Report post 12/11/2018 04:59 PM (edited) 3 минуты назад, Михаил Лукьянов сказал: Последнее правило которое я дал - это для http. Новое - 5 декабря только сигнатура получена. Про сигнатуру я не понимаю. Мне надо что-то еще сделать? http пока не работает. Edited December 11, 2018 by mk202 Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:00 PM Покажите: iptables -t raw -nvL PREROUTING Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:03 PM Пардон, вечером уже глаз замылен в последнем правиле таблица должна быть mangle а не raw: iptables -t mangle -I PREROUTING -p tcp --sport 80 -m u32 --u32 "0x1e&0xffff=0x5010 && 0x73=0x7761726e && 0x77=0x696e672e && 0x7B=0x72742e72" -j DROP Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:05 PM (edited) 5 минут назад, Михаил Лукьянов сказал: Покажите: iptables -t raw -nvL PREROUTING лог ниже Скрытый текст root@<имя>:/opt/etc/init.d# iptables -t raw -nvL PREROUTING Chain PREROUTING (policy ACCEPT 36117 packets, 9460K bytes) pkts bytes target prot opt in out source destination 4 891 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 u32 "0x1e&0xffff=0x5010&&0x73=0x7761726e&&0x77=0x696e672e&&0x7b=0x72742e72" 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 u32 "0x1e&0xffff=0x5010&&0x73=0x7761726e&&0x77=0x696e672e&&0x7b=0x72742e72" 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 STRING match "|0d0a4c6f636174696f6e3a20687474703a2f2f7761726e696e672e72742e7275|" ALGO name bm FROM 40 TO 200 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 STRING match "|0d0a4c6f636174696f6e3a20687474703a2f2f626c6f636b2e69702e63656e7465722e72742e7275|" ALGO name bm FROM 40 TO 200 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 STRING match "|0d0a4c6f636174696f6e3a20687474703a2f2f39352e3136372e31332e3530|" ALGO name bm FROM 40 TO 200 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 STRING match "|0d0a4c6f636174696f6e3a20687474703a2f2f7761726e696e672e72742e7275|" ALGO name bm FROM 40 TO 200 7 1490 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 STRING match "|0d0a4c6f636174696f6e3a20687474703a2f2f7761726e696e672e72742e7275|" ALGO name bm FROM 40 TO 200 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 STRING match "|0d0a4c6f636174696f6e3a20687474703a2f2f7761726e696e672e72742e7275|" ALGO name bm FROM 40 TO 200 Edited December 11, 2018 by mk202 Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:10 PM После удаления старых правил из скрипта нужно будет перезагрузить роутер. Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:12 PM 6 минут назад, Михаил Лукьянов сказал: таблица должна быть mangle а не raw: Так: Скрытый текст #!/bin/sh insmod /lib/modules/$(uname -r)/iptable_raw.ko iptables -t mangle -I PREROUTING -p tcp --sport 443 -m connbytes --connbytes 1:4 --connbytes-mode packets --connbytes-dir reply -m u32 --u32 "0x4=0x10000 && 0x1E&0xffff=0x5004" -j DROP iptables -t mangle -I PREROUTING -p tcp --sport 80 -m u32 --u32 "0x1e&0xffff=0x5010 && 0x73=0x7761726e && 0x77=0x696e672e && 0x7B=0x72742e72" -j DROP Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:18 PM 7 минут назад, Михаил Лукьянов сказал: нужно будет перезагрузить роутер Перезагрузил. https работает, а http нет Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:19 PM Заглушку даёт или что-то другое? Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:21 PM Что в адресной строке у заглушки? Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:29 PM 7 минут назад, Михаил Лукьянов сказал: Что в адресной строке у заглушки? http://warning.rt.ru/?id=24&st=0&dt=195.82.146.214&rs=http%3A%2F%2Frutracker.org%2Fforum%2Ftracker.php Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:31 PM Покажите: iptables -t mangle -nvL PREROUTING Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:35 PM (edited) 7 минут назад, Михаил Лукьянов сказал: Покажите: iptables -t mangle -nvL PREROUTING Скрытый текст # iptables -t mangle -nvL PREROUTING Chain PREROUTING (policy ACCEPT 3472 packets, 267K bytes) pkts bytes target prot opt in out source destination 2 428 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 u32 "0x1e&0xffff=0x5010&&0x73=0x7761726e&&0x77=0x696e672e&&0x7b=0x72742e72" 2 80 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:443 connbytes 1:4 connbytes mode packets connbytes direction reply u32 "0x4=0x10000&&0x1e&0xffff=0x5004" 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 u32 "0x1e&0xffff=0x5010&&0x73=0x7761726e&&0x77=0x696e672e&&0x7b=0x72742e72" 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:443 connbytes 1:4 connbytes mode packets connbytes direction reply u32 "0x4=0x10000&&0x1e&0xffff=0x5004" 2024 63528 _NDM_PREROUTING_MC all -- * * 0.0.0.0/0 224.0.0.0/4 3502 268K _NDM_IPSEC_PREROUTING all -- * * 0.0.0.0/0 0.0.0.0/0 1996 62520 TTL all -- eth2.2 * 0.0.0.0/0 0.0.0.0/0 TTL increment by 1 Там eth2.2 мож надо на что-то заменить? Edited December 11, 2018 by mk202 Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:43 PM Наши правила верхние, нижние ndm сам создаёт. попробуйте вернуть и посмотреть что в адресной строке у заглушки будет: iptables -t raw -I PREROUTING -p tcp --sport 80 -m string --hex-string "Location: http://warning.rt.ru" --algo bm -j DROP --from 40 --to 200 Quote Share this post Link to post Share on other sites
Report post 12/11/2018 05:59 PM (edited) 16 минут назад, Михаил Лукьянов сказал: Наши правила верхние, нижние ndm сам создаёт. попробуйте вернуть и посмотреть что в адресной строке у заглушки будет: iptables -t raw -I PREROUTING -p tcp --sport 80 -m string --hex-string "Location: http://warning.rt.ru" --algo bm -j DROP --from 40 --to 200 Сделал, но не перегружал роутер, а запустил скрипт Антизапрет из mc. Новое содержимое ниже: Скрытый текст # more ./S98antizapret #!/bin/sh insmod /lib/modules/$(uname -r)/iptable_raw.ko iptables -t mangle -I PREROUTING -p tcp --sport 443 -m connbytes --connbytes 1:4 --connbytes-mode packets --connbytes-dir reply -m u32 --u32 "0x4=0x10000 && 0x1E&0xffff=0x5004" -j DROP iptables -t raw -I PREROUTING -p tcp --sport 80 -m string --hex-string "Location: http://warning.rt.ru" --algo bm -j DROP --from 40 --to 200 Получил: http://warning.rt.ru/?id=13&st=0&dt=195.82.146.214&rs=http%3A%2F%2Frutracker.org%2Fforum%2Ftracker.php Что интересно, захожу по http в корень сайта. Заглушки нет. Кликаю на любую ссылку внутри. Сайт (или кто-то ещё) переключает меня на https. Но думаю это не решение проблемы. Торент программа скорее всего будет "заходить" сразу на внутреннюю ссылку, а там заглушка. Когда я на внутренней ссылке заменил https на http получил заглушку: http://warning.rt.ru/?id=12&st=0&dt=195.82.146.214&rs=http%3A%2F%2Frutracker.org%2Fforum%2Fviewtopic.php%3Ft%3D5657934 Какой кнопкой Вы форматируете код скрипта в сообщениях? Edited December 11, 2018 by mk202 Quote Share this post Link to post Share on other sites
Report post 12/11/2018 06:05 PM Сбросьте кэш браузера. Покажите: iptables -t raw -nvL PREROUTING Кнопка форматирования так и называется код, выглядит <>. Quote Share this post Link to post Share on other sites
Report post 12/11/2018 06:16 PM (edited) 16 минут назад, Михаил Лукьянов сказал: Сбросьте кэш браузера. Покажите: iptables -t raw -nvL PREROUTING Кнопка форматирования так и называется код, выглядит <>. Лог Скрытый текст # iptables -t raw -nvL PREROUTING Chain PREROUTING (policy ACCEPT 5550 packets, 278K bytes) pkts bytes target prot opt in out source destination 6 1320 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 STRING match "Location: http://warning.rt.ru" ALGO name bm FROM 40 TO 200 Кэш очистил, в корень пускает по http. Внутрь перехожу, переключаюсь(переключает) на https Если во внутренней ссылке меняю на http, получаю: http://warning.rt.ru/?id=24&st=0&dt=195.82.146.214&rs=http%3A%2F%2Frutracker.org%2Fforum%2Fviewtopic.php%3Ft%3D5380893 Я Вас не утомил? Edited December 11, 2018 by mk202 Quote Share this post Link to post Share on other sites
