютно всех хостов включить функцию обхода DPI. Или я неправильно понял идею ?  

Скрытый текст

BlockCheck v0.0.9.8
Для получения корректных результатов используйте DNS-сервер провайдера и отключите средства обхода блокировок.

Проверка работоспособности IPv6: IPv6 недоступен.
[O] Тестируем IPv4 DNS
    Через системный DNS:     ['104.18.182.1', '104.18.183.1', '104.26.10.39', '104.26.11.39', '104.26.4.231', '104.26.5.231', '172.67.70.38', '172.67.70.99', '195.8.215.136', '195.82.146.214', '208.100.28.56', '67.202.114.141']
    Через Google DNS:     ['104.18.182.1', '104.18.183.1', '104.26.10.39', '104.26.11.39', '104.26.4.231', '104.26.5.231', '172.67.70.38', '172.67.70.99', '195.8.215.136', '195.82.146.214', '208.100.28.56', '67.202.114.141']
    Через Google API:     ['104.18.182.1', '104.18.183.1', '104.26.10.39', '104.26.11.39', '104.26.4.231', '104.26.5.231', '172.67.70.38', '172.67.70.99', '195.8.215.136', '195.82.146.214', '208.100.28.56', '67.202.114.141']
    Несуществующий DNS не вернул адресов (это не ошибка)
[✓] DNS-записи не подменяются
[✓] DNS не перенаправляется

[O] Тестируем HTTP
    Открываем http://a.putinhuylo.com/
[✓] Сайт открывается
    Открываем http://furry.booru.org/
[✓] Сайт открывается
    Открываем http://furry.booru.org/index.php?page=post&s=view&id=111173
[☠] Сайт не открывается, пробуем через прокси
[☠] Сайт не открывается через прокси
    Проверяем доступность через isup.me
[⁇] Неожиданный ответ от isup.me, код 403
    Открываем http://pbooru.com/
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси.
[☠] Сайт не открывается через прокси
    Проверяем доступность через isup.me
[⁇] Неожиданный ответ от isup.me, код 403
    Открываем http://pbooru.com/index.php?page=post&s=view&id=303026
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси.
[☠] Сайт не открывается через прокси
    Проверяем доступность через isup.me
[⁇] Неожиданный ответ от isup.me, код 403
    Открываем http://rutracker.org/forum/index.php
[☠] Сайт не открывается, пробуем через прокси
[☠] Сайт не открывается через прокси
    Проверяем доступность через isup.me
[⁇] Неожиданный ответ от isup.me, код 403

[O] Тестируем HTTPS
    Открываем https://e621.net/
[☠] Сертификат подменяется
    Открываем https://lolibooru.moe/
[☠] Сертификат подменяется
    Открываем https://rutracker.org/forum/index.php
[☠] Сертификат подменяется
    Открываем https://www.dailymotion.com/
[☠] Сертификат подменяется

[O] Тестируем обход DPI
    Пробуем способ «дополнительный пробел после GET» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «заголовок hOSt вместо Host» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «заголовок hoSt вместо Host» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «значение Host БОЛЬШИМИ БУКВАМИ» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «необычный порядок заголовков» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «отсутствие пробела между двоеточием и значением заголовка Host» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «перенос строки в заголовках в UNIX-стиле» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «перенос строки перед GET» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «табуляция в конце домена» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «точка в конце домена» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «фрагментирование заголовка» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «фрагментирование заголовка, hoSt и отсутствие пробела одновременно» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «дополнительный пробел после GET» на rutracker.org
[☠] Ошибка: ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None)
    Пробуем способ «заголовок hOSt вместо Host» на rutracker.org
[✓] Сайт открывается
    Пробуем способ «заголовок hoSt вместо Host» на rutracker.org
[✓] Сайт открывается
    Пробуем способ «значение Host БОЛЬШИМИ БУКВАМИ» на rutracker.org
[✓] Сайт открывается
    Пробуем способ «необычный порядок заголовков» на rutracker.org
[☠] Ошибка: ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None)
    Пробуем способ «отсутствие пробела между двоеточием и значением заголовка Host» на rutracker.org
[✓] Сайт открывается
    Пробуем способ «перенос строки в заголовках в UNIX-стиле» на rutracker.org
[☠] Ошибка: ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None)
    Пробуем способ «перенос строки перед GET» на rutracker.org
[✓] Сайт открывается
    Пробуем способ «табуляция в конце домена» на rutracker.org
[☠] Сайт не открывается
    Пробуем способ «точка в конце домена» на rutracker.org
[☠] Ошибка: ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None)
    Пробуем способ «фрагментирование заголовка» на rutracker.org
[✓] Сайт открывается
    Пробуем способ «фрагментирование заголовка, hoSt и отсутствие пробела одновременно» на rutracker.org
[✓] Сайт открывается

