Report post 09/13/2018 01:25 AM (edited) Начиная с версии 2.13.A.3.0-1 в ядре появилась поддержка NFQUEUE и стало возможно использовать наработки от bol-van. Делюсь своим вариантом настройки с нуля. Устанавливаем компоненты системы (через веб интерфейс) : Протокол IPv6. Поддержка открытых пакетов. Перезагрузка. Подключаем entware. Модули ядра подсистемы Netfilter. Перезагрузка. Пакет расширения Xtables-addons для Netfilter. Перезагрузка. Далее работаем по ssh: ssh root@192.168.1.1 Ставим необходимые пакеты: opkg install ipset curl bind-tools iptables cron nano git-http Для того чтобы можно было пользоваться crontab -e в /opt/etc/profile добавляем строку (это не обязательно): export EDITOR='/opt/bin/nano' В файле /opt/etc/init.d/S10cron вместо ARGS="-s" оставляем просто ARGS="" иначе в логах будет мусор каждую минуту. Скачиваем сам скрипт; git clone https://github.com/LukyanovM/zapret.git /opt/zapret в файл /opt/zapret/ipset/zapret-hosts-user.txt добавляем те сайты для которых хотим отключить блокировки: rutracker.org kinozal.tv Генерируем список IP для обхода, эту команду нужно выполнять каждый раз когда вы хотите изменить перечень сайтов в /opt/zapret/ipset/zapret-hosts-user.txt: /opt/zapret/ipset/get_user.sh Делаем пробный запуск: /opt/zapret/init.d/keenetic/S99zapret start Если всё хорошо, то в консоли должно быть примерно так: iptable_raw.ko is already loaded xt_string.ko is already loaded nfqws is installed tpws is installed Restoring ipset Adding iptables rule Starting anti-zapret: zapret. На данном этапе за роутером должны заработать рутрекер и кинозал. Если тут всё нормально делаем симлинк на автозапуск: ln -s /opt/zapret/init.d/keenetic/S99zapret /opt/etc/init.d/S99zapret У скрипта 3 режима работы Fragmentation - принудительно выставляется малый размер TCP окна, в результате чего пакеты фрагментируются и не попадают под анализ DPI. Используется NFQUEUE. Самый быстрый режим. Установлен по умолчанию. Работает в IPv4 для HTTP и для HTTPS (не всегда) Modification - прозрачное HTTP проксирование с модификацией HTTP заголовков. Работает в IPv4 и в IPv6 но только для HTTP Combined - комбинированный режим. Для HTTP используется проксирование(tpws), для HTTPS - фрагментирование пакетов(nfqws). Обязательная часть на этом закончена. Дальнейшее касается выгрузки из РКН и может быть пропущено. Для этой цели есть два скрипта: get_reestr.sh и get_antizapret.sh. Первый берет оригинал реестра и парсит его в айпи самостоятельно - нагрузка низкая, но парсить может сутками. Второй берет готовый список айпи с antizapret.prostovpn.org, отрабатывает за полминуты. Я использовал второй вариант: /opt/zapret/ipset/get_antizapret.sh Cейчас за роутером должно заработать всё. Осталось только вставить в cron актуализацию выгрузки: cp /opt/zapret/ipset/get_antizapret.sh /opt/etc/cron.daily/get_antizapret.sh Правим cron скрипт /opt/etc/cron.daily/get_antizapret.sh: Строку SCRIPT=$(readlink -f $0) удаляем, а строку EXEDIR=$(dirname $SCRIPT) меняем на EXEDIR=/opt/zapret/ipset Теперь роутер сам каждую ночь будет обновлять выгрузку. Чтобы отключить обход блокировок достаточно выполнить команду (действует до перезагрузки) : /opt/etc/init.d/S99zapret stop UPD: Если протокол HTTPS так и не заработал можно настроить прозрачное проксирование через тор или пустить заблокированный трафик через штатный openvpn. Edited April 5 by Михаил Лукьянов Установка через git. Комбинированный режим работы. 7 3 Quote Share this post Link to post Share on other sites
