zapret
v69.8
Zapret مجاني ومفتوح المصدر. أي شخص يجبرك على تنزيل Zapret فقط من مورده يتطلب حذف الروابط ومقاطع الفيديو والملفات وتبرير هذه المتطلبات لحقوق الطبع والنشر ، وهو نفسه ينتهك الترخيص.
مواجهة الحكم الذاتي DPI ، والتي لا تتطلب توصيل أي خوادم طرف ثالث. يمكن أن يساعد ذلك في تجاوز أقفال أو تباطؤ المواقع HTTP (S) ، والتحليل العلماء لبروتوكولات TCP و UDP ، على سبيل المثال ، لغرض حظر VPN.
يهدف المشروع في المقام الأول إلى الأجهزة المضمّنة ذات القوة المنخفضة - أجهزة التوجيه التي تعمل تحت OpenWrt. يتم دعم أنظمة Linux التقليدية ، FreeBSD ، OpenBSD ، MacOS جزئيًا. في بعض الحالات ، يكون من الممكن شد الحل المستقل للبرامج الثابتة المختلفة.
معظم الوظائف تعمل على Windows.
في أبسط الحالات ، أنت تتعامل مع DPI السلبي. يمكن أن يقرأ DPI السلبي حركة المرور من الدفق ، ويمكن حقن حزمه ، ولكن لا يمكن منع الحزم المارة. إذا كان الطلب "سيئًا" ، فإن DPI السلبي يضخ حزمة RST ، مما يكمله اختياريًا مع حزمة إعادة توجيه HTTP. إذا تم حقن الحزمة المزيفة فقط للعميل ، في هذه الحالة ، يمكنك الحصول على أوامر IPTABLES لإسقاط RST و/أو إعادة توجيه إلى القابس وفقًا لشروط معينة تحتاج إلى تحديد كل مزود بشكل فردي. لذلك نتجول في عواقب عملية الزناد. إذا قام DPI السلبي بتوجيه حزمة RST ، بما في ذلك الخادم ، فلا يمكنك فعل أي شيء حيال ذلك. تتمثل مهمتك في منع مشغل الزناد للمشغل. لن يحصل Iptables وحده. يهدف هذا المشروع بدقة لمنع الحظر ، وعدم القضاء على عواقبه.
يتم وضع DPI النشط في شق السلك ويمكنه إسقاط الحزم وفقًا لأي معايير ، بما في ذلك التعرف على تدفقات TCP وحظر أي حزم تنتمي إلى التدفق.
كيفية منع الزناد لحظر الحظر؟ أرسل شيئًا لا يعتمد عليه DPI وأن الخوارزمية للتعرف على الطلبات وحظرها يكسره.
لا يمكن لبعض DPI التعرف على طلب HTTP إذا تم تقسيمه إلى شرائح TCP. على سبيل المثال ، طلب من النوع GET / HTTP/1.1rnHost: kinozal.tv...... نرسل في جزأين: أولاً هناك GET ، ثم / HTTP/1.1rnHost: kinozal.tv..... آخر تعثر dpi عندما يتم كتابة الرأس Host: يتم كتابة سجل آخر: على سبيل المثال ، host: في بعض الأماكن ، إضافة فجوة إضافية بعد الطريقة: GET / => GET / أو إضافة نقطة في نهاية اسم المضيف: Host: kinozal.tv.
هناك أيضًا سحر أكثر تقدماً يهدف إلى التغلب على DPI على مستوى الحزمة.
اقرأ المزيد عن DPI:
https://habr.com/en/post/335436 أو https://web.archive.org/web/2023033123644/https://habr.com/en/post/335436/
https://geneva.cs.umd.edu/papers/geneva_ccs19.pdf
في السابق ، قبل إدخال أنظمة TSPU الشاملة ، تم استخدام حديقة حيوانات من مختلف موانكي DPI لمقدمي الخدمات. كان بعضها نشطًا ، نوعًا ما من السلبي. الآن انتهى وقت IPtables البسيط. في كل مكان ، يوجد DPI TSPU نشط ، ولكن في بعض الأماكن قد تظل DPI القديمة الإضافية من حديقة الحيوان غير ضرورية. في هذه الحالة ، عليك أن تتجول عدة موانئ دبي في وقت واحد. أصبحت المزيد والمزيد من الأقفال المصاحبة ، والتي ستتعلم عنها فقط حقيقة عدم إمكانية الوصول إلى شيء ما ، وهذا ليس في القوائم. يتم استخدام كتل بعض عناوين IP (الالتفافية المستقلة أمر مستحيل) والبروتوكولات (VPN). تستخدم بعض نطاقات IP مرشحًا أكثر صرامة يتعرف على محاولات الغش من خلال التجزئة. يجب أن يكون هذا بسبب بعض الخدمات التي تحاول خداع DPI بهذه الطريقة.
باختصار ، يمكن تصنيف الخيارات وفقًا للمخطط التالي:
للخيارين 2 و 3 ، يتم تنفيذ برامج TPWS و NFQWS ، على التوالي. لكي يعملهم ، من الضروري تشغيلها مع المعلمات المطلوبة وإعادة توجيه حركة مرور معينة إليهم بواسطة iPtables أو nftabals.
هذا البرنامج هو معدل الحزمة ومعالج قائمة انتظار NFQueue. بالنسبة لأنظمة BSD ، هناك نسخة مكيفة - DVTWS ، تم جمعها من نفس المصادر (انظر وثائق BSD).
@<config_file>|$<config_file> ; читать конфигурацию из файла. опция должна быть первой. остальные опции игнорируются.
--debug=0|1 ; 1=выводить отладочные сообщения
--dry-run ; проверить опции командной строки и выйти. код 0 - успешная проверка.
--comment ; любой текст (игнорируется)
--daemon ; демонизировать прогу
--pidfile=<file> ; сохранить PID в файл
--user=<username> ; менять uid процесса
--uid=uid[:gid] ; менять uid процесса
--qnum=N ; номер очереди N
--bind-fix4 ; пытаться решить проблему неверного выбора исходящего интерфейса для сгенерированных ipv4 пакетов
--bind-fix6 ; пытаться решить проблему неверного выбора исходящего интерфейса для сгенерированных ipv6 пакетов
--wsize=<winsize>[:<scale_factor>] ; менять tcp window size на указанный размер в SYN,ACK. если не задан scale_factor, то он не меняется (устарело !)
--wssize=<winsize>[:<scale_factor>] ; менять tcp window size на указанный размер в исходящих пакетах. scale_factor по умолчанию 0. (см. conntrack !)
--wssize-cutoff=[n|d|s]N ; изменять server window size в исходящих пакетах (n), пакетах данных (d), относительных sequence (s) по номеру меньше N
--ctrack-timeouts=S:E:F[:U] ; таймауты внутреннего conntrack в состояниях SYN, ESTABLISHED, FIN, таймаут udp. по умолчанию 60:300:60:60
--hostcase ; менять регистр заголовка "Host:" по умолчанию на "host:".
--hostnospace ; убрать пробел после "Host:" и переместить его в конец значения "User-Agent:" для сохранения длины пакета
--methodeol ; добавить перевод строки в unix стиле ('n') перед методом и убрать пробел из Host: : "GET / ... Host: domain.com" => "nGET / ... Host:domain.com"
--hostspell=HoST ; точное написание заголовка Host (можно "HOST" или "HoSt"). автоматом включает --hostcase
--domcase ; домен после Host: сделать таким : TeSt.cOm
--dpi-desync=[<mode0>,]<mode>[,<mode2] ; атака по десинхронизации DPI. mode : synack syndata fake fakeknown rst rstack hopbyhop destopt ipfrag1 multisplit multidisorder fakedsplit fakeddisorder ipfrag2 udplen tamper
--dpi-desync-fwmark=<int|0xHEX> ; бит fwmark для пометки десинхронизирующих пакетов, чтобы они повторно не падали в очередь. default = 0x40000000
--dpi-desync-ttl=<int> ; установить ttl для десинхронизирующих пакетов
--dpi-desync-ttl6=<int> ; установить ipv6 hop limit для десинхронизирующих пакетов. если не указано, используется значение ttl
--dpi-desync-autottl=[<delta>[:<min>[-<max>]]] ; режим auto ttl для ipv4 и ipv6. по умолчанию: 1:3-20. delta=0 отключает функцию.
--dpi-desync-autottl6=[<delta>[:<min>[-<max>]]] ; переопределение предыдущего параметра для ipv6
--dpi-desync-fooling=<fooling> ; дополнительные методики как сделать, чтобы фейковый пакет не дошел до сервера. none md5sig badseq badsum datanoack hopbyhop hopbyhop2
--dpi-desync-repeats=<N> ; посылать каждый генерируемый в nfqws пакет N раз (не влияет на остальные пакеты)
--dpi-desync-skip-nosni=0|1 ; 1(default)=не применять dpi desync для запросов без hostname в SNI, в частности для ESNI
--dpi-desync-split-pos=N|-N|marker+N|marker-N ; список через запятую маркеров для tcp сегментации в режимах split и disorder
--dpi-desync-split-seqovl=N|-N|marker+N|marker-N ; единичный маркер, определяющий величину перекрытия sequence в режимах split и disorder. для split поддерживается только положительное число.
--dpi-desync-split-seqovl-pattern=<filename>|0xHEX ; чем заполнять фейковую часть overlap
--dpi-desync-fakedsplit-pattern=<filename>|0xHEX ; чем заполнять фейки в fakedsplit/fakeddisorder
--dpi-desync-badseq-increment=<int|0xHEX> ; инкремент sequence number для badseq. по умолчанию -10000
--dpi-desync-badack-increment=<int|0xHEX> ; инкремент ack sequence number для badseq. по умолчанию -66000
--dpi-desync-any-protocol=0|1 ; 0(default)=работать только по http request и tls clienthello 1=по всем непустым пакетам данных
--dpi-desync-fake-http=<filename>|0xHEX ; файл, содержащий фейковый http запрос для dpi-desync=fake, на замену стандартному www.iana.org
--dpi-desync-fake-tls=<filename>|0xHEX ; файл, содержащий фейковый tls clienthello для dpi-desync=fake, на замену стандартному
--dpi-desync-fake-unknown=<filename>|0xHEX ; файл, содержащий фейковый пейлоад неизвестного протокола для dpi-desync=fake, на замену стандартным нулям 256 байт
--dpi-desync-fake-syndata=<filename>|0xHEX ; файл, содержащий фейковый пейлоад пакета SYN для режима десинхронизации syndata
--dpi-desync-fake-quic=<filename>|0xHEX ; файл, содержащий фейковый QUIC Initial
--dpi-desync-fake-dht=<filename>|0xHEX ; файл, содержащий фейковый пейлоад DHT протокола для dpi-desync=fake, на замену стандартным нулям 64 байт
--dpi-desync-fake-unknown-udp=<filename>|0xHEX ; файл, содержащий фейковый пейлоад неизвестного udp протокола для dpi-desync=fake, на замену стандартным нулям 64 байт
--dpi-desync-udplen-increment=<int> ; насколько увеличивать длину udp пейлоада в режиме udplen
--dpi-desync-udplen-pattern=<filename>|0xHEX ; чем добивать udp пакет в режиме udplen. по умолчанию - нули
--dpi-desync-start=[n|d|s]N ; применять dpi desync только в исходящих пакетах (n), пакетах данных (d), относительных sequence (s) по номеру больше или равно N
--dpi-desync-cutoff=[n|d|s]N ; применять dpi desync только в исходящих пакетах (n), пакетах данных (d), относительных sequence (s) по номеру меньше N
--hostlist=<filename> ; действовать только над доменами, входящими в список из filename. поддомены автоматически учитываются.
; в файле должен быть хост на каждой строке.
; список читается при старте и хранится в памяти в виде иерархической структуры для быстрого поиска.
; при изменении времени модификации файла он перечитывается автоматически по необходимости
; список может быть запакован в gzip. формат автоматически распознается и разжимается
; списков может быть множество. пустой общий лист = его отсутствие
; хосты извлекаются из Host: хедера обычных http запросов и из SNI в TLS ClientHello.
--hostlist-domains=<domain_list> ; фиксированный список доменов через зяпятую. можно использовать # в начале для комментирования отдельных доменов.
--hostlist-exclude=<filename> ; не применять дурение к доменам из листа. может быть множество листов. схема аналогична include листам.
--hostlist-exclude-domains=<domain_list> ; фиксированный список доменов через зяпятую. можно использовать # в начале для комментирования отдельных доменов.
--hostlist-auto=<filename> ; обнаруживать автоматически блокировки и заполнять автоматический hostlist (требует перенаправления входящего трафика)
--hostlist-auto-fail-threshold=<int> ; сколько раз нужно обнаружить ситуацию, похожую на блокировку, чтобы добавить хост в лист (по умолчанию: 3)
--hostlist-auto-fail-time=<int> ; все эти ситуации должны быть в пределах указанного количества секунд (по умолчанию: 60)
--hostlist-auto-retrans-threshold=<int> ; сколько ретрансмиссий запроса считать блокировкой (по умолчанию: 3)
--hostlist-auto-debug=<logfile> ; лог положительных решений по autohostlist. позволяет разобраться почему там появляются хосты.
--new ; начало новой стратегии (новый профиль)
--skip ; не использовать этот профиль . полезно для временной деактивации профиля без удаления параметров.
--filter-l3=ipv4|ipv6 ; фильтр версии ip для текущей стратегии
--filter-tcp=[~]port1[-port2]|* ; фильтр портов tcp для текущей стратегии. ~ означает инверсию. установка фильтра tcp и неустановка фильтра udp запрещает udp. поддерживается список через запятую.
--filter-udp=[~]port1[-port2]|* ; фильтр портов udp для текущей стратегии. ~ означает инверсию. установка фильтра udp и неустановка фильтра tcp запрещает tcp. поддерживается список через запятую.
--filter-l7=[http|tls|quic|wireguard|dht|unknown] ; фильтр протокола L6-L7. поддерживается несколько значений через запятую.
--ipset=<filename> ; включающий ip list. на каждой строчке ip или cidr ipv4 или ipv6. поддерживается множество листов и gzip. перечитка автоматическая.
--ipset-ip=<ip_list> ; фиксированный список подсетей через запятую. можно использовать # в начале для комментирования отдельных подсетей.
--ipset-exclude=<filename> ; исключающий ip list. на каждой строчке ip или cidr ipv4 или ipv6. поддерживается множество листов и gzip. перечитка автоматическая.
--ipset-exclude-ip=<ip_list> ; фиксированный список подсетей через запятую. можно использовать # в начале для комментирования отдельных подсетей.
-يتيح لك --debug عرض سجل مفصل للإجراءات إلى وحدة التحكم ، في syslog أو إلى ملف. قد يكون إجراء متابعة الخيارات مهمًا. --debug الأفضل الإشارة إلى Debug في البداية. يتم تحليل الخيارات بالتتابع. إذا كان الخطأ يتحقق من الخيار ، ولم تصل الحالة إلى --debug بعد ، فلن يتم عرض الرسائل إلى الملف أو syslog. عند تسجيل الدخول إلى الملف ، فإن العملية لا تعقد الملف مفتوحًا. من أجل كل تسجيل ، يفتح الملف ثم يغلق. لذلك يمكن حذف الملف في أي وقت ، وسيتم إنشاؤه مرة أخرى في الرسالة الأولى في السجل. ولكن ضع في اعتبارك أنه إذا بدأت العملية تحت الجذر ، فسيتم استبدالك بـ UID إلى غير الجذر. في البداية ، يتغير الملف على السجل ، وإلا فإن التسجيل سيكون مستحيلًا. إذا قمت بعد ذلك بحذف الملف ، ولن يكون للعملية الحق في إنشاء ملف في الدليل الخاص به ، فلن يتم إجراء السجل بعد الآن. بدلا من الإزالة ، من الأفضل استخدام اقتطاع. في شيل ، يمكن القيام بذلك من خلال الأمر ":> اسم الملف"
جوهرها كما يلي. يتم تقديم طلب أصلي ، يتم إضافة معلومات مزيفة (FAKES) بحيث يقوم نظام التشغيل الخادم بنقل الطلب الأصلي إلى عملية الخادم دون تغيير ، ورأى DPI آخر. حقيقة أنه لن يمنع. يرى الخادم شيئًا واحدًا ، DPI هو شيء آخر. لا يفهم DPI أن الطلب المحظور ينتقل ولا يحظره.
هناك ترسانة من الفرص لتحقيق مثل هذه النتيجة. يمكن أن يكون هذا هو نقل الحزم المزيفة بحيث تصل إلى DPI ، ولكن لا تصل إلى الخادم. يمكن استخدام التفتت على مستوى TCP (تجزئة) أو على مستوى IP. هناك هجمات تستند إلى اللعبة مع أرقام تسلسل TCP أو بترتيب مربك لقطاعات TCP. يمكن دمج الطرق في الإصدارات المختلفة.