Report post 12/11/2018 06:22 PM Не хочется заморачиваться с tpws если честно, пока подумаю. Погоняйте свою торентокачалку - как она себя поведёт. https://rutracker.org/forum/viewtopic.php?t=5126394 - ссылку выше уже давали, но это как раз ваш случай. 1 Quote Share this post Link to post Share on other sites
Report post 12/11/2018 06:27 PM 3 минуты назад, Михаил Лукьянов сказал: Не хочется заморачиваться с tpws если честно, пока подумаю. В любом случае огромное спасибо за внимание и терпение. 4 минуты назад, Михаил Лукьянов сказал: Погоняйте свою торентокачалку - как она себя поведёт. Она у меня пока не "заводится". А точную причину я не знаю. Если будут еще идеи я напишу. Quote Share this post Link to post Share on other sites
Report post 12/18/2018 04:53 PM В 11.12.2018 в 21:22, Михаил Лукьянов сказал: Погоняйте свою торентокачалку - как она себя поведёт. Рутрекер работает. Было бы приятно и в кинозал "пробиться". Сейчас туда пускает только в корень. Внутренние ссылки перенаправляются в заглушку. Quote Share this post Link to post Share on other sites
Report post 12/18/2018 08:37 PM 3 часа назад, mk202 сказал: Сейчас туда пускает только в корень. Внутренние ссылки перенаправляются в заглушку. Судя по моим наблюдениям не то чтобы пускает только в корень, пускает в принципе и дальше без заглушек при желании. Странная история. Собственно каждый последующий шаг возможен без заглушки если после предыдущего шага выжидать 2-3 минуты. Не выждали - попали на заглушку, выждали - продвинулись вперёд, для следующего перехода надо ждать опять... Это лечится? Quote Share this post Link to post Share on other sites
Report post 12/19/2018 04:46 AM 8 часов назад, SigmaPlus сказал: Собственно каждый последующий шаг возможен без заглушки если после предыдущего шага выжидать 2-3 минуты. Где-то так и выходит. Ткнул внутреннюю ссылку, получил заглушку, назад, вперёд и заглушка пройдена. Не удаётся преодолеть экран логгирования. Тут всегда заглушка и метод "вперёд/назад", к сожалению не срабатывает. Quote Share this post Link to post Share on other sites
Report post 01/04/2019 03:13 PM (edited) В 28.09.2018 в 15:10, Михаил Лукьянов сказал: С HTTPS вариантов немного - tor, прокси и vpn. Спасибо за все ваши инструкции и модификации скриптов, очень полезно. Подскажите, как связку redsocks + tor заменить на OpenVPN настроенный в VPN-подключениях в Web UI? Edited January 4, 2019 by sc0rp1d Quote Share this post Link to post Share on other sites
Report post 01/08/2019 01:13 PM (edited) В 04.01.2019 в 18:13, sc0rp1d сказал: Спасибо за все ваши инструкции и модификации скриптов, очень полезно. Подскажите, как связку redsocks + tor заменить на OpenVPN настроенный в VPN-подключениях в Web UI? В файле /opt/etc/init.d/S99zapret нужно закомментировать строки отвечающие за перенаправление HTTPS: #iptables -t nat -C PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j REDIRECT --to-port 8888 2>/dev/null || iptables -t nat -I PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j REDIRECT --to-port 8888 ... #iptables -t nat -D PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j REDIRECT --to-port 8888 В /opt/etc/ndm/openvpn-up.d создать файл zapret_vpn_up.sh: #!/bin/sh ip route add table 99 default dev ovpn_br1 ip rule add fwmark 9 lookup 99 iptables -t mangle -C PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j MARK --set-mark 9 2>/dev/null || iptables -t mangle -I PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j MARK --set-mark 9 sysctl -w net.ipv4.netfilter.ip_conntrack_fastnat=0 В /opt/etc/ndm/openvpn-down.d создать файл zapret_vpn_down.sh: #!