mirror of
https://github.com/bol-van/zapret.git
synced 2024-11-30 05:50:53 +03:00
Merge pull request #226 from Tula-gingerbread/patch-1
remove space before commas in readme
This commit is contained in:
commit
00bf5f680c
@ -60,7 +60,7 @@ For english version refer to docs/readme.eng.txt
|
|||||||
Что сейчас происходит в России
|
Что сейчас происходит в России
|
||||||
------------------------------
|
------------------------------
|
||||||
|
|
||||||
Раньше , до внедрения повсеместных систем ТСПУ, использовался зоопарк различных DPI
|
Раньше, до внедрения повсеместных систем ТСПУ, использовался зоопарк различных DPI
|
||||||
у провайдеров. Какие-то были активными, какие-то пассивными.
|
у провайдеров. Какие-то были активными, какие-то пассивными.
|
||||||
Сейчас время простых iptables окончательно ушло. Везде активный DPI ТСПУ, но кое-где
|
Сейчас время простых iptables окончательно ушло. Везде активный DPI ТСПУ, но кое-где
|
||||||
могут оставаться невыключенными дополнительные старые DPI из зоопарка.
|
могут оставаться невыключенными дополнительные старые DPI из зоопарка.
|
||||||
@ -102,7 +102,7 @@ DNAT на localhost работает в цепочке OUTPUT, но не раб
|
|||||||
|
|
||||||
sysctl -w net.ipv4.conf.<внутренний_интерфейс>.route_localnet=1
|
sysctl -w net.ipv4.conf.<внутренний_интерфейс>.route_localnet=1
|
||||||
|
|
||||||
Можно использовать "-j REDIRECT --to-port 988" вместо DNAT , однако в этом случае процесс transparent proxy
|
Можно использовать "-j REDIRECT --to-port 988" вместо DNAT, однако в этом случае процесс transparent proxy
|
||||||
должен слушать на ip адресе входящего интерфейса или на всех адресах. Слушать на всех - не есть хорошо
|
должен слушать на ip адресе входящего интерфейса или на всех адресах. Слушать на всех - не есть хорошо
|
||||||
с точки зрения безопасности. Слушать на одном (локальном) можно, но в случае автоматизированного
|
с точки зрения безопасности. Слушать на одном (локальном) можно, но в случае автоматизированного
|
||||||
скрипта придется его узнавать, потом динамически вписывать в команду. В любом случае требуются дополнительные усилия.
|
скрипта придется его узнавать, потом динамически вписывать в команду. В любом случае требуются дополнительные усилия.
|
||||||
@ -360,7 +360,7 @@ fakeknown отличается от fake тем, что применяется
|
|||||||
Вычисляется длина пути, отнимается delta (1 по умолчанию). Если TTL вне диапазона (min,max - 3,20 по умолчанию),
|
Вычисляется длина пути, отнимается delta (1 по умолчанию). Если TTL вне диапазона (min,max - 3,20 по умолчанию),
|
||||||
то берутся значения min,max, чтобы вписаться в диапазон. Если при этом полученый TTL больше длины пути,
|
то берутся значения min,max, чтобы вписаться в диапазон. Если при этом полученый TTL больше длины пути,
|
||||||
то автоматизм не сработал и берутся фиксированные значения TTL для атаки.
|
то автоматизм не сработал и берутся фиксированные значения TTL для атаки.
|
||||||
Техника позволяет решить вопрос , когда вся сеть перегорожена шлагбаумами (DPI, ТСПУ) везде где только можно,
|
Техника позволяет решить вопрос, когда вся сеть перегорожена шлагбаумами (DPI, ТСПУ) везде где только можно,
|
||||||
включая магистралов. Но потенциально может давать сбои.
|
включая магистралов. Но потенциально может давать сбои.
|
||||||
Например, при ассиметрии входящего и исходящего канала до конкретного сервера.
|
Например, при ассиметрии входящего и исходящего канала до конкретного сервера.
