Jump to content

Михаил Лукьянов

Forum Members
  • Content Count

    201
  • Joined

  • Last visited

  • Days Won

    4

Everything posted by Михаил Лукьянов

  1. Михаил Лукьянов

    Запустите руками /opt/etc/init.d/S99zapret start Что выводит в результате в консоль?
  2. Михаил Лукьянов

    Добавьте в секцию start подгрузку TPROXY: if lsmod | grep "xt_TPROXY " &> /dev/null ; then echo "xt_string.ko is already loaded" else if insmod /lib/modules/$(uname -r)/xt_TPROXY.ko &> /dev/null; then echo "xt_TPROXY.ko loaded" else echo "Cannot find xt_TPROXY.ko kernel module, aborting" exit 1 fi fi Только отпишитесь пожалуйста о результатах, чтобы я на гитхабе изменения внёс по результатам тестирования.
  3. Михаил Лукьянов

    Не видит https://forum.keenetic.net/topic/3078-обход-блокировок-на-роутере/?do=findComment&comment=81497 . Что-то не доставлено?
  4. Михаил Лукьянов

    По стандартному пути ? /lib/modules/$(uname -r)/
  5. Михаил Лукьянов

    Задал вопрос https://forum.keenetic.net/topic/7240-tproxy-на-31-beta-4-и-выше/. Подождём ответа.
  6. Михаил Лукьянов

    На 3.1 Beta 4 и выше пропала цель (taget) TPROXY для iptables. Как называется модуль ядра для того чтобы её вернуть?
  7. Михаил Лукьянов

    Я не вижу TPROXY. Покажите вывод: ls /lib/modules/$(uname -r)/ | grep -i proxy
  8. Михаил Лукьянов

    Покажите вывод cat /proc/net/ip_tables_targets
  9. Михаил Лукьянов

    Отключите поддержку IPv6 (закомментируйте блок): if [ -e /proc/net/if_inet6 ] ; then ! ip -6 route add local default dev lo table 99 ! ip -6 rule add from all fwmark 0x9 lookup 99 ip6tables -t mangle -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port $TPPORT --on-ip ::1 2>/dev/null || ip6tables -t mangle -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret6 dst -j TPROXY --tproxy-mark 0x9/0x9 --on-port $TPPORT --on-ip ::1 ip6tables -t mangle -N DIVERT ip6tables -t mangle -C DIVERT -j MARK --set-mark 9 2>/dev/null || ip6tables -t mangle -A DIVERT -j MARK --set-mark 9 ip6tables -t mangle -C DIVERT -j ACCEPT 2>/dev/null || ip6tables -t mangle -I DIVERT -j ACCEPT ip6tables -t mangle -C PREROUTING -p tcp -m socket -j DIVERT 2>/dev/null || ip6tables -t mangle -I PREROUTING -p tcp -m socket -j DIVERT fi Это нужно сделать и для секции start и для секции stop. У меня роутер старый, третья прошивка уже не встаёт. Проверить негде, да я на даче сейчас особо и не горю. С IPv6 изначально проблемы были https://forum.keenetic.net/topic/6593-policy-based-routing-для-ipv6/ , но код я оставил как PoC идей Валдикса и Болвана, к тому же я его старался сделать совместимым не только с кинетиками.
  10. Михаил Лукьянов

    Да сделайте просто пинг по доменному имени сайта и проверьте этот IP с тем что в cloudfare.ip и с тем что в zapret: ipset test zapret 195.82.146.214
  11. Михаил Лукьянов

    Значит это не cloudflare. Есть подозрения на гугловую капчу. Снимите дамп: tcpdump -i br0 port 80 or port 443 -w dump.pcap И выложите куда-нибудь.
  12. Михаил Лукьянов

    Добавьте в скрипт create_ipset.sh перед строкой ipset save zapret -f /opt/zapret/ipset/zapret.ipset Следующий код: curl https://www.cloudflare.com/ips-v4 -o cloudfare.ip for ip in $(cat cloudfare.ip ); do ipset del zapret $ip; done
  13. Михаил Лукьянов

    opkg install --force-reinstall bind-dig Но вообще если не находится libc, то всё плохо. Entware без ошибок встал? Крайняя мера: opkg update opkg upgrade
  14. Михаил Лукьянов