[!] Результат:
[⚠] Ваш провайдер подменяет HTTPS-сертификат на свой для сайтов из реестра.
[⚠] isup.me даёт неожиданные ответы или недоступен. Рекомендуем повторить тест, когда он начнёт работать. Возможно, эта версия программы устарела. Возможно (но маловероятно), что сам isup.me уже занесён в чёрный список.
[⚠] Если проигнорировать isup.me, то у вашего провайдера "полный" DPI. Он отслеживает ссылки даже внутри прокси, поэтому вам следует использовать любое шифрованное соединение, например, VPN или Tor.

 

[Albram]

15 часов назад, diqipib сказал:

а мне нужно для абсолютно всех хостов включить функцию обхода DPI

Неординарное, конечно, применение, но реализовать такое проще, т.к. не нужно вести и обновлять ipset и фильтровать запросы по соответствию этому списку.

Глянул в скрипты, которые сейчас используются, их структура и размещение стали совсем другими, чем было когда я это настраивал...
Попробуйте удалить из всех используемых скриптом правил iptables опции сравнения с ipset, чтобы все пакеты направить на фрагментацию.

Для примера, применительно к настройкам по умолчанию в скриптах, в файле firewall.user.mns в двух местах удалите значения:

-m set --match-set zapret src

 

 

[>hbq]

On 7/29/2020 at 7:38 PM, diqipib said:

@Albram, да blockcheck прогонял. Привожу его лог ниже. И да, обратил внимание на "установлен по умолчанию". Но как я понял из инструкции топикстартера, этот режим включается для сайтов из списка, а мне нужно для абсолютно всех хостов включить функцию обхода DPI. Или я неправильно понял идею ?  

  Reveal hidden contents

BlockCheck v0.0.9.8
Для получения корректных результатов используйте DNS-сервер провайдера и отключите средства обхода блокировок.

Проверка работоспособности IPv6: IPv6 недоступен.
[O] Тестируем IPv4 DNS
    Через системный DNS:     ['104.18.182.1', '104.18.183.1', '104.26.10.39', '104.26.11.39', '104.26.4.231', '104.26.5.231', '172.67.70.38', '172.67.70.99', '195.8.215.136', '195.82.146.214', '208.100.28.56', '67.202.114.141']
    Через Google DNS:     ['104.18.182.1', '104.18.183.1', '104.26.10.39', '104.26.11.39', '104.26.4.231', '104.26.5.231', '172.67.70.38', '172.67.70.99', '195.8.215.136', '195.82.146.214', '208.100.28.56', '67.202.114.141']
    Через Google API:     ['104.18.182.1', '104.18.183.1', '104.26.10.39', '104.26.11.39', '104.26.4.231', '104.26.5.231', '172.67.70.38', '172.67.70.99', '195.8.215.136', '195.82.146.214', '208.100.28.56', '67.202.114.141']
    Несуществующий DNS не вернул адресов (это не ошибка)
[✓] DNS-записи не подменяются
[✓] DNS не перенаправляется

