From b14ff9b64775a00e733880b2ef9b3fe3c524c50d Mon Sep 17 00:00:00 2001 From: bol-van Date: Tue, 3 Dec 2024 15:56:37 +0300 Subject: [PATCH 01/10] nfqws: --dry-run --- nfq/nfqws.c | 337 +++++++++++++++++++++++++++------------------------- 1 file changed, 176 insertions(+), 161 deletions(-) diff --git a/nfq/nfqws.c b/nfq/nfqws.c index c5bc1e0..8f05553 100644 --- a/nfq/nfqws.c +++ b/nfq/nfqws.c @@ -1030,6 +1030,7 @@ static void exithelp(void) " @|$\t\t\t; read file for options. must be the only argument. other options are ignored.\n\n" #endif " --debug=0|1|syslog|@\n" + " --dry-run\t\t\t\t\t; verify parameters and exit with code 0 if successful\n" #ifdef __linux__ " --qnum=\n" #elif defined(BSD) @@ -1195,7 +1196,7 @@ int main(int argc, char **argv) #endif int result, v; int option_index = 0; - bool daemon = false, bSkip = false; + bool daemon = false, bSkip = false, bDry = false; char pidfile[256]; struct hostlist_file *anon_hl = NULL, *anon_hl_exclude = NULL; struct ipset_file *anon_ips = NULL, *anon_ips_exclude = NULL; @@ -1263,108 +1264,113 @@ int main(int argc, char **argv) const struct option long_options[] = { {"debug",optional_argument,0,0}, // optidx=0 + {"dry-run",no_argument,0,0}, // optidx=1 #ifdef __linux__ - {"qnum",required_argument,0,0}, // optidx=1 + {"qnum",required_argument,0,0}, // optidx=2 #elif defined(BSD) - {"port",required_argument,0,0}, // optidx=1 + {"port",required_argument,0,0}, // optidx=2 #else - {"disabled_argument_1",no_argument,0,0},// optidx=1 + {"disabled_argument_1",no_argument,0,0},// optidx=2 #endif - {"daemon",no_argument,0,0}, // optidx=2 - {"pidfile",required_argument,0,0}, // optidx=3 + {"daemon",no_argument,0,0}, // optidx=3 + {"pidfile",required_argument,0,0}, // optidx=4 #ifndef __CYGWIN__ - {"user",required_argument,0,0 }, // optidx=4 - {"uid",required_argument,0,0 }, // optidx=5 + {"user",required_argument,0,0 }, // optidx=5 + {"uid",required_argument,0,0 }, // optidx=6 #else - {"disabled_argument_2",no_argument,0,0}, // optidx=4 - {"disabled_argument_3",no_argument,0,0}, // optidx=5 + {"disabled_argument_2",no_argument,0,0}, // optidx=5 + {"disabled_argument_3",no_argument,0,0}, // optidx=6 #endif - {"wsize",required_argument,0,0}, // optidx=6 - {"wssize",required_argument,0,0}, // optidx=7 - {"wssize-cutoff",required_argument,0,0},// optidx=8 - {"ctrack-timeouts",required_argument,0,0},// optidx=9 - {"hostcase",no_argument,0,0}, // optidx=10 - {"hostspell",required_argument,0,0}, // optidx=11 - {"hostnospace",no_argument,0,0}, // optidx=12 - {"domcase",no_argument,0,0 }, // optidx=13 - {"methodeol",no_argument,0,0 }, // optidx=14 - {"dpi-desync",required_argument,0,0}, // optidx=15 + {"wsize",required_argument,0,0}, // optidx=7 + {"wssize",required_argument,0,0}, // optidx=8 + {"wssize-cutoff",required_argument,0,0},// optidx=9 + {"ctrack-timeouts",required_argument,0,0},// optidx=10 + {"hostcase",no_argument,0,0}, // optidx=11 + {"hostspell",required_argument,0,0}, // optidx=12 + {"hostnospace",no_argument,0,0}, // optidx=13 + {"domcase",no_argument,0,0 }, // optidx=14 + {"methodeol",no_argument,0,0 }, // optidx=15 + {"dpi-desync",required_argument,0,0}, // optidx=17 #ifdef __linux__ - {"dpi-desync-fwmark",required_argument,0,0}, // optidx=16 + {"dpi-desync-fwmark",required_argument,0,0}, // optidx=17 #elif defined(SO_USER_COOKIE) - {"dpi-desync-sockarg",required_argument,0,0}, // optidx=16 + {"dpi-desync-sockarg",required_argument,0,0}, // optidx=17 #else - {"disabled_argument_4",no_argument,0,0}, // optidx=16 + {"disabled_argument_4",no_argument,0,0}, // optidx=17 #endif - {"dpi-desync-ttl",required_argument,0,0}, // optidx=17 - {"dpi-desync-ttl6",required_argument,0,0}, // optidx=18 - {"dpi-desync-autottl",optional_argument,0,0}, // optidx=19 - {"dpi-desync-autottl6",optional_argument,0,0}, // optidx=20 - {"dpi-desync-fooling",required_argument,0,0}, // optidx=21 - {"dpi-desync-repeats",required_argument,0,0}, // optidx=22 - {"dpi-desync-skip-nosni",optional_argument,0,0},// optidx=23 - {"dpi-desync-split-pos",required_argument,0,0},// optidx=24 - {"dpi-desync-split-http-req",required_argument,0,0 },// optidx=25 - {"dpi-desync-split-tls",required_argument,0,0 },// optidx=26 - {"dpi-desync-split-seqovl",required_argument,0,0 },// optidx=27 - {"dpi-desync-split-seqovl-pattern",required_argument,0,0 },// optidx=28 - {"dpi-desync-fakedsplit-pattern",required_argument,0,0 },// optidx=29 - {"dpi-desync-ipfrag-pos-tcp",required_argument,0,0},// optidx=30 - {"dpi-desync-ipfrag-pos-udp",required_argument,0,0},// optidx=31 - {"dpi-desync-badseq-increment",required_argument,0,0},// optidx=32 - {"dpi-desync-badack-increment",required_argument,0,0},// optidx=33 - {"dpi-desync-any-protocol",optional_argument,0,0},// optidx=34 - {"dpi-desync-fake-http",required_argument,0,0},// optidx=35 - {"dpi-desync-fake-tls",required_argument,0,0},// optidx=36 - {"dpi-desync-fake-unknown",required_argument,0,0},// optidx=37 - {"dpi-desync-fake-syndata",required_argument,0,0},// optidx=38 - {"dpi-desync-fake-quic",required_argument,0,0},// optidx=39 - {"dpi-desync-fake-wireguard",required_argument,0,0},// optidx=40 - {"dpi-desync-fake-dht",required_argument,0,0},// optidx=41 - {"dpi-desync-fake-unknown-udp",required_argument,0,0},// optidx=42 - {"dpi-desync-udplen-increment",required_argument,0,0},// optidx=43 - {"dpi-desync-udplen-pattern",required_argument,0,0},// optidx=44 - {"dpi-desync-cutoff",required_argument,0,0},// optidx=45 - {"dpi-desync-start",required_argument,0,0},// optidx=46 - {"hostlist",required_argument,0,0}, // optidx=47 - {"hostlist-domains",required_argument,0,0},// optidx=48 - {"hostlist-exclude",required_argument,0,0}, // optidx=49 - {"hostlist-exclude-domains",required_argument,0,0},// optidx=50 - {"hostlist-auto",required_argument,0,0}, // optidx=51 - {"hostlist-auto-fail-threshold",required_argument,0,0}, // optidx=52 - {"hostlist-auto-fail-time",required_argument,0,0}, // optidx=53 - {"hostlist-auto-retrans-threshold",required_argument,0,0}, // optidx=54 - {"hostlist-auto-debug",required_argument,0,0}, // optidx=55 - {"new",no_argument,0,0}, // optidx=56 - {"skip",no_argument,0,0}, // optidx=57 - {"filter-l3",required_argument,0,0}, // optidx=58 - {"filter-tcp",required_argument,0,0}, // optidx=59 - {"filter-udp",required_argument,0,0}, // optidx=60 - {"filter-l7",required_argument,0,0}, // optidx=61 - {"ipset",required_argument,0,0}, // optidx=62 - {"ipset-ip",required_argument,0,0}, // optidx=63 - {"ipset-exclude",required_argument,0,0},// optidx=64 - {"ipset-exclude-ip",required_argument,0,0}, // optidx=65 + {"dpi-desync-ttl",required_argument,0,0}, // optidx=18 + {"dpi-desync-ttl6",required_argument,0,0}, // optidx=19 + {"dpi-desync-autottl",optional_argument,0,0}, // optidx=20 + {"dpi-desync-autottl6",optional_argument,0,0}, // optidx=21 + {"dpi-desync-fooling",required_argument,0,0}, // optidx=22 + {"dpi-desync-repeats",required_argument,0,0}, // optidx=23 + {"dpi-desync-skip-nosni",optional_argument,0,0},// optidx=24 + {"dpi-desync-split-pos",required_argument,0,0},// optidx=25 + {"dpi-desync-split-http-req",required_argument,0,0 },// optidx=26 + {"dpi-desync-split-tls",required_argument,0,0 },// optidx=27 + {"dpi-desync-split-seqovl",required_argument,0,0 },// optidx=28 + {"dpi-desync-split-seqovl-pattern",required_argument,0,0 },// optidx=29 + {"dpi-desync-fakedsplit-pattern",required_argument,0,0 },// optidx=30 + {"dpi-desync-ipfrag-pos-tcp",required_argument,0,0},// optidx=31 + {"dpi-desync-ipfrag-pos-udp",required_argument,0,0},// optidx=32 + {"dpi-desync-badseq-increment",required_argument,0,0},// optidx=33 + {"dpi-desync-badack-increment",required_argument,0,0},// optidx=34 + {"dpi-desync-any-protocol",optional_argument,0,0},// optidx=35 + {"dpi-desync-fake-http",required_argument,0,0},// optidx=36 + {"dpi-desync-fake-tls",required_argument,0,0},// optidx=37 + {"dpi-desync-fake-unknown",required_argument,0,0},// optidx=38 + {"dpi-desync-fake-syndata",required_argument,0,0},// optidx=39 + {"dpi-desync-fake-quic",required_argument,0,0},// optidx=40 + {"dpi-desync-fake-wireguard",required_argument,0,0},// optidx=41 + {"dpi-desync-fake-dht",required_argument,0,0},// optidx=42 + {"dpi-desync-fake-unknown-udp",required_argument,0,0},// optidx=43 + {"dpi-desync-udplen-increment",required_argument,0,0},// optidx=44 + {"dpi-desync-udplen-pattern",required_argument,0,0},// optidx=45 + {"dpi-desync-cutoff",required_argument,0,0},// optidx=46 + {"dpi-desync-start",required_argument,0,0},// optidx=47 + {"hostlist",required_argument,0,0}, // optidx=48 + {"hostlist-domains",required_argument,0,0},// optidx=49 + {"hostlist-exclude",required_argument,0,0}, // optidx=50 + {"hostlist-exclude-domains",required_argument,0,0},// optidx=51 + {"hostlist-auto",required_argument,0,0}, // optidx=52 + {"hostlist-auto-fail-threshold",required_argument,0,0}, // optidx=53 + {"hostlist-auto-fail-time",required_argument,0,0}, // optidx=54 + {"hostlist-auto-retrans-threshold",required_argument,0,0}, // optidx=55 + {"hostlist-auto-debug",required_argument,0,0}, // optidx=56 + {"new",no_argument,0,0}, // optidx=57 + {"skip",no_argument,0,0}, // optidx=58 + {"filter-l3",required_argument,0,0}, // optidx=59 + {"filter-tcp",required_argument,0,0}, // optidx=60 + {"filter-udp",required_argument,0,0}, // optidx=61 + {"filter-l7",required_argument,0,0}, // optidx=62 + {"ipset",required_argument,0,0}, // optidx=63 + {"ipset-ip",required_argument,0,0}, // optidx=64 + {"ipset-exclude",required_argument,0,0},// optidx=65 + {"ipset-exclude-ip",required_argument,0,0}, // optidx=66 #ifdef __linux__ - {"bind-fix4",no_argument,0,0}, // optidx=66 - {"bind-fix6",no_argument,0,0}, // optidx=67 + {"bind-fix4",no_argument,0,0}, // optidx=67 + {"bind-fix6",no_argument,0,0}, // optidx=68 #elif defined(__CYGWIN__) - {"wf-iface",required_argument,0,0}, // optidx=66 - {"wf-l3",required_argument,0,0}, // optidx=67 - {"wf-tcp",required_argument,0,0}, // optidx=68 - {"wf-udp",required_argument,0,0}, // optidx=69 - {"wf-raw",required_argument,0,0}, // optidx=70 - {"wf-save",required_argument,0,0}, // optidx=71 - {"ssid-filter",required_argument,0,0}, // optidx=72 - {"nlm-filter",required_argument,0,0}, // optidx=73 - {"nlm-list",optional_argument,0,0}, // optidx=74 + {"wf-iface",required_argument,0,0}, // optidx=67 + {"wf-l3",required_argument,0,0}, // optidx=68 + {"wf-tcp",required_argument,0,0}, // optidx=69 + {"wf-udp",required_argument,0,0}, // optidx=70 + {"wf-raw",required_argument,0,0}, // optidx=71 + {"wf-save",required_argument,0,0}, // optidx=72 + {"ssid-filter",required_argument,0,0}, // optidx=73 + {"nlm-filter",required_argument,0,0}, // optidx=74 + {"nlm-list",optional_argument,0,0}, // optidx=75 #endif {NULL,0,NULL,0} }; - if (argc < 2) exithelp(); + if (argc < 2) exithelp_clean(); while ((v = getopt_long_only(argc, argv, "", long_options, &option_index)) != -1) { - if (v) exithelp(); + if (v) + if (bDry) + exit_clean(1); + else + exithelp_clean(); switch (option_index) { case 0: /* debug */ @@ -1402,7 +1408,10 @@ int main(int argc, char **argv) } break; #ifndef __CYGWIN__ - case 1: /* qnum or port */ + case 1: /* dry-run */ + bDry=true; + break; + case 2: /* qnum or port */ #ifdef __linux__ params.qnum = atoi(optarg); if (params.qnum < 0 || params.qnum>65535) @@ -1423,15 +1432,15 @@ int main(int argc, char **argv) #endif break; #endif - case 2: /* daemon */ + case 3: /* daemon */ daemon = true; break; - case 3: /* pidfile */ + case 4: /* pidfile */ strncpy(pidfile, optarg, sizeof(pidfile)); pidfile[sizeof(pidfile) - 1] = '\0'; break; #ifndef __CYGWIN__ - case 4: /* user */ + case 5: /* user */ { struct passwd *pwd = getpwnam(optarg); if (!pwd) @@ -1444,7 +1453,7 @@ int main(int argc, char **argv) params.droproot = true; break; } - case 5: /* uid */ + case 6: /* uid */ params.gid = 0x7FFFFFFF; // default gid. drop gid=0 params.droproot = true; if (sscanf(optarg, "%u:%u", ¶ms.uid, ¶ms.gid)<1) @@ -1454,32 +1463,32 @@ int main(int argc, char **argv) } break; #endif - case 6: /* wsize */ + case 7: /* wsize */ if (!parse_ws_scale_factor(optarg,&dp->wsize,&dp->wscale)) exit_clean(1); break; - case 7: /* wssize */ + case 8: /* wssize */ if (!parse_ws_scale_factor(optarg,&dp->wssize,&dp->wsscale)) exit_clean(1); break; - case 8: /* wssize-cutoff */ + case 9: /* wssize-cutoff */ if (!parse_cutoff(optarg, &dp->wssize_cutoff, &dp->wssize_cutoff_mode)) { DLOG_ERR("invalid wssize-cutoff value\n"); exit_clean(1); } break; - case 9: /* ctrack-timeouts */ + case 10: /* ctrack-timeouts */ if (sscanf(optarg, "%u:%u:%u:%u", ¶ms.ctrack_t_syn, ¶ms.ctrack_t_est, ¶ms.ctrack_t_fin, ¶ms.ctrack_t_udp)<3) { DLOG_ERR("invalid ctrack-timeouts value\n"); exit_clean(1); } break; - case 10: /* hostcase */ + case 11: /* hostcase */ dp->hostcase = true; break; - case 11: /* hostspell */ + case 12: /* hostspell */ if (strlen(optarg) != 4) { DLOG_ERR("hostspell must be exactly 4 chars long\n"); @@ -1488,7 +1497,7 @@ int main(int argc, char **argv) dp->hostcase = true; memcpy(dp->hostspell, optarg, 4); break; - case 12: /* hostnospace */ + case 13: /* hostnospace */ if (dp->methodeol) { DLOG_ERR("--hostnospace and --methodeol are incompatible\n"); @@ -1496,10 +1505,10 @@ int main(int argc, char **argv) } dp->hostnospace = true; break; - case 13: /* domcase */ + case 14: /* domcase */ dp->domcase = true; break; - case 14: /* methodeol */ + case 15: /* methodeol */ if (dp->hostnospace) { DLOG_ERR("--hostnospace and --methodeol are incompatible\n"); @@ -1507,7 +1516,7 @@ int main(int argc, char **argv) } dp->methodeol = true; break; - case 15: /* dpi-desync */ + case 16: /* dpi-desync */ { char *mode=optarg,*mode2,*mode3; mode2 = mode ? strchr(mode,',') : NULL; @@ -1553,7 +1562,7 @@ int main(int argc, char **argv) } break; #ifndef __CYGWIN__ - case 16: /* dpi-desync-fwmark/dpi-desync-sockarg */ + case 17: /* dpi-desync-fwmark/dpi-desync-sockarg */ #if defined(__linux__) || defined(SO_USER_COOKIE) params.desync_fwmark = 0; if (sscanf(optarg, "0x%X", ¶ms.desync_fwmark)<=0) sscanf(optarg, "%u", ¶ms.desync_fwmark); @@ -1568,27 +1577,27 @@ int main(int argc, char **argv) #endif break; #endif - case 17: /* dpi-desync-ttl */ + case 18: /* dpi-desync-ttl */ dp->desync_ttl = (uint8_t)atoi(optarg); break; - case 18: /* dpi-desync-ttl6 */ + case 19: /* dpi-desync-ttl6 */ dp->desync_ttl6 = (uint8_t)atoi(optarg); break; - case 19: /* dpi-desync-autottl */ + case 20: /* dpi-desync-autottl */ if (!parse_autottl(optarg, &dp->desync_autottl)) { DLOG_ERR("dpi-desync-autottl value error\n"); exit_clean(1); } break; - case 20: /* dpi-desync-autottl6 */ + case 21: /* dpi-desync-autottl6 */ if (!parse_autottl(optarg, &dp->desync_autottl6)) { DLOG_ERR("dpi-desync-autottl6 value error\n"); exit_clean(1); } break; - case 21: /* dpi-desync-fooling */ + case 22: /* dpi-desync-fooling */ { char *e,*p = optarg; while (p) @@ -1623,17 +1632,17 @@ int main(int argc, char **argv) } } break; - case 22: /* dpi-desync-repeats */ + case 23: /* dpi-desync-repeats */ if (sscanf(optarg,"%u",&dp->desync_repeats)<1 || !dp->desync_repeats || dp->desync_repeats>20) { DLOG_ERR("dpi-desync-repeats must be within 1..20\n"); exit_clean(1); } break; - case 23: /* dpi-desync-skip-nosni */ + case 24: /* dpi-desync-skip-nosni */ dp->desync_skip_nosni = !optarg || atoi(optarg); break; - case 24: /* dpi-desync-split-pos */ + case 25: /* dpi-desync-split-pos */ { int ct; if (!parse_split_pos_list(optarg,dp->splits+dp->split_count,MAX_SPLITS-dp->split_count,&ct)) @@ -1644,7 +1653,7 @@ int main(int argc, char **argv) dp->split_count += ct; } break; - case 25: /* dpi-desync-split-http-req */ + case 26: /* dpi-desync-split-http-req */ // obsolete arg DLOG_CONDUP("WARNING ! --dpi-desync-split-http-req is deprecated. use --dpi-desync-split-pos with markers.\n",MAX_SPLITS); if (dp->split_count>=MAX_SPLITS) @@ -1659,7 +1668,7 @@ int main(int argc, char **argv) } dp->split_count++; break; - case 26: /* dpi-desync-split-tls */ + case 27: /* dpi-desync-split-tls */ // obsolete arg DLOG_CONDUP("WARNING ! --dpi-desync-split-tls is deprecated. use --dpi-desync-split-pos with markers.\n",MAX_SPLITS); if (dp->split_count>=MAX_SPLITS) @@ -1674,7 +1683,7 @@ int main(int argc, char **argv) } dp->split_count++; break; - case 27: /* dpi-desync-split-seqovl */ + case 28: /* dpi-desync-split-seqovl */ if (!strcmp(optarg,"0")) { // allow zero = disable seqovl @@ -1687,7 +1696,7 @@ int main(int argc, char **argv) exit_clean(1); } break; - case 28: /* dpi-desync-split-seqovl-pattern */ + case 29: /* dpi-desync-split-seqovl-pattern */ { char buf[sizeof(dp->seqovl_pattern)]; size_t sz=sizeof(buf); @@ -1695,7 +1704,7 @@ int main(int argc, char **argv) fill_pattern(dp->seqovl_pattern,sizeof(dp->seqovl_pattern),buf,sz); } break; - case 29: /* dpi-desync-fakedsplit-pattern */ + case 30: /* dpi-desync-fakedsplit-pattern */ { char buf[sizeof(dp->fsplit_pattern)]; size_t sz=sizeof(buf); @@ -1703,7 +1712,7 @@ int main(int argc, char **argv) fill_pattern(dp->fsplit_pattern,sizeof(dp->fsplit_pattern),buf,sz); } break; - case 30: /* dpi-desync-ipfrag-pos-tcp */ + case 31: /* dpi-desync-ipfrag-pos-tcp */ if (sscanf(optarg,"%u",&dp->desync_ipfrag_pos_tcp)<1 || dp->desync_ipfrag_pos_tcp<1 || dp->desync_ipfrag_pos_tcp>DPI_DESYNC_MAX_FAKE_LEN) { DLOG_ERR("dpi-desync-ipfrag-pos-tcp must be within 1..