Jump to content

Михаил Лукьянов

Forum Members
  • Content Count

    201
  • Joined

  • Last visited

  • Days Won

    4

Everything posted by Михаил Лукьянов

  1. Запустите руками /opt/etc/init.d/S99zapret start Что выводит в результате в консоль?
  2. Добавьте в секцию start подгрузку TPROXY: if lsmod | grep "xt_TPROXY " &> /dev/null ; then echo "xt_string.ko is already loaded" else if insmod /lib/modules/$(uname -r)/xt_TPROXY.ko &> /dev/null; then echo "xt_TPROXY.ko loaded" else echo "Cannot find xt_TPROXY.ko kernel module, aborting" exit 1 fi fi Только отпишитесь пожалуйста о результатах, чтобы я на гитхабе изменения внёс по результатам тестирования.
  3. Задал вопрос https://forum.keenetic.net/topic/7240-tproxy-на-31-beta-4-и-выше/. Подождём ответа.
  4. Я не вижу TPROXY. Покажите вывод: ls /lib/modules/$(uname -r)/ | grep -i proxy
  5. Покажите вывод cat /proc/net/ip_tables_targets
  6. Отключите поддержку IPv6 (закомментируйте блок): if [ -e /proc/net/if_inet6 ] ; then ! ip -6 route add local default dev lo table 99 ! ip -6 rule add from all fwmark 0x9 lookup 99 ip6tables -t mangle -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port $TPPORT --on-ip ::1 2>/dev/null || ip6tables -t mangle -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port $TPPORT --on-ip ::1 ip6tables -t mangle -N DIVERT ip6tables -t mangle -C DIVERT -j MARK
  7. Да сделайте просто пинг по доменному имени сайта и проверьте этот IP с тем что в cloudfare.ip и с тем что в zapret: ipset test zapret 195.82.146.214
  8. Значит это не cloudflare. Есть подозрения на гугловую капчу. Снимите дамп: tcpdump -i br0 port 80 or port 443 -w dump.pcap И выложите куда-нибудь.
  9. Добавьте в скрипт create_ipset.sh перед строкой ipset save zapret -f /opt/zapret/ipset/zapret.ipset Следующий код: curl https://www.cloudflare.com/ips-v4 -o cloudfare.ip for ip in $(cat cloudfare.ip ); do ipset del zapret $ip; done
  10. opkg install --force-reinstall bind-dig Но вообще если не находится libc, то всё плохо. Entware без ошибок встал? Крайняя мера: opkg update opkg upgrade
  11. Править нужно значения IPSET_OPT="hashsize 131072 maxelem 524288" можно в 2 раза просто увеличить.
  12. Да. У меня так настроено. Наружу ничего не светит. nmapом на всякий случай проверил - всё чисто.
  13. Насколько я помню ndm в качестве ресолвера использует lo интерфейс независимо от того что указано в веб интерфейсе. Не получив ответа с 127.0.0.1:53 система аварийно запускает родной DNS сервер причем без текущего конфига с прослушиванием по всем интерфейсам. О - отказоустойчивость🙂 Нужно вернуть '127.0.0.1:53' в /opt/etc/dnscrypt-proxy.toml где росло. Какой смысл его было убирать?
  14. Вывод не информативен, нужно посмотреть так: netstat -apn | grep ":53 " Стоковый DNS сервер никогда наружу не смотрит, поэтому 99% вероятности что это неправильно настроен dnscrypt-proxy. Покажите grep listen_address /opt/etc/dnscrypt-proxy.toml Как должно быть (пример): listen_addresses = ['127.0.0.1:53','192.168.1.1:53','[fe80::127b:efff:fe5d:ffcc%br0]:53'] Как не должно быть: listen_addresses = ['0.0.0.0:53']
  15. Оставьте combined. Создайте перехватчик для ndm /opt/etc/ndm/netfilter.d/zapret.sh: #!/opt/bin/sh [ "$type" == "ip6tables" ] && exit 0 [ "$table" != "nat" ] && exit 0 # check the table name iptables -t nat -I PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188 iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner ! --uid-owner nobody -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188 /opt/bin/logger "http redirection rule created for zapret via netfilter hook" Не забудьте chmod +x /opt/etc/ndm/netfilter.d/zapret.sh
  16. MSM грамотный в этом плане провайдер оказался:) Кроме тора и vpn есть ещё shadowsocks и wireguard.
  17. Попробуйте выставить в скрипте ACTION=modification . В логе blockcheck именно рутрекер не пропустил ни одного способа обхода, возможно имеет смысл проверять на другом сайте, например кинозале.
  18. На некоторых прошивках таблица mangle сбрасывается периодически ndm, инструкция писалась исходя из того что ndm сбрасывает только таблицу nat. Добавьте у себя следующий перехватчик /opt/etc/ndm/netfilter.d/openvpn.sh: #!/opt/bin/sh [ "$type" == "ip6tables" ] && exit 0 [ "$table" != "mangle" ] && exit 0 # check the table name iptables -t mangle -I PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j MARK --set-mark 9 /opt/bin/logger "openvpn marking https traffic rule created for zapret via netfilter hook"
  19. Да. Для UDP только придётся трафик через TPROXY заворачивать, а не через REDIRECT.
  20. Написал как альтернативу связки tor+redsocks для HTTPS, HTTP почти у всех через фрагментацию пакетов срабатывает - это самый быстрый и надёжный вариант. А так shadowsocks может инкапсулировать любой вид трафика на базе транспортных протоколов TCP/UDP, не только HTTP/HTTPS, и даже если приложение не умеет в SOCKS5.
  21. Так как нам к 1 ноября уже обещают построить "безопасный" интернет, решил ознакомиться с международной практикой. Одним из самых популярных инструментов обхода оказался shadowsocks. Известен факт что китайское правительство не смогло техническими методами его заблокировать, а потому попыталось закрыть репозиторий кода на github. На форуме уже была тема про shadowsocks, но это более свежий взгляд на актуальную проблему. Архитектурно shadowsocks похож на VPN - есть клиентская часть, которая принимает соединения по протоколу SOCKS5, и есть серверная часть, которая располагается за пределами дейст
  22. В /opt/etc/tor/torrc раскомментируйте строку Log debug file /opt/var/log/tor/debug.log Создайте папку mkdir /opt/var/log/tor Запустите тор и покажите содержимое debug.log.
  23. Так ошибку curl выдаёт а не tor. На libc больше никто не ругается? Попробовать curl из opkg переставить для начала.
×
×
  • Create New...