[O] Тестируем HTTP
    Открываем http://a.putinhuylo.com/
[✓] Сайт открывается
    Открываем http://furry.booru.org/
[✓] Сайт открывается
    Открываем http://furry.booru.org/index.php?page=post&s=view&id=111173
[☠] Сайт не открывается, пробуем через прокси
[☠] Сайт не открывается через прокси
    Проверяем доступность через isup.me
[⁇] Неожиданный ответ от isup.me, код 403
    Открываем http://pbooru.com/
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси.
[☠] Сайт не открывается через прокси
    Проверяем доступность через isup.me
[⁇] Неожиданный ответ от isup.me, код 403
    Открываем http://pbooru.com/index.php?page=post&s=view&id=303026
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси.
[☠] Сайт не открывается через прокси
    Проверяем доступность через isup.me
[⁇] Неожиданный ответ от isup.me, код 403
    Открываем http://rutracker.org/forum/index.php
[☠] Сайт не открывается, пробуем через прокси
[☠] Сайт не открывается через прокси
    Проверяем доступность через isup.me
[⁇] Неожиданный ответ от isup.me, код 403

[O] Тестируем HTTPS
    Открываем https://e621.net/
[☠] Сертификат подменяется
    Открываем https://lolibooru.moe/
[☠] Сертификат подменяется
    Открываем https://rutracker.org/forum/index.php
[☠] Сертификат подменяется
    Открываем https://www.dailymotion.com/
[☠] Сертификат подменяется

[O] Тестируем обход DPI
    Пробуем способ «дополнительный пробел после GET» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «заголовок hOSt вместо Host» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «заголовок hoSt вместо Host» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «значение Host БОЛЬШИМИ БУКВАМИ» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «необычный порядок заголовков» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «отсутствие пробела между двоеточием и значением заголовка Host» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «перенос строки в заголовках в UNIX-стиле» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «перенос строки перед GET» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «табуляция в конце домена» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «точка в конце домена» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «фрагментирование заголовка» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «фрагментирование заголовка, hoSt и отсутствие пробела одновременно» на pbooru.com
[☠] Сайт не открывается
    Пробуем способ «дополнительный пробел после GET» на rutracker.org
[☠] Ошибка: ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None)
    Пробуем способ «заголовок hOSt вместо Host» на rutracker.org
[✓] Сайт открывается
    Пробуем способ «заголовок hoSt вместо Host» на rutracker.org
[✓] Сайт открывается
    Пробуем способ «значение Host БОЛЬШИМИ БУКВАМИ» на rutracker.org
[✓] Сайт открывается
    Пробуем способ «необычный порядок заголовков» на rutracker.org
[☠] Ошибка: ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None)
    Пробуем способ «отсутствие пробела между двоеточием и значением заголовка Host» на rutracker.org
[✓] Сайт открывается
    Пробуем способ «перенос строки в заголовках в UNIX-стиле» на rutracker.org
[☠] Ошибка: ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None)
    Пробуем способ «перенос строки перед GET» на rutracker.org
[✓] Сайт открывается
    Пробуем способ «табуляция в конце домена» на rutracker.org
[☠] Сайт не открывается
    Пробуем способ «точка в конце домена» на rutracker.org
[☠] Ошибка: ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None)
    Пробуем способ «фрагментирование заголовка» на rutracker.org
[✓] Сайт открывается
    Пробуем способ «фрагментирование заголовка, hoSt и отсутствие пробела одновременно» на rutracker.org
[✓] Сайт открывается

[!] Результат:
[⚠] Ваш провайдер подменяет HTTPS-сертификат на свой для сайтов из реестра.
[⚠] isup.me даёт неожиданные ответы или недоступен. Рекомендуем повторить тест, когда он начнёт работать. Возможно, эта версия программы устарела. Возможно (но маловероятно), что сам isup.me уже занесён в чёрный список.
[⚠] Если проигнорировать isup.me, то у вашего провайдера "полный" DPI. Он отслеживает ссылки даже внутри прокси, поэтому вам следует использовать любое шифрованное соединение, например, VPN или Tor.

 

скажите у вас получилось это осуществить? можно ли все это проделать через  keenetic /a

[nurman]

Добрый день,

Обход отлично работал, но вчера сменил провайдера. И тут началось, есть запустить или перезапустить /opt/etc/init.d/S99zapret start, то всё работает несколько минут, потом опять провайдер блокирует сайты (перезапускаешь опять S99zapret, несколько минут работает и всё ). Может с этим кто то сталкивался?  
  

