drygdryg/zapret
1
0
Fork 0
mirror of https://github.com/bol-van/zapret.git synced 2024-12-02 06:30:53 +03:00
Code Issues Packages Projects Releases Wiki Activity

readme: ipfrag updated info

Browse Source
This commit is contained in:
bol-van 2024-03-30 10:24:46 +03:00
parent f6734c1307
commit 81357a41bf
1 changed files with 3 additions and 3 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

6
docs/readme.txt
View File

@ -564,8 +564,9 @@ tls-kyber может так же размазываться по 2 пакета
Идет десинхронизация полных hello в одном пакете и частичных hello, где SNI попал в 1-й пакет. Идет десинхронизация полных hello в одном пакете и частичных hello, где SNI попал в 1-й пакет.
IP ФРАГМЕНТАЦИЯ IP ФРАГМЕНТАЦИЯ
В современной сети с этом все очень плохо. Фрагментированные пакеты застревают по пути, часто отбрасываются. Современная сеть практически не пропускает фрагментированные tcp на уровне ip.
Иногда доходят. Иногда то доходят, то не доходят. Может зависеть от версии ipv4/ipv6. На udp с этим дело получше, поскольку некоторые udp протоколы могут опираться на этот механизм (IKE старых версий).
Однако, кое-где бывает, что режут и фрагментированный udp.
Роутеры на базе linux могут самопроизвольно собирать или перефрагментировать пакеты. Роутеры на базе linux могут самопроизвольно собирать или перефрагментировать пакеты.
Позиция фрагментации задается отдельно для tcp и udp. По умолчанию 24 и 8 соответственно, должна быть кратна 8. Позиция фрагментации задается отдельно для tcp и udp. По умолчанию 24 и 8 соответственно, должна быть кратна 8.
Смещение считается с транспортного заголовка. Смещение считается с транспортного заголовка.
@ -609,7 +610,6 @@ options ip6table_raw raw_before_defrag=1
с любым приоритетом. Используйте приоритет -401 и ниже. с любым приоритетом. Используйте приоритет -401 и ниже.
При использовании iptables и NAT, похоже, что нет способа прицепить обработчик очереди после NAT. При использовании iptables и NAT, похоже, что нет способа прицепить обработчик очереди после NAT.
MASQUERADE является финальным таргетом, после него NFQUEUE не срабатывает.
Пакет попадает в nfqws с source адресом внутренней сети, затем фрагментируется и уже не обрабатывается NAT. Пакет попадает в nfqws с source адресом внутренней сети, затем фрагментируется и уже не обрабатывается NAT.
Так и уходит во внешюю сеть с src ip 192.168.x.x. Следовательно, метод не срабатывает. Так и уходит во внешюю сеть с src ip 192.168.x.x. Следовательно, метод не срабатывает.
Видимо единственный рабочий метод - отказаться от iptables и использовать nftables. Видимо единственный рабочий метод - отказаться от iptables и использовать nftables.