Report post 09/28/2018 12:10 PM (edited) В 26.09.2018 в 18:18, Nuck-TH сказал: И как быть с HTTPS? NDM вроде как постоянно перезаписывает таблицу NAT, да и моего понимания работы сетевых интерфесов не хватает, чтобы переписать правила iptables под местные условия С HTTPS вариантов немного - tor, прокси и vpn. С tor всё оказалось просто. Так как не нужно прозрачное проксирование на прикладном уровне (что умеет только squid с peek&slice), то достаточно просто инкапсуляции одного транспортного протокола в другой (TLS в SOCKS5). С этой задачей легко справляется tor+redsocks: opkg install redsocks tor Что поменять в дефолтном /opt/etc/tor/torrc: Log notice syslog RunAsDaemon 1 DataDirectory /opt/var/lib/tor Что поменять в дефолтном /opt/etc/redsocks.conf: в секции base: log_info = off; log = "syslog:local7"; daemon = on; redirector = iptables; в секции redsocks: local_ip = 192.168.1.1; local_port = 8888; ip = 127.0.0.1; port = 9050; type = socks5; В скрипт S99zapret добавлено правило для перенаправления запрещенного HTTPS трафика в redsocks, скрипт нужно перекачать с гитхаба. Для того чтобы NDM не сбрасывало правило в таблице nat нужно создать следующий файл /opt/etc/ndm/netfilter.d/redsocks.sh: #!/opt/bin/sh [ "$type" == "ip6tables" ] && exit 0 [ "$table" != "nat" ] && exit 0 # check the table name iptables -t nat -I PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j REDIRECT --to-port 8888 /opt/bin/logger "redsocks redirected https rule created for zapret via netfilter hook" не забыть конечно: chmod +x /opt/etc/ndm/netfilter.d/redsocks.sh Проверяем: /opt/etc/init.d/S35tor start /opt/etc/init.d/S23redsocks start /opt/etc/init.d/S99zapret stop /opt/etc/init.d/S99zapret start Что интересно у меня https://2ip.ru/ и https://yandex.ru/internet/ часто показывают выход через tor, а не напрямую. Видимо какой-то не тот диапазон IP попал в реестр:( Edited December 8, 2018 by Михаил Лукьянов 4 1 Quote Share this post Link to post Share on other sites
Report post 12/11/2018 04:59 PM (edited) 3 минуты назад, Михаил Лукьянов сказал: Последнее правило которое я дал - это для http. Новое - 5 декабря только сигнатура получена. Про сигнатуру я не понимаю. Мне надо что-то еще сделать? http пока не работает. Edited December 11, 2018 by mk202 Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:00 PM Покажите: iptables -t raw -nvL PREROUTING Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:03 PM Пардон, вечером уже глаз замылен в последнем правиле таблица должна быть mangle а не raw: iptables -t mangle -I PREROUTING -p tcp --sport 80 -m u32 --u32 "0x1e&0xffff=0x5010 && 0x73=0x7761726e && 0x77=0x696e672e && 0x7B=0x72742e72" -j DROP Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:05 PM (edited) 5 минут назад, Михаил Лукьянов сказал: Покажите: iptables -t raw -nvL PREROUTING лог ниже Скрытый текст root@<имя>:/opt/etc/init.d# iptables -t raw -nvL PREROUTING Chain PREROUTING (policy ACCEPT 36117 packets, 9460K bytes) pkts bytes target prot opt in out source destination 4 891 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 u32 "0x1e&0xffff=0x5010&&0x73=0x7761726e&&0x77=0x696e672e&&0x7b=0x72742e72" 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 u32 "0x1e&0xffff=0x5010&&0x73=0x7761726e&&0x77=0x696e672e&&0x7b=0x72742e72" 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 STRING match "|0d0a4c6f636174696f6e3a20687474703a2f2f7761726e696e672e72742e7275|" ALGO name bm FROM 40 TO 200 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 STRING match "|0d0a4c6f636174696f6e3a20687474703a2f2f626c6f636b2e69702e63656e7465722e72742e7275|" ALGO name bm FROM 40 TO 200 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 STRING match "|0d0a4c6f636174696f6e3a20687474703a2f2f39352e3136372e31332e3530|" ALGO name bm FROM 40 TO 200 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 STRING match "|0d0a4c6f636174696f6e3a20687474703a2f2f7761726e696e672e72742e7275|" ALGO name bm FROM 40 TO 200 7 1490 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 STRING match "|0d0a4c6f636174696f6e3a20687474703a2f2f7761726e696e672e72742e7275|" ALGO name bm FROM 40 TO 200 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 STRING match "|0d0a4c6f636174696f6e3a20687474703a2f2f7761726e696e672e72742e7275|" ALGO name bm FROM 40 TO 200 Edited December 11, 2018 by mk202 Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:10 PM После удаления старых правил из скрипта нужно будет перезагрузить роутер. Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:12 PM 6 минут назад, Михаил Лукьянов сказал: таблица должна быть mangle а не raw: Так: Скрытый текст #!