да, может это связано с типом соединения, до этого был l2tp, сейчас просто через внутреннюю сеть, так называемое: динамический IP (без логина и пароля)    

Edited August 8, 2020 by nurman

[Albram]

В 08.08.2020 в 10:58, nurman сказал:

может это связано с типом соединения

Это может быть связано с чем угодно, вы же никакой технической информации не привели.

Вам нужно начать с самого начала, с запуска blockcheck при отключенных всех обходах и dnscrypt (если используется). А потом, по полученным результатам, сравнивать этот вывод с режимом, в котором работает скрипт, и смотреть подходит этот режим или его нужно менять.

[nurman]

21 hours ago, Albram said:

Это может быть связано с чем угодно, вы же никакой технической информации не привели.

Сделал сброс роутера, дохожу до этапа когда внес в файл zapret-hosts-user.txt сайты, вношу их /opt/zapret/ipset/get_user.sh, запускаю скрипт

И вот результат:

~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
net.ipv4.conf.br0.route_localnet = 1
ip: RTNETLINK answers: File exists
ip: RTNETLINK answers: Address family not supported by protocol
ip6tables: No chain/target/match by that name.
 

 

В чем может быть проблема?

Edited August 10, 2020 by nurman

[nurman]

13 minutes ago, nurman said:

 

 

Edited August 10, 2020 by nurman

[nurman]

21 hours ago, Albram said:

Это может быть связано с чем угодно, вы же никакой технической информации не привели.

Вам нужно начать с самого начала, с запуска blockcheck при отключенных всех обходах и dnscrypt (если используется). А потом, по полученным результатам, сравнивать этот вывод с режимом, в котором работает скрипт, и смотреть подходит этот режим или его нужно менять.

Сделал сброс роутера, делаю заново данный метод обхода, дохожу до этапа когда внес в файл zapret-hosts-user.txt (плюс зарегистрировал данные через /opt/zapret/ipset/get_user.sh), запускаю скрипт

И вот результат:

~ # /opt/zapret/init.d/keenetic/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
net.ipv4.conf.br0.route_localnet = 1
ip: RTNETLINK answers: File exists
ip: RTNETLINK answers: Address family not supported by protocol
ip6tables: No chain/target/match by that name.
 

 

В чем может быть проблема?

[Albram]

5 часов назад, nurman сказал:

В чем может быть проблема?

Чтобы это понять, нужно знать какой провайдер у вас указан в настройках скрипта, какой провайдер у вас на самом деле, в каком режиме работает скрипт (fragmentation, modification и т.д.), и видеть вывод запуска blockcheck при отключенных всех обходах и dnscrypt.

А по тем данным, которые приведены, можно сказать, что проблема начинается здесь: 

6 часов назад, nurman сказал:

ip: RTNETLINK answers: Address family not supported by protocol

и возможно она связана с использованием ipv6.

[nurman]

6 hours ago, Albram said:

Чтобы это понять, нужно знать какой провайдер у вас указан в настройках скрипта, какой провайдер у вас на самом деле, в каком режиме работает скрипт (fragmentation, modification и т.д.), и видеть вывод запуска blockcheck при отключенных всех обходах и dnscrypt.

Установил причину, почему скрипт после переустановки не запускался, надо было установить еще два компонента opkg install kmod_ndms и opkg install xtables-addons_legacy. Но скрипт по прежнему работает только некоторое время и потом вылетает:

  

Провайдер freedom-vrn.ru, станица блокировки freedom-vrn.ru/support/block.html

-----------------

1) Проверил если  просто BLACKHOLE=freedom-vrn.ru без u/support/block.htm

Стало так:

~ # /opt/etc/init.d/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
net.ipv4.conf.br0.route_localnet = 1
ip: RTNETLINK answers: Address family not supported by protocol
Starting anti-zapret: zapret.
 

