Merge branch 'bol-van:master' into master

2025-04-15 11:32:58 +03:00 · 2024-11-25 10:18:13 +07:00 · 2024-11-25 10:18:13 +07:00 · 35d33eb95f
commit 35d33eb95f
parent 2bc452cb3d 78ea379e0f
6 changed files with 32 additions and 7 deletions
--- a/docs/changes.txt
+++ b/docs/changes.txt
@ -400,3 +400,10 @@ v69.2:
 nfqws,tpws: --skip
 nfqws: --methodeol
 init.d: do not use pgrep in sysv for busybox compat
+
+v69.3
+
+nfqws,tpws: fixed ipsets and hostlists
+all progs: version numbers for github, build date/time for self built
+repo: light release for openwrt and embedded systems
+repo: sha256sum
--- a/docs/quick_start.md
+++ b/docs/quick_start.md
@ -50,6 +50,8 @@
 > образ `squashfs` с помощью `image builder` и перешить этим вариантом роутер.

 1. Скачайте последний [tar.gz релиз](https://github.com/bol-van/zapret/releases) в /tmp, распакуйте его, затем удалите архив.
+   Для openwrt и прошивок используйте вариант `openwrt-embedded`.
+   Для экономия места в /tmp можно качать через curl в stdout и сразу распаковывать.

 2. Убедитесь, что у вас отключены все средства обхода блокировок, в том числе и
   сам zapret. Гарантированно уберет zapret скрипт `uninstall_easy.sh`.
--- a/docs/readme.en.md
+++ b/docs/readme.en.md
@ -1,4 +1,4 @@
-# zapret v.69
+# zapret v69.3

 # SCAMMER WARNING

@ -180,7 +180,9 @@ nfqws takes the following parameters:
 --dpi-desync-start=[n|d|s]N                    ; apply dpi desync only to packet numbers (n, default), data packet numbers (d), relative sequence (s) greater or equal than N
 --dpi-desync-cutoff=[n|d|s]N                   ; apply dpi desync only to packet numbers (n, default), data packet numbers (d), relative sequence (s) less than N
 --hostlist=<filename>                          ; apply dpi desync only to the listed hosts (one host per line, subdomains auto apply, gzip supported, multiple hostlists allowed)
+ --hostlist-domains=<domain_list>               ; comma separated fixed domain list
 --hostlist-exclude=<filename>                  ; do not apply dpi desync to the listed hosts (one host per line, subdomains auto apply, gzip supported, multiple hostlists allowed)
+ --hostlist-exclude-domains=<domain_list>       ; comma separated fixed domain list
 --hostlist-auto=<filename>                     ; detect DPI blocks and build hostlist automatically
 --hostlist-auto-fail-threshold=<int>           ; how many failed attempts cause hostname to be added to auto hostlist (default : 3)
 --hostlist-auto-fail-time=<int>                ; all failed attemps must be within these seconds (default : 60)
@ -193,7 +195,9 @@ nfqws takes the following parameters:
 --filter-udp=[~]port1[-port2]|*                ; UDP port filter. ~ means negation. setting udp and not setting tcp filter denies tcp. comma separated list supported.
 --filter-l7=[http|tls|quic|wireguard|dht|unknown] ; L6-L7 protocol filter. multiple comma separated values allowed.
 --ipset=<filename>                             ; ipset include filter (one ip/CIDR per line, ipv4 and ipv6 accepted, gzip supported, multiple ipsets allowed)
+ --ipset-ip=<ip_list>                           ; comma separated fixed subnet list
 --ipset-exclude=<filename>                     ; ipset exclude filter (one ip/CIDR per line, ipv4 and ipv6 accepted, gzip supported, multiple ipsets allowed)
+ --ipset-exclude-ip=<ip_list>                   ; comma separated fixed subnet list
 ```

 ### DPI desync attack
@ -671,10 +675,14 @@ tpws is transparent proxy.
 --filter-tcp=[~]port1[-port2]|*         ; TCP port filter. ~ means negation. comma separated list supported.
 --filter-l7=[http|tls|unknown]          ; L6-L7 protocol filter. multiple comma separated values allowed.
 --ipset=<filename>                      ; ipset include filter (one ip/CIDR per line, ipv4 and ipv6 accepted, gzip supported, multiple ipsets allowed)
+ --ipset-ip=<ip_list>                    ; comma separated fixed subnet list
 --ipset-exclude=<filename>              ; ipset exclude filter (one ip/CIDR per line, ipv4 and ipv6 accepted, gzip supported, multiple ipsets allowed)
+ --ipset-exclude-ip=<ip_list>            ; comma separated fixed subnet list

 --hostlist=<filename>                   ; only act on hosts in the list (one host per line, subdomains auto apply, gzip supported, multiple hostlists allowed)
+ --hostlist-domains=<domain_list>        ; comma separated fixed domain list
 --hostlist-exclude=<filename>           ; do not act on hosts in the list (one host per line, subdomains auto apply, gzip supported, multiple hostlists allowed)
+ --hostlist-exclude-domains=<domain_list> ; comma separated fixed domain list
 --hostlist-auto=<filename>              ; detect DPI blocks and build hostlist automatically
 --hostlist-auto-fail-threshold=<int>    ; how many failed attempts cause hostname to be added to auto hostlist (default : 3)
 --hostlist-auto-fail-time=<int>         ; all failed attemps must be within these seconds (default : 60)
@ -704,7 +712,7 @@ tpws is transparent proxy.
 --daemon                                ; daemonize
 --pidfile=<filename>                    ; write pid to file
 --user=<username>                       ; drop root privs
- --uid=uid[:gid]		                ; drop root privs
+ --uid=uid[:gid]                         ; drop root privs
 ```