/bin/sh insmod /lib/modules/$(uname -r)/iptable_raw.ko iptables -t mangle -I PREROUTING -p tcp --sport 443 -m connbytes --connbytes 1:4 --connbytes-mode packets --connbytes-dir reply -m u32 --u32 "0x4=0x10000 && 0x1E&0xffff=0x5004" -j DROP iptables -t mangle -I PREROUTING -p tcp --sport 80 -m u32 --u32 "0x1e&0xffff=0x5010 && 0x73=0x7761726e && 0x77=0x696e672e && 0x7B=0x72742e72" -j DROP Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:18 PM 7 минут назад, Михаил Лукьянов сказал: нужно будет перезагрузить роутер Перезагрузил. https работает, а http нет Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:19 PM Заглушку даёт или что-то другое? Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:21 PM Что в адресной строке у заглушки? Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:29 PM 7 минут назад, Михаил Лукьянов сказал: Что в адресной строке у заглушки? http://warning.rt.ru/?id=24&st=0&dt=195.82.146.214&rs=http%3A%2F%2Frutracker.org%2Fforum%2Ftracker.php Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:31 PM Покажите: iptables -t mangle -nvL PREROUTING Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:35 PM (edited) 7 минут назад, Михаил Лукьянов сказал: Покажите: iptables -t mangle -nvL PREROUTING Скрытый текст # iptables -t mangle -nvL PREROUTING Chain PREROUTING (policy ACCEPT 3472 packets, 267K bytes) pkts bytes target prot opt in out source destination 2 428 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 u32 "0x1e&0xffff=0x5010&&0x73=0x7761726e&&0x77=0x696e672e&&0x7b=0x72742e72" 2 80 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:443 connbytes 1:4 connbytes mode packets connbytes direction reply u32 "0x4=0x10000&&0x1e&0xffff=0x5004" 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 u32 "0x1e&0xffff=0x5010&&0x73=0x7761726e&&0x77=0x696e672e&&0x7b=0x72742e72" 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:443 connbytes 1:4 connbytes mode packets connbytes direction reply u32 "0x4=0x10000&&0x1e&0xffff=0x5004" 2024 63528 _NDM_PREROUTING_MC all -- * * 0.0.0.0/0 224.0.0.0/4 3502 268K _NDM_IPSEC_PREROUTING all -- * * 0.0.0.0/0 0.0.0.0/0 1996 62520 TTL all -- eth2.2 * 0.0.0.0/0 0.0.0.0/0 TTL increment by 1 Там eth2.2 мож надо на что-то заменить? Edited December 11, 2018 by mk202 Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:43 PM Наши правила верхние, нижние ndm сам создаёт. попробуйте вернуть и посмотреть что в адресной строке у заглушки будет: iptables -t raw -I PREROUTING -p tcp --sport 80 -m string --hex-string "Location: http://warning.rt.ru" --algo bm -j DROP --from 40 --to 200 Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:59 PM (edited) 16 минут назад, Михаил Лукьянов сказал: Наши правила верхние, нижние ndm сам создаёт. попробуйте вернуть и посмотреть что в адресной строке у заглушки будет: iptables -t raw -I PREROUTING -p tcp --sport 80 -m string --hex-string "Location: http://warning.rt.ru" --algo bm -j DROP --from 40 --to 200 Сделал, но не перегружал роутер, а запустил скрипт Антизапрет из mc. Новое содержимое ниже: Скрытый текст # more ./S98antizapret #!/bin/sh insmod /lib/modules/$(uname -r)/iptable_raw.ko iptables -t mangle -I PREROUTING -p tcp --sport 443 -m connbytes --connbytes 1:4 --connbytes-mode packets --connbytes-dir reply -m u32 --u32 "0x4=0x10000 && 0x1E&0xffff=0x5004" -j DROP iptables -t raw -I PREROUTING -p tcp --sport 80 -m string --hex-string "Location: http://warning.rt.ru" --algo bm -j DROP --from 40 --to 200 Получил: http://warning.rt.ru/?id=13&st=0&dt=195.82.146.214&rs=http%3A%2F%2Frutracker.org%2Fforum%2Ftracker.php Что интересно, захожу по http в корень сайта. Заглушки нет. Кликаю на любую ссылку внутри. Сайт (или кто-то ещё) переключает меня на https. Но думаю это не решение проблемы. Торент программа скорее всего будет "заходить" сразу на внутреннюю ссылку, а там заглушка. Когда я на внутренней ссылке заменил https на http получил заглушку: http://warning.rt.ru/?id=12&st=0&dt=195.82.146.214&rs=http%3A%2F%2Frutracker.org%2Fforum%2Fviewtopic.php%3Ft%3D5657934 Какой кнопкой Вы форматируете код скрипта в сообщениях? Edited December 11, 2018 by mk202 Quote Share this post Link to post Share on other sites