Fragmentation вообще не работает, при заходе на заблокированный сайт из списка просто ошибка 404 (НЕ freedom-vrn.ru/support/block.html). 
Modification и combined работает HTTP минут 20, 30 потом просто ошибка (НЕ freedom-vrn.ru/support/block.html), но HTTPS (https://rutracker.org) работает, как понимаю уже через ТОР, то-есть проблема только http. Но есть плюс, если просто заново запустить (без предварительной остановки) /opt/etc/init.d/S99zapret start то всё работает, можно в cron поставит на 10 минут 

-----------------

2) Проверил с полным адресом  BLACKHOLE=freedom-vrn.ru/support/block.html

Стало так:

~ # /opt/etc/init.d/S99zapret start
iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
net.ipv4.conf.br0.route_localnet = 1
ip: RTNETLINK answers: File exists
ip: RTNETLINK answers: Address family not supported by protocol
Starting anti-zapret: ~ #
 

Fragmentation вообще не работает, при заходе на заблокированный сайт из списка заглушка freedom-vrn.ru/support/block.html. 
Modification и combined работает HTTP минут 20, 30 потом заглушка freedom-vrn.ru/support/block.htm

-----------------

Раньше при BLACKHOLE=blackhole.beeline.ru работал не более 5 минут. Пребывал на флешке, HDD, в главном соединение включал/выключал Использовать IPv6, равнозначно

В целом описал всё что просили, кроме blockcheck (но это как понимаю если скрипт вообще не работает), а тут работает, но только некоторое время, в чем может быть причина?    

 

Да и второй вопрос, а возможно пусть http, также как https через ТОР, (есть отдельные скрипты, но там надо делать opkg dns-override, а это выводи из строя мои тв боксы (перестают работать по шнуру) 

         

[Albram]

9 часов назад, nurman сказал:

кроме blockcheck (но это как понимаю если скрипт вообще не работает)

Нет, это нужно для понимания как работает DPI вашего провайдера.

 

9 часов назад, nurman сказал:

но там надо делать opkg dns-override, а это выводи из строя мои тв боксы

Т.е. вы этого не делали при настройке?

 

10 часов назад, nurman сказал:

а возможно пусть http, также как https через ТОР

Конечно, просто добавить правило iptables для перенаправления всех запросов на 80 порт в тор, но это снизит быстродействие, т.к. тор ещё тот тормоз, и нужно делать исключения для нужных веб интерфейсов (например роутера).

Ещё вам нужно выяснить какое правило вызывает вот эту ошибку:

"ip: RTNETLINK answers: Address family not supported by protocol"

[nurman]

3 hours ago, Albram said:

Нет, это нужно для понимания как работает DPI вашего провайдера.

Хорошо, сделаю в ближайшее время (просто сегодня уже работа, на эксперименты нужен выходной, пока в крон добавил /opt/etc/init.d/S99zapret start)

 

3 hours ago, Albram said:

Т.е. вы этого не делали при настройке?

Да это отвратительная настройка, её не применяю, до этого стоял другой скрипт обхода блокировки по своему списку полностью (http и https) через ТОР, так  там требовалось переключение на opkg dns-override, от этой надстройки половину оборудования подключенные через шнур перестают работать (по wi-fi работает), к примеру X96Max   

3 hours ago, Albram said:

Конечно, просто добавить правило iptables для перенаправления всех запросов на 80 порт в тор, но это снизит быстродействие, т.к. тор ещё тот тормоз, и нужно делать исключения для нужных веб интерфейсов (например роутера).

А зачем делать исключения для http или https, если и так у нас свой список сайтов zapret-hosts-user.txt (глобальным скриптом не пользуюсь, там много лишнего, проще самому потихоньку добавлять сайты для обхода блокировки)  

 

3 hours ago, Albram said:

Ещё вам нужно выяснить какое правило вызывает вот эту ошибку:

"ip: RTNETLINK answers: Address family not supported by protocol"

Данная ошибка только на режимах modification и combined (но обход блокировки работает некоторое время), на режиме fragmentation такой ошибки нет, но как писал выше на этом режиме обход не работает

--------------------

Еще есть такой вопрос, почему если открывать сайт kinogo.by или z1.fm через ТОР который на роутере (к примеру тот метод который указан в данной теме) сперва требуется ввести капчу, а если открывать эти же сайты через ТОР браузер то никакой капчи нет?