diff --git a/init.d/debian7/zapret b/init.d/debian7/zapret index a60af1d..256be52 100755 --- a/init.d/debian7/zapret +++ b/init.d/debian7/zapret @@ -18,6 +18,9 @@ ISP=mns #ISP=tiera #ISP=athome +# Its possible not to use ipset. Use hostlist with tpws instead. +#ISP=hostlist + # If ISP is unlisted then uncomment "custom" # Find out what works for your ISP and modify "# PLACEHOLDER" parts of this script #ISP=custom @@ -26,21 +29,31 @@ ISP=mns SLAVE_ETH=eth0 -IPSET_CR=/opt/zapret/ipset/create_ipset.sh +ZAPRET_BASE=/opt/zapret + +IPSET_CR=$ZAPRET_BASE/ipset/create_ipset.sh NAME=zapret DESC=anti-zapret QNUM=200 TPPORT=1188 ROUTE_TABLE_NUM=100 -NFQWS=/opt/zapret/nfq/nfqws -TPWS=/opt/zapret/tpws/tpws +NFQWS=$ZAPRET_BASE/nfq/nfqws +TPWS=$ZAPRET_BASE/tpws/tpws TPWS_USER=tpws +TPWS_HOSTLIST=$ZAPRET_BASE/ipset/zapret-hosts.txt PIDFILE=/var/run/$NAME.pid set -e + +prepare_tpws() +{ + adduser --disabled-login --no-create-home --system --quiet $TPWS_USER + sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1 +} + case "$1" in start) echo "Creating ipset" @@ -48,6 +61,15 @@ case "$1" in echo "Adding iptables rule" case "${ISP}" in + hostlist) + prepare_tpws + iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null || + iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -j DNAT --to 127.0.0.1:$TPPORT + iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null || + iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -j DNAT --to 127.0.0.1:$TPPORT + DAEMON=$TPWS + DAEMON_OPTS="--port=$TPPORT --hostlist=$TPWS_HOSTLIST --hostcase --split-http-req=method --user=$TPWS_USER --bind-addr=127.0.0.1" + ;; mns) iptables -t raw -C PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass 2>/dev/null || iptables -t raw -I PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass @@ -67,8 +89,7 @@ case "$1" in DAEMON_OPTS="--qnum=$QNUM --hostspell=HOST" ;; domru) - adduser --disabled-login --no-create-home --system --quiet $TPWS_USER - sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1 + prepare_tpws iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null || iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null || @@ -82,8 +103,7 @@ case "$1" in DAEMON_OPTS="--port=$TPPORT --hostcase --split-http-req=host --user=$TPWS_USER --bind-addr=127.0.0.1" ;; tiera) - adduser --disabled-login --no-create-home --system --quiet $TPWS_USER - sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1 + prepare_tpws iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null || iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null || @@ -92,8 +112,7 @@ case "$1" in DAEMON_OPTS="--port=$TPPORT --split-http-req=host --user=$TPWS_USER --bind-addr=127.0.0.1" ;; athome) - adduser --disabled-login --no-create-home --system --quiet $TPWS_USER - sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1 + prepare_tpws iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null || iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null || @@ -122,6 +141,11 @@ case "$1" in echo "Deleting iptables rule" case "${ISP}" in + hostlist) + iptables -t nat -D PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -j DNAT --to 127.0.0.1:$TPPORT + iptables -t nat -D OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -j DNAT --to 127.0.0.1:$TPPORT + DAEMON=$TPWS + ;; mns|rt) iptables -t raw -D PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass DAEMON=$NFQWS diff --git a/init.d/openwrt/firewall.user.hostlist b/init.d/openwrt/firewall.user.hostlist new file mode 100644 index 0000000..7a91bd6 --- /dev/null +++ b/init.d/openwrt/firewall.user.hostlist @@ -0,0 +1,20 @@ +TPPORT=1188 +TPWS_USER=daemon + +. /lib/functions/network.sh + +network_find_wan wan_iface + +for ext_iface in $wan_iface; do + network_get_device DEVICE $ext_iface + # DNAT for local traffic + + iptables -t nat -C OUTPUT -p tcp --dport 80 -o $DEVICE -m owner ! --uid-owner $TPWS_USER -j DNAT --to 127.0.0.1:$TPPORT || + iptables -t nat -I OUTPUT -p tcp --dport 80 -o $DEVICE -m owner ! --uid-owner $TPWS_USER -j DNAT --to 127.0.0.1:$TPPORT + +done + +network_get_device DEVICE lan +sysctl -w net.ipv4.conf.