FAKES هي حزم NFQWS المنفصلة التي تحمل معلومات خاطئة ل DPI. إما أنه لا ينبغي أن يصلوا إلى الخادم ، أو يمكن أن يصلوا ، ولكن يجب تجاهلهم لهم. خلاف ذلك ، فإن انهيار اتصال TCP أو انتهاك لسلامة التدفق المنقول ، والذي يضمن لكسر المورد. هناك عدد من الطرق لحل هذه المشكلة.
md5sig خيار توقيع TCP MD5 . لا يعمل على جميع الخوادم. عادة ما يتم تجاهل حزم MD5 Linux فقط.badsum يفسد كمية التحكم من TCP. لن ينجح الأمر إذا كان جهازك مخصصًا لـ NAT ، والذي لا يفوت الأكياس على كرسي متحرك. الأكثر شيوعا إنشاء جهاز التوجيه NAT في Linux لا يفوتهم. تم بناء معظم أجهزة التوجيه المنزلية على Linux. يتم ضمان التعشيش على النحو التالي: SYSSCTL Tuning بشكل افتراضي net.netfilter.nf_conntrack_checksum=1 يجعل conntrack التحقق من TCP و UDP للحزم الواردة وتعيين الحالة غير صالحة للحزم مع كرسي متحرك. عادة في قواعد IPTABLES ، يتم إدراج قاعدة لقطرات من الحزم مع حالة غير صالحة في السلسلة الأمامية. مزيج مشترك من هذه العوامل يؤدي إلى عدم وجود سيء من خلال مثل هذا الموجه. في OpenWrt من علبة التروس net.netfilter.nf_conntrack_checksum=0 ، لا يوجد في كثير من الأحيان أجهزة توجيه أخرى ، ولا يمكن تغيير هذا دائمًا. لكي يعمل NFQWS من خلال جهاز توجيه ، ستحتاج إلى تعيين قيمة SYSCTL المحددة في 0. ستعمل NFQWS على جهاز التوجيه نفسه بدون هذا التكوين ، لأنه لم يتم فحص chexumma من الحزم التي تم إنشاؤها محليًا. إذا كان جهاز التوجيه بعد NAT آخر ، على سبيل المثال ، مزودًا ، ولا يفوتك حزمًا غير صالحة ، فلا يمكنك فعل أي شيء حيال ذلك. ولكن عادة ما لا يزال مقدمو الخدمات يفوتون بادسوم. على بعض المحولات/Swefshirts/برامج التشغيل ، تفريغ RX-Cecksum ، يتم إجبار حزم BADSUM على إزالتها قبل الاستلام في نظام التشغيل. في هذه الحالة ، إذا كان من الممكن القيام بشيء ما ، فعليك تعديل السائق فقط ، والذي يبدو أنه غير تميز للغاية. وقد ثبت أن بعض أجهزة التوجيه على أساس Mediatek تتصرف بهذه الطريقة. تترك حزم BADSUM نظام التشغيل العميل ، ولكن لا يُرى جهاز التوجيه في BR-LAN من خلال TCPDUMP. علاوة على ذلك ، إذا تم تنفيذ NFQWS على جهاز التوجيه نفسه ، يمكن أن يعمل الالتفافية. Badsum عادة يترك الواجهة الخارجية.badseq من رقم تسلسل TCP إلى قيمة معينة ، وبالتالي سحبه من نافذة TCP. من المحتمل أن يتم التخلص من هذه الحزم من قبل العقدة المستقبلة ، ولكن أيضًا DPI إذا كانت تركز على أرقام التسلسل. بشكل افتراضي ، يتم تحديد إزاحة SEQ -10000. لقد أظهرت الممارسة أن بعض موانئ دبي لا تفوت SEQ خارج نافذة محددة. ومع ذلك ، يمكن أن يسبب هذا الإزاحة الصغيرة مشاكل مع تدفق كبير وفقدان الحزم. إذا كنت تستخدم --dpi-desync-any-protocol ، فقد تحتاج إلى تثبيت زيادة 0x80000000. سيوفر هذا ضمانًا موثوقًا بأن حزمة مزيفة لن تنطلق في نافذة TCP على الخادم. ولوحظ أيضًا أن Badseq يكسر منطق بعض DPI أثناء تحليل HTTP ، مما تسبب في تجميد الاتصال. علاوة على ذلك ، على نفس DPI TLS مع Badseq يعمل بشكل جيد.TTL هو الخيار الأفضل ، لكنه يتطلب ضبطًا فرديًا لكل مزود. إذا كان DPI أبعد من المواقع المحلية للمزود ، فيمكنك قطع الوصول إليها. يتم تفاقم الموقف بسبب وجود TSPU على الطرق السريعة ، مما يجبر TTL على جعل TTL مرتفعًا جدًا ، مما يزيد من خطر انهيار المزيف إلى الخادم. مطلوب قائمة استبعاد IP ، مملوءة يدويًا. جنبا إلى جنب مع TTL ، يمكنك استخدام MD5SIG. لن يفسد هذا أي شيء ، ولكنه يعطي فرصة جيدة للعمل حيث تصل الحقيبة "السيئة" إلى TTL. إذا لم تتمكن من العثور على حل تلقائي ، فاستخدم ملف zapret-hosts-user-exclude.txt . لن تعمل بعض البرامج الثابتة للأجهزة التوجيه التي تعمل على إصلاح TTL الصادرة ، دون فصل هذا الخيار ، من خلالها. ما الذي يستحق اختيار TTL: ابحث عن الحد الأدنى من القيمة التي لا يزال الالتفافية يعمل. سيكون هذا هو عدد قفزة DPI الخاصة بك.hopbyhop فقط إلى IPv6. تتم إضافة hop-by-hop options . في إصدار hopbyhop2 تتم إضافة اثنين من Heders ، وهو انتهاك للمعيار ويضمن أن يتم التخلص منه بواسطة كومة البروتوكولات في جميع OS. يتم قبول أحد Heder Hop-by-hop من قبل جميع نظام التشغيل ، ولكن في بعض القنوات/مقدمي الخدمات قد يتم ترشيح هذه الحزم ولا تصل. الحساب هو أن DPI سيقوم بتحليل الحزمة باستخدام Hop-By-Hop ، ولكنها إما لن تصل إلى المرسل إليها في مرشحات المزود ، أو سيتم إلقاؤها بواسطة الخادم ، لأن هناك رأسا.datanoack مزيفة مع علامة ACK TCP. لا يتم قبول الخوادم ، ويمكن أن تقبل DPI. يمكن أن تكسر هذه التقنية NAT ولا تعمل دائمًا مع IPTABLES إذا تم استخدام Masquarade ، حتى من النظام المحلي (دائمًا على أجهزة توجيه IPv4). على الأنظمة c iptables بدون masquarade و nftables ، فإنه يعمل دون قيود. لقد وجد تجريبياً أن العديد من مزودي NAT لا يتجاهل هذه الحزم ، وبالتالي فهي تعمل حتى مع IP المزود الداخلي. لكنه لن يمر Linux Nat ، لذلك من المرجح أن هذه التقنية لا تعمل خلف جهاز التوجيه المنزلي ، ولكنها قد تعمل منها. يمكن أن يعمل من خلال جهاز التوجيه إذا كان الاتصال متصلًا ، وعلى جهاز التوجيه ، يتم تشغيل تسريع الأجهزة.autottl . جوهر النظام في التعريف التلقائي لـ TTL بحيث يمرر بالتأكيد DPI ولا يصل إلى الخادم قليلاً. يتم أخذ القيم الأساسية لـ TTL 64.128،255 ، تبدو الحزمة الواردة (نعم ، من الضروري توجيه الحزمة الأولى الواردة إلى NFQWS!). يتم حساب طول المسار ، يتم أخذ delta (1 بشكل افتراضي). إذا كان TTL خارج النطاق (دقيقة ، الحد الأقصى - 3.20 بشكل افتراضي) ، فإن MIN ، يتم أخذ القيم الأقصى لتناسب النطاق. إذا كانت TTL الناتجة أكبر من طول المسار ، فلن تنجح الأوتوماتيكية وتم أخذ قيم TTL الثابتة للهجوم. تتيح لك هذه التقنية حل السؤال عند حظر الشبكة بأكملها بواسطة الحواجز (DPI ، TSPU) كلما أمكن ذلك ، بما في ذلك الطرق السريعة. ولكن من المحتمل أن تفشل. على سبيل المثال ، مع عدم تناسق القناة الواردة والصادرة إلى خادم معين. في بعض مقدمي الخدمات ، ستعمل هذه التقنية بشكل جيد ، على الآخرين سيستغرق المزيد من المشكلات أكثر من الخير. في مكان ما قد يستغرق ضبط المعلمات. من الأفضل الاستخدام مع محدد إضافي. يمكن دمج أوضاع المقاطعة في أي مجموعات. --dpi-desync-fooling يأخذ العديد من القيم من خلال فاصلة.
multisplit . نقوم بقطع الطلب إلى المواضع المشار إليها في --dpi-desync-split-pos .multidisorder . نقوم بقطع الطلب إلى المواضع المشار إليها في-- --dpi-desync-split-pos ونرسل الترتيب العكسي.fakedsplit . نقوم بقطع طلب جزأين ، ونأطر كل جزء بمزيفة: مزيفة من الجزء الأول ، جزء واحد ، مزيف من الجزء الأول ، مزيف من الجزء الثاني ، جزء 2 ، مزيف من الجزء الثانيfakeddisorder . على غرار fakedsplit ، فقط بالترتيب العكسي: مزيف من الجزء الثاني ، جزء 2 ، وهمية من الجزء الثاني ، وهمية من الجزء الأول ، جزء واحد ، جزء واحد واحد. يتم تحديد محتويات Fakes في fakedsplit / fakeddisorder بواسطة المعلمة- --dpi-desync-fakedsplit-pattern (الافتراضي 0x00). يتم أخذ هذه المزيف من النمط مع إزاحة يتوافق مع إزاحة الأجزاء المشار إليها. تتوافق أحجام مزيفة مع أطوال الأجزاء المرسلة. الغرض من هذه الأوضاع هو تعقيد تحديد البيانات الأصلية بين FAKES.
لتحديد مواقف القطع ، يتم استخدام العلامات.
المواقف النسبية:
--methodeol . ثم يمكن أن يكون الموقف 1 أو 2. مثال على قائمة العلامات: 100,midsld,sniext+1,endhost-2,-10 .
عند كسر الحزمة ، فإن أول شيء هو علامات حل - العثور على كل هذه المواقف النسبية واستخدام النزوح. إذا كان الموضع النسبي غائبًا في البروتوكول الحالي ، فلا يتم تطبيق مثل هذه المواقف وتجاهلها. ثم هناك تطبيع للمواضع فيما يتعلق بتشريد الحزمة الحالية في مجموعة الحزمة (طلبات TLS متعددة الحملات مع Kyber ، على سبيل المثال). يتم التخلص من جميع المواقف التي تمتد إلى ما وراء حدود الحزمة الحالية. يتم فرز المتبقية في زيادة في زيادة الازدواجية. في متغيرات multisplit و multidisorder إذا لم يتبق موضع واحد ، لا يحدث الانهيار.
تستخدم خيارات fakedsplit و fakeddisorder وضعية تقسيم واحدة فقط. يتم إجراء بحثها بين القائمة --dpi-desync-split-pos بطريقة خاصة. أولاً ، يتم فحص جميع العلامات النسبية. إذا تم العثور على واحد مناسب بينهم ، يتم استخدامه. خلاف ذلك ، يتم فحص جميع العلامات المطلقة. إذا لم يتم العثور على شيء بينهم ، يتم تطبيق الموضع 1.
على سبيل المثال ، يمكنك كتابة --dpi-desync-split-pos=method+2,midsld,5 . إذا كان بروتوكول HTTP ، فسيكون الانهيار في موضع method+2 . إذا كان بروتوكول TLS في midsld . إذا كان البروتوكول غير معروف وشامل- --dpi-desync-any-protocol ، فسيكون الانهيار في الموضع 5. لجعل كل شيء أكثر غموضًا ، يمكنك استخدام ملفات تعريف مختلفة لبروتوكولات مختلفة والإشارة إلى موضع واحد فقط في هذا البروتوكول.
يضيف seqovl seqovl في بداية أحد شرائح TCP مع رقم التسلسل النازح في seqovl . split - في بداية الجزء الأول ، disorder - في بداية الجزء قبل الأخير (والثاني في الترتيب التالي الأصلي).
في حالة split يكون الحساب على حقيقة أن المرجع السابق ، إن كان عليه ، قد دخل بالفعل إلى coquet لتطبيق الخادم ، وبالتالي فإن الشخص الجديد الذي وصل هو جزئيًا فقط داخل النافذة الحالية (في الرياح). في المقدمة ، يتم التخلص من الجزء المزيف ، ويحتوي بقية الجزء الأصلي ويبدأ ببداية النافذة ، لذلك يدخل المقبس. يتلقى تطبيق الخادم كل ما يرسله العميل حقًا ، وتجاهل الجزء المزيف خارج النوافذ. لكن DPI لا يستطيع فهم هذا ، لذلك لديه تسلسل desinchronization. من الضروري أن الجزء الأول مع seqovl لا يتجاوز طول MTU. يتم التعرف على هذا الموقف تلقائيًا في Linux ، ويتم إلغاء seqovl . في أنظمة أخرى ، لم يتم التعرف على الموقف ، وسيؤدي ذلك إلى انهيار الاتصال. لذلك ، اختر أول موقع تقسيم و seqovl بحيث لا يتم تجاوز MTU في أي حال. خلاف ذلك ، قد لا تعمل الروحانية أو تعمل بشكل عشوائي.
لتداخل disorder ، يذهب إلى الجزء قبل الأخير من الحزمة. من أجل البساطة ، سوف نفترض أن التقسيم يذهب إلى جزأين ، سيكونون في ترتيب "2 1" بالترتيب الأصلي "1 2". من الضروري أن يكون seqovl أقل من موضع الانقسام الأول ، وإلا سيتم نقل كل شيء يتم إرساله إلى المقبس على الفور ، بما في ذلك مزيف ، كسر بروتوكول المستوى المطبق. يتم اكتشاف هذا الموقف بسهولة من قبل البرنامج ، ويتم إلغاء seqovl . زيادة في حجم الحزمة مستحيلة من حيث المبدأ. مع مراعاة شرط الجزء الثاني من الحزمة ، يكون النافذ تمامًا ، لذلك يقبله نظام التشغيل الخادم تمامًا ، بما في ذلك مزيف. ولكن نظرًا لأن الجزء الأولي من بيانات حزمة واحدة من حزمة واحدة لم يتم اعتمادها بعد ، تبقى البيانات المزيفة والحقيقية في ذاكرة النواة دون الذهاب إلى تطبيق الخادم. بمجرد أن يأتي الجزء الأول من الحزمة ، يعيد كتابة الجزء المزيف في ذاكرة النواة. تتلقى النواة بيانات من جزء واحد و 2 ، لذلك يتم إرسال التطبيق إلى مأخذ التطبيق. هذا هو سلوك كل نظام UNIX OS ، باستثناء Solaris ، لترك البيانات الأخيرة المعتمدة. يترك Windows بيانات قديمة ، لذلك سيؤدي الاضطراب مع Seqovl إلى تعزيزات عند العمل مع خوادم Windows. سولاريس قد مات تقريبًا ، وهناك عدد قليل جدًا من خوادم Windows. يمكنك استخدام الأوراق إذا لزم الأمر. تتيح لك الطريقة القيام بها دون خداع و TTL. يتم خلط Fakes مع بيانات حقيقية. لا يزال fakedsplit/fakeddisorder يضيف مزيدًا من المزيفات منفصلة إضافية.
يمكن أن يكون seqovl في الإصدار split فقط قيمة إيجابية مطلقة ، حيث يتم استخدامه فقط في الحزمة الأولى. في إصدار disorder ، كل خيارات العلامات مسموح بها. أنها تطبيع تلقائيا إلى الحزمة الحالية في السلسلة. يمكنك نسج على midsld وجعل Seqovl في midsld-1 .
hopbyhop و destopt و ipfrag1 أوضاع DESINGHRONIGY (لا ينبغي الخلط بينها وبين fololing!) تتعلق فقط بـ IPv6 وتتكون في إضافة hop-by-hop options أو destination options أو fragment في جميع الحزم التي تندرج تحت doinchronization. من الضروري هنا أن نفهم أن إضافة رأس يزيد من حجم الحزمة ، وبالتالي لا يمكن تطبيقه على حزم الحجم القصوى. هذا هو الحال عند نقل الرسائل الكبيرة. إذا كان من المستحيل إرسال الحزمة ، فسيتم إلغاء روح الروح ، فسيتم طرد الحزمة في الأصل. الحساب هو أن DPI سيشاهد 0 في حقل الرأس التالي لعنوان ipv6 الرئيسي ولن يقفز على محادثة تمديد بحثًا عن رأس النقل. وبالتالي ، لن يفهم أنه TCP أو UDP ، وسوف يفوت حزمة دون تحليل. ربما بعض DPI سوف يشتريها. يمكن دمجه مع أي أوضاع للمرحلة الثانية ، باستثناء خيار ipfrag1+ipfrag2 . على سبيل المثال ، يعني hopbyhop,multisplit تقسيم حزمة TCP إلى عدة قطاعات ، إضافة قفزة إلى كل منها. مع hopbyhop,ipfrag2 سيكون تسلسل الرأس: ipv6,hop-by-hop ، fragment ، tcp/udp . قد لا يعمل وضع ipfrag1 دائمًا دون تحضير خاص. انظر قسم IP фрагментация .
في معلمة DPI-Desync ، يمكنك تحديد ما يصل إلى 3 أوضاع من خلال فاصلة.
synack ، syndata ، --wsize ، --wssize . لا تعمل المرشحات في قائمة المضيف في هذه المرحلة.fake ، rst ، rstack .fakedsplit أو ipfrag2 ).تتطلب الأوضاع إشارة بترتيب زيادة أرقام الطور.
هناك DPIs تقوم بتحليل الإجابات من الخادم ، على وجه الخصوص ، شهادة من ServerHello ، حيث يتم تسجيل المجالات. تأكيد تسليم ClientHello هو حزمة خادم ACK مع تسلسل ACK ، المقابلة لطول ClientHello+1. في إصدار الاضطراب ، عادة ما يأتي التأكيد الجزئي (SACK) أولاً ، ثم ACK كامل. إذا كان هناك حزمة RST بدلاً من ACK أو SACK مع الحد الأدنى من التأخير ، فإن DPI يقطعك في مرحلة طلبك. إذا تابع RST ACK كامل بعد تأخير يساوي Ping للخادم ، فمن المحتمل أن يتفاعل DPI مع استجابة الخادم. يمكن أن يتخلف DPI عن الدفق إذا كان ClientHello قد راضٍ عنه وعدم التحقق من ServerHello. ثم أنت محظوظ. قد يعمل الخيار المزيف. إذا لم يتخلف عن الركب ويفحص ServerHello بعناد ، فيمكنك محاولة إجبار الخادم على إرسال ServerHello في أجزاء من خلال المعلمة -WsSize (انظر Conntrack). إذا لم يساعد هذا ، فمن غير المرجح أن يقوم بذلك شيء ما دون مساعدة من الخادم. أفضل حل هو تمكين دعم TLS 1.3 على الخادم. في ذلك ، يتم إرسال شهادة الخادم في نموذج مشفر. هذه توصية لجميع مدراء المواقع المحظورة. قم بتشغيل TLS 1.3. لذلك سوف تعطي المزيد من الفرص للتغلب على DPI.