%u range\n",DPI_DESYNC_MAX_FAKE_LEN); @@ -1715,7 +1724,7 @@ int main(int argc, char **argv) exit_clean(1); } break; - case 31: /* dpi-desync-ipfrag-pos-udp */ + case 32: /* dpi-desync-ipfrag-pos-udp */ if (sscanf(optarg,"%u",&dp->desync_ipfrag_pos_udp)<1 || dp->desync_ipfrag_pos_udp<1 || dp->desync_ipfrag_pos_udp>DPI_DESYNC_MAX_FAKE_LEN) { DLOG_ERR("dpi-desync-ipfrag-pos-udp must be within 1..%u range\n",DPI_DESYNC_MAX_FAKE_LEN); @@ -1727,63 +1736,63 @@ int main(int argc, char **argv) exit_clean(1); } break; - case 32: /* dpi-desync-badseq-increments */ + case 33: /* dpi-desync-badseq-increments */ if (!parse_badseq_increment(optarg,&dp->desync_badseq_increment)) { DLOG_ERR("dpi-desync-badseq-increment should be signed decimal or signed 0xHEX\n"); exit_clean(1); } break; - case 33: /* dpi-desync-badack-increment */ + case 34: /* dpi-desync-badack-increment */ if (!parse_badseq_increment(optarg,&dp->desync_badseq_ack_increment)) { DLOG_ERR("dpi-desync-badack-increment should be signed decimal or signed 0xHEX\n"); exit_clean(1); } break; - case 34: /* dpi-desync-any-protocol */ + case 35: /* dpi-desync-any-protocol */ dp->desync_any_proto = !optarg || atoi(optarg); break; - case 35: /* dpi-desync-fake-http */ + case 36: /* dpi-desync-fake-http */ dp->fake_http_size = sizeof(dp->fake_http); load_file_or_exit(optarg,dp->fake_http,&dp->fake_http_size); break; - case 36: /* dpi-desync-fake-tls */ + case 37: /* dpi-desync-fake-tls */ dp->fake_tls_size = sizeof(dp->fake_tls); load_file_or_exit(optarg,dp->fake_tls,&dp->fake_tls_size); break; - case 37: /* dpi-desync-fake-unknown */ + case 38: /* dpi-desync-fake-unknown */ dp->fake_unknown_size = sizeof(dp->fake_unknown); load_file_or_exit(optarg,dp->fake_unknown,&dp->fake_unknown_size); break; - case 38: /* dpi-desync-fake-syndata */ + case 39: /* dpi-desync-fake-syndata */ dp->fake_syndata_size = sizeof(dp->fake_syndata); load_file_or_exit(optarg,dp->fake_syndata,&dp->fake_syndata_size); break; - case 39: /* dpi-desync-fake-quic */ + case 40: /* dpi-desync-fake-quic */ dp->fake_quic_size = sizeof(dp->fake_quic); load_file_or_exit(optarg,dp->fake_quic,&dp->fake_quic_size); break; - case 40: /* dpi-desync-fake-wireguard */ + case 41: /* dpi-desync-fake-wireguard */ dp->fake_wg_size = sizeof(dp->fake_wg); load_file_or_exit(optarg,dp->fake_wg,&dp->fake_wg_size); break; - case 41: /* dpi-desync-fake-dht */ + case 42: /* dpi-desync-fake-dht */ dp->fake_dht_size = sizeof(dp->fake_dht); load_file_or_exit(optarg,dp->fake_dht,&dp->fake_dht_size); break; - case 42: /* dpi-desync-fake-unknown-udp */ + case 43: /* dpi-desync-fake-unknown-udp */ dp->fake_unknown_udp_size = sizeof(dp->fake_unknown_udp); load_file_or_exit(optarg,dp->fake_unknown_udp,&dp->fake_unknown_udp_size); break; - case 43: /* dpi-desync-udplen-increment */ + case 44: /* dpi-desync-udplen-increment */ if (sscanf(optarg,"%d",&dp->udplen_increment)<1 || dp->udplen_increment>0x7FFF || dp->udplen_increment<-0x8000) { DLOG_ERR("dpi-desync-udplen-increment must be integer within -32768..32767 range\n"); exit_clean(1); } break; - case 44: /* dpi-desync-udplen-pattern */ + case 45: /* dpi-desync-udplen-pattern */ { char buf[sizeof(dp->udplen_pattern)]; size_t sz=sizeof(buf); @@ -1791,21 +1800,21 @@ int main(int argc, char **argv) fill_pattern(dp->udplen_pattern,sizeof(dp->udplen_pattern),buf,sz); } break; - case 45: /* desync-cutoff */ + case 46: /* desync-cutoff */ if (!parse_cutoff(optarg, &dp->desync_cutoff, &dp->desync_cutoff_mode)) { DLOG_ERR("invalid desync-cutoff value\n"); exit_clean(1); } break; - case 46: /* desync-start */ + case 47: /* desync-start */ if (!parse_cutoff(optarg, &dp->desync_start, &dp->desync_start_mode)) { DLOG_ERR("invalid desync-start value\n"); exit_clean(1); } break; - case 47: /* hostlist */ + case 48: /* hostlist */ if (bSkip) break; if (!RegisterHostlist(dp, false, optarg)) { @@ -1813,7 +1822,7 @@ int main(int argc, char **argv) exit_clean(1); } break; - case 48: /* hostlist-domains */ + case 49: /* hostlist-domains */ if (bSkip) break; if (!anon_hl && !(anon_hl=RegisterHostlist(dp, false, NULL))) { @@ -1826,7 +1835,7 @@ int main(int argc, char **argv) exit_clean(1); } break; - case 49: /* hostlist-exclude */ + case 50: /* hostlist-exclude */ if (bSkip) break; if (!RegisterHostlist(dp, true, optarg)) { @@ -1834,7 +1843,7 @@ int main(int argc, char **argv) exit_clean(1); } break; - case 50: /* hostlist-exclude-domains */ + case 51: /* hostlist-exclude-domains */ if (bSkip) break; if (!anon_hl_exclude && !(anon_hl_exclude=RegisterHostlist(dp, true, NULL))) { @@ -1847,7 +1856,7 @@ int main(int argc, char **argv) exit_clean(1); } break; - case 51: /* hostlist-auto */ + case 52: /* hostlist-auto */ if (bSkip) break; if (dp->hostlist_auto) { @@ -1875,7 +1884,7 @@ int main(int argc, char **argv) exit_clean(1); } break; - case 52: /* hostlist-auto-fail-threshold */ + case 53: /* hostlist-auto-fail-threshold */ dp->hostlist_auto_fail_threshold = (uint8_t)atoi(optarg); if (dp->hostlist_auto_fail_threshold<1 || dp->hostlist_auto_fail_threshold>20) { @@ -1883,7 +1892,7 @@ int main(int argc, char **argv) exit_clean(1); } break; - case 53: /* hostlist-auto-fail-time */ + case 54: /* hostlist-auto-fail-time */ dp->hostlist_auto_fail_time = (uint8_t)atoi(optarg); if (dp->hostlist_auto_fail_time<1) { @@ -1891,7 +1900,7 @@ int main(int argc, char **argv) exit_clean(1); } break; - case 54: /* hostlist-auto-retrans-threshold */ + case 55: /* hostlist-auto-retrans-threshold */ dp->hostlist_auto_retrans_threshold = (uint8_t)atoi(optarg); if (dp->hostlist_auto_retrans_threshold<2 || dp->hostlist_auto_retrans_threshold>10) { @@ -1899,7 +1908,7 @@ int main(int argc, char **argv) exit_clean(1); } break; - case 55: /* hostlist-auto-debug */ + case 56: /* hostlist-auto-debug */ { FILE *F = fopen(optarg,"a+t"); if (!F) @@ -1913,7 +1922,7 @@ int main(int argc, char **argv) } break; - case 56: /* new */ + case 57: /* new */ if (bSkip) { dp_clear(dp); @@ -1934,18 +1943,18 @@ int main(int argc, char **argv) anon_hl = anon_hl_exclude = NULL; anon_ips = anon_ips_exclude = NULL; break; - case 57: /* skip */ + case 58: /* skip */ bSkip = true; break; - case 58: /* filter-l3 */ + case 59: /* filter-l3 */ if (!wf_make_l3(optarg,&dp->filter_ipv4,&dp->filter_ipv6)) { DLOG_ERR("bad value for --filter-l3\n"); exit_clean(1); } break; - case 59: /* filter-tcp */ + case 60: /* filter-tcp */ if (!parse_pf_list(optarg,&dp->pf_tcp)) { DLOG_ERR("Invalid port filter : %s\n",optarg); @@ -1955,7 +1964,7 @@ int main(int argc, char **argv) if (!port_filters_deny_if_empty(&dp->pf_udp)) exit_clean(1); break; - case 60: /* filter-udp */ + case 61: /* filter-udp */ if (!parse_pf_list(optarg,&dp->pf_udp)) { DLOG_ERR("Invalid port filter : %s\n",optarg); @@ -1965,14 +1974,14 @@ int main(int argc, char **argv) if (!port_filters_deny_if_empty(&dp->pf_tcp)) exit_clean(1); break; - case 61: /* filter-l7 */ + case 62: /* filter-l7 */ if (!parse_l7_list(optarg,&dp->filter_l7)) { DLOG_ERR("Invalid l7 filter : %s\n",optarg); exit_clean(1); } break; - case 62: /* ipset */ + case 63: /* ipset */ if (bSkip) break; if (!RegisterIpset(dp, false, optarg)) { @@ -1980,7 +1989,7 @@ int main(int argc, char **argv) exit_clean(1); } break; - case 63: /* ipset-ip */ + case 64: /* ipset-ip */ if (bSkip) break; if (!anon_ips && !(anon_ips=RegisterIpset(dp, false, NULL))) { @@ -1993,7 +2002,7 @@ int main(int argc, char **argv) exit_clean(1); } break; - case 64: /* ipset-exclude */ + case 65: /* ipset-exclude */ if (bSkip) break; if (!RegisterIpset(dp, true, optarg)) { @@ -2001,7 +2010,7 @@ int main(int argc, char **argv) exit_clean(1); } break; - case 65: /* ipset-exclude-ip */ + case 66: /* ipset-exclude-ip */ if (bSkip) break; if (!anon_ips_exclude && !