$DEVICE.route_localnet=1 +iptables -t nat -C prerouting_lan_rule -p tcp --dport 80 -j DNAT --to 127.0.0.1:$TPPORT || + iptables -t nat -I prerouting_lan_rule -p tcp --dport 80 -j DNAT --to 127.0.0.1:$TPPORT diff --git a/init.d/openwrt/zapret b/init.d/openwrt/zapret index 3d0cfb5..3e76d6a 100755 --- a/init.d/openwrt/zapret +++ b/init.d/openwrt/zapret @@ -9,6 +9,9 @@ ISP=mns #ISP=tiera #ISP=athome +# Its possible not to use ipset. Use hostlist with tpws instead. +#ISP=hostlist + # If ISP is unlisted then uncomment "custom" # Find out what works for your ISP and modify "# PLACEHOLDER" parts of this script #ISP=custom @@ -19,13 +22,17 @@ START=18 # !!!!! in openwrt you need to add firewall rules manually to /etc/firewall.user + +ZAPRET_BASE=/opt/zapret + QNUM=200 TPPORT=1188 ROUTE_TABLE_NUM=100 -NFQWS=/opt/zapret/nfq/nfqws -TPWS=/opt/zapret/tpws/tpws -IPSET_CR=/opt/zapret/ipset/create_ipset.sh +NFQWS=$ZAPRET_BASE/nfq/nfqws +TPWS=$ZAPRET_BASE/tpws/tpws +IPSET_CR=$ZAPRET_BASE/ipset/create_ipset.sh TPWS_USER=daemon +TPWS_HOSTLIST=$ZAPRET_BASE/ipset/zapret-hosts.txt # must execute /etc/firewall.user on every firewall reload @@ -49,6 +56,10 @@ set_firewall_user_reload() { get_daemon() { case "${ISP}" in + hostlist) + DAEMON_OPTS="--port=$TPPORT --hostcase --split-http-req=method --hostlist=$TPWS_HOSTLIST --bind-addr=127.0.0.1 --user=$TPWS_USER" + DAEMON=$TPWS + ;; mns) DAEMON_OPTS="--qnum=$QNUM --wsize=3" DAEMON=$NFQWS diff --git a/init.d/ubuntu12/zapret.conf b/init.d/ubuntu12/zapret.conf deleted file mode 100644 index 9779eb3..0000000 --- a/init.d/ubuntu12/zapret.conf +++ /dev/null @@ -1,138 +0,0 @@ -description "zapret" - -start on runlevel [2345] -stop on runlevel [!2345] - -# CHOOSE ISP HERE. UNCOMMENT ONLY ONE LINE. -env ISP=mns -#env ISP=rt -#env ISP=beeline -#env ISP=domru -#env ISP=tiera -#env ISP=athome - -# If ISP is unlisted then uncomment "custom" -# Find out what works for your ISP and modify "# PLACEHOLDER" parts of this script -#env ISP=custom - -# CHOSE NETWORK INTERFACE BEHIND NAT -env SLAVE_ETH=eth1 - - -env QNUM=200 -env TPPORT=1188 -env ROUTE_TABLE_NUM=100 -env NFQWS=/opt/zapret/nfq/nfqws -env TPWS=/opt/zapret/tpws/tpws -env TPWS_USER=tpws - -pre-start script - /opt/zapret/ipset/create_ipset.sh - - case "${ISP}" in - mns|rt) - iptables -t raw -C PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass || - iptables -t raw -I PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass - ;; - beeline) - iptables -t mangle -C POSTROUTING -p tcp --dport 80 -m set --match-set zapret dst -j NFQUEUE --queue-num $QNUM --queue-bypass || - iptables -t mangle -I POSTROUTING -p tcp --dport 80 -m set --match-set zapret dst -j NFQUEUE --queue-num $QNUM --queue-bypass - ;; - domru) - adduser --disabled-login --no-create-home --system --quiet $TPWS_USER - sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1 - iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT || - iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT - iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT || - iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT - # BLOCK SPOOFED DNS FROM DOMRU - iptables -t raw -C PREROUTING -p udp --sport 53 -m string --hex-string "|05030311|" --algo bm -j DROP --from 40 --to 300 || - iptables -t raw -I PREROUTING -p udp --sport 53 -m string --hex-string "|05030311|" --algo bm -j DROP --from 40 --to 300 - iptables -t raw -C PREROUTING -p udp --sport 53 -m string --hex-string "|2a022698a00200010000000000030017|" --algo bm -j DROP --from 40 --to 300 || - iptables -t raw -I PREROUTING -p udp --sport 53 -m string --hex-string "|2a022698a00200010000000000030017|" --algo bm -j DROP --from 40 --to 300 - ;; - tiera|athome) - adduser --disabled-login --no-create-home --system --quiet $TPWS_USER - sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1 - iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT || - iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT - iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT || - iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT - ;; - custom) - # PLACEHOLDER - echo !!! NEED ATTENTION !!! - echo \(optional\) Prepare environment for running daemon - echo Configure iptables for required actions - echo Study how other sections work - ;; - esac -end script - -script - case "${ISP}" in - mns) - NFEXE=$NFQWS - NFARG="--qnum $QNUM --wsize=3" - ;; - rt) - NFEXE=$NFQWS - NFARG="--qnum $QNUM --wsize=20" - ;; - beeline) - NFEXE=$NFQWS - NFARG="--qnum $QNUM --hostspell=HOST" - ;; - domru) - NFEXE=$TPWS - NFARG="--port=$TPPORT --hostcase --split-http-req=host --user=$TPWS_USER --bind-addr=127.0.0.1" - ;; - tiera) - NFEXE=$TPWS - NFARG="--port=$TPPORT --split-http-req=host --user=$TPWS_USER --bind-addr=127.0.0.1" - ;; - athome) - NFEXE=$TPWS - NFARG="--port=$TPPORT --split-http-req=method --user=$TPWS_USER --bind-addr=127.0.0.1" - ;; - custom) - # PLACEHOLDER - echo !!! NEED ATTENTION !!! - echo Select which daemon and what options work for you - echo Study how other sections work - NFEXE=/bin/sleep - NFARG=20 - ;; - esac - $NFEXE $NFARG - [ -n "$NFEXE" ] && $NFEXE $NFARG -end script - -pre-stop script - case "${ISP}" in - mns|rt) - iptables -t raw -D PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass - ;; - beeline) - iptables -t mangle -D POSTROUTING -p tcp --dport 80 -m set --match-set zapret dst -j NFQUEUE --queue-num $QNUM --queue-bypass - ;; - domru) - sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=0 - iptables -t nat -D PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT - iptables -t nat -D OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT - iptables -t raw -D PREROUTING -p udp --sport 53 -m string --hex-string "|05030311|" --algo bm -j DROP --from 40 --to 300 - iptables -t raw -D PREROUTING -p udp --sport 53 -m string --hex-string "|2a022698a00200010000000000030017|" --algo bm -j DROP --from 40 --to 300 - ;; - tiera|athome) - sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=0 - iptables -t nat -D PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT - iptables -t nat -D OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT - ;; - custom) - # PLACEHOLDER - echo !!! NEED ATTENTION !!! - echo Clear firewall rules here. Remove iptables changes made previously. - echo Study how other sections work - ;; - esac -end script diff --git a/readme.txt b/readme.txt index 2d9a64e..743cf00 100644 --- a/readme.txt +++ b/readme.txt @@ -255,9 +255,13 @@ Debian 7 изначально содержит ядро 3.2. Оно не уме Там же выбрать параметр SLAVE_ETH, соответствующий названию внутреннего сетевого интерфейса. Включить автостарт : chkconfig zapret on (опционально) Вручную первый раз получить новый список ip адресов : /opt/zapret/ipset/get_antizapret.sh -Зашедулить задание обновления листа : +Зашедулить задание обновления листа (кроме hostlist) : crontab -e - Создать строчку "0 12 * * */2 /opt/zapret/ipset/get_antizapret.sh". Это значит в 12:00 каждые 2 дня обновлять список. + Создать строчку "0 12 * * */2 /opt/zapret/ipset/get_antizapret.sh" +Зашедулить задание обновления листа (только для hostlist): + crontab -e + Создать строчку "0 12 * * */2 /opt/zapret/ipset/get_hostlist.sh" +Это значит в 12:00 каждые 2 дня обновлять список. Запустить службу : service zapret start Попробовать зайти куда-нибудь : http://ej.ru, http://kinozal.tv, http://grani.ru. Если не работает, то остановить службу zapret, добавить правило в iptables вручную, @@ -270,15 +274,6 @@ Debian 7 изначально содержит ядро 3.2. Оно не уме Попробуйте снять дамп в wireshark или "tcpdump -vvv -X host ", посмотрите действительно ли первый сегмент TCP уходит коротким и меняется ли регистр "Host:". -ubuntu 12,14 ------------- - -Имеется готовый конфиг для upstart : zapret.conf. Его нужно скопировать в /etc/init и настроить по аналогии с debian. -Запуск службы : "start zapret" -Останов службы : "stop zapret" -Просмотр сообщений : cat /var/log/upstart/zapret.log -Ubuntu 12 так же, как и debian 7, оснащено ядром 3.2. См замечание в разделе "debian 7". - ubuntu 16,debian 8 ------------------ @@ -293,6 +288,8 @@ start : sytemctl start zapret stop : systemctl stop zapret status, output messages : systemctl status zapret +После изменения /etc/init.d/zapret : systemctl daemon-reload + Другие linux системы -------------------- @@ -347,9 +344,13 @@ ipset можно выкинуть, если не будем пользовать В зависимости от вашего провайдера внести нужные записи в /etc/firewall.user. /etc/init.d/firewall restart Посмотреть через iptables -L или через luci вкладку "firewall" появились ли нужные правила. -Зашедулить задание обновления листа : +Зашедулить задание обновления листа (кроме hostlist): crontab -e - Создать строчку "0 12 * * */2 /opt/zapret/ipset/get_antizapret.sh". Это значит в 12:00 каждые 2 дня обновлять список. + Создать строчку "0 12 * * */2 /opt/zapret/ipset/get_antizapret.sh" +Зашедулить задание обновления листа (только для hostlist): + crontab -e + Создать строчку "0 12 * * */2 /opt/zapret/ipset/get_hostlist.sh" +Это значит в 12:00 каждые 2 дня обновлять список. ЭКОНОМИЯ МЕСТА : если его мало, то можно оставить в директории zapret лишь подкаталог ipset. Далее нужно создать подкаталоги с реально используемыми бинариками (ip2net, mdig, tpws, nfq)