Jump to content
b1st

Обход блокировок на роутере!

Recommended Posts

Начиная с версии 2.13.A.3.0-1 в ядре появилась поддержка NFQUEUE и стало возможно использовать наработки от bol-van. Делюсь своим вариантом настройки с нуля.

Устанавливаем компоненты системы (через веб интерфейс) :

  1. Протокол IPv6. Поддержка открытых пакетов. Перезагрузка.
  2. Подключаем entware. Модули ядра подсистемы Netfilter. Перезагрузка.
  3. Пакет расширения Xtables-addons для Netfilter. Перезагрузка.

Далее работаем по ssh:

ssh root@192.168.1.1

Ставим необходимые пакеты:

opkg install ipset curl bind-tools iptables cron nano git-http

Для того чтобы можно было пользоваться crontab -e в /opt/etc/profile добавляем строку (это не обязательно):

export EDITOR='/opt/bin/nano'

В файле /opt/etc/init.d/S10cron вместо ARGS="-s" оставляем просто ARGS="" иначе в логах будет мусор каждую минуту.

Скачиваем сам скрипт;

git clone https://github.com/LukyanovM/zapret.git /opt/zapret

в файл  /opt/zapret/ipset/zapret-hosts-user.txt добавляем те сайты для которых хотим отключить блокировки:

rutracker.org
kinozal.tv

Генерируем список IP для обхода, эту команду нужно выполнять каждый раз когда вы хотите изменить перечень сайтов в /opt/zapret/ipset/zapret-hosts-user.txt:

/opt/zapret/ipset/get_user.sh

Делаем пробный запуск:

/opt/zapret/init.d/keenetic/S99zapret start

Если всё хорошо, то в консоли должно быть примерно так:

iptable_raw.ko is already loaded
xt_string.ko is already loaded
nfqws is installed
tpws is installed
Restoring ipset
Adding iptables rule
Starting anti-zapret: zapret.

На данном этапе за роутером должны заработать рутрекер и кинозал. Если тут всё нормально делаем симлинк на автозапуск:

ln -s /opt/zapret/init.d/keenetic/S99zapret /opt/etc/init.d/S99zapret

У скрипта 3 режима работы

  1. Fragmentation - принудительно выставляется малый размер TCP окна, в результате чего пакеты фрагментируются и не попадают под анализ DPI. Используется NFQUEUE. Самый быстрый режим. Установлен по умолчанию. Работает в IPv4 для HTTP и для HTTPS (не всегда)
  2. Modification - прозрачное HTTP проксирование с модификацией HTTP заголовков. Работает в IPv4 и в IPv6 но только для HTTP
  3. Combined - комбинированный режим. Для HTTP используется проксирование(tpws), для HTTPS - фрагментирование пакетов(nfqws).

Обязательная часть на этом закончена. Дальнейшее касается выгрузки из РКН и может быть пропущено. Для этой цели есть два скрипта: get_reestr.sh и get_antizapret.sh. Первый берет оригинал реестра и парсит его в айпи самостоятельно - нагрузка низкая, но парсить может сутками. Второй берет готовый список айпи с antizapret.prostovpn.org, отрабатывает за полминуты. Я использовал второй вариант:

/opt/zapret/ipset/get_antizapret.sh

Cейчас за роутером должно заработать всё. Осталось только вставить в cron актуализацию выгрузки:

cp /opt/zapret/ipset/get_antizapret.sh /opt/etc/cron.daily/get_antizapret.sh

Правим cron скрипт /opt/etc/cron.daily/get_antizapret.sh:

Строку 

SCRIPT=$(readlink -f $0)

удаляем, а строку

EXEDIR=$(dirname $SCRIPT)

меняем на 

EXEDIR=/opt/zapret/ipset

Теперь роутер сам каждую ночь будет обновлять выгрузку. Чтобы отключить обход блокировок достаточно выполнить команду (действует до перезагрузки) :

/opt/etc/init.d/S99zapret stop

UPD: Если протокол HTTPS так и не заработал можно настроить прозрачное проксирование через тор или пустить заблокированный трафик через штатный openvpn.