في وثائق جنيف ، يسمى هذا "TCB Turnaround". محاولة لتضليل DPI فيما يتعلق بأدوار العميل والخادم.
نظرًا لأن الوضع ينتهك عمل NAT ، لا يمكن للمعدات العمل إلا إذا لم يكن هناك NAT بين جهاز الهجوم و DPI. لن يعمل الهجوم من خلال جهاز توجيه نات ، لكنه قد يعمل منه. لتنفيذ هجوم على حركة المرور ، مطلوب NFTABS و Postnat مخطط.
كل شيء بسيط هنا. تتم إضافة البيانات إلى حزمة SYN. يتجاهلهم جميع OS إذا لم يتم استخدام TCP Fast Open (TFO) ، ويمكن أن يتصور DPI دون فهم لتناول الطعام هناك TFO أم لا. لا تلمس الاتصالات الأصلية مع TFO ، لأن هذا سيؤدي بالتأكيد إلى كسرها. بدون معلمة توضيح ، تتم إضافة 16 بايت صفر.
من داخل VM من VirtualBox و VMware في NAT ، لا تعمل العديد من تقنيات حزمة NFQWS في وضع NAT. يتم استبدال TTL بالقوة ، لا تمر الحزم المزيفة. تحتاج إلى تكوين الشبكة في وضع الجسر.
تم تجهيز NFQWS بتنفيذ محدود لتتبع مركبات TCP. يتم تشغيله لتنفيذ بعض طرق مواجهة DPI. Connetrack قادر على مراقبة مرحلة الاتصال: SYN ، تأسست ، زعنفة ، عدد الحزم في كل اتجاه ، أرقام التسلسل. Connetrack قادر على "التغذية" مع كلا الحقائب الممر أو فقط في اتجاه واحد. يدخل الاتصال الجدول عند العثور على حزم مع أعلام تم تعيينها بواسطة Syn أو Syn ، ACK. لذلك ، إذا كنت بحاجة إلى conntrack ، في قواعد إعادة توجيه IPTABLES ، يجب أن ينتقل الاتصال إلى NFQWS من الحزمة الأولى ، على الرغم من أنه يمكن بعد ذلك اختراق مرشح connbytes. بالنسبة إلى UDP ، فإن البادئ للدخول إلى الجدول هو أول حزمة UDP. كما أنه يحدد اتجاه التدفق. يُعتقد أن حزمة UDP الأولى تأتي من العميل إلى الخادم. بعد ذلك ، تعتبر جميع الحزم مع src_ip,src_port,dst_ip,dst_port تنتمي إلى هذا التدفق قبل انتهاء وقت عدم النشاط. Conntrack بسيط ، لم يتم كتابته مع مراعاة جميع أنواع الهجمات على الاتصال ، فهو لا يتحقق من الحزم لصلاحية أرقام التسلسل أو Chekumm. تتمثل مهمتها فقط في الحفاظ على احتياجات NFQWs ، بل عادة ما تتغذى فقط على حركة المرور الصادرة ، وبالتالي فهي غير حساسة للبدائل من الشبكة الخارجية. تتم إزالة الاتصال من الجدول بمجرد اختفاء الحاجة لتتبعه أو في timout غير النشط. هناك مهلة منفصلة لكل مرحلة من مراحل الاتصال. يمكن تغييرها بواسطة المعلمة- --ctrack-timeouts .
-يتيح لك --wssize تغيير حجم نافذة TCP للخادم من العميل حتى يرسل الإجابات التالية إلى القطع. لكي تؤثر هذا على جميع نظام تشغيل الخادم ، من الضروري تغيير حجم النافذة في كل حزمة قادمة من العميل قبل إرسال الرسالة ، يجب تقسيم الإجابة (على سبيل المثال ، TLS ClientHello). هذا هو السبب في أنه من الضروري معرفة متى التوقف. إذا لم تتوقف وتثبيت WSSize منخفضة طوال الوقت ، فسوف تنخفض السرعة بشكل كارثي. في Linux ، يمكن إيقاف ذلك من خلال connbytes ، ولكن في أنظمة BSD لا يوجد مثل هذا الاحتمال. في حالة HTTP (S) ، نتوقف مباشرة بعد إرسال طلب HTTP الأول أو TLS ClientHello. إذا كنت تتعامل مع HTTP (S) ، فستحتاج إلى معلمة- --wssize-cutoff . يحدد الحد الذي يتوقف منه إجراء WSSize. بادئة D قبل الرقم تعني فقط الحزم ذات الحمولة النافعة للبيانات ، أو رقم التسلسل النسبي ، وبعبارة أخرى ، عدد البايتات المنقولة بواسطة العميل + 1. إذا كانت الحزمة مع طلب HTTP أو TLS ClientLol ، فإن إجراء WSSize يتوقف على الفور ، دون انتظار wssize -cutoff. إذا كان بروتوكولك عرضة للتقاعس الطويل ، يتم زيادة المرحلة المحددة من خلال المعلمة- --ctrack-timeouts . الافتراضي منخفض - 5 دقائق فقط. لا تنس أن NFQWS تتغذى على الحزم من خلال المجيء إليها. إذا قمت بحد من تناول الحزم من خلال connbytes ، فقد يظل الجدول مركبات معلقة في المرحلة المحددة ، والتي ستنخفض فقط بواسطة Timout. لتشخيص conntrack ، أرسل إشارة sigusr1 إلى NFQWS: killall -SIGUSR1 nfqws . سيتم عرض الجدول الحالي بواسطة NFQWS في stdout.
عادة ، في حزمة SYN ، يشير العميل ، بالإضافة إلى حجم النافذة ، وأيضًا scaling factor تمديد TCP. عامل التحجيم هو درجة deuce ، والتي يتم مضاعفها حسب حجم النافذة: 0 => 1 ، 1 => 2 ، 2 => 4 ، ... ، 8 => 256 ، ... في معلمة عامل التحجيم WSSIZE من خلال القولون. يمكن أن ينخفض عامل التحجيم فقط ، يتم حظر الزيادة لمنع تجاوز حجم النافذة من الخادم. لإجبار الخادم على تجزئة ServerHello ، لتجنب تطهير اسم الخادم من شهادة الخادم على DPI ، من الأفضل استخدام --wssize=1:6 . القاعدة الرئيسية هي جعل scale_factor قدر الإمكان بحيث بعد استعادة حجم النافذة ، يصبح الحجم النهائي للنافذة قدر الإمكان. إذا صنعت 64: 0 ، فسيكون بطيئًا جدًا. من ناحية أخرى ، من المستحيل السماح لاستجابة الخادم بأن تصبح كبيرة بما يكفي لإيجاد DPI المطلوب هناك.
-لا يعمل --wssize في ملفات تعريف مع الطبقات المضيفة ، لأنه يعمل منذ بداية الاتصال ، عندما لا يزال من المستحيل اتخاذ قرار بشأن الدخول إلى الورقة. ومع ذلك ، قد يحتوي الملف الشخصي مع قائمة المضيف التلقائي -على -wssize. -يمكن أن يبطئ --wssize السرعة و/أو زيادة وقت الاستجابة للمواقع ، لذلك إذا كانت هناك طرق عمل أخرى لتجاوز DPI ، فمن الأفضل استخدامها.
يتيح لك --dpi-desync-cutoff تعيين الحد الأقصى ، عند الوصول إلى DPI-Desync. البادئات N ، D ، S متوفرة بواسطة القياس C --wssize-cutoff . مفيد مع- --dpi-desync-any-protocol=1 . على المركبات عرضة للتقاعس ، يجب تغيير مهلة conntrack. إذا سقط الاتصال خارج conntrack وتم تعيين الخيار --dpi-desync-cutoff ، فلن يتم تطبيق dpi desync .
يدعم NFQWS إعادة تجميع بعض أنواع الطلبات. في الوقت الحالي ، هذا هو TLS و Quic ClientHello. إنها طويلة إذا قمت بتضمين تشفير TLS-Kyber بعد الربع في الكروم ، وعادة ما تشغل 2 أو 3 حزم. يتم تشغيل Kyber بشكل افتراضي ، بدءًا من Chromium 124. تم اختياره بصمات Chrome بواسطة TLS بصمة TLS. يمكن أن تكون SNI في البداية وفي النهاية ، أي ، الدخول في أي حزمة. عادةً ما يعيد تجميع DPI المفيد للطلب تمامًا ، وعندها فقط يتخذ قرارًا بشأن الحظر. In the case of obtaining a TLS or QUIC package with a partial Clienthello, the assembly process begins, and the packages are delayed and are not sent until its end. At the end of the assembly, the package passes through the desynchronization on the basis of the fully collected Clienthello. In case of any error during the assembly process, the detained packages are immediately sent to the network, and the desinchronization is canceled.
Есть специальная поддержка всех вариантов tcp сплита для многосегментного TLS. Если указать позицию сплита больше длины первого пакета, то разбивка происходит не обязательно первого пакета, а того, на который пришлась итоговая позиция. Если, допустим, клиент послал TLS ClientHello длиной 2000, SNI начинается с 1700, и заданы опции fake,multisplit , то перед первым пакетом идет fake, затем первый пакет в оригинале, а последний пакет разбивается на 2 сегмента. В итоге имеем фейк в начале и 3 реальных сегмента.
Атаки на udp более ограничены в возможностях. udp нельзя фрагментировать иначе, чем на уровне ip. Для UDP действуют только режимы десинхронизации fake , hopbyhop , destopt , ipfrag1 , ipfrag2 , udplen , tamper . Возможно сочетание fake , hopbyhop , destopt с ipfrag2 , fake , fakeknown с udplen и tamper. udplen увеличивает размер udp пакета на указанное в --dpi-desync-udplen-increment количество байтов. Паддинг заполняется нулями по умолчанию, но можно задать свой паттерн. Предназначено для обмана DPI, ориентирующегося на размеры пакетов. Может сработать, если пользовательский протокол не привязан жестко к размеру udp пейлоада. Режим tamper означает модификацию пакетов известных протоколов особенным для протокола образом. На текущий момент работает только с DHT. Поддерживается определение пакетов QUIC Initial с расшифровкой содержимого и имени хоста, то есть параметр --hostlist будет работать. Определяются пакеты wireguard handshake initiation и DHT (начинается с 'd1', кончается 'e'). Для десинхронизации других протоколов обязательно указывать --dpi-desync-any-protocol . Реализован conntrack для udp. Можно пользоваться --dpi-desync-cutoff. Таймаут conntrack для udp можно изменить 4-м параметром в --ctrack-timeouts . Атака fake полезна только для stateful DPI, она бесполезна для анализа на уровне отдельных пакетов. По умолчанию fake наполнение - 64 нуля. Можно указать файл в --dpi-desync-fake-unknown-udp .
Современная сеть практически не пропускает фрагментированные tcp на уровне ip. На udp с этим дело получше, поскольку некоторые udp протоколы могут опираться на этот механизм (IKE старых версий). Однако, кое-где бывает, что режут и фрагментированный udp. Роутеры на базе linux могут самопроизвольно собирать или перефрагментировать пакеты. Позиция фрагментации задается отдельно для tcp и udp. По умолчанию 24 и 8 соответственно, должна быть кратна 8. Смещение считается с транспортного заголовка.
Существует ряд моментов вокруг работы с фрагментами на Linux, без понимания которых может ничего не получиться.
ipv4 : Linux дает отсылать ipv4 фрагменты, но стандартные настройки iptables в цепочке OUTPUT могут вызывать ошибки отправки.
ipv6 : Нет способа для приложения гарантированно отослать фрагменты без дефрагментации в conntrack. На разных системах получается по-разному. Где-то нормально уходят, где-то пакеты дефрагментируются. Для ядер <4.16 похоже, что нет иного способа решить эту проблему, кроме как выгрузить модуль nf_conntrack , который подтягивает зависимость nf_defrag_ipv6 . Он то как раз и выполняет дефрагментацию. Для ядер 4.16+ ситуация чуть лучше. Из дефрагментации исключаются пакеты в состоянии NOTRACK. Чтобы не загромождать описание, смотрите пример решения этой проблемы в blockcheck.sh .
Иногда требуется подгружать модуль ip6table_raw с параметром raw_before_defrag=1 . В openwrt параметры модулей указываются через пробел после их названий в файлах /etc/modules.d . В традиционных системах посмотрите используется ли iptables-legacy или iptables-nft . Если legacy, то нужно создать файл /etc/modprobe.d/ip6table_raw.conf с содержимым :
options ip6table_raw raw_before_defrag=1
В некоторых традиционных дистрибутивах можно изменить текущий ip6tables через : update-alternatives --config ip6tables Если вы хотите оставаться на iptables-nft, вам придется пересобрать патченную версию. Патч совсем небольшой. В nft.c найдите фрагмент:
{
.name = "PREROUTING",
.type = "filter",
.prio = -300, /* NF_IP_PRI_RAW */
.hook = NF_INET_PRE_ROUTING,
},
{
.name = "OUTPUT",
.type = "filter",
.prio = -300, /* NF_IP_PRI_RAW */
.hook = NF_INET_LOCAL_OUT,
},
и замените везде -300 на -450.
Это нужно сделать вручную, никакой автоматики в blockcheck.sh нет.
Либо можно раз и навсегда избавиться от этой проблемы, используя nftables . Там можно создать netfilter hook с любым приоритетом. Используйте приоритет -401 и ниже.
При использовании iptables и NAT, похоже, что нет способа прицепить обработчик очереди после NAT. Пакет попадает в nfqws с source адресом внутренней сети, затем фрагментируется и уже не обрабатывается NAT. Так и уходит во внешюю сеть с src ip 192.168.xx Следовательно, метод не срабатывает. Видимо единственный рабочий метод - отказаться от iptables и использовать nftables. Хук должен быть с приоритетом 101 или выше.
nfqws способен по-разному реагировать на различные запросы и применять разные стратегии дурения. Это реализовано посредством поддержки множества профилей дурения. Профили разделяются в командной строке параметром --new . Первый профиль создается автоматически. Для него не нужно --new . Каждый профиль имеет фильтр. По умолчанию он пуст, то есть профиль удовлетворяет любым условиям. Фильтр может содержать жесткие параметры: версия ip протокола, ipset и порты tcp/udp. Они всегда однозначно идентифицируются даже на нулевой фазе десинхронизации, когда еще хост и L7 неизвестны. В качестве мягкого фильтра могут выступать хост-листы и протокол прикладного уровня (l7). L7 протокол становится известен обычно после первого пакета с данными. При поступлении запроса идет проверка профилей в порядке от первого до последнего до достижения первого совпадения с фильтром. Жесткие параметры фильтра сверяются первыми. При несовпадении идет сразу же переход к следующему профилю. Если какой-то профиль удовлетворяет жесткому фильтру и L7 фильтру и содержит авто-хостлист, он выбирается сразу. Если профиль удовлетворяет жесткому фильтру и L7 фильтру, для него задан хостлист, и у нас еще нет имени хоста, идет переход к следующему профилю. В противном случае идет проверка по хостлистам этого профиля. Если имя хоста удовлетворяет листам, выбирается этот профиль. Иначе идет переход к следующему. Может так случиться, что до получения имени хоста или узнавания L7 протокола соединение идет по одному профилю, а при выяснении этих параметров профиль меняется на лету. Это может произойти даже дважды - при выяснении L7 и имени хоста. Чаще всего это выяснение совмещается в одно действие, поскольку по одному пакету как правило узнается и L7, и хост. Поэтому если у вас есть параметры дурения нулевой фазы, тщательно продумывайте что может произойти при переключении стратегии. Смотрите debug log, чтобы лучше понять что делает nfqws. Нумерация профилей идет с 1 до N. Последним в цепочке создается пустой профиль с номером 0. Он используется, когда никакие условия фильтров не совпали.
مهم
Множественные стратегии создавались только для случаев, когда невозможно обьединить имеющиеся стратегии для разных ресурсов. Копирование стратегий из blockcheck для разных сайтов во множество профилей без понимания как они работают приведет к нагромождению параметров, которые все равно не покроют все возможные заблокированные ресурсы. Вы только увязните в этой каше.
مهم
user-mode реализация ipset создавалась не как удобная замена *nix версии, реализованной в ядре. Вариант в ядре работает гораздо эффективнее. Это создавалось для систем без подержки ipset в ядре. Конкретно - Windows и ядра Linux, собранные без nftables и ipset модулей ядра. Например, в android нет ipset.
iptables для задействования атаки на первые пакеты данных в tcp соединении :
iptables -t mangle -I POSTROUTING -o <внешний_интерфейс> -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
Этот вариант применяем, когда DPI не следит за всеми запросами http внутри keep-alive сессии. Если следит, направляем только первый пакет от https и все пакеты от http :
iptables -t mangle -I POSTROUTING -o <внешний_интерфейс> -p tcp --dport 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
iptables -t mangle -I POSTROUTING -o <внешний_интерфейс> -p tcp --dport 80 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
mark нужен, чтобы сгенерированный поддельный пакет не попал опять к нам на обработку. nfqws выставляет fwmark при его отсылке. хотя nfqws способен самостоятельно различать помеченные пакеты, фильтр в iptables по mark нужен при использовании connbytes, чтобы не допустить изменения порядка следования пакетов. Процессинг очереди - процесс отложенный. Если ядро имеет пакеты на отсылку вне очереди - оно их отправляет незамедлительно. Изменение правильного порядка следования пакетов при десинхронизации ломает всю идею. Так же были замечены дедлоки при достаточно большой отсылке пакетов из nfqws и отсутствии mark фильтра. Процесс может зависнуть. Поэтому наличие фильтра по mark в ip/nf tables можно считать обязательным.