(anon_ips_exclude=RegisterIpset(dp, true, NULL))) { @@ -2017,28 +2026,28 @@ int main(int argc, char **argv) #ifdef __linux__ - case 66: /* bind-fix4 */ + case 67: /* bind-fix4 */ params.bind_fix4 = true; break; - case 67: /* bind-fix6 */ + case 68: /* bind-fix6 */ params.bind_fix6 = true; break; #elif defined(__CYGWIN__) - case 66: /* wf-iface */ + case 67: /* wf-iface */ if (!sscanf(optarg,"%u.%u",&IfIdx,&SubIfIdx)) { DLOG_ERR("bad value for --wf-iface\n"); exit_clean(1); } break; - case 67: /* wf-l3 */ + case 68: /* wf-l3 */ if (!wf_make_l3(optarg,&wf_ipv4,&wf_ipv6)) { DLOG_ERR("bad value for --wf-l3\n"); exit_clean(1); } break; - case 68: /* wf-tcp */ + case 69: /* wf-tcp */ hash_wf_tcp=hash_jen(optarg,strlen(optarg)); if (!wf_make_pf(optarg,"tcp","SrcPort",wf_pf_tcp_src,sizeof(wf_pf_tcp_src)) || !wf_make_pf(optarg,"tcp","DstPort",wf_pf_tcp_dst,sizeof(wf_pf_tcp_dst))) @@ -2047,7 +2056,7 @@ int main(int argc, char **argv) exit_clean(1); } break; - case 69: /* wf-udp */ + case 70: /* wf-udp */ hash_wf_udp=hash_jen(optarg,strlen(optarg)); if (!wf_make_pf(optarg,"udp","SrcPort",wf_pf_udp_src,sizeof(wf_pf_udp_src)) || !wf_make_pf(optarg,"udp","DstPort",wf_pf_udp_dst,sizeof(wf_pf_udp_dst))) @@ -2056,7 +2065,7 @@ int main(int argc, char **argv) exit_clean(1); } break; - case 70: /* wf-raw */ + case 71: /* wf-raw */ hash_wf_raw=hash_jen(optarg,strlen(optarg)); if (optarg[0]=='@') { @@ -2070,11 +2079,11 @@ int main(int argc, char **argv) windivert_filter[sizeof(windivert_filter) - 1] = '\0'; } break; - case 71: /* wf-save */ + case 72: /* wf-save */ strncpy(wf_save_file, optarg, sizeof(wf_save_file)); wf_save_file[sizeof(wf_save_file) - 1] = '\0'; break; - case 72: /* ssid-filter */ + case 73: /* ssid-filter */ hash_ssid_filter=hash_jen(optarg,strlen(optarg)); { char *e,*p = optarg; @@ -2092,7 +2101,7 @@ int main(int argc, char **argv) } } break; - case 73: /* nlm-filter */ + case 74: /* nlm-filter */ hash_nlm_filter=hash_jen(optarg,strlen(optarg)); { char *e,*p = optarg; @@ -2110,7 +2119,7 @@ int main(int argc, char **argv) } } break; - case 74: /* nlm-list */ + case 75: /* nlm-list */ if (!nlm_list(optarg && !strcmp(optarg,"all"))) { DLOG_ERR("could not get list of NLM networks\n"); @@ -2242,6 +2251,12 @@ int main(int argc, char **argv) SplitDebug(); DLOG("\n"); + if (bDry) + { + DLOG_CONDUP("command line parameters verified\n"); + exit_clean(0); + } + if (daemon) daemonize(); if (*pidfile && !writepid(pidfile)) From d4ff423add56ad3fdc763ef530d3d5031f5240e6 Mon Sep 17 00:00:00 2001 From: bol-van Date: Tue, 3 Dec 2024 15:57:21 +0300 Subject: [PATCH 02/10] tpws: --dry-run --- tpws/tpws.c | 126 +++++++++++++++++++++++++++++----------------------- 1 file changed, 70 insertions(+), 56 deletions(-) diff --git a/tpws/tpws.c b/tpws/tpws.c index ecce4b1..af5f4ab 100644 --- a/tpws/tpws.c +++ b/tpws/tpws.c @@ -175,6 +175,7 @@ static void exithelp(void) #endif " --debug=0|1|2|syslog|@\t; 1 and 2 means log to console and set debug level. for other targets use --debug-level.\n" " --debug-level=0|1|2\t\t\t; specify debug level\n" + " --dry-run\t\t\t\t; verify parameters and exit with code 0 if successful\n" "\nMULTI-STRATEGY:\n" " --new\t\t\t\t\t; begin new strategy\n" " --skip\t\t\t\t\t; do not use this strategy\n" @@ -569,7 +570,7 @@ void parse_params(int argc, char *argv[]) { int option_index = 0; int v, i; - bool bSkip=false; + bool bSkip=false, bDry=false; struct hostlist_file *anon_hl = NULL, *anon_hl_exclude = NULL; struct ipset_file *anon_ips = NULL, *anon_ips_exclude = NULL; @@ -667,40 +668,41 @@ void parse_params(int argc, char *argv[]) { "pidfile",required_argument,0,0 },// optidx=44 { "debug",optional_argument,0,0 },// optidx=45 { "debug-level",required_argument,0,0 },// optidx=46 - { "local-rcvbuf",required_argument,0,0 },// optidx=47 - { "local-sndbuf",required_argument,0,0 },// optidx=48 - { "remote-rcvbuf",required_argument,0,0 },// optidx=49 - { "remote-sndbuf",required_argument,0,0 },// optidx=50 - { "socks",no_argument,0,0 },// optidx=51 - { "no-resolve",no_argument,0,0 },// optidx=52 - { "resolver-threads",required_argument,0,0 },// optidx=53 - { "skip-nodelay",no_argument,0,0 },// optidx=54 - { "tamper-start",required_argument,0,0 },// optidx=55 - { "tamper-cutoff",required_argument,0,0 },// optidx=56 - { "connect-bind-addr",required_argument,0,0 },// optidx=57 + { "dry-run",no_argument,0,0 },// optidx=47 + { "local-rcvbuf",required_argument,0,0 },// optidx=48 + { "local-sndbuf",required_argument,0,0 },// optidx=49 + { "remote-rcvbuf",required_argument,0,0 },// optidx=50 + { "remote-sndbuf",required_argument,0,0 },// optidx=51 + { "socks",no_argument,0,0 },// optidx=52 + { "no-resolve",no_argument,0,0 },// optidx=53 + { "resolver-threads",required_argument,0,0 },// optidx=54 + { "skip-nodelay",no_argument,0,0 },// optidx=55 + { "tamper-start",required_argument,0,0 },// optidx=56 + { "tamper-cutoff",required_argument,0,0 },// optidx=57 + { "connect-bind-addr",required_argument,0,0 },// optidx=58 - { "new",no_argument,0,0 }, // optidx=58 - { "skip",no_argument,0,0 }, // optidx=59 - { "filter-l3",required_argument,0,0 }, // optidx=60 - { "filter-tcp",required_argument,0,0 }, // optidx=61 - { "filter-l7",required_argument,0,0 }, // optidx=62 - { "ipset",required_argument,0,0 }, // optidx=63 - { "ipset-ip",required_argument,0,0 }, // optidx=64 - { "ipset-exclude",required_argument,0,0 }, // optidx=65 - { "ipset-exclude-ip",required_argument,0,0 }, // optidx=66 + { "new",no_argument,0,0 }, // optidx=59 + { "skip",no_argument,0,0 }, // optidx=60 + { "filter-l3",required_argument,0,0 }, // optidx=61 + { "filter-tcp",required_argument,0,0 }, // optidx=63 + { "filter-l7",required_argument,0,0 }, // optidx=64 + { "ipset",required_argument,0,0 }, // optidx=65 + { "ipset-ip",required_argument,0,0 }, // optidx=66 + { "ipset-exclude",required_argument,0,0 }, // optidx=67 + { "ipset-exclude-ip",required_argument,0,0 }, // optidx=68 #if defined(__FreeBSD__) - { "enable-pf",no_argument,0,0 },// optidx=67 + { "enable-pf",no_argument,0,0 },// optidx=68 #elif defined(__APPLE__) - { "local-tcp-user-timeout",required_argument,0,0 }, // optidx=67 - { "remote-tcp-user-timeout",required_argument,0,0 }, // optidx=68 + { "local-tcp-user-timeout",required_argument,0,0 }, // optidx=68 + { "remote-tcp-user-timeout",required_argument,0,0 }, // optidx=69 #elif defined(__linux__) - { "local-tcp-user-timeout",required_argument,0,0 }, // optidx=67 - { "remote-tcp-user-timeout",required_argument,0,0 }, // optidx=68 - { "mss",required_argument,0,0 }, // optidx=69 - { "fix-seg",optional_argument,0,0 }, // optidx=70 + { "local-tcp-user-timeout",required_argument,0,0 }, // optidx=68 + { "remote-tcp-user-timeout",required_argument,0,0 }, // optidx=69 + { "mss",required_argument,0,0 }, // optidx=70 + { "fix-seg",optional_argument,0,0 }, // optidx=71 #ifdef SPLICE_PRESENT - { "nosplice",no_argument,0,0 }, // optidx=71 + { "nosplice",no_argument,0,0 }, // optidx=72 #endif #endif { "hostlist-auto-retrans-threshold",optional_argument,0,0}, // ignored. for nfqws command line compatibility @@ -708,7 +710,11 @@ void parse_params(int argc, char *argv[]) }; while ((v = getopt_long_only(argc, argv, "", long_options, &option_index)) != -1) { - if (v) exithelp_clean(); + if (v) + if (bDry) + exit_clean(1); + else + exithelp_clean(); switch (option_index) { case 0: @@ -1142,41 +1148,44 @@ void parse_params(int argc, char *argv[]) case 46: /* debug-level */ params.debug = atoi(optarg); break; - case 47: /* local-rcvbuf */ + case 47: /* dry-run */ + bDry = true; + break; + case 48: /* local-rcvbuf */ #ifdef __linux__ params.local_rcvbuf = atoi(optarg)/2; #else params.local_rcvbuf = atoi(optarg); #endif break; - case 48: /* local-sndbuf */ + case 49: /* local-sndbuf */ #ifdef __linux__ params.local_sndbuf = atoi(optarg)/2; #else params.local_sndbuf = atoi(optarg); #endif break; - case 49: /* remote-rcvbuf */ + case 50: /* remote-rcvbuf */ #ifdef __linux__ params.remote_rcvbuf = atoi(optarg)/2; #else params.remote_rcvbuf = atoi(optarg); #endif break; - case 50: /* remote-sndbuf */ + case 51: /* remote-sndbuf */ #ifdef __linux__ params.remote_sndbuf = atoi(optarg)/2; #else params.remote_sndbuf = atoi(optarg); #endif break; - case 51: /* socks */ + case 52: /* socks */ params.proxy_type = CONN_TYPE_SOCKS; break; - case 52: /* no-resolve */ + case 53: /* no-resolve */ params.no_resolve = true; break; - case 53: /* resolver-threads */ + case 54: /* resolver-threads */ params.resolver_threads = atoi(optarg); if (params.resolver_threads<1 || params.resolver_threads>300) { @@ -1184,10 +1193,10 @@ void parse_params(int argc, char *argv[]) exit_clean(1); } break; - case 54: /* skip-nodelay */ + case 55: /* skip-nodelay */ params.skip_nodelay = true; break; - case 55: /* tamper-start */ + case 56: /* tamper-start */ { const char *p=optarg; if (*p=='n') @@ -1201,7 +1210,7 @@ void parse_params(int argc, char *argv[]) } params.tamper_lim = true; break; - case 56: /* tamper-cutoff */ + case 57: /* tamper-cutoff */ { const char *p=optarg; if (*p=='n') @@ -1215,7 +1224,7 @@ void parse_params(int argc, char *argv[]) } params.tamper_lim = true; break; - case 57: /* connect-bind-addr */ + case 58: /* connect-bind-addr */ { char *p = strchr(optarg,'%'); if (p) *p++=0; @@ -1243,7 +1252,7 @@ void parse_params(int argc, char *argv[]) break; - case 58: /* new */ + case 59: /* new */ if (bSkip) { dp_clear(dp); @@ -1264,31 +1273,31 @@ void parse_params(int argc, char *argv[]) anon_hl = anon_hl_exclude = NULL; anon_ips = anon_ips_exclude = NULL; break; - case 59: /* skip */ + case 60: /* skip */ bSkip = true; break; - case 60: /* filter-l3 */ + case 61: /* filter-l3 */ if (!wf_make_l3(optarg,&dp->filter_ipv4,&dp->filter_ipv6)) { DLOG_ERR("bad value for --filter-l3\n"); exit_clean(1); } break; - case 61: /* filter-tcp */ + case 62: /* filter-tcp */ if (!parse_pf_list(optarg,&dp->pf_tcp)) { DLOG_ERR("Invalid port filter : %s\n",optarg); exit_clean(1); } break; - case 62: /* filter-l7 */ + case 63: /* filter-l7 */ if (!parse_l7_list(optarg,&dp->filter_l7)) { DLOG_ERR("Invalid l7 filter : %s\n",optarg); exit_clean(1); } break; - case 63: /* ipset */ + case 64: /* ipset */ if (bSkip) break; if (!RegisterIpset(dp, false, optarg)) { @@ -1297,7 +1306,7 @@ void parse_params(int argc, char *argv[]) } params.tamper = true; break; - case 64: /* ipset-ip */ + case 65: /* ipset-ip */ if (bSkip) break; if (!anon_ips && !(anon_ips=RegisterIpset(dp, false, NULL))) { @@ -1311,7 +1320,7 @@ void parse_params(int argc, char *argv[]) } params.tamper = true; break; - case 65: /* ipset-exclude */ + case 66: /* ipset-exclude */ if (bSkip) break; if (!RegisterIpset(dp, true, optarg)) { @@ -1320,7 +1329,7 @@ void parse_params(int argc, char *argv[]) } params.tamper = true; break; - case 66: /* ipset-exclude-ip */ + case 67: /* ipset-exclude-ip */ if (bSkip) break; if (!anon_ips_exclude && !(anon_ips_exclude=RegisterIpset(dp, true, NULL))) { @@ -1336,11 +1345,11 @@ void parse_params(int argc, char *argv[]) break; #if defined(__FreeBSD__) - case 67: /* enable-pf */ + case 68: /* enable-pf */ params.pf_enable = true; break; #elif defined(__linux__) || defined(__APPLE__) - case 67: /* local-tcp-user-timeout */ + case 68: /* local-tcp-user-timeout */ params.tcp_user_timeout_local = atoi(optarg); if (params.tcp_user_timeout_local<0 || params.tcp_user_timeout_local>86400) { @@ -1348,7 +1357,7 @@ void parse_params(int argc, char *argv[]) exit_clean(1); } break; - case 68: /* remote-tcp-user-timeout */ + case 69: /* remote-tcp-user-timeout */ params.tcp_user_timeout_remote = atoi(optarg); if (params.tcp_user_timeout_remote<0 || params.tcp_user_timeout_remote>86400) { @@ -1359,7 +1368,7 @@ void parse_params(int argc, char *argv[]) #endif #if defined(__linux__) - case 69: /* mss */ + case 70: /* mss */ // this option does not work in any BSD and MacOS. OS may accept but it changes nothing dp->mss = atoi(optarg); if (dp->mss<88 || dp->mss>32767) @@ -1368,7 +1377,7 @@ void parse_params(int argc, char *argv[]) exit_clean(1); } break; - case 70: /* fix-seg */ + case 71: /* fix-seg */ if (!params.fix_seg_avail) { DLOG_ERR("--fix-seg is supported since kernel 4.6\n"); @@ -1388,7 +1397,7 @@ void parse_params(int argc, char *argv[]) params.fix_seg = FIX_SEG_DEFAULT_MAX_WAIT; break; #ifdef SPLICE_PRESENT - case 71: /* nosplice */ + case 72: /* nosplice */ params.nosplice = true; break; #endif @@ -1463,6 +1472,11 @@ void parse_params(int argc, char *argv[]) // do not need args from file anymore cleanup_args(); #endif + if (bDry) + { + DLOG_CONDUP("command line parameters verified\n"); + exit_clean(0); + } } From f81bb51f4a5c21a02e15f1b9d8f7f42820b6352e Mon Sep 17 00:00:00 2001 From: bol-van Date: Tue, 3 Dec 2024 17:22:16 +0300 Subject: [PATCH 03/10] install_easy: validate daemon options --- common/installer.sh | 37 ++++++++++++++++++++++++++++++++++++- install_easy.sh | 32 ++++++++++++++++++++++++++++---- 2 files changed, 64 insertions(+), 5 deletions(-) diff --git a/common/installer.sh b/common/installer.sh index 903337c..23b8f82 100644 --- a/common/installer.sh +++ b/common/installer.sh @@ -140,7 +140,7 @@ echo_var() eval v="\$$1" if find_str_in_list $1 "$EDITVAR_NEWLINE_VARS"; then echo "$1=\"" - echo "$v\"" | sed "s/$EDITVAR_NEWLINE_DELIMETER /$EDITVAR_NEWLINE_DELIMETER\n/g" + echo "$v\"" | tr '\n' ' ' | tr -d '\r' | sed -e 's/ *//' -e "s/$EDITVAR_NEWLINE_DELIMETER /$EDITVAR_NEWLINE_DELIMETER\n/g" else if contains "$v" " "; then echo $1=\"$v\" @@ -170,6 +170,7 @@ list_vars() echo_var $1 shift done + echo } openrc_test() @@ -837,3 +838,37 @@ select_fwtype() echo select firewall type : ask_list FWTYPE "iptables nftables" "$FWTYPE" && write_config_var FWTYPE } + +dry_run_tpws_() +{ + local TPWS="$ZAPRET_BASE/tpws/tpws" + echo verifying tpws options + "$TPWS" --dry-run "$@" +} +dry_run_nfqws_() +{ + local NFQWS="$ZAPRET_BASE/nfq/nfqws" + echo verifying nfqws options + "$NFQWS" --dry-run "$@" +} +dry_run_tpws() +{ + [ "$TPWS_ENABLE" = 1 ] || return 0 + local opt="$TPWS_OPT" port=${TPPORT_SOCKS:-988} + filter_apply_hostlist_target opt + dry_run_tpws_ --port=$port $opt +} +dry_run_tpws_socks() +{ + [ "$TPWS_SOCKS_ENABLE" = 1 ] || return 0 + local opt="$TPWS_SOCKS_OPT" port=${TPPORT:-987} + filter_apply_hostlist_target opt + dry_run_tpws_ --port=$port --socks $opt +} +dry_run_nfqws() +{ + [ "$NFQWS_ENABLE" = 1 ] || return 0 + local opt="$NFQWS_OPT" qn=${QNUM:-200} + filter_apply_hostlist_target opt + dry_run_nfqws_ --qnum=$qn $opt +} diff --git a/install_easy.sh b/install_easy.sh index a6aca99..ccb259c 100755 --- a/install_easy.sh +++ b/install_easy.sh @@ -26,6 +26,7 @@ IPSET_DIR="$ZAPRET_BASE/ipset" . "$ZAPRET_BASE/common/ipt.sh" . "$ZAPRET_BASE/common/installer.sh" . "$ZAPRET_BASE/common/virt.sh" +. "$ZAPRET_BASE/common/list.sh" GET_LIST="$IPSET_DIR/get_config.sh" @@ -115,6 +116,30 @@ ws_opt_validate() } return 0 } +tpws_opt_validate() +{ + ws_opt_validate "$1" || return 1 + dry_run_tpws || { + echo invalid tpws options + return 1 + } +} +tpws_socks_opt_validate() +{ + # --ipset allowed here + dry_run_tpws_socks || { + echo invalid tpws options + return 1 + } +} +nfqws_opt_validate() +{ + ws_opt_validate "$1" || return 1 + dry_run_nfqws || { + echo invalid nfqws options + return 1 + } +} select_mode_group() { @@ -162,18 +187,17 @@ select_mode_group() select_mode_tpws_socks() { local EDITVAR_NEWLINE_DELIMETER="--new" EDITVAR_NEWLINE_VARS="TPWS_SOCKS_OPT" - # --ipset allowed here - select_mode_group TPWS_SOCKS_ENABLE "enable tpws socks mode on port $TPPORT_SOCKS ?" "TPPORT_SOCKS TPWS_SOCKS_OPT" + select_mode_group TPWS_SOCKS_ENABLE "enable tpws socks mode on port $TPPORT_SOCKS ?" "TPPORT_SOCKS TPWS_SOCKS_OPT" tpws_socks_opt_validate TPWS_SOCKS_OPT } select_mode_tpws() { local EDITVAR_NEWLINE_DELIMETER="--new" EDITVAR_NEWLINE_VARS="TPWS_OPT" - select_mode_group TPWS_ENABLE "enable tpws transparent mode ?" "TPWS_PORTS TPWS_OPT" ws_opt_validate TPWS_OPT + select_mode_group TPWS_ENABLE "enable tpws transparent mode ?" "TPWS_PORTS TPWS_OPT" tpws_opt_validate TPWS_OPT } select_mode_nfqws() { local EDITVAR_NEWLINE_DELIMETER="--new" EDITVAR_NEWLINE_VARS="NFQWS_OPT" - select_mode_group NFQWS_ENABLE "enable nfqws ?" "NFQWS_PORTS_TCP NFQWS_PORTS_UDP NFQWS_TCP_PKT_OUT NFQWS_TCP_PKT_IN NFQWS_UDP_PKT_OUT NFQWS_UDP_PKT_IN NFQWS_PORTS_TCP_KEEPALIVE NFQWS_PORTS_UDP_KEEPALIVE NFQWS_OPT" ws_opt_validate NFQWS_OPT + select_mode_group NFQWS_ENABLE "enable nfqws ?" "NFQWS_PORTS_TCP NFQWS_PORTS_UDP NFQWS_TCP_PKT_OUT NFQWS_TCP_PKT_IN NFQWS_UDP_PKT_OUT NFQWS_UDP_PKT_IN NFQWS_PORTS_TCP_KEEPALIVE NFQWS_PORTS_UDP_KEEPALIVE NFQWS_OPT" nfqws_opt_validate NFQWS_OPT } select_mode_mode() From 669182c133b80706eb8940bdc99a95e7c6433b4a Mon Sep 17 00:00:00 2001 