Edited by Михаил Лукьянов
Установка через git. Комбинированный режим работы.
  • Thanks 6
  • Upvote 3

Share this post


Link to post
Share on other sites
В 26.09.2018 в 18:18, Nuck-TH сказал:

И как быть с HTTPS? NDM вроде как постоянно перезаписывает таблицу NAT, да и моего понимания работы сетевых интерфесов не хватает, чтобы переписать правила iptables под местные условия :(

С HTTPS вариантов немного - tor, прокси и vpn. С tor всё оказалось просто. Так как не нужно прозрачное проксирование на прикладном уровне (что умеет только squid с peek&slice), то достаточно просто инкапсуляции одного транспортного протокола в другой (TLS в SOCKS5). С этой задачей легко справляется tor+redsocks:

opkg install redsocks tor

Что поменять в дефолтном /opt/etc/tor/torrc:

Log notice syslog
RunAsDaemon 1
DataDirectory /opt/var/lib/tor

Что поменять в дефолтном /opt/etc/redsocks.conf:

в секции base:

log_info = off;
log = "syslog:local7";
daemon = on;
redirector = iptables;

в секции redsocks:

local_ip = 192.168.1.1;
local_port = 8888;
ip = 127.0.0.1;
port = 9050;
type = socks5;

В скрипт S99zapret добавлено правило для перенаправления запрещенного HTTPS трафика в redsocks, скрипт нужно перекачать с гитхаба. Для того чтобы NDM не сбрасывало правило в таблице nat нужно создать следующий файл /opt/etc/ndm/netfilter.d/redsocks.sh:

#!/opt/bin/sh
[ "$type" == "ip6tables" ] && exit 0
[ "$table" != "nat" ] && exit 0   # check the table name
iptables -t nat -I PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j REDIRECT --to-port 8888
/opt/bin/logger "redsocks redirected https rule created for zapret via netfilter hook"

не забыть конечно:

chmod +x /opt/etc/ndm/netfilter.d/redsocks.sh

Проверяем:

/opt/etc/init.d/S35tor start
/opt/etc/init.d/S23redsocks start
/opt/etc/init.d/S99zapret stop
/opt/etc/init.d/S99zapret start

Что интересно у меня https://2ip.ru/ и https://yandex.ru/internet/ часто показывают выход через tor, а не напрямую. Видимо какой-то не тот диапазон IP попал в реестр:(

Edited by Михаил Лукьянов
  • Thanks 4
  • Upvote 1

Share this post


Link to post
Share on other sites
4 минуты назад, Михаил Лукьянов сказал:

Удалите тор и редсокс - они вам в данном случае не понадобятся:

Видимо надо сначала остановить демоны. Иначе не деинсталируюся

Скрытый текст

# opkg remove tor redsocks

Removing package tor from root...
Not deleting modified conffile /opt/etc/tor/torrc.
Removing package redsocks from root...
Not deleting modified conffile /opt/etc/redsocks.conf.

 

Share this post


Link to post
Share on other sites

После перезагрузки, обход блокировок не работает.

Запустил скрипт из mc

Скрытый текст

#/opt/etc/init.d# ./S98antizapret

insmod: can't insert 'iptable_raw.ko': No such file or directory
iptables v1.4.21: can't initialize iptables table `raw': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

#/opt/etc/init.d#

 

 

Edited by mk202

Share this post


Link to post
Share on other sites

Как в nano работать с копипастингом? Не могу вытащить содержимое буфера обмена в/из nano

Скорректировал через mc, перегружаюсь

Edited by mk202

Share this post


Link to post
Share on other sites
12 минуты назад, Михаил Лукьянов сказал:

замените строку


insmod iptable_raw.ko

на


insmod /lib/modules/$(uname -r)/iptable_raw.ko

 

Теперь после перезагрузки всё заработало автоматом.