Почему --connbytes 1:6 :
Для режима autottl необходимо перенаправление входящего SYN,ACK пакета или первого пакета соединения (что обычно есть тоже самое). Для режима autohostlist необходимы входящие RST и http redirect. Можно построить фильтр на tcp flags для выделения SYN,ACK и модуле u32 для поиска характерных паттернов http redirect, но проще использовать connbytes для выделения нескольких начальных входящих пакетов.
iptables -t mangle -I PREROUTING -i <внешний интерфейс> -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:3 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
Для quic :
iptables -t mangle -I POSTROUTING -o <внешний_интерфейс> -p udp --dport 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
6 пакетов берется, чтобы покрыть случаи возможных ретрансмиссий quic initial в случае плохой связи или если сервер плохо себя чувствует, а приложение настаивает именно на quic, не переходя на tcp. А так же для работы autohostlist по quic. Однако, autohostlist для quic не рекомендуется.
Можно начать с базовой конфигурации.
IFACE_WAN=wan
nft create table inet ztest
nft add chain inet ztest post "{type filter hook postrouting priority mangle;}"
nft add rule inet ztest post oifname $IFACE_WAN meta mark and 0x40000000 == 0 tcp dport "{80,443}" ct original packets 1-6 queue num 200 bypass
nft add rule inet ztest post oifname $IFACE_WAN meta mark and 0x40000000 == 0 udp dport 443 ct original packets 1-6 queue num 200 bypass
# auto hostlist with avoiding wrong ACK numbers in RST,ACK packets sent by russian DPI
sysctl net.netfilter.nf_conntrack_tcp_be_liberal=1
nft add chain inet ztest pre "{type filter hook prerouting priority filter;}"
nft add rule inet ztest pre iifname $IFACE_WAN tcp sport "{80,443}" ct reply packets 1-3 queue num 200 bypass
Для задействования IP фрагментации и datanoack на проходящие пакеты требуется особая конфигурация цепочек, перенаправляющая пакеты после NAT. В скриптах zapret эта схема называется POSTNAT , и она возможна только на nftables. Сгенерированные nfqws пакеты требуется на раннем этапе помечать как notrack , чтобы они не были испорчены NAT.
IFACE_WAN=wan
nft create table inet ztest
nft add chain inet ztest postnat "{type filter hook postrouting priority srcnat+1;}"
nft add rule inet ztest postnat oifname $IFACE_WAN meta mark and 0x40000000 == 0 tcp dport "{80,443}" ct original packets 1-6 queue num 200 bypass
nft add rule inet ztest postnat oifname $IFACE_WAN meta mark and 0x40000000 == 0 udp dport 443 ct original packets 1-6 queue num 200 bypass
nft add chain inet ztest predefrag "{type filter hook output priority -401;}"
nft add rule inet ztest predefrag "mark & 0x40000000 != 0x00000000 notrack"
Удаление тестовой таблицы :
nft delete table inet ztest
Если ваше устройство поддерживает аппаратное ускорение (flow offloading, hardware nat, hardware acceleration), то iptables могут не работать. При включенном offloading пакет не проходит по обычному пути netfilter. Необходимо или его отключить, или выборочно им управлять.
В новых ядрах присутствует software flow offloading (SFO). Пакеты, проходящие через SFO, так же проходят мимо большей части механизмов iptables. При включенном SFO работает DNAT/REDIRECT (tpws). Эти соединения исключаются из offloading. Однако, остальные соединения идут через SFO, потому NFQUEUE будет срабатывать только до помещения соединения в flowtable. Практически это означает, что почти весь функционал nfqws работать не будет. Offload включается через специальный target в iptables FLOWOFFLOAD . Не обязательно пропускать весь трафик через offload. Можно исключить из offload соединения, которые должны попасть на tpws или nfqws. openwrt не предусматривает выборочного управления offload. Поэтому скрипты zapret поддерживают свою систему выборочного управления offload в openwrt.
iptables target FLOWOFFLOAD - это проприетарное изобретение openwrt. Управление offload в nftables реализовано в базовом ядре linux без патчей.
tpws - это transparent proxy.
@<config_file>|$<config_file> ; читать конфигурацию из файла. опция должна быть первой. остальные опции игнорируются.
--debug=0|1|2|syslog|@<filename> ; 0,1,2 = логирование на косоль : 0=тихо, 1(default)=подробно, 2=отладка.
--debug-level=0|1|2 ; указать уровень логирования для syslog и @<filename>
--dry-run ; проверить опции командной строки и выйти. код 0 - успешная проверка.
--daemon ; демонизировать прогу
--pidfile=<file> ; сохранить PID в файл
--user=<username> ; менять uid процесса
--uid=uid[:gid] ; менять uid процесса
--bind-addr ; на каком адресе слушать. может быть ipv4 или ipv6 адрес
; если указан ipv6 link local, то требуется указать с какого он интерфейса : fe80::1%br-lan
--bind-linklocal=no|unwanted|prefer|force ; no : биндаться только на global ipv6
; unwanted (default) : предпочтительно global, если нет - LL
; prefer : предпочтительно LL, если нет - global
; force : биндаться только на LL
--bind-iface4=<iface> ; слушать на первом ipv4 интерфейса iface
--bind-iface6=<iface> ; слушать на первом ipv6 интерфейса iface
--bind-wait-ifup=<sec> ; ждать до N секунд появления и поднятия интерфейса
--bind-wait-ip=<sec> ; ждать до N секунд получения IP адреса (если задан --bind-wait-ifup - время идет после поднятия интерфейса)
--bind-wait-ip-linklocal=<sec>
; имеет смысл только при задании --bind-wait-ip
; --bind-linklocal=unwanted : согласиться на LL после N секунд
; --bind-linklocal=prefer : согласиться на global address после N секунд
--bind-wait-only ; подождать все бинды и выйти. результат 0 в случае успеха, иначе не 0.
--connect-bind-addr ; с какого адреса подключаться во внешнюю сеть. может быть ipv4 или ipv6 адрес
; если указан ipv6 link local, то требуется указать с какого он интерфейса : fe80::1%br-lan
; опция может повторяться для v4 и v6 адресов
; опция не отменяет правил маршрутизации ! выбор интерфейса определяется лишь правилами маршрутизации, кроме случая v6 link local.
--socks ; вместо прозрачного прокси реализовать socks4/5 proxy
--no-resolve ; запретить ресолвинг имен через socks5
--resolve-threads ; количество потоков ресолвера
--port=<port> ; на каком порту слушать
--maxconn=<max_connections> ; максимальное количество соединений от клиентов к прокси
--maxfiles=<max_open_files> ; макс количество файловых дескрипторов (setrlimit). мин требование (X*connections+16), где X=6 в tcp proxy mode, X=4 в режиме тамперинга.
; стоит сделать запас с коэффициентом как минимум 1.5. по умолчанию maxfiles (X*connections)*1.5+16
--max-orphan-time=<sec> ; если вы запускаете через tpws торрент-клиент с множеством раздач, он пытается установить очень много исходящих соединений,
; большая часть из которых отваливается по таймауту (юзера сидят за NAT, firewall, ...)
; установление соединения в linux может длиться очень долго. локальный конец отвалился, перед этим послав блок данных,
; tpws ждет подключения удаленного конца, чтобы отослать ему этот блок, и зависает надолго.
; настройка позволяет сбрасывать такие подключения через N секунд, теряя блок данных. по умолчанию 5 сек. 0 означает отключить функцию
; эта функция не действует на успешно подключенные ранее соединения
--local-rcvbuf=<bytes> ; SO_RCVBUF для соединений client-proxy
--local-sndbuf=<bytes> ; SO_SNDBUF для соединений client-proxy
--remote-rcvbuf=<bytes> ; SO_RCVBUF для соединений proxy-target
--remote-sndbuf=<bytes> ; SO_SNDBUF для соединений proxy-target
--nosplice ; не использовать splice на linux системах
--skip-nodelay ; не устанавливать в исходящих соединения TCP_NODELAY. несовместимо со split.
--local-tcp-user-timeout=<seconds> ; таймаут соединений client-proxy (по умолчанию : 10 сек, 0 = оставить системное значение)
--remote-tcp-user-timeout=<seconds> ; таймаут соединений proxy-target (по умолчанию : 20 сек, 0 = оставить системное значение)
--fix-seg=<int> ; исправлять неудачи tcp сегментации ценой задержек для всех клиентов и замедления. ждать до N мс. по умолчанию 30 мс.
--split-pos=N|-N|marker+N|marker-N ; список через запятую маркеров для tcp сегментации
--split-any-protocol ; применять сегментацию к любым пакетам. по умолчанию - только к известным протоколам (http, TLS)
--disorder[=http|tls] ; путем манипуляций с сокетом вынуждает отправлять первым второй сегмент разделенного запроса
--oob[=http|tls] ; отправить байт out-of-band data (OOB) в конце первой части сплита
--oob-data=<char>|0xHEX ; переопределить байт OOB. по умолчанию 0x00.
--hostcase ; менять регистр заголовка "Host:". по умолчанию на "host:".
--hostspell=HoST ; точное написание заголовка Host (можно "HOST" или "HoSt"). автоматом включает --hostcase
--hostdot ; добавление точки после имени хоста : "Host: kinozal.tv."
--hosttab ; добавление табуляции после имени хоста : "Host: kinozal.tvt"
--hostnospace ; убрать пробел после "Host:"
--hostpad=<bytes> ; добавить паддинг-хедеров общей длиной <bytes> перед Host:
--domcase ; домен после Host: сделать таким : TeSt.cOm
--methodspace ; добавить пробел после метода : "GET /" => "GET /"
--methodeol ; добавить перевод строки перед методом : "GET /" => "rnGET /"
--unixeol ; конвертировать 0D0A в 0A и использовать везде 0A
--tlsrec=N|-N|marker+N|marker-N ; разбивка TLS ClientHello на 2 TLS records на указанной позиции. Минимальное смещение - 6.
--mss=<int> ; установить MSS для клиента. может заставить сервер разбивать ответы, но существенно снижает скорость
--tamper-start=[n]<pos> ; начинать дурение только с указанной байтовой позиции или номера блока исходяшего потока (считается позиция начала принятого блока)
--tamper-cutoff=[n]<pos> ; закончить дурение на указанной байтовой позиции или номере блока исходящего потока (считается позиция начала принятого блока)
--hostlist=<filename> ; действовать только над доменами, входящими в список из filename. поддомены автоматически учитываются.
; в файле должен быть хост на каждой строке.
; список читается при старте и хранится в памяти в виде иерархической структуры для быстрого поиска.
; при изменении времени модификации файла он перечитывается автоматически по необходимости
; список может быть запакован в gzip. формат автоматически распознается и разжимается
; списков может быть множество. пустой общий лист = его отсутствие
; хосты извлекаются из Host: хедера обычных http запросов и из SNI в TLS ClientHello.
--hostlist-domains=<domain_list> ; фиксированный список доменов через зяпятую. можно использовать # в начале для комментирования отдельных доменов.
--hostlist-exclude=<filename> ; не применять дурение к доменам из листа. может быть множество листов. схема аналогична include листам.
--hostlist-exclude-domains=<domain_list> ; фиксированный список доменов через зяпятую. можно использовать # в начале для комментирования отдельных доменов.
--hostlist-auto=<filename> ; обнаруживать автоматически блокировки и заполнять автоматический hostlist (требует перенаправления входящего трафика)
--hostlist-auto-fail-threshold=<int> ; сколько раз нужно обнаружить ситуацию, похожую на блокировку, чтобы добавить хост в лист (по умолчанию: 3)
--hostlist-auto-fail-time=<int> ; все эти ситуации должны быть в пределах указанного количества секунд (по умолчанию: 60)
--hostlist-auto-debug=<logfile> ; лог положительных решений по autohostlist. позволяет разобраться почему там появляются хосты.
--new ; начало новой стратегии (новый профиль)
--skip ; не использовать этот профиль . полезно для временной деактивации профиля без удаления параметров.
--filter-l3=ipv4|ipv6 ; фильтр версии ip для текущей стратегии
--filter-tcp=[~]port1[-port2]|* ; фильтр портов tcp для текущей стратегии. ~ означает инверсию. поддерживается список через запятую.
--filter-l7=[http|tls|quic|wireguard|dht|unknown] ; фильтр протокола L6-L7. поддерживается несколько значений через запятую.
--ipset=<filename> ; включающий ip list. на каждой строчке ip или cidr ipv4 или ipv6. поддерживается множество листов и gzip. перечитка автоматическая.
--ipset-ip=<ip_list> ; фиксированный список подсетей через запятую. можно использовать # в начале для комментирования отдельных подсетей.
--ipset-exclude=<filename> ; исключающий ip list. на каждой строчке ip или cidr ipv4 или ipv6. поддерживается множество листов и gzip. перечитка автоматическая.
--ipset-exclude-ip=<ip_list> ; фиксированный список подсетей через запятую. можно использовать # в начале для комментирования отдельных подсетей.
tpws, как и nfqws, поддерживает множественную сегментацию запросов. Сплит позиции задаются в --split-pos . Указываются маркеры через запятую. Описание маркеров см в разделе nfqws.
На прикладном уровне в общем случае нет гарантированного средства заставить ядро выплюнуть блок данных, порезанным в определенном месте. ОС держит буфер отсылки (SNDBUF) у каждого сокета. Если у сокета включена опция TCP_NODELAY и буфер пуст, то каждый send приводит к отсылке отдельного ip пакета или группы пакетов, если блок не вмещается в один ip пакет. Однако, если в момент send уже имеется неотосланный буфер, то ОС присоединит данные к нему, никакой отсылки отдельным пакетом не будет. Но в этом случае и так нет никакой гарантии, что какой-то блок сообщения пойдет в начале пакета, на что собственно и заточены DPI. Разбиение будет производится согласно MSS, который зависит от MTU исходящего интерфейса. Таким образом DPI, смотрящие в начало поля данных TCP пакета, будут поломаны в любом случае. Протокол http относится к запрос-ответным протоколам. Новое сообщение посылается только тогда, когда сервер получил запрос и полностью вернул ответ. Значит запрос фактически был не только отослан, но и принят другой стороной, а следовательно буфер отсылки пуст, и следующие 2 send приведут к отсылке сегментов данных разными ip пакетами.
Таким образом tpws обеспечивает сплит только за счет раздельных вызовов send, и это обычно работает надежно, если разбивать не на слишком много частей и не на слишком мелкие подряд следующие части. В последнем случае Linux все же может обьединить некоторые части, что приведет к несоответствию реальной сегментации указанным сплит позициям. Другие ОС в этом вопросе ведут себя более предсказуемо. Спонтанного обьединения замечено не было. Поэтому не стоит злоупотреблять сплитами и в особенности мелкими соседними пакетами.
Как показывается практика, проблемы могут начаться , если количество сплит позиций превышает 8. При неудаче сегментации будет выводиться сообщение WARNING ! segmentation failed . Если вы его видите, это повод снизить количество сплит позиций. Если это не вариант, для ядер Linux >=4.6 есть параметр --fix-seg . Он позволяет подождать завершение отсылки перед отправкой следующей части. Но этот вариант ломает модель асинхронной обработки событий. Пока идет ожидание, все остальные соединения не обрабатываются и кратковременно подвисают. На практике это может быть совсем небольшое ожидание - менее 10 мс. И производится оно только , если происходит split, и в ожидании есть реальная необходимость. В высоконагруженных системах данный вариант не рекомендуется. Но для домашнего использования может подойти, и вы эти задержки даже не заметите.
Если вы пытаетесь сплитнуть массивную передачу с --split-any-protocol , когда информация поступает быстрее отсылки, то без --fix-seg ошибки сегментации будут сыпаться сплошным потоком. Работа по массивному потоку без ограничителей --tamper-start и --tamper-cutoff обычно лишена смысла.
tpws работает на уровне сокетов, поэтому длинный запрос, не вмещающийся в 1 пакет (TLS с kyber), он получает целым блоком. На каждую сплит часть он делает отдельный вызов send() . Но ОС не сможет отослать данные в одном пакете, если размер превысит MTU. В случае слишком большого сегмента ОС дополнительно его порежет на более мелкие. Результат должен быть аналогичен nfqws.
--disorder заставляет слать каждый 2-й пакет с TTL=1, начиная с первого. К серверу приходят все четные пакеты сразу. На остальные ОС делает ретрансмиссию, и они приходят потом. Это само по себе создает дополнительную задержку (200 мс в linux для первой ретрансмиссии). Иным способом сделать disorder в сокет варианте не представляется возможным. Итоговый порядок для 6 сегментов получается 2 4 6 1 3 5 .
--oob высылает 1 байт out-of-band data после первого сплит сегмента. oob в каждом сегменте сплита показал себя ненадежным. Сервер получает oob в сокет.
Сочетание oob и disorder возможно только в Linux. Остальные ОС не умеют с таким справляться. Флаг URG теряется при ретрансмиссиях. Сервер получает oob в сокет. Сочетание этих параметров в ос, кроме Linux, вызывает ошибку на этапе запуска.
--tlsrec позволяют внутри одного tcp сегмента разрезать TLS ClientHello на 2 TLS records. Можно использовать стандартный механизм маркеров для задания относительных позиций.
--tlsrec ломает значительное количество сайтов. Криптобиблиотеки (openssl, ...) на оконечных http серверах без проблем принимают разделенные tls сегменты, но мидлбоксы - не всегда. К мидлбоксам можно отнести CDN или системы ddos-защиты. Поэтому применение --tlsrec без ограничителей вряд ли целесообразно. В РФ --tlsrec обычно не работает с TLS 1.2, потому что цензор парсит сертификат сервера из ServerHello. Работает только с TLS 1.3, поскольку там эта информация шифруется. Впрочем, сейчас сайтов, не поддерживающих TLS 1.3, осталось немного.