 ### TCP segmentation in tpws
--- a/docs/readme.md
+++ b/docs/readme.md
@ -1,4 +1,4 @@
-# zapret v.69
+# zapret v69.3

 # ВНИМАНИЕ, остерегайтесь мошенников

@ -211,7 +211,9 @@ dvtws, собираемый из тех же исходников (см. [док
 						; список может быть запакован в gzip. формат автоматически распознается и разжимается
 						; списков может быть множество. пустой общий лист = его отсутствие
 						; хосты извлекаются из Host: хедера обычных http запросов и из SNI в TLS ClientHello.
+--hostlist-domains=<domain_list>		; фиксированный список доменов через зяпятую. можно использовать # в начале для комментирования отдельных доменов.
 --hostlist-exclude=<filename>			; не применять дурение к доменам из листа. может быть множество листов. схема аналогична include листам.
+--hostlist-exclude-domains=<domain_list>	; фиксированный список доменов через зяпятую. можно использовать # в начале для комментирования отдельных доменов.
 --hostlist-auto=<filename>			; обнаруживать автоматически блокировки и заполнять автоматический hostlist (требует перенаправления входящего трафика)
 --hostlist-auto-fail-threshold=<int>		; сколько раз нужно обнаружить ситуацию, похожую на блокировку, чтобы добавить хост в лист (по умолчанию: 3)
 --hostlist-auto-fail-time=<int>			; все эти ситуации должны быть в пределах указанного количества секунд (по умолчанию: 60)
@ -224,7 +226,9 @@ dvtws, собираемый из тех же исходников (см. [док
 --filter-udp=[~]port1[-port2]|*			; фильтр портов udp для текущей стратегии. ~ означает инверсию. установка фильтра udp и неустановка фильтра tcp запрещает tcp. поддерживается список через запятую.
 --filter-l7=[http|tls|quic|wireguard|dht|unknown] ; фильтр протокола L6-L7. поддерживается несколько значений через запятую.
 --ipset=<filename>				; включающий ip list. на каждой строчке ip или cidr ipv4 или ipv6. поддерживается множество листов и gzip. перечитка автоматическая.
+--ipset-ip=<ip_list>				; фиксированный список подсетей через запятую. можно использовать # в начале для комментирования отдельных подсетей.
 --ipset-exclude=<filename>			; исключающий ip list. на каждой строчке ip или cidr ipv4 или ipv6. поддерживается множество листов и gzip. перечитка автоматическая.
+--ipset-exclude-ip=<ip_list>			; фиксированный список подсетей через запятую. можно использовать # в начале для комментирования отдельных подсетей.
 ```

 `--debug` позволяет выводить подробный лог действий на консоль, в syslog или в файл. Может быть важен порядок следования
@ -822,7 +826,9 @@ tpws - это transparent proxy.
 					; список может быть запакован в gzip. формат автоматически распознается и разжимается
 					; списков может быть множество. пустой общий лист = его отсутствие
 					; хосты извлекаются из Host: хедера обычных http запросов и из SNI в TLS ClientHello.
+--hostlist-domains=<domain_list>	; фиксированный список доменов через зяпятую. можно использовать # в начале для комментирования отдельных доменов.
 --hostlist-exclude=<filename>		; не применять дурение к доменам из листа. может быть множество листов. схема аналогична include листам.
+--hostlist-exclude-domains=<domain_list>; фиксированный список доменов через зяпятую. можно использовать # в начале для комментирования отдельных доменов.
 --hostlist-auto=<filename>		; обнаруживать автоматически блокировки и заполнять автоматический hostlist (требует перенаправления входящего трафика)
 --hostlist-auto-fail-threshold=<int>	; сколько раз нужно обнаружить ситуацию, похожую на блокировку, чтобы добавить хост в лист (по умолчанию: 3)
 --hostlist-auto-fail-time=<int>		; все эти ситуации должны быть в пределах указанного количества секунд (по умолчанию: 60)
@ -833,7 +839,9 @@ tpws - это transparent proxy.
 --filter-tcp=[~]port1[-port2]|*		; фильтр портов tcp для текущей стратегии. ~ означает инверсию. поддерживается список через запятую.
 --filter-l7=[http|tls|quic|wireguard|dht|unknown] ; фильтр протокола L6-L7. поддерживается несколько значений через запятую.
 --ipset=<filename>			; включающий ip list. на каждой строчке ip или cidr ipv4 или ipv6. поддерживается множество листов и gzip. перечитка автоматическая.
+--ipset-ip=<ip_list>			; фиксированный список подсетей через запятую. можно использовать # в начале для комментирования отдельных подсетей.
 --ipset-exclude=<filename>		; исключающий ip list. на каждой строчке ip или cidr ipv4 или ipv6. поддерживается множество листов и gzip. перечитка автоматическая.
+--ipset-exclude-ip=<ip_list>		; фиксированный список подсетей через запятую. можно использовать # в начале для комментирования отдельных подсетей.
 ```

