From 46bdcb87b8efec0aeb7b47d8da64cbf04748cb17 Mon Sep 17 00:00:00 2001 From: bol-van Date: Sun, 3 Mar 2024 10:09:58 +0300 Subject: [PATCH] quick_start: reorganize --- docs/quick_start.txt | 61 ++++++++++++++++++++++---------------------- docs/readme.txt | 4 +++ 2 files changed, 35 insertions(+), 30 deletions(-) diff --git a/docs/quick_start.txt b/docs/quick_start.txt index 5e4cab8..06ddc57 100644 --- a/docs/quick_start.txt +++ b/docs/quick_start.txt @@ -42,11 +42,7 @@ install_prepreq.sh Вас могут спросить о типе фаервола (iptables/nftables) и использовании ipv6. Это нужно для установки правильных пакетов в ОС, чтобы не устанавливать лишнее. -6) Запустите blockcheck.sh. blockcheck позволяет выявить рабочую стратегию обхода блокировок -По результатам blockcheck нужно понять какой вариант будете использовать : nfqws или tpws -И запомнить найденные стратегии. - -7) blockcheck.sh в начале проверяет DNS. Если выводятся сообщения о подмене адресов, то +6) Запустите blockcheck.sh. blockcheck.sh в начале проверяет DNS. Если выводятся сообщения о подмене адресов, то первым делом нужно решить эту проблему, иначе ничего не будет работать. Решение проблемы DNS выходит за рамки проекта. Обычно она решается либо заменой DNS серверов от провайдера на публичные (1.1.1.1, 8.8.8.8), либо в случае перехвата провайдером обращений @@ -81,6 +77,34 @@ config interface 'wan' Если это не подходит, можно перенаправлять обращения на udp и tcp порты 53 вашего DNS сервера на 77.88.8.88:1253 средствами iptables/nftables. В /etc/resolv.conf нельзя прописать DNS на нестандартном порту. +7) blockcheck позволяет выявить рабочую стратегию обхода блокировок +По результатам blockcheck нужно понять какой вариант будете использовать : nfqws или tpws +И запомнить найденные стратегии. + +Следует понимать, что blockcheck проверяет доступность только конкретного домена, который вы вводите в начале. +Вероятно, все остальные домены блокированы подобным образом, но не факт. +В большинстве случаев можно обьединить несколько стратегий в одну универсальную, но для этого необходимо понимать +"что там за буковки". Если вы в сетях слабо разбираетесь, это не для вас. В противном случае читайте readme.txt. +zapret не может пробить блокировку по IP адресу +Для проверки нескольких доменов вводите их через пробел. + +Сейчас блокираторы ставят на магистральных каналах. В сложных случаях у вас может быть несколько маршрутов +с различной длиной по ХОПам, с DPI на разных хопах. Приходится преодолевать целый зоопарк DPI, +которые еще и включаются в работу хаотичным образом или образом, зависящим от направления (IP сервера). +blockheck не всегда может выдать вам в итогах оптимальную стратегию, которую надо просто переписать в настройки. +В некоторых случаях надо реально думать что происходит, анализируя результат на разных стратегиях. +Если вы применяете большой TTL, чтобы достать до магистрала, то не лишним будет добавить дополнительный ограничитель +--dpi-desync-fooling, чтобы не сломать сайты на более коротких дистанциях. +md5sig наиболее совместим, но работатет только на linux серверах. +badseq может работать только на https и не работать на http. +badsum и вовсе перестал работать на многих провайдерах с некоторых пор, видимо включили проверку чексумм на DPI. +Чтобы выяснить какие дополнительные ограничители работают, смотрите результат теста аналогичных стратегий без TTL +с каждым из этих ограничителей. + +При использовании autottl следует протестировать как можно больше разных доменов. Эта техника +может на одних провайдерах работать стабильно, на других потребуется выяснить при каких параметрах +она стабильна, на третьих полный хаос, и проще отказаться. + 8) Запустите install_easy.sh. Выберите nfqws или tpws, затем согласитесь на редактирование параметров. Откроется редактор, куда впишите найденные стратегии. @@ -103,34 +127,11 @@ NFQWS_OPT_DESYNC_HTTP и NFQWS_OPT_DESYNC_HTTPS заменяют стратег с установленным числом попыток проверки не менее 5. Возможно, ваш провайдер использует балансировку нагрузки, где на разных путях установлен разный DPI. -Следует понимать, что blockcheck проверяет доступность только конкретного домена, который вы вводите в начале. -Вероятно, все остальные домены блокированы подобным образом, но не факт. -В большинстве случаев можно обьединить несколько стратегий в одну универсальную, но для этого необходимо понимать -"что там за буковки". Если вы в сетях слабо разбираетесь, это не для вас. В противном случае читайте readme.txt. -zapret не может пробить блокировку по IP адресу -Для проверки нескольких доменов вводите их через пробел. - -Сейчас блокираторы ставят на магистральных каналах. В сложных случаях у вас может быть несколько маршрутов -с различной длиной по ХОПам, с DPI на разных хопах. Приходится преодолевать целый зоопарк DPI, -которые еще и включаются в работу хаотичным образом или образом, зависящим от направления (IP сервера). -blockheck не всегда может выдать вам в итогах оптимальную стратегию, которую надо просто переписать в настройки. -В некоторых случаях надо реально думать что происходит, анализируя результат на разных стратегиях. -Если вы применяете большой TTL, чтобы достать до магистрала, то не лишним будет добавить дополнительный ограничитель ---dpi-desync-fooling, чтобы не сломать сайты на более коротких дистанциях. -md5sig наиболее совместим, но работатет только на linux серверах. -badseq может работать только на https и не работать на http. -badsum и вовсе перестал работать на многих провайдерах с некоторых пор, видимо включили проверку чексумм на DPI. -Чтобы выяснить какие дополнительные ограничители работают, смотрите результат теста аналогичных стратегий без TTL -с каждым из этих ограничителей. - -Может понадобиться фильтрация по IP/хостам/autohostlist. -Короче, эта инструкция опять же не панацея, в некоторых случаях вы не обойдетесь без знаний и основного "толмуда" readme.txt -Он длинный, но он длинный не просто так. zapret - не простая удобная программа для пользователя, это довольно сложный метод. - 9) На все остальные вопросы install_easy.sh отвечайте согласно выводимой аннонтации. 10) Если ломаются отдельные незаблокированные ресурсы, следует вносить их в исключения, либо пользоваться ограничивающим ipset или хост листом. Читайте основной толмуд readme.txt ради подробностей. -Это минимальная инструкция, чтобы соориентироваться с чего начать. +Это минимальная инструкция, чтобы соориентироваться с чего начать. Однако, это - не панацея. +В некоторых случаях вы не обойдетесь без знаний и основного "толмуда". Подробности и полное техническое описание расписаны в readme.txt diff --git a/docs/readme.txt b/docs/readme.txt index d053eb4..ec350c3 100644 --- a/docs/readme.txt +++ b/docs/readme.txt @@ -1061,6 +1061,10 @@ install_easy.sh при апгрейде zapret сохраняет этот фа В этом случае задайте несколько повторов одного и того же теста. Тест будет считаться успешным только, если все попытки пройдут успешно. +При использовании autottl следует протестировать как можно больше разных доменов. Эта техника +может на одних провайдерах работать стабильно, на других потребуется выяснить при каких параметрах +она стабильна, на третьих полный хаос, и проще отказаться. + Выбор параметров ----------------