From: bol-van Date: Tue, 3 Dec 2024 17:33:02 +0300 Subject: [PATCH 04/10] install_easy: trim trailing space in editor --- common/installer.sh | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/common/installer.sh b/common/installer.sh index 23b8f82..2aa892a 100644 --- a/common/installer.sh +++ b/common/installer.sh @@ -140,7 +140,7 @@ echo_var() eval v="\$$1" if find_str_in_list $1 "$EDITVAR_NEWLINE_VARS"; then echo "$1=\"" - echo "$v\"" | tr '\n' ' ' | tr -d '\r' | sed -e 's/ *//' -e "s/$EDITVAR_NEWLINE_DELIMETER /$EDITVAR_NEWLINE_DELIMETER\n/g" + echo "$v\"" | tr '\n' ' ' | tr -d '\r' | sed -e 's/^ *//' -e 's/ *$//' -e "s/$EDITVAR_NEWLINE_DELIMETER /$EDITVAR_NEWLINE_DELIMETER\n/g" else if contains "$v" " "; then echo $1=\"$v\" From 86462f4cee10b2766752207ce47aa5ef091d80c4 Mon Sep 17 00:00:00 2001 From: bol-van Date: Tue, 3 Dec 2024 18:20:46 +0300 Subject: [PATCH 05/10] update docs --- docs/changes.txt | 9 +- docs/readme.en.md | 4 +- docs/readme.md | 320 +++++++++++++++++++++++----------------------- 3 files changed, 171 insertions(+), 162 deletions(-) diff --git a/docs/changes.txt b/docs/changes.txt index 50b7774..c223041 100644 --- a/docs/changes.txt +++ b/docs/changes.txt @@ -410,5 +410,10 @@ repo: sha256sum v69.4 -nfqws : fakedsplit/fakeddisorder fakes for both split segments -nfqws : --dpi-desync-fakedsplit-pattern +nfqws: fakedsplit/fakeddisorder fakes for both split segments +nfqws: --dpi-desync-fakedsplit-pattern + +v69.5 + +nfqws,tpws: --dry-run +install_easy: check tpws and nfqws options validity diff --git a/docs/readme.en.md b/docs/readme.en.md index d86462e..f234805 100644 --- a/docs/readme.en.md +++ b/docs/readme.en.md @@ -1,4 +1,4 @@ -# zapret v69.4 +# zapret v69.5 # SCAMMER WARNING @@ -131,6 +131,7 @@ nfqws takes the following parameters: @ ; read file for options. must be the only argument. other options are ignored. --debug=0|1 + --dry-run ; verify parameters and exit with code 0 if successful --qnum= --daemon ; daemonize --pidfile= ; write pid to file @@ -639,6 +640,7 @@ tpws is transparent proxy. --debug=0|1|2|syslog|@ ; 1 and 2 means log to console and set debug level. for other targets use --debug-level. --debug-level=0|1|2 ; specify debug level for syslog and @ + --dry-run ; verify parameters and exit with code 0 if successful --bind-addr=| ; for v6 link locals append %interface_name : fe80::1%br-lan --bind-iface4= ; bind to the first ipv4 addr of interface --bind-iface6= ; bind to the first ipv6 addr of interface diff --git a/docs/readme.md b/docs/readme.md index 591b23e..4ada150 100644 --- a/docs/readme.md +++ b/docs/readme.md @@ -1,4 +1,4 @@ -# zapret v69.4 +# zapret v69.5 # ВНИМАНИЕ, остерегайтесь мошенников @@ -159,77 +159,78 @@ DPI. Все больше становится внереестровых бло dvtws, собираемый из тех же исходников (см. [документация BSD](./bsd.md)). ``` -@|$ ; читать конфигурацию из файла. опция должна быть первой. остальные опции игнорируются. +@|$ ; читать конфигурацию из файла. опция должна быть первой. остальные опции игнорируются. ---debug=0|1 ; 1=выводить отладочные сообщения ---daemon ; демонизировать прогу ---pidfile= ; сохранить PID в файл ---user= ; менять uid процесса ---uid=uid[:gid] ; менять uid процесса ---qnum=N ; номер очереди N ---bind-fix4 ; пытаться решить проблему неверного выбора исходящего интерфейса для сгенерированных ipv4 пакетов ---bind-fix6 ; пытаться решить проблему неверного выбора исходящего интерфейса для сгенерированных ipv6 пакетов ---wsize=[:] ; менять tcp window size на указанный размер в SYN,ACK. если не задан scale_factor, то он не меняется (устарело !) ---wssize=[:] ; менять tcp window size на указанный размер в исходящих пакетах. scale_factor по умолчанию 0. (см. conntrack !) ---wssize-cutoff=[n|d|s]N ; изменять server window size в исходящих пакетах (n), пакетах данных (d), относительных sequence (s) по номеру меньше N ---ctrack-timeouts=S:E:F[:U] ; таймауты внутреннего conntrack в состояниях SYN, ESTABLISHED, FIN, таймаут udp. по умолчанию 60:300:60:60 ---hostcase ; менять регистр заголовка "Host:" по умолчанию на "host:". ---hostnospace ; убрать пробел после "Host:" и переместить его в конец значения "User-Agent:" для сохранения длины пакета ---methodeol ; добавить перевод строки в unix стиле ('\n') перед методом и убрать пробел из Host: : "GET / ... Host: domain.com" => "\nGET / ... Host:domain.com" ---hostspell=HoST ; точное написание заголовка Host (можно "HOST" или "HoSt"). автоматом включает --hostcase ---domcase ; домен после Host: сделать таким : TeSt.cOm ---dpi-desync=[,][, ; бит fwmark для пометки десинхронизирующих пакетов, чтобы они повторно не падали в очередь. default = 0x40000000 ---dpi-desync-ttl= ; установить ttl для десинхронизирующих пакетов ---dpi-desync-ttl6= ; установить ipv6 hop limit для десинхронизирующих пакетов. если не указано, используется значение ttl ---dpi-desync-autottl=[[:[-]]] ; режим auto ttl для ipv4 и ipv6. по умолчанию: 1:3-20. delta=0 отключает функцию. ---dpi-desync-autottl6=[[:[-]]] ; переопределение предыдущего параметра для ipv6 ---dpi-desync-fooling= ; дополнительные методики как сделать, чтобы фейковый пакет не дошел до сервера. none md5sig badseq badsum datanoack hopbyhop hopbyhop2 ---dpi-desync-repeats= ; посылать каждый генерируемый в nfqws пакет N раз (не влияет на остальные пакеты) ---dpi-desync-skip-nosni=0|1 ; 1(default)=не применять dpi desync для запросов без hostname в SNI, в частности для ESNI ---dpi-desync-split-pos=N|-N|marker+N|marker-N ; список через запятую маркеров для tcp сегментации в режимах split и disorder ---dpi-desync-split-seqovl=N|-N|marker+N|marker-N ; единичный маркер, определяющий величину перекрытия sequence в режимах split и disorder. для split поддерживается только положительное число. +--debug=0|1 ; 1=выводить отладочные сообщения +--dry-run ; проверить опции командной строки и выйти. код 0 - успешная проверка. +--daemon ; демонизировать прогу +--pidfile= ; сохранить PID в файл +--user= ; менять uid процесса +--uid=uid[:gid] ; менять uid процесса +--qnum=N ; номер очереди N +--bind-fix4 ; пытаться решить проблему неверного выбора исходящего интерфейса для сгенерированных ipv4 пакетов +--bind-fix6 ; пытаться решить проблему неверного выбора исходящего интерфейса для сгенерированных ipv6 пакетов +--wsize=[:] ; менять tcp window size на указанный размер в SYN,ACK. если не задан scale_factor, то он не меняется (устарело !) +--wssize=[:] ; менять tcp window size на указанный размер в исходящих пакетах. scale_factor по умолчанию 0. (см. conntrack !) +--wssize-cutoff=[n|d|s]N ; изменять server window size в исходящих пакетах (n), пакетах данных (d), относительных sequence (s) по номеру меньше N +--ctrack-timeouts=S:E:F[:U] ; таймауты внутреннего conntrack в состояниях SYN, ESTABLISHED, FIN, таймаут udp. по умолчанию 60:300:60:60 +--hostcase ; менять регистр заголовка "Host:" по умолчанию на "host:". +--hostnospace ; убрать пробел после "Host:" и переместить его в конец значения "User-Agent:" для сохранения длины пакета +--methodeol ; добавить перевод строки в unix стиле ('\n') перед методом и убрать пробел из Host: : "GET / ... Host: domain.com" => "\nGET / ... Host:domain.com" +--hostspell=HoST ; точное написание заголовка Host (можно "HOST" или "HoSt"). автоматом включает --hostcase +--domcase ; домен после Host: сделать таким : TeSt.cOm +--dpi-desync=[,][, ; бит fwmark для пометки десинхронизирующих пакетов, чтобы они повторно не падали в очередь. default = 0x40000000 +--dpi-desync-ttl= ; установить ttl для десинхронизирующих пакетов +--dpi-desync-ttl6= ; установить ipv6 hop limit для десинхронизирующих пакетов. если не указано, используется значение ttl +--dpi-desync-autottl=[[:[-]]] ; режим auto ttl для ipv4 и ipv6. по умолчанию: 1:3-20. delta=0 отключает функцию. +--dpi-desync-autottl6=[[:[-]]] ; переопределение предыдущего параметра для ipv6 +--dpi-desync-fooling= ; дополнительные методики как сделать, чтобы фейковый пакет не дошел до сервера. none md5sig badseq badsum datanoack hopbyhop hopbyhop2 +--dpi-desync-repeats= ; посылать каждый генерируемый в nfqws пакет N раз (не влияет на остальные пакеты) +--dpi-desync-skip-nosni=0|1 ; 1(default)=не применять dpi desync для запросов без hostname в SNI, в частности для ESNI +--dpi-desync-split-pos=N|-N|marker+N|marker-N ; список через запятую маркеров для tcp сегментации в режимах split и disorder +--dpi-desync-split-seqovl=N|-N|marker+N|marker-N ; единичный маркер, определяющий величину перекрытия sequence в режимах split и disorder. для split поддерживается только положительное число. --dpi-desync-split-seqovl-pattern=|0xHEX ; чем заполнять фейковую часть overlap ---dpi-desync-fakedsplit-pattern=|0xHEX ; чем заполнять фейки в fakedsplit/fakeddisorder ---dpi-desync-badseq-increment= ; инкремент sequence number для badseq. по умолчанию -10000 ---dpi-desync-badack-increment= ; инкремент ack sequence number для badseq. по умолчанию -66000 ---dpi-desync-any-protocol=0|1 ; 0(default)=работать только по http request и tls clienthello 1=по всем непустым пакетам данных ---dpi-desync-fake-http=|0xHEX ; файл, содержащий фейковый http запрос для dpi-desync=fake, на замену стандартному www.iana.org ---dpi-desync-fake-tls=|0xHEX ; файл, содержащий фейковый tls clienthello для dpi-desync=fake, на замену стандартному ---dpi-desync-fake-unknown=|0xHEX ; файл, содержащий фейковый пейлоад неизвестного протокола для dpi-desync=fake, на замену стандартным нулям 256 байт ---dpi-desync-fake-syndata=|0xHEX ; файл, содержащий фейковый пейлоад пакета SYN для режима десинхронизации syndata ---dpi-desync-fake-quic=|0xHEX ; файл, содержащий фейковый QUIC Initial ---dpi-desync-fake-dht=|0xHEX ; файл, содержащий фейковый пейлоад DHT протокола для dpi-desync=fake, на замену стандартным нулям 64 байт ---dpi-desync-fake-unknown-udp=|0xHEX ; файл, содержащий фейковый пейлоад неизвестного udp протокола для dpi-desync=fake, на замену стандартным нулям 64 байт ---dpi-desync-udplen-increment= ; насколько увеличивать длину udp пейлоада в режиме udplen ---dpi-desync-udplen-pattern=|0xHEX ; чем добивать udp пакет в режиме udplen. по умолчанию - нули ---dpi-desync-start=[n|d|s]N ; применять dpi desync только в исходящих пакетах (n), пакетах данных (d), относительных sequence (s) по номеру больше или равно N ---dpi-desync-cutoff=[n|d|s]N ; применять dpi desync только в исходящих пакетах (n), пакетах данных (d), относительных sequence (s) по номеру меньше N ---hostlist= ; действовать только над доменами, входящими в список из filename. поддомены автоматически учитываются. - ; в файле должен быть хост на каждой строке. - ; список читается при старте и хранится в памяти в виде иерархической структуры для быстрого поиска. - ; при изменении времени модификации файла он перечитывается автоматически по необходимости - ; список может быть запакован в gzip. формат автоматически распознается и разжимается - ; списков может быть множество. пустой общий лист = его отсутствие - ; хосты извлекаются из Host: хедера обычных http запросов и из SNI в TLS ClientHello. ---hostlist-domains= ; фиксированный список доменов через зяпятую. можно использовать # в начале для комментирования отдельных доменов. ---hostlist-exclude= ; не применять дурение к доменам из листа. может быть множество листов. схема аналогична include листам. ---hostlist-exclude-domains= ; фиксированный список доменов через зяпятую. можно использовать # в начале для комментирования отдельных доменов. ---hostlist-auto= ; обнаруживать автоматически блокировки и заполнять автоматический hostlist (требует перенаправления входящего трафика) ---hostlist-auto-fail-threshold= ; сколько раз нужно обнаружить ситуацию, похожую на блокировку, чтобы добавить хост в лист (по умолчанию: 3) ---hostlist-auto-fail-time= ; все эти ситуации должны быть в пределах указанного количества секунд (по умолчанию: 60) ---hostlist-auto-retrans-threshold= ; сколько ретрансмиссий запроса считать блокировкой (по умолчанию: 3) ---hostlist-auto-debug= ; лог положительных решений по autohostlist. позволяет разобраться почему там появляются хосты. ---new ; начало новой стратегии (новый профиль) ---skip ; не использовать этот профиль . полезно для временной деактивации профиля без удаления параметров. ---filter-l3=ipv4|ipv6 ; фильтр версии ip для текущей стратегии ---filter-tcp=[~]port1[-port2]|* ; фильтр портов tcp для текущей стратегии. ~ означает инверсию. установка фильтра tcp и неустановка фильтра udp запрещает udp. поддерживается список через запятую. ---filter-udp=[~]port1[-port2]|* ; фильтр портов udp для текущей стратегии. ~ означает инверсию. установка фильтра udp и неустановка фильтра tcp запрещает tcp. поддерживается список через запятую. ---filter-l7=[http|tls|quic|wireguard|dht|unknown] ; фильтр протокола L6-L7. поддерживается несколько значений через запятую. ---ipset= ; включающий ip list. на каждой строчке ip или cidr ipv4 или ipv6. поддерживается множество листов и gzip. перечитка автоматическая. ---ipset-ip= ; фиксированный список подсетей через запятую. можно использовать # в начале для комментирования отдельных подсетей. ---ipset-exclude= ; исключающий ip list. на каждой строчке ip или cidr ipv4 или ipv6. поддерживается множество листов и gzip. перечитка автоматическая. ---ipset-exclude-ip= ; фиксированный список подсетей через запятую. можно использовать # в начале для комментирования отдельных подсетей. +--dpi-desync-fakedsplit-pattern=|0xHEX ; чем заполнять фейки в fakedsplit/fakeddisorder +--dpi-desync-badseq-increment= ; инкремент sequence number для badseq. по умолчанию -10000 +--dpi-desync-badack-increment= ; инкремент ack sequence number для badseq. по умолчанию -66000 +--dpi-desync-any-protocol=0|1 ; 0(default)=работать только по http request и tls clienthello 1=по всем непустым пакетам данных +--dpi-desync-fake-http=|0xHEX ; файл, содержащий фейковый http запрос для dpi-desync=fake, на замену стандартному www.iana.org +--dpi-desync-fake-tls=|0xHEX ; файл, содержащий фейковый tls clienthello для dpi-desync=fake, на замену стандартному +--dpi-desync-fake-unknown=|0xHEX ; файл, содержащий фейковый пейлоад неизвестного протокола для dpi-desync=fake, на замену стандартным нулям 256 байт +--dpi-desync-fake-syndata=|0xHEX ; файл, содержащий фейковый пейлоад пакета SYN для режима десинхронизации syndata +--dpi-desync-fake-quic=|0xHEX ; файл, содержащий фейковый QUIC Initial +--dpi-desync-fake-dht=|0xHEX ; файл, содержащий фейковый пейлоад DHT протокола для dpi-desync=fake, на замену стандартным нулям 64 байт +--dpi-desync-fake-unknown-udp=|0xHEX ; файл, содержащий фейковый пейлоад неизвестного udp протокола для dpi-desync=fake, на замену стандартным нулям 64 байт +--dpi-desync-udplen-increment= ; насколько увеличивать длину udp пейлоада в режиме udplen +--dpi-desync-udplen-pattern=|0xHEX ; чем добивать udp пакет в режиме udplen. по умолчанию - нули +--dpi-desync-start=[n|d|s]N ; применять dpi desync только в исходящих пакетах (n), пакетах данных (d), относительных sequence (s) по номеру больше или равно N +--dpi-desync-cutoff=[n|d|s]N ; применять dpi desync только в исходящих пакетах (n), пакетах данных (d), относительных sequence (s) по номеру меньше N +--hostlist= ; действовать только над доменами, входящими в список из filename. поддомены автоматически учитываются. + ; в файле должен быть хост на каждой строке. + ; список читается при старте и хранится в памяти в виде иерархической структуры для быстрого поиска. + ; при изменении времени модификации файла он перечитывается автоматически по необходимости + ; список может быть запакован в gzip. формат автоматически распознается и разжимается + ; списков может быть множество. пустой общий лист = его отсутствие + ; хосты извлекаются из Host: хедера обычных http запросов и из SNI в TLS ClientHello. +--hostlist-domains= ; фиксированный список доменов через зяпятую. можно использовать # в начале для комментирования отдельных доменов. +--hostlist-exclude= ; не применять дурение к доменам из листа. может быть множество листов. схема аналогична include листам. +--hostlist-exclude-domains= ; фиксированный список доменов через зяпятую. можно использовать # в начале для комментирования отдельных доменов. +--hostlist-auto= ; обнаруживать автоматически блокировки и заполнять автоматический hostlist (требует перенаправления входящего трафика) +--hostlist-auto-fail-threshold= ; сколько раз нужно обнаружить ситуацию, похожую на блокировку, чтобы добавить хост в лист (по умолчанию: 3) +--hostlist-auto-fail-time= ; все эти ситуации должны быть в пределах указанного количества секунд (по умолчанию: 60) +--hostlist-auto-retrans-threshold= ; сколько ретрансмиссий запроса считать блокировкой (по умолчанию: 3) +--hostlist-auto-debug= ; лог положительных решений по