 ### TCP СЕГМЕНТАЦИЯ В TPWS
--- a/nfq/nfqws.c
+++ b/nfq/nfqws.c
@ -1067,9 +1067,9 @@ static void exithelp(void)
 		" --filter-udp=[~]port1[-port2]|*\t\t; UDP port filter. ~ means negation. setting udp and not setting tcp filter denies tcp. comma separated list allowed.\n"
 		" --filter-l7=[http|tls|quic|wireguard|dht|unknown] ; L6-L7 protocol filter. multiple comma separated values allowed.\n"
 		" --ipset=<filename>\t\t\t\t; ipset include filter (one ip/CIDR per line, ipv4 and ipv6 accepted, gzip supported, multiple ipsets allowed)\n"
-		" --ipset-ip=<ip_list>\t\t\t\t; comma separated fixed ip list\n"
+		" --ipset-ip=<ip_list>\t\t\t\t; comma separated fixed subnet list\n"
 		" --ipset-exclude=<filename>\t\t\t; ipset exclude filter (one ip/CIDR per line, ipv4 and ipv6 accepted, gzip supported, multiple ipsets allowed)\n"
-		" --ipset-exclude-ip=<ip_list>\t\t\t; comma separated fixed ip list\n"
+		" --ipset-exclude-ip=<ip_list>\t\t\t; comma separated fixed subnet list\n"
 		"\nHOSTLIST FILTER:\n"
 		" --hostlist=<filename>\t\t\t\t; apply dpi desync only to the listed hosts (one host per line, subdomains auto apply, gzip supported, multiple hostlists allowed)\n"
 		" --hostlist-domains=<domain_list>\t\t; comma separated fixed domain list\n"
--- a/tpws/tpws.c
+++ b/tpws/tpws.c
@ -182,9 +182,9 @@ static void exithelp(void)
 		" --filter-tcp=[~]port1[-port2]|*\t; TCP port filter. ~ means negation. multiple comma separated values allowed.\n"
 		" --filter-l7=[http|tls|unknown]\t\t; L6-L7 protocol filter. multiple comma separated values allowed.\n"
 		" --ipset=<filename>\t\t\t; ipset include filter (one ip/CIDR per line, ipv4 and ipv6 accepted, gzip supported, multiple ipsets allowed)\n"
-		" --ipset-ip=<ip_list>\t\t\t; comma separated fixed ip list\n"
+		" --ipset-ip=<ip_list>\t\t\t; comma separated fixed subnet list\n"
 		" --ipset-exclude=<filename>\t\t; ipset exclude filter (one ip/CIDR per line, ipv4 and ipv6 accepted, gzip supported, multiple ipsets allowed)\n"
-		" --ipset-exclude-ip=<ip_list>\t\t; comma separated fixed ip list\n"
+		" --ipset-exclude-ip=<ip_list>\t\t; comma separated fixed subnet list\n"
 		"\nHOSTLIST FILTER:\n"
 		" --hostlist=<filename>\t\t\t; only act on hosts in the list (one host per line, subdomains auto apply, gzip supported, multiple hostlists allowed)\n"
 		" --hostlist-domains=<domain_list>\t; comma separated fixed domain list\n"