Jump to content
b1st

Обход блокировок на роутере!

66 posts in this topic

20 минут назад, Михаил Лукьянов сказал:

Я не кодер, а бывший админ - сам писать не обучен, на досуге могу чужое подправить. Нагрузка минимальна - за день в цепочку NFQUEUE у меня упало 15 пакетов весом 752 байта, хотя на трекерах я сижу, при сёрфинге load average на роутере выше 5% не поднимается. DPI ленивый - вместо полноценного statefull inspection, происходит только анализ SYN,ACK пакетов (т.е. первый пакет во всей TCP сессии) остальное пролетает со свистом без модификации. И это хорошо) 

У вас если идет по RT то основная часть идет не по NFQUEUE а по заглушке, смотрите сколько там у вас DROP по ней. Второе по строке

iptables -t raw -I PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass

весь вопрос это в самом списке "zapret" если их там два одно, а если их десяток?

 

Share this post


Link to post
Share on other sites
6 минут назад, vasek00 сказал:

У вас если идет по RT то основная часть идет не по NFQUEUE а по заглушке, смотрите сколько там у вас DROP по ней. Второе по строке


iptables -t raw -I PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass

весь вопрос это в самом списке "zapret" если их там два одно, а если их десяток?

 

Цитата

 

~ # iptables -nvL -t raw
Chain PREROUTING (policy ACCEPT 377K packets, 46M bytes)
 pkts bytes target     prot opt in     out     source               destination         
   25  1316 NFQUEUE    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:80 flags:0x12/0x12 match-set zapret src NFQUEUE num 200 bypass
    5  2120 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:80 STRING match  "|0d0a4c6f636174696f6e3a20687474703a2f2f626c61636b686f6c652e6265656c696e652e7275|" ALGO name bm FROM 40 TO 200

Chain OUTPUT (policy ACCEPT 256K packets, 46M bytes)
 pkts bytes target     prot opt in     out     source               destination         
~ # ipset list zapret | wc -l
111597

 

Красным выделены ответы на ваши вопросы. Причем в DROP попадает только то чего нет в списке zapret (т.е. kinozal попал сейчас из-за смены IP). При корректном списке zapret правило с drop вообще не играет.

Share this post


Link to post
Share on other sites
2 часа назад, Михаил Лукьянов сказал:

Красным выделены ответы на ваши вопросы. Причем в DROP попадает только то чего нет в списке zapret (т.е. kinozal попал сейчас из-за смены IP). При корректном списке zapret правило с drop вообще не играет.

Я рад за ваш, но есть другой пример

/ # iptables -t raw -nvL
Chain PREROUTING (policy ACCEPT 3371K packets, 394M bytes)
 pkts bytes target     prot opt in     out     source               destination
....
    4  1078 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:80 ....
 3501  140K DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:443 ....
....

 

Share this post


Link to post
Share on other sites
11 минуту назад, vasek00 сказал:

3501 140K DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:443 ....

И что, работает? DPI только на HTTP работает, по HTTPS провайдер должен трафик дропать. Каков смысл такого правила?

Share this post


Link to post
Share on other sites
Только что, Михаил Лукьянов сказал:

И что, работает? DPI только на HTTP работает, по HTTPS провайдер должен трафик дропать. Каков смысл такого правила? 

Смысл прост, чтоб работало.

Share this post


Link to post
Share on other sites
1 минуту назад, vasek00 сказал:

Смысл прост, чтоб работало.

Ну возможно. Blockcheck покажет. Может кто-то из региональных провайдеров балуется.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×