mirror of
https://github.com/bol-van/zapret.git
synced 2024-11-29 21:40:52 +03:00
readme: ipfrag updated info
This commit is contained in:
parent
f6734c1307
commit
81357a41bf
@ -564,8 +564,9 @@ tls-kyber может так же размазываться по 2 пакета
|
||||
Идет десинхронизация полных hello в одном пакете и частичных hello, где SNI попал в 1-й пакет.
|
||||
|
||||
IP ФРАГМЕНТАЦИЯ
|
||||
В современной сети с этом все очень плохо. Фрагментированные пакеты застревают по пути, часто отбрасываются.
|
||||
Иногда доходят. Иногда то доходят, то не доходят. Может зависеть от версии ipv4/ipv6.
|
||||
Современная сеть практически не пропускает фрагментированные tcp на уровне ip.
|
||||
На udp с этим дело получше, поскольку некоторые udp протоколы могут опираться на этот механизм (IKE старых версий).
|
||||
Однако, кое-где бывает, что режут и фрагментированный udp.
|
||||
Роутеры на базе linux могут самопроизвольно собирать или перефрагментировать пакеты.
|
||||
Позиция фрагментации задается отдельно для tcp и udp. По умолчанию 24 и 8 соответственно, должна быть кратна 8.
|
||||
Смещение считается с транспортного заголовка.
|
||||
@ -609,7 +610,6 @@ options ip6table_raw raw_before_defrag=1
|
||||
с любым приоритетом. Используйте приоритет -401 и ниже.
|
||||
|
||||
При использовании iptables и NAT, похоже, что нет способа прицепить обработчик очереди после NAT.
|
||||
MASQUERADE является финальным таргетом, после него NFQUEUE не срабатывает.
|
||||
Пакет попадает в nfqws с source адресом внутренней сети, затем фрагментируется и уже не обрабатывается NAT.
|
||||
Так и уходит во внешюю сеть с src ip 192.168.x.x. Следовательно, метод не срабатывает.
|
||||
Видимо единственный рабочий метод - отказаться от iptables и использовать nftables.
|
||||
|
Loading…
Reference in New Issue
Block a user