--mss устанавливает опцию сокета TCP_MAXSEG. Клиент выдает это значение в tcp опциях SYN пакета. Сервер в ответ в SYN,ACK выдает свой MSS. На практике сервера обычно снижают размеры отсылаемых ими пакетов, но они все равно не вписываются в низкий MSS, указанный клиентом. Обычно чем больше указал клиент, тем больше шлет сервер. На TLS 1.2 если сервер разбил заброс так, чтобы домен из сертификата не попал в первый пакет, это может обмануть DPI, секущий ответ сервера. Схема может значительно снизить скорость и сработать не на всех сайтах. С фильтром по hostlist совместимо только в режиме socks при включенном удаленном ресолвинге хостов. (firefox network.proxy.socks_remote_dns). Это единственный вариант, когда tpws может узнать имя хоста еще на этапе установления соединения. Применяя данную опцию к сайтам TLS1.3, если броузер тоже поддерживает TLS1.3, то вы делаете только хуже. Но нет способа автоматически узнать когда надо применять, когда нет, поскольку MSS идет только в 3-way handshake еще до обмена данными, а версию TLS можно узнать только по ответу сервера, который может привести к реакции DPI. Использовать только когда нет ничего лучше или для отдельных ресурсов. Для http использовать смысла нет, поэтому заводите отдельный desync profile с фильтром по порту 443. Работает только на Linux, не работает на BSD и MacOS.
Параметр --hostpad=<bytes> добавляет паддинг-хедеров перед Host: на указанное количество байтов. Если размер <bytes> слишком большой, то идет разбивка на разные хедеры по 2K. Общий буфер приема http запроса - 64K, больший паддинг не поддерживается, да и http сервера такое уже не принимают. Полезно против DPI, выполняющих реассемблинг TCP с ограниченным буфером. Если техника работает, то после некоторого количества bytes http запрос начнет проходить до сайта. Если при этом критический размер padding около MTU, значит скорее всего DPI не выполняет реассемблинг пакетов, и лучше будет использовать обычные опции TCP сегментации. Если все же реассемблинг выполняется, то критический размер будет около размера буфера DPI. Он может быть 4K или 8K, возможны и другие значения.
Работают аналогично nfqws , кроме некоторых моментов. Нет параметра --filter-udp , поскольку tpws udp не поддерживает. Методы нулевой фазы ( --mss ) могут работать по хостлисту в одном единственном случае: если используется режим socks и удаленный ресолвинг хостов через прокси. То есть работоспособность вашей настройки в одном и том же режиме может зависеть от того, применяет ли клиент удаленный ресолвинг. Это может быть неочевидно. В одной программе работает, в другой - нет. Если вы используете профиль с хостлистом , и вам нужен mss, укажите mss в профиле с хостлистом, создайте еще один профиль без хостлиста, если его еще нет, и в нем еще раз укажите mss. Тогда при любом раскладе будет выполняться mss. Используйте curl --socks5 и curl --socks5-hostname для проверки вашей стратегии. Смотрите вывод --debug , чтобы убедиться в правильности настроек.
--debug allows you to display a detailed log of actions to the console, in Syslog or to a file. The procedure for following the options may be important. --debug is best indicated at the very beginning. Options are analyzed sequentially. If the error is checking the option, and the case has not yet reached the --debug , then the messages will not be displayed to the file or Syslog. --debug=0|1|2 allow you to immediately include logistics on the console in one parameter and indicate the level. Saved for compatibility with older versions. To select a level in Syslog or File, use a separate parameter --debug-level . If in these --debug modes do not indicate the level through --debug-level , then level 1 is automatically assigned. When logging into the file, the process does not hold the file open. For the sake of each recording, the file opens and then closes. So the file can be deleted at any time, and it will be created again at the first message in the log. But keep in mind that if you start the process under the Root, you will be replaced by UID to non-ROOT. In the beginning, the file changes on the log, otherwise the recording will be impossible. If you then delete the file, and the process will not have the right to create a file in its directory, the log will no longer be conducted. Instead of removal, it is better to use truncate. In Shel, this can be done through the command ":> Filename"
tpws может биндаться на множество интерфейсов и IP адресов (до 32 шт). Порт всегда только один. Параметры --bind-iface* и --bind-addr создают новый бинд. Остальные параметры --bind-* относятся к последнему бинду. Для бинда на все ipv4 укажите --bind-addr "0.0.0.0" , на все ipv6 - "::" . --bind-addr="" - биндаемся на все ipv4 и ipv6. Выбор режима использования link local ipv6 адресов ( fe80::/8 ) :
--bind-iface6 --bind-linklocal=no : сначала приватный адрес fc00::/7, затем глобальный адрес
--bind-iface6 --bind-linklocal=unwanted : сначала приватный адрес fc00::/7, затем глобальный адрес, затем link local.
--bind-iface6 --bind-linklocal=prefer : сначала link local, затем приватный адрес fc00::/7, затем глобальный адрес.
--bind-iface6 --bind-linklocal=force : только link local
Если не указано ни одного бинда, то создается бинд по умолчанию на все адреса всех интерфейсов. Для бинда на конкретный link-local address делаем так : --bind-iface6=fe80::aaaa:bbbb:cccc:dddd%iface-name Параметры --bind-wait* могут помочь в ситуациях, когда нужно взять IP с интерфейса, но его еще нет, он не поднят или не сконфигурирован. В разных системах события ifup ловятся по-разному и не гарантируют, что интерфейс уже получил IP адрес определенного типа. В общем случае не существует единого механизма повеситься на событие типа "на интерфейсе X появился link local address". Для бинда на известный ip, когда еще интерфейс не сконфигурирован, нужно делать так: --bind-addr=192.168.5.3 --bind-wait-ip=20 В режиме transparent бинд возможен на любой несуществующий адрес, в режиме socks - только на существующий.
Параметры rcvbuf и sndbuf позволяют установить setsockopt SO_RCVBUF SO_SNDBUF для локального и удаленного соединения.
--skip-nodelay может быть полезен, когда tpws используется без дурения, чтобы привести MTU к MTU системы, на которой работает tpws. Это может быть полезно для скрытия факта использования VPN. Пониженный MTU - 1 из способов обнаружения подозрительного подключения. С tcp proxy ваши соединения неотличимы от тех, что сделал бы сам шлюз.
--local-tcp-user-timeout и --remote-tcp-user-timeout устанавливают значение таймаута в секундах для соединений клиент-прокси и прокси-сервер. Этот таймаут соответствует опции сокета linux TCP_USER_TIMEOUT. Под таймаутом подразумевается время, в течение которого буферизированные данные не переданы или на переданные данные не получено подтверждение (ACK) от другой стороны. Этот таймаут никак не касается времени отсутствия какой-либо передачи через сокет лишь потому, что данных для передачи нет. Полезно для сокращения время закрытия подвисших соединений. Поддерживается только на Linux и MacOS.
Режим --socks не требует повышенных привилегий (кроме бинда на привилегированные порты 1..1023). Поддерживаются версии socks 4 и 5 без авторизации. Версия протокола распознается автоматически. Подключения к IP того же устройства, на котором работает tpws, включая localhost, запрещены. socks5 позволяет удаленно ресолвить хосты (curl : --socks5-hostname firefox : socks_remote_dns=true). tpws поддерживает эту возможность асинхронно, не блокируя процессинг других соединений, используя многопоточный пул ресолверов. Количество потоков определяется автоматически в зависимости от --maxconn , но можно задать и вручную через параметр --resolver-threads . Запрос к socks выставляется на паузу, пока домен не будет преобразован в ip адрес в одном из потоков ресолвера. Ожидание может быть более длинным, если все потоки заняты. Если задан параметр --no-resolve , то подключения по именам хостов запрещаются, а пул ресолверов не создается. Тем самым экономятся ресурсы.
Для перенаправления tcp соединения на transparent proxy используются команды следующего вида :
iptables -t nat -I OUTPUT -o <внешний_интерфейс> -p tcp --dport 80 -m owner ! --uid-owner tpws -j DNAT --to 127.0.0.127:988
iptables -t nat -I PREROUTING -i <внутренний_интерфейс> -p tcp --dport 80 -j DNAT --to 127.0.0.127:988
Первая команда для соединений с самой системы, вторая - для проходящих через роутер соединений.
DNAT на localhost работает в цепочке OUTPUT, но не работает в цепочке PREROUTING без включения параметра route_localnet :
sysctl -w net.ipv4.conf.<внутренний_интерфейс>.route_localnet=1
Можно использовать -j REDIRECT --to-port 988 вместо DNAT, однако в этом случае процесс transparent proxy должен слушать на ip адресе входящего интерфейса или на всех адресах. Слушать на всех - не есть хорошо с точки зрения безопасности. Слушать на одном (локальном) можно, но в случае автоматизированного скрипта придется его узнавать, потом динамически вписывать в команду. В любом случае требуются дополнительные усилия. Использование route_localnet тоже имеет потенциальные проблемы с безопасностью. Вы делаете доступным все, что висит на 127.0.0.0/8 для локальной подсети < внутренний_интерфейс>. Службы обычно привязываются к 127.0.0.1 , поэтому можно средствами iptables запретить входящие на 127.0.0.1 не с интерфейса lo, либо повесить tpws на любой другой IP из из 127.0.0.0/8 , например на 127.0.0.127 , и разрешить входящие не с lo только на этот IP.
iptables -A INPUT ! -i lo -d 127.0.0.127 -j ACCEPT
iptables -A INPUT ! -i lo -d 127.0.0.0/8 -j DROP
Фильтр по owner необходим для исключения рекурсивного перенаправления соединений от самого tpws. tpws запускается под пользователем tpws , для него задается исключающее правило.
IP6Tables work almost in the same way as IPV4, but there are a number of important nuances. In Dnat, you should take the address --to in square brackets. على سبيل المثال :
ip6tables -t nat -I OUTPUT -o <внешний_интерфейс> -p tcp --dport 80 -m owner ! --uid-owner tpws -j DNAT --to [::1]:988
Параметра route_localnet не существует для ipv6. DNAT на localhost (::1) возможен только в цепочке OUTPUT. В цепочке PREROUTING DNAT возможен на любой global address или на link local address того же интерфейса, откуда пришел пакет. NFQUEUE работает без изменений.
Базовая конфигурация :
IFACE_WAN=wan
IFACE_LAN=br-lan
sysctl -w net.ipv4.conf.$IFACE_LAN.route_localnet=1
nft create table inet ztest
nft create chain inet ztest localnet_protect
nft add rule inet ztest localnet_protect ip daddr 127.0.0.127 return
nft add rule inet ztest localnet_protect ip daddr 127.0.0.0/8 drop
nft create chain inet ztest input "{type filter hook input priority filter - 1;}"
nft add rule inet ztest input iif != "lo" jump localnet_protect
nft create chain inet ztest dnat_output "{type nat hook output priority dstnat;}"
nft add rule inet ztest dnat_output meta skuid != tpws oifname $IFACE_WAN tcp dport { 80, 443 } dnat ip to 127.0.0.127:988
nft create chain inet ztest dnat_pre "{type nat hook prerouting priority dstnat;}"
nft add rule inet ztest dnat_pre meta iifname $IFACE_LAN tcp dport { 80, 443 } dnat ip to 127.0.0.127:988
Удаление таблицы :
nft delete table inet ztest
!!! NFTables cannot work with IPSET-am. Own similar mechanism requires a huge amount of RAM !!! To download large sheets. For example, even 256 MB is not enough for a 100K post in NFSET. !!! If you need large sheets on home routers, roll back to the iPtables+IPSET.
ipset/zapret-hosts-user.txt и запустите ipset/get_user.sh На выходе получите ipset/zapret-ip-user.txt с IP адресами.Cкрипты с названием get_reestr_* оперируют дампом реестра заблокированных сайтов :
ipset/get_reestr_resolve.sh получает список доменов от rublacklist и дальше их ресолвит в ip адреса в файл ipset/zapret-ip.txt.gz. В этом списке есть готовые IP адреса, но судя во всему они там в точности в том виде, что вносит в реестр РосКомПозор. Адреса могут меняться, позор не успевает их обновлять, а провайдеры редко банят по IP : вместо этого они банят http запросы с "нехорошим" заголовком "Host:" вне зависимости от IP адреса. Поэтому скрипт ресолвит все сам, хотя это и занимает много времени. Используется мультипоточный ресолвер mdig (собственная разработка).
ipset/get_reestr_preresolved.sh . то же самое, что и 2), только берется уже заресолвленый список со стороннего ресурса.
ipset/get_reestr_preresolved_smart.sh . то же самое, что и 3), с добавлением всего диапазона некоторых автономных систем (прыгающие IP адреса из cloudflare, facebook, ...) и некоторых поддоменов блокируемых сайтов
Cкрипты с названием get_antifilter_* оперируют списками адресов и масок подсетей с сайтов antifilter.network и antifilter.download :
ipset/get_antifilter_ip.sh . получает лист https://antifilter.download/list/ip.lst.
ipset/get_antifilter_ipsmart.sh . получает лист https://antifilter.network/download/ipsmart.lst. умная суммаризация отдельных адресов из ip.lst по маскам от /32 до /22
ipset/get_antifilter_ipsum.sh . получает лист https://antifilter.download/list/ipsum.lst. суммаризация отдельных адресов из ip.lst по маске /24
ipset/get_antifilter_ipresolve.sh . получает лист https://antifilter.download/list/ipresolve.lst. пре-ресолвленный список, аналогичный получаемый при помощи get_reestr_resolve. только ipv4.
ipset/get_antifilter_allyouneed.sh . получает лист https://antifilter.download/list/allyouneed.lst. Суммарный список префиксов, созданный из ipsum.lst и subnet.lst.
ipset/get_refilter_ipsum.sh . Список берется отсюда : https://github.com/1andrevich/Re-filter-lists
Все варианты рассмотренных скриптов автоматически создают и заполняют ipset. Варианты 2-10 дополнительно вызывают вариант 1.
ipset/get_config.sh . этот скрипт вызывает то, что прописано в переменной GETLIST из файла config Если переменная не определена, то ресолвятся лишь листы для ipset nozapret/nozapret6.Листы РКН все время изменяются. Возникают новые тенденции. Требования к RAM могут меняться. Поэтому необходима нечастая, но все же регулярная ревизия что же вообще у вас происходит на роутере. Или вы можете узнать о проблеме лишь когда у вас начнет постоянно пропадать wifi, и вам придется его перезагружать каждые 2 часа (метод кувалды).
The most gentle options for RAM - get_antifilter_allyouneed.sh , get_antifilter_ipsum.sh , get_refilter_*.sh .
Листы zapret-ip.txt и zapret-ipban.txt сохраняются в сжатом виде в файлы .gz. Это позволяет снизить их размер во много раз и сэкономить место на роутере. Отключить сжатие листов можно параметром конфига GZIP_LISTS=0.
На роутерах не рекомендуется вызывать эти скрипты чаще раза за 2 суток, поскольку сохранение идет либо во внутреннюю флэш память роутера, либо в случае extroot - на флэшку. В обоих случаях слишком частая запись может убить флэшку, но если это произойдет с внутренней флэш памятью, то вы просто убьете роутер.
Принудительное обновление ipset выполняет скрипт ipset/create_ipset.sh . Если передан параметр no-update , скрипт не обновляет ipset , а только создает его при его отсутствии и заполняет. Это полезно, когда могут случиться несколько последовательных вызовов скрипта. Нет смысла несколько раз перезаполнять ipset , это длительная операция на больших листах. Листы можно обновлять раз в несколько суток, и только тогда вызывать create_ipset без параметра no-update . Во всех остальных случаях стоит применять no-update .
Список РКН уже достиг внушительных размеров в сотни тысяч IP адресов. Поэтому для оптимизации ipset применяется утилита ip2net . Она берет список отдельных IP адресов и пытается интеллектуально создать из него подсети для сокращения количества адресов. ip2net отсекает неправильные записи в листах, гарантируя отсутствие ошибок при их загрузке. ip2net написан на языке C, поскольку операция ресурсоемкая. Иные способы роутер может не потянуть.
Можно внести список доменов в ipset/zapret-hosts-user-ipban.txt . Их ip адреса будут помещены в отдельный ipset ipban . Он может использоваться для принудительного завертывания всех соединений на прозрачный proxy redsocks или на VPN.
IPV6 : если включен ipv6, то дополнительно создаются листы с таким же именем, но с "6" на конце перед расширением. zapret-ip.txt => zapret-ip6.txt Создаются ipset-ы zapret6 и ipban6. Листы с antifilter не содержат список ipv6 адресов.
СИСТЕМА ИСКЛЮЧЕНИЯ IP . Все скрипты ресолвят файл zapret-hosts-user-exclude.txt , создавая zapret-ip-exclude.txt и zapret-ip-exclude6.txt . Они загоняются в ipset-ы nozapret и nozapret6. Все правила, создаваемые init скриптами, создаются с учетом этих ipset. Помещенные в них IP не участвуют в процессе. zapret-hosts-user-exclude.txt может содержать домены, ipv4 и ipv6 адреса или подсети.
FreeBSD . Скрипты ipset/*.sh работают так же на FreeBSD. Вместо ipset они создают lookup таблицы ipfw с аналогичными именами. ipfw таблицы в отличие от ipset могут содержать как ipv4, так и ipv6 адреса и подсети в одной таблице, поэтому разделения нет.
Параметр конфига LISTS_RELOAD задает произвольную команду для перезагрузки листов. Это особенно полезно на BSD системах с PF. LISTS_RELOAD=- отключает перезагрузку листов.
Утилита ip2net предназначена для преобразования ipv4 или ipv6 списка ip в список подсетей с целью сокращения размера списка. Входные данные берутся из stdin, выходные выдаются в stdout .
-4 ; лист - ipv4 (по умолчанию)
-6 ; лист - ipv6
--prefix-length=min[-max] ; диапазон рассматриваемых длин префиксов. например : 22-30 (ipv4), 56-64 (ipv6)
--v4-threshold=mul/div ; ipv4 : включать подсети, в которых заполнено по крайней мере mul/div адресов. например : 3/4
--v6-threshold=N ; ipv6 : минимальное количество ip для создания подсети
В списке могут присутствовать записи вида ip/prefix и ip1-ip2. Такие записи выкидываются в stdout без изменений. Они принимаются командой ipset. ipset умеет для листов hash:net из ip1-ip2 делать оптимальное покрытие ip/prefix. ipfw из FreeBSD понимает ip/prefix, но не понимает ip1-ip2. ip2net фильтрует входные данные, выкидывая неправильные IP адреса.
Выбирается подсеть, в которой присутствует указанный минимум адресов. Для ipv4 минимум задается как процент от размера подсети (mul/div. например, 3/4), для ipv6 минимум задается напрямую.