Спасибо огромное за терпение и внимание!!!!! 😀

Share this post


Link to post
Share on other sites
Скрытый текст

BlockCheck v0.0.9.6
Для получения корректных результатов используйте DNS-сервер провайдера и отключите средства обхода блокировок.

Проверка работоспособности IPv6: IPv6 доступен!
[O] Тестируем IPv4 DNS
	Через системный DNS:	 ['104.20.134.45', '104.20.135.45', '104.24.10.70', '104.24.11.70', '184.173.136.161', '195.8.215.136', '195.82.146.214', '5.178.68.100']
	Через Google DNS:	 ['104.20.134.45', '104.20.135.45', '104.24.10.70', '104.24.11.70', '184.173.136.161', '195.8.215.136', '195.82.146.214', '5.178.68.100']
	Через Google API:	 ['104.20.134.45', '104.20.135.45', '104.24.10.70', '104.24.11.70', '184.173.136.161', '195.8.215.136', '195.82.146.214', '5.178.68.100']
	Через недоступный DNS:	 ['195.82.146.214']
[✓] DNS-записи не подменяются
[☠] DNS перенаправляется

[O] Тестируем IPv6 DNS
	Через системный DNS:	 ['2606:4700:10::6814:862d', '2606:4700:10::6814:872d', '2606:4700:20::6818:a46', '2606:4700:20::6818:b46', '2607:f0d0:3003:2::b8ad:88a1', '2a02:4680:22::214']
	Через Google DNS:	 ['2606:4700:10::6814:862d', '2606:4700:10::6814:872d', '2606:4700:20::6818:a46', '2606:4700:20::6818:b46', '2607:f0d0:3003:2::b8ad:88a1', '2a02:4680:22::214']
	Через Google API:	 ['2606:4700:10::6814:862d', '2606:4700:10::6814:872d', '2606:4700:20::6818:a46', '2606:4700:20::6818:b46', '2607:f0d0:3003:2::b8ad:88a1', '2a02:4680:22::214']
	Несуществующий DNS не вернул адресов (это не ошибка)
[✓] DNS-записи не подменяются
[✓] DNS не перенаправляется

[O] Тестируем HTTP (по настоящим IP-адресам сайтов)
	Открываем  http://a.putinhuylo.com/
[✓] Сайт открывается
	Открываем  http://furry.booru.org/
[☠] Сайт не открывается, пробуем через прокси
[☠] Сайт не открывается через прокси
	Проверяем доступность через isup.me
[☠] Сайт доступен, проблемы только у нас
	Открываем  http://furry.booru.org/index.php?page=post&s=view&id=111173
[☠] Сайт не открывается, пробуем через прокси
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Считаем заблокированным.
	Проверяем доступность через isup.me
[☠] Сайт доступен, проблемы только у нас
	Открываем  http://pbooru.com/
[!] Сайт открывается только по IPv4
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси.
[✓] Сайт открывается через прокси
	Открываем  http://pbooru.com/index.php?page=post&s=view&id=303026
[☠] Сайт не открывается, пробуем через прокси
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Считаем заблокированным.
	Проверяем доступность через isup.me
[☠] Сайт доступен, проблемы только у нас
	Открываем  http://rutracker.org/forum/index.php
[!] Сайт открывается только по IPv4
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси.
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Считаем заблокированным.
	Проверяем доступность через isup.me
[☠] Сайт доступен, проблемы только у нас

[O] Тестируем HTTPS
	Открываем  https://e621.net/
[☠] Сайт не открывается
	Открываем  https://lolibooru.moe/
[☠] Сайт не открывается
	Открываем  https://rutracker.org/forum/index.php
[☠] Сайт не открывается
	Открываем  https://www.dailymotion.com/
[☠] Сайт не открывается