Report post 12/11/2018 06:05 PM Сбросьте кэш браузера. Покажите: iptables -t raw -nvL PREROUTING Кнопка форматирования так и называется код, выглядит <>. Quote Share this post Link to post Share on other sites
Report post 12/11/2018 06:16 PM (edited) 16 минут назад, Михаил Лукьянов сказал: Сбросьте кэш браузера. Покажите: iptables -t raw -nvL PREROUTING Кнопка форматирования так и называется код, выглядит <>. Лог Скрытый текст # iptables -t raw -nvL PREROUTING Chain PREROUTING (policy ACCEPT 5550 packets, 278K bytes) pkts bytes target prot opt in out source destination 6 1320 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 STRING match "Location: http://warning.rt.ru" ALGO name bm FROM 40 TO 200 Кэш очистил, в корень пускает по http. Внутрь перехожу, переключаюсь(переключает) на https Если во внутренней ссылке меняю на http, получаю: http://warning.rt.ru/?id=24&st=0&dt=195.82.146.214&rs=http%3A%2F%2Frutracker.org%2Fforum%2Fviewtopic.php%3Ft%3D5380893 Я Вас не утомил? Edited December 11, 2018 by mk202 Quote Share this post Link to post Share on other sites
Report post 12/11/2018 06:22 PM Не хочется заморачиваться с tpws если честно, пока подумаю. Погоняйте свою торентокачалку - как она себя поведёт. https://rutracker.org/forum/viewtopic.php?t=5126394 - ссылку выше уже давали, но это как раз ваш случай. 1 Quote Share this post Link to post Share on other sites
Report post 12/11/2018 06:27 PM 3 минуты назад, Михаил Лукьянов сказал: Не хочется заморачиваться с tpws если честно, пока подумаю. В любом случае огромное спасибо за внимание и терпение. 4 минуты назад, Михаил Лукьянов сказал: Погоняйте свою торентокачалку - как она себя поведёт. Она у меня пока не "заводится". А точную причину я не знаю. Если будут еще идеи я напишу. Quote Share this post Link to post Share on other sites
Report post 12/18/2018 04:53 PM В 11.12.2018 в 21:22, Михаил Лукьянов сказал: Погоняйте свою торентокачалку - как она себя поведёт. Рутрекер работает. Было бы приятно и в кинозал "пробиться". Сейчас туда пускает только в корень. Внутренние ссылки перенаправляются в заглушку. Quote Share this post Link to post Share on other sites
Report post 12/18/2018 08:37 PM 3 часа назад, mk202 сказал: Сейчас туда пускает только в корень. Внутренние ссылки перенаправляются в заглушку. Судя по моим наблюдениям не то чтобы пускает только в корень, пускает в принципе и дальше без заглушек при желании. Странная история. Собственно каждый последующий шаг возможен без заглушки если после предыдущего шага выжидать 2-3 минуты. Не выждали - попали на заглушку, выждали - продвинулись вперёд, для следующего перехода надо ждать опять... Это лечится? Quote Share this post Link to post Share on other sites
Report post 12/19/2018 04:46 AM 8 часов назад, SigmaPlus сказал: Собственно каждый последующий шаг возможен без заглушки если после предыдущего шага выжидать 2-3 минуты. Где-то так и выходит. Ткнул внутреннюю ссылку, получил заглушку, назад, вперёд и заглушка пройдена. Не удаётся преодолеть экран логгирования. Тут всегда заглушка и метод "вперёд/назад", к сожалению не срабатывает. Quote Share this post Link to post Share on other sites
Report post 01/04/2019 03:13 PM (edited) В 28.09.2018 в 15:10, Михаил Лукьянов сказал: С HTTPS вариантов немного - tor, прокси и vpn. Спасибо за все ваши инструкции и модификации скриптов, очень полезно. Подскажите, как связку redsocks + tor заменить на OpenVPN настроенный в VPN-подключениях в Web UI? Edited January 4 by sc0rp1d Quote Share this post Link to post Share on other sites