Размер подсети выбирается следующим алгоритмом: Сначала в указанном диапазоне длин префиксов ищутся подсети, в которых количество адресов - максимально. Если таких сетей найдено несколько, берется наименьшая сеть (префикс больше). Например, заданы параметры v6_threshold=2 prefix_length=32-64, имеются следующие ipv6 :
1234:5678:aaaa::5
1234:5678:aaaa::6
1234:5678:aaac::5
Результат будет :
1234:5678:aaa8::/45
Эти адреса так же входят в подсеть /32. Однако, нет смысла проходиться ковровой бомбардировкой, когда те же самые адреса вполне влезают в /45 и их ровно столько же. Если изменить v6_threshold=4, то результат будет:
1234:5678:aaaa::5
1234:5678:aaaa::6
1234:5678:aaac::5
То есть ip не объединятся в подсеть, потому что их слишком мало. Если изменить prefix_length=56-64 , результат будет:
1234:5678:aaaa::/64
1234:5678:aaac::5
Требуемое процессорное время для вычислений сильно зависит от ширины диапазона длин префиксов, размера искомых подсетей и длины листа. Если ip2net думает слишком долго, не используйте слишком большие подсети и уменьшите диапазон длин префиксов. Учтите, что арифметика mul/div - целочисленная. При превышении разрядной сетки 32 bit результат непредсказуем. Не надо делать такое: 5000000/10000000. 1/2 - гораздо лучше.
Программа предназначена для многопоточного ресолвинга больших листов через системный DNS. Она берет из stdin список доменов и выводит в stdout результат ресолвинга. Ошибки выводятся в stderr.
--threads=<threads_number> ; количество потоков. по умолчанию 1.
--family=<4|6|46> ; выбор семейства IP адресов : ipv4, ipv6, ipv4+ipv6
--verbose ; дебаг-лог на консоль
--stats=N ; выводить статистику каждые N доменов
--log-resolved=<file> ; сохранять успешно отресолвленные домены в файл
--log-failed=<file> ; сохранять неудачно отресолвленные домены в файл
--dns-make-query=<domain> ; вывести в stdout бинарный DNS запрос по домену. если --family=6, запрос будет AAAA, иначе A.
--dns-parse-query ; распарсить бинарный DNS ответ и выдать все ivp4 и ipv6 адреса из него в stdout
Параметры --dns-make-query и --dns-parse-query позволяют провести ресолвинг одного домена через произвольный канал. Например, следующим образом можно выполнить DoH запрос, используя лишь mdig и curl :
mdig --family=6 --dns-make-query=rutracker.org | curl --data-binary @- -H "Content-Type: application/dns-message" https://cloudflare-dns.com/dns-query | mdig --dns-parse-query
Альтернативой ipset является использование tpws или nfqws со списком доменов. Оба демона принимают неограниченное количество листов include ( --hostlist ) и exclude ( --hostlist-exclude ). Прежде всего проверяются exclude листы. При вхождении в них происходит отказ от дурения. Далее при наличии include листов проверяется домен на вхождение в них. При невхождении в список отказ от дурения. Если все include листы пустые, это приравнивается к отсутствию include листов. Ограничение перестает работать. В иных случаях происходит дурение. Нет ни одного списка - дурение всегда. Есть только exclude список - дурение всех, кроме. Есть только include список - дурение только их. Есть оба - дурение только include, кроме exclude.
В системе запуска это обыграно следующим образом. Присутствуют 2 include списка : ipset/zapret-hosts-users.txt.gz или ipset/zapret-hosts-users.txt , ipset/zapret-hosts.txt.gz или ipset/zapret-hosts.txt и 1 exclude список ipset/zapret-hosts-users-exclude.txt.gz или ipset/zapret-hosts-users-exclude.txt
При режимах фильтрации MODE_FILTER=hostlist или MODE_FILTER=autohostlist система запуска передает nfqws или tpws все листы, файлы которых присутствуют. Передача происходит через замену маркеров <HOSTLIST> и <HOSTLIST_NOAUTO> на реальные параметры --hostlist , --hostlist-exclude , --hostlist-auto . Если вдруг листы include присутствуют, но все они пустые, то работа аналогична отсутствию include листа. Файл есть, но не смотря на это дурится все, кроме exclude. Если вам нужен именно такой режим - не обязательно удалять zapret-hosts-users.txt . Достаточно сделать его пустым.
Поддомены учитываются автоматически. Например, строчка "ru" вносит в список " .ru". Строчка " .ru" в списке не сработает.
Список доменов РКН может быть получен скриптами
ipset/get_reestr_hostlist.sh
ipset/get_antizapret_domains.sh
ipset/get_reestr_resolvable_domains.sh
ipset/get_refilter_domains.sh
Он кладется в ipset/zapret-hosts.txt.gz .
При изменении времени модификации файлов списки перечитываются автоматически.
При фильтрации по именам доменов демон должен запускаться без фильтрации по ipset. tpws и nfqws решают нужно ли применять дурение в зависимости от хоста, полученного из протокола прикладного уровня (http, tls, quic). При использовании больших списков, в том числе списка РКН, оцените объем RAM на роутере ! Если после запуска демона RAM под завязку или случаются oom, значит нужно отказаться от таких больших списков.
Этот режим позволяет проанализировать как запросы со стороны клиента, так и ответы от сервера. Если хост еще не находится ни в каких листах и обнаруживается ситуация, похожая на блокировку, происходит автоматическое добавление хоста в список autohostlist как в памяти, так и в файле. nfqws или tpws сами ведут этот файл. Чтобы какой-то хост не смог попась в autohostlist используйте hostlist-exclude . Если он все-же туда попал - удалите запись из файла вручную. Процессы автоматически перечитают файл. tpws / nfqws сами назначают владельцем файла юзера, под которым они работают после сброса привилегий, чтобы иметь возможность обновлять лист.
В случае nfqws данный режим требует перенаправления в том числе и входящего трафика. Крайне рекомендовано использовать ограничитель connbytes , чтобы nfqws не обрабатывал гигабайты. По этой же причине не рекомендуется использование режима на BSD системах. Там нет фильтра connbytes .
На linux системах при использовании nfqws и фильтра connbytes может понадобится : sysctl net.netfilter.nf_conntrack_tcp_be_liberal=1 Было замечено, что некоторые DPI в России возвращают RST с неверным ACK. Это принимается tcp/ip стеком linux, но через раз приобретает статус INVALID в conntrack. Поэтому правила с connbytes срабатывают через раз, не пересылая RST пакет nfqws .
Как вообще могут вести себя DPI, получив "плохой запрос" и приняв решение о блокировке:
nfqws и tpws могут сечь варианты 1-3, 4 они не распознают. Всилу специфики работы с отдельными пакетами или с TCP каналом tpws и nfqws распознают эти ситуации по-разному. Что считается ситуацией, похожей на блокировку :
Чтобы снизить вероятность ложных срабатываний, имеется счетчик ситуаций, похожих на блокировку. Если за определенное время произойдет более определенного их количества, хост считается заблокированным и заносится в autohostlist . По нему сразу же начинает работать стратегия по обходу блокировки. Если в процессе счета вебсайт отвечает без признаков блокировки, счетчик сбрасывается. Вероятно, это был временный сбой сайта.
На практике работа с данным режимом выглядит так. Первый раз пользователь заходит на сайт и получает заглушку, сброс соединения или броузер подвисает, вываливаясь по таймауту с сообщением о невозможности загрузить страницу. Надо долбить F5, принуждая броузер повторять попытки. После некоторой попытки сайт начинает работать, и дальше он будет работать всегда.
С этим режимом можно использовать техники обхода, ломающие значительное количество сайтов. Если сайт не ведет себя как заблокированный, значит обход применен не будет. В противном случае терять все равно нечего. Однако, могут быть временные сбои сервера, приводящие к ситуации, аналогичной блокировке. Могут происходит ложные срабатывания. Если такое произошло, стратегия может начать ломать незаблокированный сайт. Эту ситуацию, увы, придется вам контролировать вручную. Заносите такие домены в ipset/zapret-hosts-user-exclude.txt , чтобы избежать повторения. Чтобы впоследствии разобраться почему домен был занесен в лист, можно включить autohostlist debug log . Он полезен тем, что работает без постоянного просмотра вывода nfqws в режиме debug. В лог заносятся только основные события, ведущие к занесению хоста в лист. По логу можно понять как избежать ложных срабатываний и подходит ли вообще вам этот режим.
Можно использовать один autohostlist с множеством процессов. Все процессы проверяют время модификации файла. Если файл был изменен в другом процессе, происходит его перечитывание. Все процессы должны работать под одним uid, чтобы были права доступа на файл.
Скрипты zapret ведут autohostlist в ipset/zapret-hosts-auto.txt . install_easy.sh при апгрейде zapret сохраняет этот файл. Режим autohostlist включает в себя режим hostlist . Можно вести ipset/zapret-hosts-user.txt , ipset/zapret-hosts-user-exclude.txt .
Перед настройкой нужно провести исследование какую бяку устроил вам ваш провайдер.
Нужно выяснить не подменяет ли он DNS и какой метод обхода DPI работает. В этом вам поможет скрипт blockcheck.sh .
Если DNS подменяется, но провайдер не перехватывает обращения к сторонним DNS, поменяйте DNS на публичный. Например: 8.8.8.8, 8.8.4.4, 1.1.1.1, 1.0.0.1, 9.9.9.9 Если DNS подменяется и провайдер перехватывает обращения к сторонним DNS, настройте dnscrypt . Еще один эффективный вариант - использовать ресолвер от yandex 77.88.8.88 на нестандартном порту 1253. Многие провайдеры не анализируют обращения к DNS на нестандартных портах. blockcheck если видит подмену DNS автоматически переключается на DoH сервера.
Следует прогнать blockcheck по нескольким заблокированным сайтам и выявить общий характер блокировок. Разные сайты могут быть заблокированы по-разному, нужно искать такую технику, которая работает на большинстве. Чтобы записать вывод blockcheck.sh в файл, выполните: ./blockcheck.sh | tee /tmp/blockcheck.txt .
Проанализируйте какие методы дурения DPI работают, в соответствии с ними настройте /opt/zapret/config .
Имейте в виду, что у провайдеров может быть несколько DPI или запросы могут идти через разные каналы по методу балансировки нагрузки. Балансировка может означать, что на разных ветках разные DPI или они находятся на разных хопах. Такая ситуация может выражаться в нестабильности работы обхода. Дернули несколько раз curl. То работает, то connection reset или редирект. blockcheck.sh выдает странноватые результаты. То split работает на 2-м. хопе, то на 4-м. Достоверность результата вызывает сомнения. В этом случае задайте несколько повторов одного и того же теста. Тест будет считаться успешным только, если все попытки пройдут успешно.
При использовании autottl следует протестировать как можно больше разных доменов. Эта техника может на одних провайдерах работать стабильно, на других потребуется выяснить при каких параметрах она стабильна, на третьих полный хаос, и проще отказаться.
Blockcheck имеет 3 уровня сканирования.
quick - максимально быстро найти хоть что-то работающее.standard дает возможность провести исследование как и на что реагирует DPI в плане методов обхода.force дает максимум проверок даже в случаях, когда ресурс работает без обхода или с более простыми стратегиями.Есть ряд других параметров, которые не будут спрашиваться в диалоге, но которые можно переопределить через переменные.
CURL - замена программы curl
CURL_MAX_TIME - время таймаута curl в секундах
CURL_MAX_TIME_QUIC - время таймаута curl для quic. если не задано, используется значение CURL_MAX_TIME
CURL_CMD=1 - показывать команды curl
CURL_OPT - дополнительные параметры curl. `-k` - игнор сертификатов. `-v` - подробный вывод протокола
DOMAINS - список тестируемых доменов через пробел
HTTP_PORT, HTTPS_PORT, QUIC_PORT - номера портов для соответствующих протоколов
SKIP_DNSCHECK=1 - отказ от проверки DNS
SKIP_TPWS=1 - отказ от тестов tpws
SKIP_PKTWS=1 - отказ от тестов nfqws/dvtws/winws
PKTWS_EXTRA, TPWS_EXTRA - дополнительные параметры nfqws/dvtws/winws и tpws
PKTWS_EXTRA_1 .. PKTWS_EXTRA_9, TPWS_EXTRA_1 .. TPWS_EXTRA_9 - отдельно дополнительные параметры, содержащие пробелы
SECURE_DNS=0|1 - принудительно выключить или включить DoH
DOH_SERVERS - список URL DoH через пробел для автоматического выбора работающего сервера
DOH_SERVER - конкретный DoH URL, отказ от поиска
UNBLOCKED_DOM - незаблокированный домен, который используется для тестов IP block
Пример запуска с переменными:
SECURE_DNS=1 SKIP_TPWS=1 CURL_MAX_TIME=1 CURL=/tmp/curl ./blockcheck.sh
СКАН ПОРТОВ
Если в системе присутствует совместимый netcat (ncat от nmap или openbsd ncat. в openwrt по умолчанию нет), то выполняется сканирование портов http или https всех IP адресов домена. Если ни один IP не отвечает, то результат очевиден. Можно останавливать сканирование. Автоматически оно не остановится, потому что netcat-ы недостаточно подробно информируют о причинах ошибки. Если доступна только часть IP, то можно ожидать хаотичных сбоев, т.к. подключение идет к случайному адресу из списка.
ПРОВЕРКА НА ЧАСТИЧНЫЙ IP block
Под частичным блоком подразумевается ситуация, когда коннект на порты есть, но по определенному транспортному или прикладному протоколу всегда идет реакция DPI вне зависимости от запрашиваемого домена. Эта проверка так же не выдаст автоматического вердикта/решения, потому что может быть очень много вариаций. Вместо этого анализ происходящего возложен на самого пользователя или тех, кто будет читать лог. Суть этой проверки в попытке дернуть неблокированный IP с блокированным доменом и наоборот, анализируя при этом реакцию DPI. Реакция DPI обычно проявляется в виде таймаута (зависание запроса), connection reset или http redirect на заглушку. Любой другой вариант скорее всего говорит об отсутствии реакции DPI. В частности, любые http коды, кроме редиректа, ведущего именно на заглушку, а не куда-то еще. На TLS - ошибки handshake без задержек. Ошибка сертификата может говорить как о реакции DPI с MiTM атакой (подмена сертификата), так и о том, что принимающий сервер неблокированного домена все равно принимает ваш TLS handshake с чужим доменом, пытаясь при этом выдать сертификат без запрошенного домена. Требуется дополнительный анализ. Если на заблокированный домен есть реакция на всех IP адресах, значит есть блокировка по домену. Если на неблокированный домен есть реакция на IP адресах блокированного домена, значит имеет место блок по IP. Соответственно, если есть и то, и другое, значит есть и блок по IP, и блок по домену. Неблокированный домен первым делом проверяется на доступность на оригинальном адресе. При недоступности тест отменяется, поскольку он будет неинформативен.
If it is found that there is a partial block for IP on DPI, then most likely all other tests will be fails regardless of the detour strategies. ولكن هناك بعض الاستثناءات. For example, breaking through ipv6 option headers . Or make it not to recognize the protocol of the applied level. Further tests may not be meaningless.
ПРИМЕРЫ БЛОКИРОВКИ ТОЛЬКО ПО ДОМЕНУ БЕЗ БЛОКА ПО IP
> testing iana.org on it's original
!!!!! AVAILABLE !!!!!
> testing rutracker.org on 192.0.43.8 (iana.org)
curl: (28) Operation timed out after 1002 milliseconds with 0 bytes received
> testing iana.org on 172.67.182.196 (rutracker.org)
HTTP/1.1 409 Conflict
> testing iana.org on 104.21.32.39 (rutracker.org)
HTTP/1.1 409 Conflict
> testing iana.org on it's original ip
!!!!! AVAILABLE !!!!!
> testing rutracker.org on 192.0.43.8 (iana.org)
curl: (28) Connection timed out after 1001 milliseconds
> testing iana.org on 172.67.182.196 (rutracker.org)
curl: (35) OpenSSL/3.2.1: error:0A000410:SSL routines::ssl/tls alert handshake failure
> testing iana.org on 104.21.32.39 (rutracker.org)
curl: (35) OpenSSL/3.2.1: error:0A000410:SSL routines::ssl/tls alert handshake failure
> testing iana.org on it's original ip
!!!!! AVAILABLE !!!!!
> testing rutracker.org on 192.0.43.8 (iana.org)
HTTP/1.1 307 Temporary Redirect
Location: https://www.gblnet.net/blocked.php
> testing iana.org on 172.67.182.196 (rutracker.org)
HTTP/1.1 409 Conflict
> testing iana.org on 104.21.32.39 (rutracker.org)
HTTP/1.1 409 Conflict
> testing iana.org on it's original ip
!!!!! AVAILABLE !!!!!
> testing rutracker.org on 192.0.43.8 (iana.org)
curl: (35) Recv failure: Connection reset by peer
> testing iana.org on 172.67.182.196 (rutracker.org)
curl: (35) OpenSSL/3.2.1: error:0A000410:SSL routines::ssl/tls alert handshake failure
> testing iana.org on 104.21.32.39 (rutracker.org)
curl: (35) OpenSSL/3.2.1: error:0A000410:SSL routines::ssl/tls alert handshake failure
ПРИМЕР ПОЛНОГО IP БЛОКА ИЛИ БЛОКА TCP ПОРТА ПРИ ОТСУТСТВИИ БЛОКА ПО ДОМЕНУ
* port block tests ipv4 startmail.com:80
ncat -z -w 1 145.131.90.136 80
145.131.90.136 does not connect. netcat code 1
ncat -z -w 1 145.131.90.152 80
145.131.90.152 does not connect. netcat code 1
* curl_test_http ipv4 startmail.com
- checking without DPI bypass
curl: (28) Connection timed out after 2002 milliseconds
UNAVAILABLE code=28
- IP block tests (requires manual interpretation)
> testing iana.org on it's original ip
!!!!! AVAILABLE !!!!!