|
||||||
На каких-то провайдерах эта техника будет работать неплохо, на других доставит больше проблем, чем пользы.
|
На каких-то провайдерах эта техника будет работать неплохо, на других доставит больше проблем, чем пользы.
|
||||||
@ -417,7 +417,7 @@ Windows оставляет старые данные, поэтому disorder с
|
|||||||
split/disorder вместо split2/disorder2 по-прежнему добавляют дополнительные отдельные фейки.
|
split/disorder вместо split2/disorder2 по-прежнему добавляют дополнительные отдельные фейки.
|
||||||
|
|
||||||
Режимы десинхронизации hopbyhop, destopt и ipfrag1 (не путать с fooling !) относятся только к ipv6 и заключается
|
Режимы десинхронизации hopbyhop, destopt и ipfrag1 (не путать с fooling !) относятся только к ipv6 и заключается
|
||||||
в добавлении хедера "hop-by-hop options" , "destination options" или "fragment" во все пакеты, попадающие под десинхронизацию.
|
в добавлении хедера "hop-by-hop options", "destination options" или "fragment" во все пакеты, попадающие под десинхронизацию.
|
||||||
Здесь надо обязательно понимать, что добавление хедера увеличивает размер пакета, потому не может быть применено
|
Здесь надо обязательно понимать, что добавление хедера увеличивает размер пакета, потому не может быть применено
|
||||||
к пакетам максимального размера. Это имеет место при передаче больших сообщений.
|
к пакетам максимального размера. Это имеет место при передаче больших сообщений.
|
||||||
В случае невозможности отослать пакет дурение будет отменено, пакет будет выслан в оригинале.
|
В случае невозможности отослать пакет дурение будет отменено, пакет будет выслан в оригинале.
|
||||||
@ -514,7 +514,7 @@ ip6tables -D zone_wan_output -m comment --comment '!fw3' -j zone_wan_dest_ACCEPT
|
|||||||
CONNTRACK
|
CONNTRACK
|
||||||
nfqws оснащен ограниченной реализацией слежения за состоянием tcp соединений (conntrack).
|
nfqws оснащен ограниченной реализацией слежения за состоянием tcp соединений (conntrack).
|
||||||
Он включается для реализации некоторых методов противодействия DPI.
|
Он включается для реализации некоторых методов противодействия DPI.
|
||||||
conntrack способен следить за фазой соединения : SYN,ESTABLISHED,FIN , количеством пакетов в каждую сторону,
|
conntrack способен следить за фазой соединения : SYN,ESTABLISHED,FIN, количеством пакетов в каждую сторону,
|
||||||
sequence numbers. conntrack способен "кормиться" пакетами в обе или только в одну сторону.
|
sequence numbers. conntrack способен "кормиться" пакетами в обе или только в одну сторону.
|
||||||
Соединение попадает в таблицу при обнаружении пакетов с выставленными флагами SYN или SYN,ACK.
|
Соединение попадает в таблицу при обнаружении пакетов с выставленными флагами SYN или SYN,ACK.
|
||||||
Поэтому если необходим conntrack, в правилах перенаправления iptables соединение должно идти на nfqws с самого первого
|
Поэтому если необходим conntrack, в правилах перенаправления iptables соединение должно идти на nfqws с самого первого
|
||||||
@ -836,7 +836,7 @@ tpws поддерживает эту возможность асинхронно
|
|||||||
Если при этом критический размер padding около MTU, значит скорее всего DPI не выполняет реассемблинг пакетов, и лучше будет использовать обычные опции --split-…
|
Если при этом критический размер padding около MTU, значит скорее всего DPI не выполняет реассемблинг пакетов, и лучше будет использовать обычные опции --split-…
|
||||||
Если все же реассемблинг выполняется, то критический размер будет около размера буфера DPI. Он может быть 4K или 8K, возможны и другие значения.
|
Если все же реассемблинг выполняется, то критический размер будет около размера буфера DPI. Он может быть 4K или 8K, возможны и другие значения.