[O] Тестируем обход DPI (только IPv4)
	Пробуем способ «дополнительный пробел после GET» на pbooru.com
[✓] Сайт открывается
	Пробуем способ «заголовок hOSt вместо Host» на pbooru.com
[☠] Ошибка: timeout('timed out',)
	Пробуем способ «заголовок hoSt вместо Host» на pbooru.com
[☠] Ошибка: timeout('timed out',)
	Пробуем способ «значение Host БОЛЬШИМИ БУКВАМИ» на pbooru.com
[☠] Ошибка: timeout('timed out',)
	Пробуем способ «необычный порядок заголовков» на pbooru.com
[☠] Ошибка: timeout('timed out',)
	Пробуем способ «отсутствие пробела между двоеточием и значением заголовка Host» на pbooru.com
[☠] Ошибка: timeout('timed out',)
	Пробуем способ «перенос строки в заголовках в UNIX-стиле» на pbooru.com
[☠] Ошибка: timeout('timed out',)
	Пробуем способ «перенос строки перед GET» на pbooru.com
[✓] Сайт открывается
	Пробуем способ «табуляция в конце домена» на pbooru.com
[☠] Ошибка: timeout('timed out',)
	Пробуем способ «точка в конце домена» на pbooru.com
[☠] Ошибка: timeout('timed out',)
	Пробуем способ «фрагментирование заголовка» на pbooru.com
[✓] Сайт открывается
	Пробуем способ «фрагментирование заголовка, hoSt и отсутствие пробела одновременно» на pbooru.com
[✓] Сайт открывается
	Пробуем способ «дополнительный пробел после GET» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «заголовок hOSt вместо Host» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «заголовок hoSt вместо Host» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «значение Host БОЛЬШИМИ БУКВАМИ» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «необычный порядок заголовков» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «отсутствие пробела между двоеточием и значением заголовка Host» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «перенос строки в заголовках в UNIX-стиле» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «перенос строки перед GET» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «табуляция в конце домена» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «точка в конце домена» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «фрагментирование заголовка» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «фрагментирование заголовка, hoSt и отсутствие пробела одновременно» на rutracker.org
[✓] Сайт открывается

[!] Результат:
[⚠] Ваш провайдер перенаправляет сторонние IPv4 DNS-серверы на свой, но не подменяет DNS-записи.
 Это несколько странно и часто встречается в мобильных сетях.
 Если вы хотите использовать сторонний DNS, вам следует использовать шифрованный канал до DNS-серверов, например, через VPN, Tor, HTTPS/Socks прокси или DNSCrypt, но обходу блокировок это не поможет.
[⚠] Ваш провайдер полностью блокирует доступ к HTTPS-сайтам из реестра.
[⚠] У вашего провайдера "полный" DPI для IPv4. Он отслеживает ссылки даже внутри прокси, поэтому вам следует использовать любое шифрованное соединение, например, VPN или Tor.
 

Видимо только VPN светит

Edited by rmuhamedgaliev

Share this post


Link to post
Share on other sites
15 часов назад, rmuhamedgaliev сказал:
  Скрыть содержимое


BlockCheck v0.0.9.6
Для получения корректных результатов используйте DNS-сервер провайдера и отключите средства обхода блокировок.

Проверка работоспособности IPv6: IPv6 доступен!
[O] Тестируем IPv4 DNS
	Через системный DNS:	 ['104.20.134.45', '104.20.135.45', '104.24.10.70', '104.24.11.70', '184.173.136.161', '195.8.215.136', '195.82.146.214', '5.178.68.100']
	Через Google DNS:	 ['104.20.134.45', '104.20.135.45', '104.24.10.70', '104.24.11.70', '184.173.136.161', '195.8.215.136', '195.82.146.214', '5.178.68.100']
	Через Google API:	 ['104.20.134.45', '104.20.135.45', '104.24.10.70', '104.24.11.70', '184.173.136.161', '195.8.215.136', '195.82.146.214', '5.178.68.100']
	Через недоступный DNS:	 ['195.82.146.214']
[✓] DNS-записи не подменяются
[☠] DNS перенаправляется