    Править нужно значения IPSET_OPT="hashsize 131072 maxelem 524288" можно в 2 раза просто увеличить.
  15. Да. У меня так настроено. Наружу ничего не светит. nmapом на всякий случай проверил - всё чисто.
  16. Так там снаружи можно к DNS подключиться. С включенным фаерволом.
  17. Насколько я помню ndm в качестве ресолвера использует lo интерфейс независимо от того что указано в веб интерфейсе. Не получив ответа с 127.0.0.1:53 система аварийно запускает родной DNS сервер причем без текущего конфига с прослушиванием по всем интерфейсам. О - отказоустойчивость🙂 Нужно вернуть '127.0.0.1:53' в /opt/etc/dnscrypt-proxy.toml где росло. Какой смысл его было убирать?
  18. Вывод не информативен, нужно посмотреть так: netstat -apn | grep ":53 " Стоковый DNS сервер никогда наружу не смотрит, поэтому 99% вероятности что это неправильно настроен dnscrypt-proxy. Покажите grep listen_address /opt/etc/dnscrypt-proxy.toml Как должно быть (пример): listen_addresses = ['127.0.0.1:53','192.168.1.1:53','[fe80::127b:efff:fe5d:ffcc%br0]:53'] Как не должно быть: listen_addresses = ['0.0.0.0:53']
  19. Для OpenVPN есть /opt/etc/ndm/openvpn-up.d или это не то?
  20. Михаил Лукьянов

    Оставьте combined. Создайте перехватчик для ndm /opt/etc/ndm/netfilter.d/zapret.sh: #!/opt/bin/sh [ "$type" == "ip6tables" ] && exit 0 [ "$table" != "nat" ] && exit 0 # check the table name iptables -t nat -I PREROUTING -p tcp --dport 80 -i br0 -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188 iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner ! --uid-owner nobody -m set --match-set zapret dst -j DNAT --to 127.0.0.1:1188 /opt/bin/logger "http redirection rule created for zapret via netfilter hook" Не забудьте chmod +x /opt/etc/ndm/netfilter.d/zapret.sh Я всё хотел автоматизировать создание перехватчика из скриптов, но тут автор(bol-van) внезапно обновление выпустил. Наверное теперь наши наработки ему нужно влить в git, и заодно с перехватчиками ndm решить вопрос.
  21. Михаил Лукьянов

    MSM грамотный в этом плане провайдер оказался:) Кроме тора и vpn есть ещё shadowsocks и wireguard.
  22. Михаил Лукьянов

    Попробуйте выставить в скрипте ACTION=modification . В логе blockcheck именно рутрекер не пропустил ни одного способа обхода, возможно имеет смысл проверять на другом сайте, например кинозале.
  23. Михаил Лукьянов

    На некоторых прошивках таблица mangle сбрасывается периодически ndm, инструкция писалась исходя из того что ndm сбрасывает только таблицу nat. Добавьте у себя следующий перехватчик /opt/etc/ndm/netfilter.d/openvpn.sh: #!/opt/bin/sh [ "$type" == "ip6tables" ] && exit 0 [ "$table" != "mangle" ] && exit 0 # check the table name iptables -t mangle -I PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j MARK --set-mark 9 /opt/bin/logger "openvpn marking https traffic rule created for zapret via netfilter hook"
  24. Михаил Лукьянов

    Да. Для UDP только придётся трафик через TPROXY заворачивать, а не через REDIRECT.
  25. Михаил Лукьянов

    Написал как альтернативу связки tor+redsocks для HTTPS, HTTP почти у всех через фрагментацию пакетов срабатывает - это самый быстрый и надёжный вариант. А так shadowsocks может инкапсулировать любой вид трафика на базе транспортных протоколов TCP/UDP, не только HTTP/HTTPS, и даже если приложение не умеет в SOCKS5.
×
×
  • Create New...