|
||||||
|
|
||||||
--disorder - это попытка симулировать режим disorder2 nfqws , используя особенности ОС по реализации stream сокетов.
|
--disorder - это попытка симулировать режим disorder2 nfqws, используя особенности ОС по реализации stream сокетов.
|
||||||
Однако, в отличие от nfqws, здесь не требуются повышенные привилегии.
|
Однако, в отличие от nfqws, здесь не требуются повышенные привилегии.
|
||||||
Реализовано это следующим образом. У сокета есть возможность выставить TTL. Все пакеты будут отправляться с ним.
|
Реализовано это следующим образом. У сокета есть возможность выставить TTL. Все пакеты будут отправляться с ним.
|
||||||
Перед отправкой первого сегмента ставим TTL=1. Пакет будет дропнут на первом же роутере, он не дойдет ни до DPI, ни до сервера.
|
Перед отправкой первого сегмента ставим TTL=1. Пакет будет дропнут на первом же роутере, он не дойдет ни до DPI, ни до сервера.
|
||||||
@ -1439,7 +1439,7 @@ IFACE_WAN6="henet ipsec0"
|
|||||||
Несколько интерфейсов могут быть вписаны через пробел.
|
Несколько интерфейсов могут быть вписаны через пробел.
|
||||||
Если IFACE_WAN6 не задан, то берется значение IFACE_WAN.
|
Если IFACE_WAN6 не задан, то берется значение IFACE_WAN.
|
||||||
|
|
||||||
ВАЖНО : настройка маршрутизации , маскарада и т.д. не входит в задачу zapret.
|
ВАЖНО : настройка маршрутизации, маскарада и т.д. не входит в задачу zapret.
|
||||||
Включаются только режимы, обеспечивающие перехват транзитного трафика.
|
Включаются только режимы, обеспечивающие перехват транзитного трафика.
|
||||||
Возможно определить несколько интерфейсов следующим образом : IFACE_LAN="eth0 eth1 eth2"
|
Возможно определить несколько интерфейсов следующим образом : IFACE_LAN="eth0 eth1 eth2"
|
||||||
|
|
||||||
@ -1511,7 +1511,7 @@ zapret_custom_firewall_nft
|
|||||||
Смотрите как там сделано добавление iptables или запуск демонов.
|
Смотрите как там сделано добавление iptables или запуск демонов.
|
||||||
Используя хелпер функции, вы избавитесь от необходимости учитывать все возможные случаи
|
Используя хелпер функции, вы избавитесь от необходимости учитывать все возможные случаи
|
||||||
типа наличия/отсутствия ipv6, является ли система роутером, имена интерфейсов, ...
|
типа наличия/отсутствия ipv6, является ли система роутером, имена интерфейсов, ...
|
||||||
Хелперы это учитывают , вам нужно сосредоточиться лишь на фильтрах {ip,nf}tables и
|
Хелперы это учитывают, вам нужно сосредоточиться лишь на фильтрах {ip,nf}tables и
|
||||||
параметрах демонов.
|
параметрах демонов.
|
||||||
|
|
||||||
Код для openwrt и sysv немного отличается. В sysv нужно обрабатывать и запуск, и остановку демонов.
|
Код для openwrt и sysv немного отличается. В sysv нужно обрабатывать и запуск, и остановку демонов.
|
||||||
@ -1610,7 +1610,7 @@ nfqws может иметь такой глюк. При запуске с uid п
|
|||||||
Так же возможно, что глюк связан с кривым драйвером сотового интерфейса от китайцев, поскольку при использовании
|
Так же возможно, что глюк связан с кривым драйвером сотового интерфейса от китайцев, поскольку при использовании
|
||||||
wifi такого не наблюдается. suspend обработчика nfqueue на обычном linux не вызывает подобных фатальных последствий.
|
wifi такого не наблюдается. suspend обработчика nfqueue на обычном linux не вызывает подобных фатальных последствий.
|
||||||
Изменение UID на низкий (--uid 1 подойдет) позволяет решить эту проблему.