[O] Тестируем IPv6 DNS
	Через системный DNS:	 ['2606:4700:10::6814:862d', '2606:4700:10::6814:872d', '2606:4700:20::6818:a46', '2606:4700:20::6818:b46', '2607:f0d0:3003:2::b8ad:88a1', '2a02:4680:22::214']
	Через Google DNS:	 ['2606:4700:10::6814:862d', '2606:4700:10::6814:872d', '2606:4700:20::6818:a46', '2606:4700:20::6818:b46', '2607:f0d0:3003:2::b8ad:88a1', '2a02:4680:22::214']
	Через Google API:	 ['2606:4700:10::6814:862d', '2606:4700:10::6814:872d', '2606:4700:20::6818:a46', '2606:4700:20::6818:b46', '2607:f0d0:3003:2::b8ad:88a1', '2a02:4680:22::214']
	Несуществующий DNS не вернул адресов (это не ошибка)
[✓] DNS-записи не подменяются
[✓] DNS не перенаправляется

[O] Тестируем HTTP (по настоящим IP-адресам сайтов)
	Открываем  http://a.putinhuylo.com/
[✓] Сайт открывается
	Открываем  http://furry.booru.org/
[☠] Сайт не открывается, пробуем через прокси
[☠] Сайт не открывается через прокси
	Проверяем доступность через isup.me
[☠] Сайт доступен, проблемы только у нас
	Открываем  http://furry.booru.org/index.php?page=post&s=view&id=111173
[☠] Сайт не открывается, пробуем через прокси
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Считаем заблокированным.
	Проверяем доступность через isup.me
[☠] Сайт доступен, проблемы только у нас
	Открываем  http://pbooru.com/
[!] Сайт открывается только по IPv4
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси.
[✓] Сайт открывается через прокси
	Открываем  http://pbooru.com/index.php?page=post&s=view&id=303026
[☠] Сайт не открывается, пробуем через прокси
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Считаем заблокированным.
	Проверяем доступность через isup.me
[☠] Сайт доступен, проблемы только у нас
	Открываем  http://rutracker.org/forum/index.php
[!] Сайт открывается только по IPv4
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси.
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Считаем заблокированным.
	Проверяем доступность через isup.me
[☠] Сайт доступен, проблемы только у нас

[O] Тестируем HTTPS
	Открываем  https://e621.net/
[☠] Сайт не открывается
	Открываем  https://lolibooru.moe/
[☠] Сайт не открывается
	Открываем  https://rutracker.org/forum/index.php
[☠] Сайт не открывается
	Открываем  https://www.dailymotion.com/
[☠] Сайт не открывается

[O] Тестируем обход DPI (только IPv4)
	Пробуем способ «дополнительный пробел после GET» на pbooru.com
[✓] Сайт открывается
	Пробуем способ «заголовок hOSt вместо Host» на pbooru.com
[☠] Ошибка: timeout('timed out',)
	Пробуем способ «заголовок hoSt вместо Host» на pbooru.com
[☠] Ошибка: timeout('timed out',)
	Пробуем способ «значение Host БОЛЬШИМИ БУКВАМИ» на pbooru.com
[☠] Ошибка: timeout('timed out',)
	Пробуем способ «необычный порядок заголовков» на pbooru.com
[☠] Ошибка: timeout('timed out',)
	Пробуем способ «отсутствие пробела между двоеточием и значением заголовка Host» на pbooru.com
[☠] Ошибка: timeout('timed out',)
	Пробуем способ «перенос строки в заголовках в UNIX-стиле» на pbooru.com
[☠] Ошибка: timeout('timed out',)
	Пробуем способ «перенос строки перед GET» на pbooru.com
[✓] Сайт открывается
	Пробуем способ «табуляция в конце домена» на pbooru.com
[☠] Ошибка: timeout('timed out',)
	Пробуем способ «точка в конце домена» на pbooru.com
[☠] Ошибка: timeout('timed out',)
	Пробуем способ «фрагментирование заголовка» на pbooru.com
[✓] Сайт открывается
	Пробуем способ «фрагментирование заголовка, hoSt и отсутствие пробела одновременно» на pbooru.com
[✓] Сайт открывается
	Пробуем способ «дополнительный пробел после GET» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «заголовок hOSt вместо Host» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «заголовок hoSt вместо Host» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «значение Host БОЛЬШИМИ БУКВАМИ» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «необычный порядок заголовков» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «отсутствие пробела между двоеточием и значением заголовка Host» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «перенос строки в заголовках в UNIX-стиле» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «перенос строки перед GET» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «табуляция в конце домена» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «точка в конце домена» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «фрагментирование заголовка» на rutracker.org
[✓] Сайт открывается
	Пробуем способ «фрагментирование заголовка, hoSt и отсутствие пробела одновременно» на rutracker.org
[✓] Сайт открывается

