Jump to content

Михаил Лукьянов

Forum Members
  • Content Count

    21
  • Joined

  • Last visited

  • Days Won

    1

Михаил Лукьянов last won the day on September 16

Михаил Лукьянов had the most liked content!

Community Reputation

4 Neutral

About Михаил Лукьянов

  • Rank
    Member

Equipment

  • Keenetic
    viva

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Михаил Лукьянов

    Ну возможно. Blockcheck покажет. Может кто-то из региональных провайдеров балуется.
  2. Михаил Лукьянов

    И что, работает? DPI только на HTTP работает, по HTTPS провайдер должен трафик дропать. Каков смысл такого правила?
  3. Михаил Лукьянов

    Красным выделены ответы на ваши вопросы. Причем в DROP попадает только то чего нет в списке zapret (т.е. kinozal попал сейчас из-за смены IP). При корректном списке zapret правило с drop вообще не играет.
  4. Михаил Лукьянов

    Оставьте ISP=rt, этот вариант проверенный для РТ и Билайна. С кинозалом проблема следующая - там происходит смена IP чаще чем он попадает в реестр на prostovpn. Помогает ресолв со стороны роутера, например через /opt/zapret/ipset/get_user.sh. Можно в крон добавить и этот скрипт. Я не кодер, а бывший админ - сам писать не обучен, на досуге могу чужое подправить. Нагрузка минимальна - за день в цепочку NFQUEUE у меня упало 15 пакетов весом 752 байта, хотя на трекерах я сижу, при сёрфинге load average на роутере выше 5% не поднимается. DPI ленивый - вместо полноценного statefull inspection, происходит только анализ SYN,ACK пакетов (т.е. первый пакет во всей TCP сессии) остальное пролетает со свистом без модификации. И это хорошо)
  5. Михаил Лукьянов

    kmod_ndms по умолчанию ведь не ставится, сто процентов кто-нибудь не поставит и будет спрашивать почему не работает. Пусть будет проверка - она лишний раз модуль не будет пытаться грузить. Добавил еще в скрипт проверку на вменяемость установки tpws и nfqws, можно перекачать файл с гитхаба.
  6. Михаил Лукьянов

    Оставим на совести мэйнтенеров entware эти команды (тем более что это тестовые пакеты). Судя по выводу ps nfqws не запущен. Поставьте бинарники руками: cp /opt/zapret/binaries/mips32r1-lsb/nfqws /opt/zapret/nfq/nfqws chmod +x /opt/zapret/nfq/nfqws cp /opt/zapret/binaries/mips32r1-lsb/tpws /opt/zapret/tpws/tpws chmod +x /opt/zapret/tpws/tpws Перезапустите S99zapret
  7. Михаил Лукьянов

    Ага. Пакеты не фрагментируются. Откуда брался бинарник nfqws? Покажите вывод с включенным обходом блокировок ps | grep nfqws
  8. Михаил Лукьянов

    Если есть желание поразбиратся, поставьте tcpdump: opkg install tcpdump Покажите вывод команды: tcpdump -vi eth2.2 host 195.82.146.214 | grep "HTTP, length" где eth2.2 - внешний интерфейс. После этого нужно зайти на рутрекер. Как выглядит со включенным обходом блокировок: И с выключенным:
  9. Михаил Лукьянов

    У меня такое было когда стоял размер начального пакета 20, я снизил до 5. Попробуйте в 79 строке файла /opt/etc/init.d/S99zapret DAEMON_OPTS="--qnum=$QNUM --wsize=5" Поменять значение wsize в пределах 3-50. После изменения /opt/etc/init.d/S99zapret stop ; /opt/etc/init.d/S99zapret start Хотя у меня сейчас и со значением 20 стало работать. У кинозала IP сменился, его пока нет в реестре, но рутрекер должен работать.
  10. Михаил Лукьянов

    И если есть возможность, то результаты blockcheck .
  11. Михаил Лукьянов

    nslookup rutracker.org Ещё можно на всякий случай?
  12. Михаил Лукьянов

    Что говорит iptables -nvL -t raw ?
  13. Михаил Лукьянов

    blackhole.beeline.ru. Попробуйте сменить на warning.rt.ru .
  14. Михаил Лукьянов

    Да я то понял) Просто вы пишите общие вещи, я практику свою выкладываю. Поспорю по пунктам: При запуске на роутере у меня в качестве DNS сервера срабатывает ndnproxy у которого в ресолверах автоматом проставились сервера провайдера. Как и у 95% пользователей. Тут не будет разницы между рабочей станцией и роутером (могу выложить дамп трафика). Те кто осилил настройку своего DNS сервера про злодейства ndnproxy знают, как и про волшебную команду opkg dns-override. Мы не тестируем netfilter. Более того мы таблицы в исходное состояние должны вернуть перед запуском теста. Тут достаточно отсутствия прямых запрещающих правил затрагивающих тест. Прямо скажем я не сторонник питона на роутере, так можно и вижуал студио туда поставить. Но как инструмент blockcheck имеет право там работать (включать в репо на самом деле не нужно, т.к. пока нет бинарника под наши архитектуры). Тем более ситуации бывают разные - кому-то может пригодиться такой вариант.
  15. Михаил Лукьянов

    Blockcheck - это несколько тестов сугубо прикладного уровня (DNS, HTTP, HTTPS). При соблюдении двух условий: использование DNS серверов провайдера и отключении средств обхода блокировок результат будет примерно одинаков в секции "Тестируем обход DPI" (если вы сами себе конечно в Iptables не закрыли транзитный или локальный трафик до тестируемых хостов). Пруф: Рабочая станция: Роутер:
×