From 55027736110a62acfdcc3e308e6a229aad5e39b8 Mon Sep 17 00:00:00 2001 From: bolvan <k@vodka.home.kg> Date: Sun, 7 Apr 2019 12:26:53 +0300 Subject: [PATCH] ip2net readme update --- readme.txt | 18 +++++++++++++----- 1 file changed, 13 insertions(+), 5 deletions(-) diff --git a/readme.txt b/readme.txt index 0943ecf..95c3637 100644 --- a/readme.txt +++ b/readme.txt @@ -130,7 +130,10 @@ tpws - это transparent proxy. Есть исключения : split-pos заменяет split-http-req. hostdot и hosttab взаимоисключающи. Провайдеры ----------- +---------- + +Поскольку ситуация с блокировками на отдельных провайдерах может меняться, информация может устаревать. Она дана больше для примера, чем как прямое руководство. +Автор не занимается мониторингом и оперативным обновлением этой информации. mns.ru : нужна замена window size на 3. mns.ru убирает заблокированные домены из выдачи своих DNS серверов. меняем на сторонние. аплинк westcall банит по IP адреса из списка РКН, где присутствует https @@ -147,8 +150,7 @@ dom.ru : нужно проксирование HTTP сессий через tpws 2 запрашиваемых поддомена : s.kinozal.tv и st.kinozal.tv с разными IP адресами. Домру перехватывает DNS запросы и всовывает свой лже-ответ. Это обходится через дроп лже-ответа посредством iptables по наличию IP адреса заглушки или через dnscrypt. -sknt.ru : проверена работа с tpws с параметром "--split-http-req=method". возможно, будет работать nfqueue, пока возможности - проверить нет +sknt.ru : проверена работа с tpws с параметром "--split-http-req=method". провайдер мониторит каждый пакет, поэтому при использовании nfq 2-й запрос в той же сессии зависает Ростелеком/tkt : помогает разделение http запроса на сегменты, настройки mns.ru подходят ТКТ был куплен ростелекомом, используется фильтрация ростелекома. @@ -206,8 +208,14 @@ tiera : Требуется сплит http запросов в течение в В обоих случаях слишком частая запись может убить флэшку, но если это произойдет с внутренней флэш памятью, то вы просто убьете роутер. -Принудительное обновление ipset выполняет скрипт ipset/create_ipset.sh - +Принудительное обновление ipset выполняет скрипт ipset/create_ipset.sh. +Список РКН уже достиг внушительных размеров в сотни тысяч IP адресов. Поэтому для оптимизации ipset +применяется утилита ip2net. Она берет список отдельных IP адресов и пытается в нем найти подсети максимального размера (от /22 до /30), +в которых заблокировано более 3/4 адресов. ip2net написан на языке C, поскольку операция ресурсоемкая. Иные способы роутер может не потянуть. +Если ip2net скомпилирован или в каталог ip2net скопирован бинарик, то скрипт create_ipset.sh использует ipset типа hash:net, прогоняя список через ip2net. +В противном случае используется ipset типа hash:ip, список загружается как есть. +Соответственно, если вам не нравится ip2net, просто уберите из каталога ip2net бинарик. + Можно внести список доменов в ipset/zapret-hosts-user-ipban.txt. Их ip адреса будут помещены в отдельный ipset "ipban". Он может использоваться для принудительного завертывания всех соединений на прозрачный proxy "redsocks" или на VPN.