[!] Результат:
[⚠] Ваш провайдер перенаправляет сторонние IPv4 DNS-серверы на свой, но не подменяет DNS-записи.
 Это несколько странно и часто встречается в мобильных сетях.
 Если вы хотите использовать сторонний DNS, вам следует использовать шифрованный канал до DNS-серверов, например, через VPN, Tor, HTTPS/Socks прокси или DNSCrypt, но обходу блокировок это не поможет.
[⚠] Ваш провайдер полностью блокирует доступ к HTTPS-сайтам из реестра.
[⚠] У вашего провайдера "полный" DPI для IPv4. Он отслеживает ссылки даже внутри прокси, поэтому вам следует использовать любое шифрованное соединение, например, VPN или Tor.
 

Видимо только VPN светит

Tor попробуй поставить

Share this post


Link to post
Share on other sites
В 08.12.2018 в 21:40, Михаил Лукьянов сказал:

Это на клиентах. Для приложений роутера пару правил в iptables добавить нужно будет.

Сегодня наконец все заставил работать, какие правила необходимо добавить?

Share this post


Link to post
Share on other sites
3 минуты назад, Антон «Sleipnir» Киселев сказал:

Сегодня наконец все заставил работать, какие правила необходимо добавить?

На компьютере блокировки пропали?

Share this post


Link to post
Share on other sites
4 минуты назад, Михаил Лукьянов сказал:

На компьютере блокировки пропали?

Да, некоторое время блокировались https сайты, нашел в логах, что ndm ругался на скрипт redsocks.sh. Заново его создал, все заработало. Сейчас проверил TorrentMonitor на роутере, заработали уведомления в Telegram. Похоже, что больше ничего не надо добавлять

Share this post


Link to post
Share on other sites

Что-то сегодня, через некоторое время просмотра рутрекера, провайдер таки стал переключать меня на заглушкку.

Корень Кинозала доступен.  А страница с раздачами отправляет в заглушку.

Как диагностировать новые подлости провайдера и как их обойти?

Иногда вместо заглушки получаю сообщение: "Ошибка при установлении защищённого соединения"

Какие-то странные маршруты получил по DHCP. Может в этом дело?

Скрытый текст

213.140.228.190/32   0.0.0.0   PPPoE0

213.140.228.141/32   0.0.0.0   PPPoE0

213.140.228.30/32      0.0.0.0   PPPoE0

 

Edited by mk202
уточнения

Share this post


Link to post
Share on other sites
Только что, keenet07 сказал:

А почему просто не пустить эти сайты через любой забугорный VPN поднятый на роутере?

Я не думаю, что забугорный ВПН пропустит большой трафик через себя бесплатно.

Посему, хочется обойтись настройками в текущем железе.

Share this post


Link to post
Share on other sites
7 минут назад, keenet07 сказал:

А если банят по IP, то тут только ВПН. или я не прав?

Не прав. Поищи в этой ветке слово DPI. Подробно в первом сообщении.

Edited by mk202
  • Thanks 1

Share this post


Link to post
Share on other sites
10 часов назад, mk202 сказал:

Что-то сегодня, через некоторое время просмотра рутрекера, провайдер таки стал переключать меня на заглушкку.

Корень Кинозала доступен.  А страница с раздачами отправляет в заглушку.

Как диагностировать новые подлости провайдера и как их обойти?