/bin/sh ip route flush table 99 ip rule del fwmark 9 lookup 99 iptables -t mangle -D PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j MARK --set-mark 9 sysctl -w net.ipv4.netfilter.ip_conntrack_fastnat=1 Если скорость работы обычных сайтов заметно упадёт при этом то можно попробовать не отключать fastnat закомментировав последние строки в обоих скриптах, но у меня на 2.14.C.0.0-4 с включенным fastnat пакеты маркируются некорректно:( Edited January 8, 2019 by Михаил Лукьянов Quote Share this post Link to post Share on other sites
Report post 01/08/2019 02:47 PM (edited) Мне тут подсказывают что многие провайдеры пропускают фрагментированные HTTPS пакеты. Я включил по умолчанию фрагментацию на оба протокола - и HTTP и HTTPS. Просьба перекачать скрипт и проверить у кого заработало. Т.е. в большинстве случаев будет достаточно просто поставить скрипт и не нужно больше никаких торов, прокси и впн. Edited January 8, 2019 by Михаил Лукьянов 1 Quote Share this post Link to post Share on other sites
Report post 01/08/2019 03:48 PM 59 минут назад, Михаил Лукьянов сказал: Просьба перекачать скрипт и проверить у кого заработало. Добрый день, Михаил. Подскажите - "перекачать скрипт" равносильно "выполнить всё, что в этом сообщении?" Quote Share this post Link to post Share on other sites
Report post 01/08/2019 03:55 PM 5 минут назад, zetlinux сказал: Добрый день, Михаил. Подскажите - "перекачать скрипт" равносильно "выполнить всё, что в этом сообщении?" /opt/etc/init.d/S99zapret stop mv /opt/etc/init.d/S99zapret /opt/zapret/S99zapret.backup curl https://raw.githubusercontent.com/LukyanovM/zapret/master/init.d/keenetic/S99zapret -o /opt/etc/init.d/S99zapret chmod +x /opt/etc/init.d/S99zapret /opt/etc/init.d/S99zapret start 1 Quote Share this post Link to post Share on other sites
Report post 01/21/2019 07:00 AM В 08.01.2019 в 18:47, Михаил Лукьянов сказал: Мне тут подсказывают что многие провайдеры пропускают фрагментированные HTTPS пакеты. Я включил по умолчанию фрагментацию на оба протокола - и HTTP и HTTPS. Просьба перекачать скрипт и проверить у кого заработало. Т.е. в большинстве случаев будет достаточно просто поставить скрипт и не нужно больше никаких торов, прокси и впн. Мне не повезло, провайдер не пропускает и фрагментированные пакеты вообще. А сработает ли вариант если пустить и HTTP и HTTPS через tor, дополнив ваш скрипт строкой для 80 порта? типа такого. #!/opt/bin/sh [ "$type" == "ip6tables" ] && exit 0 [ "$table" != "nat" ] && exit 0 # check the table name iptables -t nat -I PREROUTING -p tcp --dport 443 -m set --match-set zapret dst -j REDIRECT --to-port 8888 iptables -t nat -I PREROUTING -p tcp --dport 80 -m set --match-set zapret dst -j REDIRECT --to-port 8888 /opt/bin/logger "redsocks redirected https rule created for zapret via netfilter hook" Quote Share this post Link to post Share on other sites
Report post 01/21/2019 08:31 AM Добрый день. Результаты проверки blockcheck с компьютера. Скрытый текст BlockCheck v0.0.9.6 Для получения корректных результатов используйте DNS-сервер провайдера и отключите средства обхода блокировок. Проверка работоспособности IPv6: IPv6 недоступен. [O] Тестируем IPv4 DNS Через системный DNS: ['104.20.134.45', '104.20.135.45', '104.24.10.70', '104.24.11.70', '184.173.136.161', '195.8.215.136', '195.82.146.214', '5.178.68.100'] Через Google DNS: ['104.20.134.45', '104.20.135.45', '104.24.10.70', '104.24.11.70', '184.173.136.161', '195.8.215.136', '195.82.146.214', '5.178.68.100'] Через Google API: ['104.20.134.45', '104.20.135.45', '104.24.10.70', '104.24.11.70', '184.173.136.161', '195.8.215.136', '195.82.146.214', '5.178.68.100'] Через недоступный DNS: ['195.82.146.214'] [?] DNS-записи не подменяются [?] DNS перенаправляется [O] Тестируем HTTP (по настоящим IP-адресам сайтов) Открываем http://pbooru.com/ [?] Сайт открывается Открываем http://pbooru.com/index.php?page=post&s=view&id=303026 [?] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси. [?] Сайт открывается через прокси Открываем http://furry.booru.org/ [?] Сайт открывается Открываем http://rutracker.org/forum/index.php [?] Сайт не открывается, пробуем через прокси [?] Сайт открывается через прокси Открываем http://furry.booru.org/index.php?page=post&s=view&id=111173 [?] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси. [?] Сайт открывается через прокси Открываем http://a.putinhuylo.com/ [?] Сайт открывается [O] Тестируем HTTPS Открываем https://www.dailymotion.com/ [?] Сайт не открывается Открываем https://lolibooru.moe/ [?] Сайт не открывается Открываем https://e621.net/ [?] Сайт не открывается Открываем https://rutracker.org/forum/index.php [?] Сайт не открывается [O] Тестируем обход DPI Пробуем способ «табуляция в конце домена» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «необычный порядок заголовков» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «фрагментирование заголовка, hoSt и отсутствие пробела одновременно» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «фрагментирование заголовка» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «отсутствие пробела между двоеточием и значением заголовка Host» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «дополнительный пробел после GET» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «перенос строки перед GET» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «заголовок hoSt вместо Host» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «заголовок hOSt вместо Host» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «значение Host БОЛЬШИМИ БУКВАМИ» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «точка в конце домена» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «перенос строки в заголовках в UNIX-стиле» на rutracker.org [?] Ошибка: timeout('timed out',) Пробуем способ «табуляция в конце домена» на pbooru.com [?] Сайт не открывается Пробуем способ «необычный порядок заголовков» на pbooru.com [?] Сайт не открывается Пробуем способ «фрагментирование заголовка, hoSt и отсутствие пробела одновременно» на pbooru.com [?] Сайт открывается Пробуем способ «фрагментирование заголовка» на pbooru.com [?] Сайт не открывается Пробуем способ «отсутствие пробела между двоеточием и значением заголовка Host» на pbooru.com [?] Сайт открывается Пробуем способ «дополнительный пробел после GET» на pbooru.com [?] Сайт не открывается Пробуем способ «перенос строки перед GET» на pbooru.com [?] Сайт открывается Пробуем способ «заголовок hoSt вместо Host» на pbooru.com [?] Сайт не открывается Пробуем способ «заголовок hOSt вместо Host» на pbooru.com [?] Сайт не открывается Пробуем способ «значение Host БОЛЬШИМИ БУКВАМИ» на pbooru.com [?] Сайт не открывается Пробуем способ «точка в конце домена» на pbooru.com [?] Сайт не открывается Пробуем способ «перенос строки в заголовках в UNIX-стиле» на pbooru.com [?] Сайт не открывается [!] Результат: [?] Ваш провайдер перенаправляет сторонние IPv4 DNS-серверы на свой, но не подменяет DNS-записи. Это несколько странно и часто встречается в мобильных сетях. Если вы хотите использовать сторонний DNS, вам следует использовать шифрованный канал до DNS-серверов, например, через VPN, Tor, HTTPS/Socks прокси или DNSCrypt, но обходу блокировок это не поможет. [?] Ваш провайдер полностью блокирует доступ к HTTPS-сайтам из реестра. [?] У вашего провайдера "обычный" DPI. Вам поможет HTTPS/Socks прокси, VPN или Tor. Правильно ли я понимаю, чтобы заработал обход блокировок по инструкции от @Михаил Лукьянов, требуется изначально разобраться с DNS запросами, например через DNSCrypt? Quote Share this post Link to post Share on other sites
