drygdryg/zapret
1
0
Fork 0
mirror of https://github.com/bol-van/zapret.git synced 2025-05-24 22:32:58 +03:00
Code Issues Packages Projects Releases Wiki Activity

tcp_be_liberal info

Browse Source
This commit is contained in:
bol-van
2023-10-29 13:04:04 +03:00
parent 438baf508a
commit 8c1d1cf37a
2 changed files with 8 additions and 2 deletions
Download Patch File Download Diff File Expand all files Collapse all files

6
docs/readme.txt
View File

@@ -918,6 +918,12 @@ tpws/nfqws сами назначают владельцем файла юзер
Крайне рекомендовано использовать ограничитель connbytes, чтобы nfqws не обрабатывал гигабайты.
По этой же причине не рекомендуется использование режима на BSD системах. Там нет фильтра connbytes.
На linux системах при использовании nfqws и фильтра connbytes может понадобится :
sysctl net.netfilter.nf_conntrack_tcp_be_liberal=1
Было замечено, что некоторые DPI в России возвращают RST с неверным ACK. Это принимается tcp/ip стеком
linux, но через раз приобретает статус INVALID в conntrack. Поэтому правила с connbytes срабатывают
через раз, не пересылая RST пакет nfqws.
Как вообще могут вести себя DPI, получив "плохой запрос" и приняв решение о блокировке :
1) Зависание : просто отмораживается, блокируя прохождение пакетов по TCP каналу.