Report post 01/08/2019 01:13 PM (edited) В 04.01.2019 в 18:13, sc0rp1d сказал: Спасибо за все ваши инструкции и модификации скриптов, очень полезно. Подскажите, как связку redsocks + tor заменить на OpenVPN настроенный в VPN-подключениях в Web UI? В файле /opt/etc/init.d/S99zapret нужно закомментировать строки отвечающие за перенаправление HTTPS: #iptables -t nat -C PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j REDIRECT --to-port 8888 2>/dev/null || iptables -t nat -I PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j REDIRECT --to-port 8888 ... #iptables -t nat -D PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j REDIRECT --to-port 8888 В /opt/etc/ndm/openvpn-up.d создать файл zapret_vpn_up.sh: #!/bin/sh ip route add table 99 default dev ovpn_br1 ip rule add fwmark 9 lookup 99 iptables -t mangle -C PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j MARK --set-mark 9 2>/dev/null || iptables -t mangle -I PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j MARK --set-mark 9 sysctl -w net.ipv4.netfilter.ip_conntrack_fastnat=0 В /opt/etc/ndm/openvpn-down.d создать файл zapret_vpn_down.sh: #!/bin/sh ip route flush table 99 ip rule del fwmark 9 lookup 99 iptables -t mangle -D PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j MARK --set-mark 9 sysctl -w net.ipv4.netfilter.ip_conntrack_fastnat=1 Если скорость работы обычных сайтов заметно упадёт при этом то можно попробовать не отключать fastnat закомментировав последние строки в обоих скриптах, но у меня на 2.14.C.0.0-4 с включенным fastnat пакеты маркируются некорректно:( Edited January 8 by Михаил Лукьянов Quote Share this post Link to post Share on other sites
Report post 01/08/2019 02:47 PM (edited) Мне тут подсказывают что многие провайдеры пропускают фрагментированные HTTPS пакеты. Я включил по умолчанию фрагментацию на оба протокола - и HTTP и HTTPS. Просьба перекачать скрипт и проверить у кого заработало. Т.е. в большинстве случаев будет достаточно просто поставить скрипт и не нужно больше никаких торов, прокси и впн. Edited January 8 by Михаил Лукьянов 1 Quote Share this post Link to post Share on other sites
Report post 01/08/2019 03:48 PM 59 минут назад, Михаил Лукьянов сказал: Просьба перекачать скрипт и проверить у кого заработало. Добрый день, Михаил. Подскажите - "перекачать скрипт" равносильно "выполнить всё, что в этом сообщении?" Quote Share this post Link to post Share on other sites
Report post 01/08/2019 03:55 PM 5 минут назад, zetlinux сказал: Добрый день, Михаил. Подскажите - "перекачать скрипт" равносильно "выполнить всё, что в этом сообщении?" /opt/etc/init.d/S99zapret stop mv /opt/etc/init.d/S99zapret /opt/zapret/S99zapret.backup curl https://raw.githubusercontent.com/LukyanovM/zapret/master/init.d/keenetic/S99zapret -o /opt/etc/init.d/S99zapret chmod +x /opt/etc/init.d/S99zapret /opt/etc/init.d/S99zapret start 1 Quote Share this post Link to post Share on other sites
Report post 01/21/2019 07:00 AM В 08.01.2019 в 18:47, Михаил Лукьянов сказал: Мне тут подсказывают что многие провайдеры пропускают фрагментированные HTTPS пакеты. Я включил по умолчанию фрагментацию на оба протокола - и HTTP и HTTPS. Просьба перекачать скрипт и проверить у кого заработало. Т.е. в большинстве случаев будет достаточно просто поставить скрипт и не нужно больше никаких торов, прокси и впн. Мне не повезло, провайдер не пропускает и фрагментированные пакеты вообще. А сработает ли вариант если пустить и HTTP и HTTPS через tor, дополнив ваш скрипт строкой для 80 порта? типа такого. #!/opt/bin/sh [ "$type" == "ip6tables" ] && exit 0 [ "$table" != "nat" ] && exit 0 # check the table name iptables -t nat -I PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j REDIRECT --to-port 8888 iptables -t nat -I PREROUTING -p tcp --dport 80 -m set --match-set zapret dst -j REDIRECT --to-port 8888 /opt/bin/logger "redsocks redirected https rule created for zapret via netfilter hook" Quote Share this post Link to post Share on other sites
Report post 01/21/2019 08:31 AM Добрый день. Результаты проверки blockcheck с компьютера. Скрытый текст BlockCheck v0.0.9.6 Для получения корректных результатов используйте DNS-сервер провайдера и отключите средства обхода блокировок. Проверка работоспособности IPv6: IPv6 недоступен. [O] Тестируем IPv4 DNS Через системный DNS: ['104.20.134.45', '104.20.135.45', '104.24.10.70', '104.24.11.70', '184.173.136.161', '195.8.215.136', '195.82.146.214', '5.178.68.100'] Через Google DNS: ['104.20.134.45', '104.20.135.45', '104.24.10.70', '104.24.11.70', '184.173.136.161', '195.8.215.136', '195.82.146.214', '5.178.68.100'] Через Google API: ['104.20.134.45', '104.20.135.45', '104.24.10.70', '104.24.11.70', '184.173.136.161', '195.8.215.136', '195.82.146.214', '5.178.68.100'] Через недоступный DNS: ['195.82.146.214'] [?] DNS-записи не подменяются [?] DNS перенаправляется [O] Тестируем HTTP (по настоящим IP-адресам сайтов) Открываем http://pbooru.com/ [?] Сайт открывается Открываем http://pbooru.com/index.php?page=post&s=view&id=303026 [?] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси. [?] Сайт открывается через прокси Открываем http://furry.booru.org/ [?] Сайт открывается Открываем http://rutracker.org/forum/index.php [?] Сайт не открывается, пробуем через прокси [?] Сайт открывается через прокси Открываем http://furry.booru.org/index.php?page=post&s=view&id=111173 [?] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси. [?] Сайт открывается через прокси Открываем http://a.putinhuylo.com/ [?] Сайт открывается [O] Тестируем HTTPS Открываем https://www.dailymotion.com/ [?] Сайт не открывается Открываем https://lolibooru.moe/ [?] Сайт не открывается Открываем https://e621.net/ [?] Сайт не открывается Открываем https://rutracker.org/forum/index.php [?] Сайт не открывается [O] Тестируем обход DPI Пробуем способ «табуляция в конце домена» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «необычный порядок заголовков» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «фрагментирование заголовка, hoSt и отсутствие пробела одновременно» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «фрагментирование заголовка» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «отсутствие пробела между двоеточием и значением заголовка Host» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «дополнительный пробел после GET» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «перенос строки перед GET» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «заголовок hoSt вместо Host» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «заголовок hOSt вместо Host» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «значение Host БОЛЬШИМИ БУКВАМИ» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «точка в конце домена» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «перенос строки в заголовках в UNIX-стиле» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «табуляция в конце домена» на pbooru.com [?] Сайт не открывается Пробуем способ «необычный порядок заголовков» на pbooru.com [?] Сайт не открывается Пробуем способ «фрагментирование заголовка, hoSt и отсутствие пробела одновременно» на pbooru.com [?] Сайт открывается Пробуем способ «фрагментирование заголовка» на pbooru.com [?] Сайт не открывается Пробуем способ «отсутствие пробела между двоеточием и значением заголовка Host» на pbooru.com [?] Сайт открывается Пробуем способ «дополнительный пробел после GET» на pbooru.com [?] Сайт не открывается Пробуем способ «перенос строки перед GET» на pbooru.com [?] Сайт открывается Пробуем способ «заголовок hoSt вместо Host» на pbooru.com [?] Сайт не открывается Пробуем способ «заголовок hOSt вместо Host» на pbooru.com [?] Сайт не открывается Пробуем способ «значение Host БОЛЬШИМИ БУКВАМИ» на pbooru.com [?] Сайт не открывается Пробуем способ «точка в конце домена» на pbooru.com [?] Сайт не открывается Пробуем способ «перенос строки в заголовках в UNIX-стиле» на pbooru.com [?] Сайт не открывается [!] Результат: [?] Ваш провайдер перенаправляет сторонние IPv4 DNS-серверы на свой, но не подменяет DNS-записи. Это несколько странно и часто встречается в мобильных сетях. Если вы хотите использовать сторонний DNS, вам следует использовать шифрованный канал до DNS-серверов, например, через VPN, Tor, HTTPS/Socks прокси или DNSCrypt, но обходу блокировок это не поможет. [?] Ваш провайдер полностью блокирует доступ к HTTPS-сайтам из реестра. [?] У вашего провайдера "обычный" DPI. Вам поможет HTTPS/Socks прокси, VPN или Tor. Правильно ли я понимаю, чтобы заработал обход блокировок по инструкции от @Михаил Лукьянов, требуется изначально разобраться с DNS запросами, например через DNSCrypt? Quote Share this post Link to post Share on other sites