> testing startmail.com on 192.0.43.8 (iana.org)
HTTP/1.1 302 Found
Location: https://www.iana.org/
> testing iana.org on 145.131.90.136 (startmail.com)
curl: (28) Connection timed out after 2002 milliseconds
> testing iana.org on 145.131.90.152 (startmail.com)
curl: (28) Connection timed out after 2002 milliseconds
Файл /opt/zapret/config используется различными компонентами системы и содержит основные настройки. Его нужно просмотреть и при необходимости отредактировать.
На linux системах можно выбрать использовать iptables или nftables . По умолчанию на традиционных linux выбирается nftables , если установлен nft. На openwrt по умолчанию выбирается nftables на новых версиях с firewall4.
FWTYPE=iptables
На nftables можно отключить стандартную схему перехвата трафика после NAT и перейти на перехват до NAT. Это сделает невозможным применение некоторых методов дурения на проходящем трафике как в случае с iptables . nfqws начнет получать адреса пакетов из локальной сети и отображать их в логах.
POSTNAT=0
Существует 3 стандартных опции запуска, настраиваемых раздельно и независимо: tpws-socks , tpws , nfqws . Их можно использовать как по отдельности, так и вместе. Например, вам надо сделать комбинацию из методов, доступных только в tpws и только в nfqws . Их можно задействовать вместе. tpws будет прозрачно локализовывать трафик на системе и применять свое дурение, nfqws будет дурить трафик, исходящий с самой системы после обработки на tpws . А можно на эту же систему повесить без параметров socks proxy, чтобы получать доступ к обходу блокировок через прокси. Таким образом, все 3 режима вполне могут задействоваться вместе. Так же безусловно и независимо, в добавок к стандартным опциям, применяются все custom скрипты в init.d/{sysv,openwrt,macos}/custom.d .
Однако, при комбинировании tpws и nfqws с пересечением по L3/L4 протоколам не все так просто , как может показаться на первый взгляд. Первым всегда работает tpws, за ним - nfqws. На nfqws попадает уже "задуренный" трафик от tpws. Получается, что дурилка дурит дурилку, и дурилка не срабатывает, потому что ее задурили. Вот такой веселый момент. nfqws перестает распознавать протоколы и применять методы. Некоторые методы дурения от tpws nfqws в состоянии распознать и отработать корректно, но большинство - нет. Решение - использование --dpi-desync-any-protocol в nfqws и работа как с неизвестным протоколом. Комбинирование tpws и nfqws является продвинутым вариантом, требующим глубокого понимания происходящего. Очень желательно проанализировать действия nfqws по --debug логу. Все ли так, как вы задумали.
Одновременное использование tpws и nfqws без пересечения по L3/L4 (то есть nfqws - udp, tpws - tcp или nfqws - port 443, tpws - port 80 или nfqws - ipv4, tpws - ipv6) проблем не представляет.
tpws-socks требует настройки параметров tpws , но не требует перехвата трафика. Остальные опции требуют раздельно настройки перехвата трафика и опции самих демонов. Каждая опция предполагает запуск одного инстанса соответствующего демона. Все различия методов дурения для http , https , quic и т.д. должны быть отражены через схему мультистратегий. В этом смысле настройка похожа на вариант winws на Windows, а перенос конфигов не должен представлять больших сложностей. Основное правило настройки перехвата - перехватывайте только необходимый минимум. Любой перехват лишнего - это бессмысленная нагрузка на вашу систему. Опции демонов --ipset использовать запрещено. Это сделано намеренно и искусственно, чтобы не поощрять простой и работающий, но неэффективный метод на *nix системах. Используйте ipset -ы режима ядра. При необходимости пишите и задействуйте custom scripts . Настройки демонов можно для удобства писать на нескольких строках, используя двойные или одинарные кавычки. Чтобы задействовать стандартные обновляемые хост-листы из ipset , используйте маркер . Он будет заменен на параметры, соответствующие режиму MODE_FILTER, и будут подставлены реально существующие файлы. Если MODE_FILTER не предполагает стандартного хостлиста, будет заменен на пустую строку. Стандартные хостлисты следует вставлять в финальных стратегиях (стратегиях по умолчанию), закрывающих цепочки по группе параметров фильтра. Таких мест может быть несколько. Не нужно использовать в узких специализациях и в тех профилях, по которым точно не будет проходить трафик с известными протоколами, откуда поддерживается извлечение имени хоста ( http , tls , quic ). <HOSTLIST_NOAUTO> - это вариация, при которой стандартный автолист используется как обычный. То есть на этом профиле не происходит автоматическое добавление заблокированных доменов. Но если на другом профиле что-то будет добавлено, то этот профиль примет изменения автоматически.
Включение стандартной опции tpws в режиме socks
TPWS_SOCKS_ENABLE=0
На каком порту будет слушать tpws socks. прослушивается только localhost и LAN
TPPORT_SOCKS=987
Параметры tpws для режима socks
TPWS_SOCKS_OPT="
--filter-tcp=80 --methodeol <HOSTLIST> --new
--filter-tcp=443 --split-pos=1,midsld --disorder <HOSTLIST>"
Включение стандартной опции tpws в прозрачном режиме
TPWS_ENABLE=0
Какие tcp порты следует перенаправлять на tpws
TPWS_PORTS=80,443
Параметры tpws для прозрачного режима
TPWS_OPT="
--filter-tcp=80 --methodeol <HOSTLIST> --new
--filter-tcp=443 --split-pos=1,midsld --disorder <HOSTLIST>"
Включение стандартной опции nfqws
NFQWS_ENABLE=0
Какие tcp и udp порты следует перенаправлять на nfqws с использованием connbytes ограничителя
connbytes позволяет из каждого соединения перенаправить только заданное количество начальных пакетов по каждому направлению - на вход и на выход. Это более эффективная kernel-mode замена параметра nfqws --dpi-desync-cutoff=nX .
NFQWS_PORTS_TCP=80,443
NFQWS_PORTS_UDP=443
Сколько начальных входящих и исходящих пакетов нужно перенаправлять на nfqws по каждому направлению
NFQWS_TCP_PKT_OUT=$((6+$AUTOHOSTLIST_RETRANS_THRESHOLD))
NFQWS_TCP_PKT_IN=3
NFQWS_UDP_PKT_OUT=$((6+$AUTOHOSTLIST_RETRANS_THRESHOLD))
NFQWS_UDP_PKT_IN=0
Задать порты для перенаправления на nfqws без connbytes ограничителя
Есть трафик, исходящий сеанс для которого необходимо перенаправлять весь без ограничителей. Типичное применение - поддержка http keepalives на stateless DPI. Это существенно нагружает процессор. Использовать только если понимаете зачем. Чаще всего это не нужно. Входящий трафик ограничивается по connbytes через параметры PKT_IN. Если указываете здесь какие-то порты, желательно их убрать из версии с connbytes ограничителем
NFQWS_PORTS_TCP_KEEPALIVE=80
NFQWS_PORTS_UDP_KEEPALIVE=
Параметры nfqws
NFQWS_OPT="
--filter-tcp=80 --dpi-desync=fake,multisplit --dpi-desync-split-pos=method+2 --dpi-desync-fooling=md5sig <HOSTLIST> --new
--filter-tcp=443 --dpi-desync=fake,multidisorder --dpi-desync-split-pos=1,midsld --dpi-desync-fooling=badseq,md5sig <HOSTLIST> --new
--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=6 <HOSTLIST_NOAUTO>
Режим фильтрации хостов:
none - применять дурение ко всем хостам
ipset - ограничить дурение ipset-ом zapret/zapret6
hostlist - ограничить дурение списком хостов из файла
autohostlist - режим hostlist + распознавание блокировок и ведение автоматического листа
MODE_FILTER=none
Настройка системы управления выборочным traffic offload (только если поддерживается)
donttouch: выборочное управление отключено, используется системная настройка, простой инсталлятор выключает системную настройку, если она не совместима с выбранным режимом
none: выборочное управление отключено, простой инсталлятор выключает системную настройку
software: выборочное управление включено в режиме software, простой инсталлятор выключает системную настройку
hardware: выборочное управление включено в режиме hardware, простой инсталлятор выключает системную настройку
FLOWOFFLOAD=donttouch
Параметр GETLIST указывает инсталлятору install_easy.sh какой скрипт дергать для обновления списка заблокированных ip или хостов. Он же вызывается через get_config.sh из запланированных заданий (crontab или systemd timer). Поместите сюда название скрипта, который будете использовать для обновления листов. Если не нужно, то параметр следует закомментировать.
Можно индивидуально отключить ipv4 или ipv6. Если параметр закомментирован или не равен "1", использование протокола разрешено.
DISABLE_IPV4=1
DISABLE_IPV6=1
Количество потоков для многопоточного DNS ресолвера mdig (1..100). Чем их больше, тем быстрее, но не обидится ли на долбежку ваш DNS сервер?
MDIG_THREADS=30
Место для хранения временных файлов. При скачивании огромных реестров в /tmp места может не хватить. Если файловая система на нормальном носителе (не встроенная память роутера), то можно указать место на флэшке или диске. TMPDIR=/opt/zapret/tmp
Опции для создания ipset-ов и nfset-ов
SET_MAXELEM=262144
IPSET_OPT="hashsize 262144 maxelem 2097152"
Хук, позволяющий внести ip адреса динамически. $1 = имя таблицы
Адреса выводятся в stdout. В случае nfset автоматически решается проблема возможного пересечения интервалов.
IPSET_HOOK="/etc/zapret.ipset.hook"
ПРО РУГАНЬ в dmesg по поводу нехватки памяти.
Может так случиться, что памяти в системе достаточно, но при попытке заполнить огромный ipset ядро начинает громко ругаться, ipset заполняется не полностью.
Вероятная причина в том, что превышается hashsize , заданный при создании ipset (create_ipset.sh). Происходит переаллокация списка, не находится непрерывных фрагментов памяти нужной длины. Это лечится увеличением hashsize . Но чем больше hashsize , тем больше занимает ipset в памяти. Задавать слишком большой hashsize для недостаточно больших списков нецелесообразно.
Опции для вызова ip2net. Отдельно для листов ipv4 и ipv6.
IP2NET_OPT4="--prefix-length=22-30 --v4-threshold=3/4"
IP2NET_OPT6="--prefix-length=56-64 --v6-threshold=5"
Настройка режима autohostlist.
При увеличении AUTOHOSTLIST_RETRANS_THRESHOLD и использовании nfqws следует пересмотреть значения параметров NFQWS_TCP_PKT_OUT и NFQWS_UDP_PKT_OUT. Все ретрансмиссии должны быть получены nfqws, иначе триггер "зависание запроса" не сработает.
AUTOHOSTLIST_RETRANS_THRESHOLD=3
AUTOHOSTLIST_FAIL_THRESHOLD=3
AUTOHOSTLIST_FAIL_TIME=60
AUTOHOSTLIST_DEBUG=0
Включить или выключить сжатие больших листов в скриптах ipset/*.sh.
GZIP_LISTS=1
Команда для перезагрузки ip таблиц фаервола.
Если не указано или пустое, выбирается автоматически ipset или ipfw при их наличии. На BSD системах с PF нет автоматической загрузки. Там нужно указать команду явно: pfctl -f /etc/pf.conf На более новых pfctl (есть в новых FreeBSD, нет в OpenBSD 6.8) можно дать команду загрузки только таблиц: pfctl -Tl -f /etc/pf.conf "-" означает отключение загрузки листов даже при наличии поддерживаемого backend.
LISTS_RELOAD="pfctl -f /etc/pf.conf"
LISTS_RELOAD=-
В openwrt существует сеть по умолчанию 'lan'. Только трафик с этой сети будет перенаправлен на tpws. Но возможно задать другие сети или список сетей:
OPENWRT_LAN="lan lan2 lan3"
В openwrt в качестве wan берутся интерфейсы, имеющие default route. Отдельно для ipv4 и ipv6. Это можно переопределить:
OPENWRT_WAN4="wan4 vpn"
OPENWRT_WAN6="wan6 vpn6"
Параметр INIT_APPLY_FW=1 разрешает init скрипту самостоятельно применять правила iptables.
При иных значениях или если параметр закомментирован, правила применены не будут.
Это полезно, если у вас есть система управления фаерволом, в настройки которой и следует прикрутить правила.
На openwrt неприменимо при использовании firewall3+iptables.
Следующие настройки не актуальны для openwrt:
Если ваша система работает как роутер, то нужно вписать названия внутренних и внешних интерфейсов:
IFACE_LAN=eth0
IFACE_WAN=eth1
IFACE_WAN6="henet ipsec0"
Несколько интерфейсов могут быть вписаны через пробел. Если IFACE_WAN6 не задан, то берется значение IFACE_WAN.
مهم
Настройка маршрутизации, маскарада и т.д. не входит в задачу zapret. Включаются только режимы, обеспечивающие перехват транзитного трафика. Возможно определить несколько интерфейсов следующим образом:
IFACE_LAN="eth0 eth1 eth2"
Если вы используете какую-то систему управления фаерволом, то она может вступать в конфликт с имеющимся скриптом запуска. При повторном применении правил она могла бы поломать настройки iptables от zapret. В этом случае правила для iptables должны быть прикручены к вашему фаерволу отдельно от запуска tpws или nfqws.
Следующие вызовы позволяют применить или убрать правила iptables отдельно:
/opt/zapret/init.d/sysv/zapret start_fw
/opt/zapret/init.d/sysv/zapret stop_fw
/opt/zapret/init.d/sysv/zapret restart_fw
А так можно запустить или остановить демоны отдельно от фаервола:
/opt/zapret/init.d/sysv/zapret start_daemons
/opt/zapret/init.d/sysv/zapret stop_daemons
/opt/zapret/init.d/sysv/zapret restart_daemons
nftables сводят практически на нет конфликты между разными системами управления, поскольку позволяют использовать независимые таблицы и хуки. Используется отдельная nf-таблица "zapret". Если ваша система ее не будет трогать, скорее всего все будет нормально.
Для nftables предусмотрено несколько дополнительных вызовов:
Посмотреть set-ы интерфейсов, относящихся к lan, wan и wan6. По ним идет завертывание трафика. А так же таблицу flow table с именами интерфейсов ingress hook.
/opt/zapret/init.d/sysv/zapret list_ifsets
Обновить set-ы интерфейсов, относящихся к lan, wan и wan6. Для традиционных linux список интерфейсов берется из переменных конфига IFACE_LAN, IFACE_WAN. Для openwrt определяется автоматически. Множество lanif может быть расширено параметром OPENWRT_LAN. Все интерфейсы lan и wan так же добавляются в ingress hook от flow table.
/opt/zapret/init.d/sysv/zapret reload_ifsets
Просмотр таблицы без содержимого set-ов. Вызывает nft -t list table inet zapret
/opt/zapret/init.d/sysv/zapret list_table
Так же возможно прицепиться своим скриптом к любой стадии применения и снятия фаервола со стороны zapret скриптов:
INIT_FW_PRE_UP_HOOK="/etc/firewall.zapret.hook.pre_up"
INIT_FW_POST_UP_HOOK="/etc/firewall.zapret.hook.post_up"
INIT_FW_PRE_DOWN_HOOK="/etc/firewall.zapret.hook.pre_down"
INIT_FW_POST_DOWN_HOOK="/etc/firewall.zapret.hook.post_down"
Эти настройки доступны в config. Может быть полезно, если вам нужно использовать nftables set-ы, например ipban / ipban6 . nfset-ы принадлежат только одной таблице, следовательно вам придется писать правила для таблицы zapret, а значит нужно синхронизироваться с применением/снятием правил со стороны zapret скриптов.
custom скрипты - это маленькие shell программы, управляющие нестандартными режимами применения zapret или частными случаями, которые не могут быть интегрированы в основную часть без загромождения и замусоривания кода. Для применеия custom следует помещать файлы в следующие директории в зависимости от вашей системы:
/opt/zapret/init.d/sysv/custom.d
/opt/zapret/init.d/openwrt/custom.d
/opt/zapret/init.d/macos/custom.d
Директория будет просканирована в алфавитном порядке, и каждый скрипт будет применен.
В init.d имеется custom.d.examples.linux , в init.d/macos - custom.d.examples . Это готовые скрипты, которые можно копировать в custom.d . Их можно взять за основу для написания собственных.
Для linux пишется код в функции
zapret_custom_daemons
zapret_custom_firewall
zapret_custom_firewall_nft
zapret_custom_firewall_nft_flush
Для macos
zapret_custom_daemons
zapret_custom_firewall_v4
zapret_custom_firewall_v6
zapret_custom_daemons поднимает демоны nfqws / tpws в нужном вам количестве и с нужными вам параметрами. В первом параметре передается код операции: 1 = запуск, 0 = останов. Схема запуска демонов в openwrt отличается - используется procd. Поэтому логика останова отсутствует за ненадобностью, останов никогда не вызывается.
zapret_custom_firewall поднимает и убирает правила iptables . В первом параметре передается код операции: 1 = запуск, 0 = останов.
zapret_custom_firewall_nft поднимает правила nftables. Логика останова отсутствует за ненадобностью. Стандартные цепочки zapret удаляются автоматически. Однако, sets и правила из ваших собственных цепочек не удаляются. Их нужно подчистить в zapret_custom_firewall_nft_flush. Если set-ов и собственных цепочек у вас нет, функцию можно не определять или оставить пустой.
Если вам не нужны iptables или nftables - можете не писать соответствующую функцию.
В linux можно использовать локальные переменные FW_EXTRA_PRE и FW_EXTRA_POST .
FW_EXTRA_PRE добавляет код к правилам ip/nf tables до кода, генерируемого функциями-хелперами.
FW_EXTRA_POST добавляет код после.
В linux функции-хелперы добавляют правило в начало цепочек, то есть перед уже имеющимися. Поэтому специализации должны идти после более общих вариантов. Для macos правило обратное. Там правила добавляются в конец. По этой же причине фаервол в Linux сначала применяется в стандартном режиме, потом custom, а в MacOS сначала custom, потом стандартный режим.
В macos firewall-функции ничего сами никуда не заносят. Их задача - лишь выдать текст в stdout, содержащий правила для pf-якоря. Остальное сделает обертка.