|
Изменение UID на низкий (--uid 1 подойдет) позволяет решить эту проблему.
|
||||||
Глюк был замечен на android 8.1 на девайсе , основанном на платформе mediatek.
|
Глюк был замечен на android 8.1 на девайсе, основанном на платформе mediatek.
|
||||||
|
|
||||||
Ответ на вопрос куда поместить tpws на android без рута, чтобы потом его запускать из приложений.
|
Ответ на вопрос куда поместить tpws на android без рута, чтобы потом его запускать из приложений.
|
||||||
Файл заливаем через adb shell в /data/local/tmp/, лучше всего в субфолдер.
|
Файл заливаем через adb shell в /data/local/tmp/, лучше всего в субфолдер.
|
||||||
@ -1650,7 +1650,7 @@ iptables -S
|
|||||||
Далее качаем zapret в /opt/zapret. Обычные действия с install_prereq.sh, install_bin.sh, blockcheck.sh.
|
Далее качаем zapret в /opt/zapret. Обычные действия с install_prereq.sh, install_bin.sh, blockcheck.sh.
|
||||||
|
|
||||||
Учтите, что стратегии обхода сотового оператора и домашнего wifi вероятно будут разные.
|
Учтите, что стратегии обхода сотового оператора и домашнего wifi вероятно будут разные.
|
||||||
Выделить сотового оператора легко через параметр iptables -o <имя интерфейса>. Имя может быть , например, ccmni0.
|
Выделить сотового оператора легко через параметр iptables -o <имя интерфейса>. Имя может быть, например, ccmni0.
|
||||||
Его легко увидеть через ifconfig.
|
Его легко увидеть через ifconfig.
|
||||||
Wifi сеть - обычно wlan0.
|
Wifi сеть - обычно wlan0.
|
||||||
|
|
||||||
@ -1806,10 +1806,10 @@ Openwrt является одной из немногих относительн
|
|||||||
VPS - это виртуальный сервер. Существует огромное множество датацентров, предлагающих данную услугу.
|
VPS - это виртуальный сервер. Существует огромное множество датацентров, предлагающих данную услугу.
|
||||||
На VPS могут выполняться какие угодно задачи. От простого веб сайта до навороченной системы собственной разработки.
|
На VPS могут выполняться какие угодно задачи. От простого веб сайта до навороченной системы собственной разработки.
|
||||||
Можно использовать VPS и для поднятия собственного vpn или прокси.
|
Можно использовать VPS и для поднятия собственного vpn или прокси.
|
||||||
Сама широта возможных способов применения , распространенность услуги сводят к минимуму возможности
|
Сама широта возможных способов применения, распространенность услуги сводят к минимуму возможности
|
||||||
регуляторов по бану сервисов такого типа. Да, если введут белые списки, то решение загнется, но это будет уже другая
|
регуляторов по бану сервисов такого типа. Да, если введут белые списки, то решение загнется, но это будет уже другая
|
||||||
реальность, в которой придется изобретать иные решения.
|
реальность, в которой придется изобретать иные решения.
|
||||||
Пока этого не сделали, никто не будет банить хостинги просто потому , что они предоставляют хостинг услуги.
|
Пока этого не сделали, никто не будет банить хостинги просто потому, что они предоставляют хостинг услуги.
|
||||||
Вы как индивидуум скорее всего никому не нужны. Подумайте чем вы отличаетесь от известного VPN провайдера.
|
Вы как индивидуум скорее всего никому не нужны. Подумайте чем вы отличаетесь от известного VPN провайдера.
|
||||||
VPN провайдер предоставляет _простую_ и _доступную_ услугу по обходу блокировок для масс.
|
VPN провайдер предоставляет _простую_ и _доступную_ услугу по обходу блокировок для масс.
|
||||||
Этот факт делает его первоочередной целью блокировки. РКН направит уведомление, после отказа сотрудничать
|
Этот факт делает его первоочередной целью блокировки. РКН направит уведомление, после отказа сотрудничать
|
||||||
|
Loading…
Reference in New Issue
Block a user