Иногда вместо заглушки получаю сообщение: "Ошибка при установлении защищённого соединения"

Какие-то странные маршруты получил по DHCP. Может в этом дело?

  Показать содержимое

213.140.228.190/32   0.0.0.0   PPPoE0

213.140.228.141/32   0.0.0.0   PPPoE0

213.140.228.30/32      0.0.0.0   PPPoE0

 

Попробуйте добавить в S98antizapret:

iptables -t raw -I PREROUTING -p tcp --sport 80 -m string --hex-string "|0D0A|Location: http://95.167.13.50"  --algo bm -j DROP --from 40 --to 200
iptables -t raw -I PREROUTING -p tcp --sport 80 -m string --hex-string "|0D0A|Location: http://block.ip.center.rt.ru"  --algo bm -j DROP --from 40 --to 200

 

Share this post


Link to post
Share on other sites
13 часа назад, mk202 сказал:

Корень Кинозала доступен.  А страница с раздачами отправляет в заглушку. 

Ни кто и не чего не переключает, а после 5 попытки проходит или нет?

Share this post


Link to post
Share on other sites
9 часов назад, Михаил Лукьянов сказал:

Попробуйте добавить в S98antizapret:

Добавил и запустил на выполнение сразу из mc, получил:

Скрытый текст

root<имя>:/opt/etc/init.d# ./S98antizapret

insmod: can't insert '/lib/modules/3.4.113/iptable_raw.ko': File exists

root<имя>:/opt/etc/init.d#

Кроме того сама ссылка http://block.ip.center.rt.ru, закрыта заглушкой провайдера.

Т.е. сейчас "корни" кинозала и рутрекера открываются, а внутренние ссылки закрываются заглушкой.

Edited by mk202

Share this post


Link to post
Share on other sites
7 минут назад, Михаил Лукьянов сказал:

рутрекер по http или по https?

image.png.f897405b979f73cebb8cd33b41c5bb4d.png

Share this post


Link to post
Share on other sites

Переключился на HTTPS, внутрь вошёл.

Видимо проблема была только в этом.

Удалил эти две новые строчки, перезапустил. Доступ остался.

Но сообщение что файл существует тоже осталось

Edited by mk202

Share this post


Link to post
Share on other sites

Такое еще правило тогда:

iptables -t raw -I PREROUTING -p tcp --sport 80 -m u32 --u32 "0x1e&0xffff=0x5010 && 0x73=0x7761726e && 0x77=0x696e672e && 0x7B=0x72742e72" -j DROP

Старые правила для http можно убрать (это те где --sport 80).

Share this post


Link to post
Share on other sites
11 минуту назад, Михаил Лукьянов сказал:

Такое еще правило тогда:

Сделал.

Скрытый текст

#!/bin/sh

insmod /lib/modules/$(uname -r)/iptable_raw.ko
iptables -t mangle -I PREROUTING -p tcp --sport 443 -m connbytes --connbytes 1:4 --connbytes-mode packets --connbytes-dir reply -m u32 --u32 "0x4=0x10000 && 0x1E&0xffff=0x5004" -j DROP
iptables -t raw -I PREROUTING -p tcp --sport 80 -m u32 --u32 "0x1e&0xffff=0x5010 && 0x73=0x7761726e && 0x77=0x696e672e && 0x7B=0x72742e72" -j DROProot@D-Link-1050:/opt/etc/init.d#

 

Теперь после перезапуска

Скрытый текст

insmod: can't insert '/lib/modules/3.4.113/iptable_raw.ko': File exists

Хотелось бы "вылечить" File exists

Edited by mk202

Share this post


Link to post
Share on other sites

Подозреваю, что моя торент машина полезет по 80-му порту, т.е. через обычный http. Хотелось бы чтобы и это работало.

У меня торентом будет древний d-link-320l со какой-то имеющейся в нём p2p программулей.

Share this post


Link to post
Share on other sites
5 минут назад, Михаил Лукьянов сказал:

Не страшно. Рутрекер по http заработал?

Нет

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...