Особо обратите внимание на номер демона в функциях run_daemon , do_daemon , do_tpws , do_tpws_socks , do_nfqws , номера портов tpws и очередей nfqueue . Они должны быть уникальными во всех скриптах. При накладке будет ошибка. Поэтому используйте функции динамического получения этих значений из пула.
custom scripts can use config variables. You can put your variables in config and use them in scripts. You can use hylper functions. They are part of the common space of Shell. Useful functions can be taken from examples of scripts. See common/*.sh . Using the function of the function, you will get rid of the need to take into account all possible cases such as the presence/absence of IPV6, whether the system is a router, interfaces, ... Helpers take this into account. You need to focus only on filters {ip,nf}tables and demon parameters.
install_easy.sh автоматизирует ручные варианты процедур установки. Он поддерживает OpenWRT, linux системы на базе systemd или openrc и MacOS.
Для более гибкой настройки перед запуском инсталлятора следует выполнить раздел "Выбор параметров".
Если система запуска поддерживается, но используется не поддерживаемый инсталлятором менеджер пакетов или названия пакетов не соответствуют прописанным в инсталлятор, пакеты нужно установить вручную. Всегда требуется curl. ipset - только для режима iptables , для nftables - не нужен.
Для совсем обрезанных дистрибутивов (alpine) требуется отдельно установить iptables и ip6tables , либо nftables .
В комплекте идут статические бинарники для большинства архитектур. Какой-то из них подойдет с вероятностью 99%. Но если у вас экзотическая система, инсталлятор попробует собрать бинарники сам через make. Для этого нужны gcc, make и необходимые -dev пакеты. Можно форсировать режим компиляции следующим вызовом:
install_easy.sh make
Под openwrt все уже сразу готово для использования системы в качестве роутера. Имена интерфейсов WAN и LAN известны из настроек системы. Под другими системами роутер вы настраиваете самостоятельно. Инсталлятор в это не вмешивается. инсталлятор в зависимости от выбранного режима может спросить LAN и WAN интерфейсы. Нужно понимать, что заворот проходящего трафика на tpws в прозрачном режиме происходит до выполнения маршрутизации, следовательно возможна фильтрация по LAN и невозможна по WAN. Решение о завороте на tpws локального исходящего трафика принимается после выполнения маршрутизации, следовательно ситуация обратная: LAN не имеет смысла, фильтрация по WAN возможна. Заворот на nfqws происходит всегда после маршрутизации, поэтому к нему применима только фильтрация по WAN. Возможность прохождения трафика в том или ином направлении настраивается вами в процессе конфигурации роутера.
Деинсталляция выполняется через uninstall_easy.sh . После выполнения деинсталляции можно удалить каталог /opt/zapret .
Работает только если у вас на роутере достаточно места.
Копируем zapret на роутер в /tmp .
Запускаем установщик:
sh /tmp/zapret/install_easy.sh
Он скопирует в /opt/zapret только необходимый минимум файлов.
После успешной установки можно удалить zapret из tmp для освобождения RAM:
rm -r /tmp/zapret
Для более гибкой настройки перед запуском инсталлятора следует выполнить раздел "Выбор параметров".
Система простой инсталяции заточена на любое умышленное или неумышленное изменение прав доступа на файлы. Устойчива к репаку под windows. После копирования в /opt права будут принудительно восстановлены.
Требуется около 120-200 кб на диске. Придется отказаться от всего, кроме tpws .
Инструкция для openwrt 22 и выше с nftables
Никаких зависимостей устанавливать не нужно.
تثبيت:
init.d/openwrt-minimal/tpws/* в корень openwrt./usr/bin/tpws .chmod 755 /etc/init.d/tpws /usr/bin/tpws/etc/config/tpws/etc/nftables.d/90-tpws.nft и закомментируйте строки с редиректом ipv6./etc/init.d/tpws enable/etc/init.d/tpws startfw4 restartПолное удаление:
/etc/init.d/tpws disable/etc/init.d/tpws stoprm -f /etc/nftables.d/90-tpws.nft /etc/firewall.user /etc/init.d/tpws /usr/bin/tpwsfw4 restartИнструкция для openwrt 21 и ниже с iptables
Установите зависимости:
opkg updateopkg install iptables-mod-extraopkg install ip6tables-mod-nat Убедитесь, что в /etc/firewall.user нет ничего значимого. Если есть - не следуйте слепо инструкции. Объедините код или создайте свой firewall include в /etc/config/firewall .
تثبيت:
init.d/openwrt-minimal/tpws/* в корень openwrt./usr/bin/tpws .chmod 755 /etc/init.d/tpws /usr/bin/tpws/etc/config/tpws/etc/init.d/tpws enable/etc/init.d/tpws startfw3 restartПолное удаление:
/etc/init.d/tpws disable/etc/init.d/tpws stoprm -f /etc/nftables.d/90-tpws.nft /etc/firewall.user /etc/init.d/tpwstouch /etc/firewall.userfw3 restart Без рута забудьте про nfqws и tpws в режиме transparent proxy. tpws будет работать только в режиме --socks .
Ядра Android имеют поддержку NFQUEUE. nfqws работает.
В стоковых ядрах нет поддержки ipset. В общем случае сложность задачи по поднятию ipset варьируется от "не просто" до "почти невозможно". Если только вы не найдете готовое собранное ядро под ваш девайс.
tpws будет работать в любом случае, он не требует чего-либо особенного.
Хотя linux варианты под Android работают, рекомендуется использовать специально собранные под bionic бинарники. У них не будет проблем с DNS, с локальным временем и именами юзеров и групп.
Рекомендуется использовать gid 3003 (AID_INET). Иначе можете получить permission denied на создание сокета. Например: --uid 1:3003
В iptables укажите: ! --uid-owner 1 вместо ! --uid-owner tpws .
Напишите шелл скрипт с iptables и tpws, запускайте его средствами вашего рут менеджера. Скрипты автозапуска лежат тут:
magisk : /data/adb/service.d
supersu: /system/su.d
nfqws может иметь такой глюк. При запуске с uid по умолчанию (0x7FFFFFFF) при условии работы на сотовом интерфейсе и отключенном кабеле внешнего питания система может частично виснуть. Перестает работать тач и кнопки, но анимация на экране может продолжаться. Если экран был погашен, то включить его кнопкой power невозможно. Изменение UID на низкий (--uid 1 подойдет) позволяет решить эту проблему. Глюк был замечен на android 8.1 на девайсе, основанном на платформе mediatek.
Ответ на вопрос куда поместить tpws на android без рута, чтобы потом его запускать из приложений. Файл заливаем через adb shell в /data/local/tmp/, лучше всего в субфолдер.
mkdir /data/local/tmp/zapret
adb push tpws /data/local/tmp/zapret
chmod 755 /data/local/tmp/zapret /data/local/tmp/zapret/tpws
chcon u:object_r:system_file:s0 /data/local/tmp/zapret/tpws
Как найти стратегию обхода сотового оператора: проще всего раздать инет на комп. Для этого подойдет любая поддерживаемая ОС. Подключите android через USB кабель к компу и включите режим модема. Прогоните стандартную процедуру blockcheck. При переносе правил на телефон уменьшить TTL на 1, если правила с TTL присутствуют в стратегии. Если проверялось на windows, убрать параметры --wf-* .
Работа blockcheck в android shell не поддерживается, но имея рута можно развернуть rootfs какого-нибудь дистрибутива linux. Это лучше всего делать с компа через adb shell. Если компа нет, то развертка chroot - единственный вариант, хотя и неудобный. Подойдет что-то легковесное, например, alpine или даже openwrt. Если это не эмулятор android, то универсальная архитектура - arm (любой вариант). Если вы точно знаете, что ОС у вас 64-разрядная, то лучше вместо arm - aarch64. Выяснить архитектуру можно командой uname -a .
mount --bind /dev /data/linux/dev
mount --bind /proc /data/linux/proc
mount --bind /sys /data/linux/sys
chroot /data/linux
Первым делом вам нужно будет один раз настроить DNS. Сам он не заведется.
echo nameserver 1.1.1.1 >/etc/resolv.conf
Далее нужно средствами пакетного менеджера установить iptables-legacy. Обязательно НЕ iptables-nft, который, как правило, присутствует по умолчанию. В ядре android нет nftables.
ls -la $(which iptables)
Линк должен указывать на legacy вариант. Если нет, значит устанавливайте нужные пакеты вашего дистрибутива, и убеждайтесь в правильности ссылок.
iptables -S
Так можно проверить, что ваш iptables увидел то, что туда насовал android. iptables-nft выдаст ошибку. Далее качаем zapret в /opt/zapret . Обычные действия с install_prereq.sh , install_bin.sh , blockcheck.sh .
Учтите, что стратегии обхода сотового оператора и домашнего wifi вероятно будут разные. Выделить сотового оператора легко через параметр iptables -o <имя интерфейса> . Имя может быть, например, ccmni0 . Его легко увидеть через ifconfig . Wifi сеть - обычно wlan0 .
Переключать blockcheck между оператором и wifi можно вместе со всем инетом - включив или выключив wifi. Если найдете стратегию для wifi и впишите ее в автостарт, то при подключении к другому wifi она может не сработать или вовсе что-то поломать, потому подумайте стоит ли. Может быть лучше сделать скрипты типа "запустить обход домашнего wifi", "снять обход домашнего wifi", и пользоваться ими по необходимости из терминала. Но домашний wifi лучше все-же обходить на роутере.
Устройства типа E3372, E8372, E5770 разделяют общую идеологию построения системы. Имеются 2 вычислительных ядра. Одно ядро выполняет vxworks, другое - linux. На 4pda имеются модифицированные прошивки с telnet и adb. Их и нужно использовать.
Дальнейшие утверждения проверены на E8372. На других может быть аналогично или похоже. Присутствуют дополнительные аппаратные блоки для offload-а сетевых функций. Не весь трафик идет через linux. Исходящий трафик с самого модема проходит цепочку OUTPUT нормально, на FORWARD =>wan часть пакетов выпадает из tcpdump.
tpws работает обычным образом.
nfqueue поломан, можно собрать фиксящий модуль https://github.com/im-0/unfuck-nfqueue-on-e3372h, используя исходники с huawei open source. Исходники содержат тулчейн и полусобирающееся, неактуальное ядро. Конфиг можно взять с рабочего модема из /proc/config.gz . С помощью этих исходников умельцы могут собрать модуль unfuck_nfqueue.ko . После его применения NFQUEUE и nfqws для arm работают нормально.
Чтобы избежать проблемы с offload-ом при использовании nfqws, следует комбинировать tpws в режиме tcp proxy и nfqws. Правила NFQUEUE пишутся для цепочки OUTPUT. connbytes придется опускать, поскольку модуля в ядре нет. Но это не смертельно.
Скрипт автозапуска - /system/etc/autorun.sh . Создайте свой скрипт настройки zapret, запускайте из конца autorun.sh через "&". Скрипт должен в начале делать sleep 5, чтобы дождаться поднятия сети и iptables от huawei.
تحذير
На этом модеме происходят хаотические сбросы соединений tcp по непонятным причинам. Выглядит это так, если запускать curl с самого модема:
curl www.ru
curl: (7) Failed to connect to www.ru port 80: Host is unreachable
Возникает ошибка сокета EHOSTUNREACH (errno -113). То же самое видно в tpws. В броузере не подгружаются части веб страниц, картинки, стили. В tcpdump на внешнем интерфейсе eth_x виден только единственный и безответный SYN пакет, без сообщений ICMP. ОС каким-то образом узнает о невозможности установить TCP соединение и выдает ошибку. Если выполнять подключение с клиента, то SYN пропадают, соединение не устанавливается. ОС клиента проводит ретрансмиссию, и с какого-то раза подключение удается. Поэтому без tcp проксирования в этой ситуации сайты тупят, но загружаются, а с проксированием подключение выполняется, но вскоре сбрасывается без каких-либо данных, и броузеры не пытаются установить его заново. Поэтому качество броузинга с tpws может быть хуже, но дело не в tpws. Частота сбросов заметно возрастает, если запущен торент клиент, имеется много tcp соединений. Однако, причина не в переполнении таблицы conntrack. Увеличение лимитов и очистка conntrack не помогают. Предположительно эта особенность связана с обработкой пакетов сброса соединения в hardware offload. Точного ответа на вопрос у меня нет. Если вы знаете - поделитесь, пожалуйста. Чтобы не ухудшать качество броузинга, можно фильтровать заворот на tpws по ip фильтру. Поддержка ipset отсутствует. Значит, все, что можно сделать - создать индивидуальные правила на небольшое количество хостов.
Некоторые наброски скриптов присутствуют в files/huawei. Не готовое решение! Смотрите, изучайте, приспосабливайте.
Здесь можно скачать готовые полезные статические бинарники для arm, включая curl : https://github.com/bol-van/bins
Описано в документации BSD
Описано в документации Windows
Для статических бинариков не имеет значения на чем они запущены: PC, android, приставка, роутер, любой другой девайс. Подойдет любая прошивка, дистрибутив linux. Статические бинарники запустятся на всем. Им нужно только ядро с необходимыми опциями сборки или модулями. Но кроме бинариков в проекте используются еще и скрипты, в которых задействуются некоторые стандартные программы.
Основные причины почему нельзя просто так взять и установить эту систему на что угодно:
Если в вашей прошивке есть все необходимое, то вы можете адаптировать zapret под ваш девайс в той или иной степени. Может быть у вас не получится поднять все части системы, однако вы можете хотя бы попытаться поднять tpws и завернуть на него через -j REDIRECT весь трафик на порт 80. Если вам есть куда записать tpws, есть возможность выполнять команды при старте, то как минимум это вы сделать сможете. Скорее всего поддержка REDIRECT в ядре есть. Она точно есть на любом роутере, на других устройствах под вопросом. NFQUEUE, ipset на большинстве прошивок отсутствуют из-за ненужности.
Пересобрать ядро или модули для него будет скорее всего достаточно трудно. Для этого вам необходимо будет по крайней мере получить исходники вашей прошивки. User mode компоненты могут быть привнесены относительно безболезненно, если есть место куда их записать. Специально для девайсов, имеющих область r/w, существует проект entware. Некоторые прошивки даже имеют возможность его облегченной установки через веб интерфейс. entware содержит репозиторий user-mode компонент, которые устанавливаются в /opt. С их помощью можно компенсировать недостаток ПО основной прошивки, за исключением ядра.
Можно попытаться использовать sysv init script таким образом, как это описано в разделе "Прикручивание к системе управления фаерволом или своей системе запуска". В случае ругани на отсутствие каких-то базовых программ, их следует восполнить посредством entware. Перед запуском скрипта путь к дополнительным программам должен быть помещен в PATH.
Подробное описание настроек для других прошивок выходит за рамки данного проекта.
Openwrt является одной из немногих относительно полноценных linux систем для embedded devices. Она характеризуется следующими вещами, которые и послужили основой выбора именно этой прошивк:
Если не работает автономный обход, приходится перенаправлять трафик через сторонний хост. Предлагается использовать прозрачный редирект через socks5 посредством iptables+redsocks , либо iptables+iproute+vpn . Настройка варианта с redsocks на openwrt описана в redsocks.txt. Настройка варианта с iproute+wireguard - в wireguard_iproute_openwrt.txt.
VPS - это виртуальный сервер. Существует огромное множество датацентров, предлагающих данную услугу. На VPS могут выполняться какие угодно задачи. От простого веб сайта до навороченной системы собственной разработки. Можно использовать VPS и для поднятия собственного vpn или прокси. Сама широта возможных способов применения, распространенность услуги сводят к минимуму возможности регуляторов по бану сервисов такого типа. Да, если введут белые списки, то решение загнется, но это будет уже другая реальность, в которой придется изобретать иные решения. Пока этого не сделали, никто не будет банить хостинги просто потому, что они предоставляют хостинг услуги. Вы как индивидуум скорее всего никому не нужны. Подумайте чем вы отличаетесь от известного VPN провайдера. VPN провайдер предоставляет простую и доступную услугу по обходу блокировок для масс. Этот факт делает его первоочередной целью блокировки. РКН направит уведомление, после отказа сотрудничать заблокирует VPN. Предоплаченная сумма пропадет. У регуляторов нет и никогда не будет ресурсов для тотальной проверки каждого сервера в сети. Возможен китайский расклад, при котором DPI выявляет vpn протоколы и динамически банит IP серверов, предоставляющих нелицензированный VPN. Но имея знания, голову, вы всегда можете обфусцировать vpn трафик или применить другие типы VPN, более устойчивые к анализу на DPI или просто менее широкоизвестные, а следовательно с меньшей вероятностью обнаруживаемые регулятором. У вас есть свобода делать на вашем VPS все что вы захотите, адаптируясь к новым условиям. Да, это потребует знаний. Вам выбирать учиться и держать ситуацию под контролем, когда вам ничего запретить не могут, или покориться системе.
VPS можно прибрести в множестве мест. Существуют специализированные на поиске предложений VPS порталы.
Например, вот этот. Для персонального VPN сервера обычно достаточно самой минимальной конфигурации, но с безлимитным трафиком или с большим лимитом по трафику (терабайты). Важен и тип VPS. Openvz подойдет для openvpn, но вы не поднимете на нем wireguard, ipsec, то есть все, что требует kernel mode. Для kernel mode требуется тип виртуализации, предполагающий запуск полноценного экземпляра ОС linux вместе с ядром. Подойдут kvm, xen, hyper-v, vmware.
По цене можно найти предложения, которые будут дешевле готовой VPN услуги, но при этом вы сам хозяин в своей лавке и не рискуете попасть под бан регулятора, разве что "заодно" под ковровую бомбардировку с баном миллионов IP. Кроме того, если вам совсем все кажется сложным, прочитанное вызывает ступор и вы точно знаете, что ничего из описанного сделать не сможете, то вы сможете хотя бы использовать динамическое перенаправление портов ssh для получения шифрованного socks proxy и прописать его в броузер. Знания linux не нужны совсем. Это вариант наименее напряжный для чайников, хотя и не самый удобный в использовании.
USDT
0x3d52Ce15B7Be734c53fc9526ECbAB8267b63d66E
BTC
bc1qhqew3mrvp47uk2vevt5sctp7p2x9m7m5kkchve