autohostlist. позволяет разобраться почему там появляются хосты. +--new ; начало новой стратегии (новый профиль) +--skip ; не использовать этот профиль . полезно для временной деактивации профиля без удаления параметров. +--filter-l3=ipv4|ipv6 ; фильтр версии ip для текущей стратегии +--filter-tcp=[~]port1[-port2]|* ; фильтр портов tcp для текущей стратегии. ~ означает инверсию. установка фильтра tcp и неустановка фильтра udp запрещает udp. поддерживается список через запятую. +--filter-udp=[~]port1[-port2]|* ; фильтр портов udp для текущей стратегии. ~ означает инверсию. установка фильтра udp и неустановка фильтра tcp запрещает tcp. поддерживается список через запятую. +--filter-l7=[http|tls|quic|wireguard|dht|unknown] ; фильтр протокола L6-L7. поддерживается несколько значений через запятую. +--ipset= ; включающий ip list. на каждой строчке ip или cidr ipv4 или ipv6. поддерживается множество листов и gzip. перечитка автоматическая. +--ipset-ip= ; фиксированный список подсетей через запятую. можно использовать # в начале для комментирования отдельных подсетей. +--ipset-exclude= ; исключающий ip list. на каждой строчке ip или cidr ipv4 или ipv6. поддерживается множество листов и gzip. перечитка автоматическая. +--ipset-exclude-ip= ; фиксированный список подсетей через запятую. можно использовать # в начале для комментирования отдельных подсетей. ``` `--debug` позволяет выводить подробный лог действий на консоль, в syslog или в файл. Может быть важен порядок следования @@ -754,100 +755,101 @@ iptables target `FLOWOFFLOAD` - это проприетарное изобрет tpws - это transparent proxy. ``` -@|$ ; читать конфигурацию из файла. опция должна быть первой. остальные опции игнорируются. +@|$ ; читать конфигурацию из файла. опция должна быть первой. остальные опции игнорируются. ---debug=0|1|2|syslog|@ ; 0,1,2 = логирование на косоль : 0=тихо, 1(default)=подробно, 2=отладка. ---debug-level=0|1|2 ; указать уровень логирования для syslog и @ ---daemon ; демонизировать прогу ---pidfile= ; сохранить PID в файл ---user= ; менять uid процесса ---uid=uid[:gid] ; менять uid процесса ---bind-addr ; на каком адресе слушать. может быть ipv4 или ipv6 адрес - ; если указан ipv6 link local, то требуется указать с какого он интерфейса : fe80::1%br-lan ---bind-linklocal=no|unwanted|prefer|force - ; no : биндаться только на global ipv6 - ; unwanted (default) : предпочтительно global, если нет - LL - ; prefer : предпочтительно LL, если нет - global - ; force : биндаться только на LL ---bind-iface4= ; слушать на первом ipv4 интерфейса iface ---bind-iface6= ; слушать на первом ipv6 интерфейса iface ---bind-wait-ifup= ; ждать до N секунд получения IP адреса (если задан --bind-wait-ifup - время идет после поднятия интерфейса) +--debug=0|1|2|syslog|@ ; 0,1,2 = логирование на косоль : 0=тихо, 1(default)=подробно, 2=отладка. +--debug-level=0|1|2 ; указать уровень логирования для syslog и @ +--dry-run ; проверить опции командной строки и выйти. код 0 - успешная проверка. + +--daemon ; демонизировать прогу +--pidfile= ; сохранить PID в файл +--user= ; менять uid процесса +--uid=uid[:gid] ; менять uid процесса +--bind-addr ; на каком адресе слушать. может быть ipv4 или ipv6 адрес + ; если указан ipv6 link local, то требуется указать с какого он интерфейса : fe80::1%br-lan +--bind-linklocal=no|unwanted|prefer|force ; no : биндаться только на global ipv6 + ; unwanted (default) : предпочтительно global, если нет - LL + ; prefer : предпочтительно LL, если нет - global + ; force : биндаться только на LL +--bind-iface4= ; слушать на первом ipv4 интерфейса iface +--bind-iface6= ; слушать на первом ipv6 интерфейса iface +--bind-wait-ifup= ; ждать до N секунд появления и поднятия интерфейса +--bind-wait-ip= ; ждать до N секунд получения IP адреса (если задан --bind-wait-ifup - время идет после поднятия интерфейса) --bind-wait-ip-linklocal= - ; имеет смысл только при задании --bind-wait-ip - ; --bind-linklocal=unwanted : согласиться на LL после N секунд - ; --bind-linklocal=prefer : согласиться на global address после N секунд ---bind-wait-only ; подождать все бинды и выйти. результат 0 в случае успеха, иначе не 0. ---connect-bind-addr ; с какого адреса подключаться во внешнюю сеть. может быть ipv4 или ipv6 адрес - ; если указан ipv6 link local, то требуется указать с какого он интерфейса : fe80::1%br-lan - ; опция может повторяться для v4 и v6 адресов - ; опция не отменяет правил маршрутизации ! выбор интерфейса определяется лишь правилами маршрутизации, кроме случая v6 link local. ---socks ; вместо прозрачного прокси реализовать socks4/5 proxy ---no-resolve ; запретить ресолвинг имен через socks5 ---resolve-threads ; количество потоков ресолвера ---port= ; на каком порту слушать ---maxconn= ; максимальное количество соединений от клиентов к прокси ---maxfiles= ; макс количество файловых дескрипторов (setrlimit). мин требование (X*connections+16), где X=6 в tcp proxy mode, X=4 в режиме тамперинга. - ; стоит сделать запас с коэффициентом как минимум 1.5. по умолчанию maxfiles (X*connections)*1.5+16 ---max-orphan-time= ; если вы запускаете через tpws торрент-клиент с множеством раздач, он пытается установить очень много исходящих соединений, - ; большая часть из которых отваливается по таймауту (юзера сидят за NAT, firewall, ...) - ; установление соединения в linux может длиться очень долго. локальный конец отвалился, перед этим послав блок данных, - ; tpws ждет подключения удаленного конца, чтобы отослать ему этот блок, и зависает надолго. - ; настройка позволяет сбрасывать такие подключения через N секунд, теряя блок данных. по умолчанию 5 сек. 0 означает отключить функцию - ; эта функция не действует на успешно подключенные ранее соединения + ; имеет смысл только при задании --bind-wait-ip + ; --bind-linklocal=unwanted : согласиться на LL после N секунд + ; --bind-linklocal=prefer : согласиться на global address после N секунд +--bind-wait-only ; подождать все бинды и выйти. результат 0 в случае успеха, иначе не 0. +--connect-bind-addr ; с какого адреса подключаться во внешнюю сеть. может быть ipv4 или ipv6 адрес + ; если указан ipv6 link local, то требуется указать с какого он интерфейса : fe80::1%br-lan + ; опция может повторяться для v4 и v6 адресов + ; опция не отменяет правил маршрутизации ! выбор интерфейса определяется лишь правилами маршрутизации, кроме случая v6 link local. +--socks ; вместо прозрачного прокси реализовать socks4/5 proxy +--no-resolve ; запретить ресолвинг имен через socks5 +--resolve-threads ; количество потоков ресолвера +--port= ; на каком порту слушать +--maxconn= ; максимальное количество соединений от клиентов к прокси +--maxfiles= ; макс количество файловых дескрипторов (setrlimit). мин требование (X*connections+16), где X=6 в tcp proxy mode, X=4 в режиме тамперинга. + ; стоит сделать запас с коэффициентом как минимум 1.5. по умолчанию maxfiles (X*connections)*1.5+16 +--max-orphan-time= ; если вы запускаете через tpws торрент-клиент с множеством раздач, он пытается установить очень много исходящих соединений, + ; большая часть из которых отваливается по таймауту (юзера сидят за NAT, firewall, ...) + ; установление соединения в linux может длиться очень долго. локальный конец отвалился, перед этим послав блок данных, + ; tpws ждет подключения удаленного конца, чтобы отослать ему этот блок, и зависает надолго. + ; настройка позволяет сбрасывать такие подключения через N секунд, теряя блок данных. по умолчанию 5 сек. 0 означает отключить функцию + ; эта функция не действует на успешно подключенные ранее соединения ---local-rcvbuf= ; SO_RCVBUF для соединений client-proxy ---local-sndbuf= ; SO_SNDBUF для соединений client-proxy ---remote-rcvbuf= ; SO_RCVBUF для соединений proxy-target ---remote-sndbuf= ; SO_SNDBUF для соединений proxy-target ---nosplice ; не использовать splice на linux системах ---skip-nodelay ; не устанавливать в исходящих соединения TCP_NODELAY. несовместимо со split. ---local-tcp-user-timeout= ; таймаут соединений client-proxy (по умолчанию : 10 сек, 0 = оставить системное значение) ---remote-tcp-user-timeout= ; таймаут соединений proxy-target (по умолчанию : 20 сек, 0 = оставить системное значение) ---fix-seg= ; исправлять неудачи tcp сегментации ценой задержек для всех клиентов и замедления. ждать до N мс. по умолчанию 30 мс. +--local-rcvbuf= ; SO_RCVBUF для соединений client-proxy +--local-sndbuf= ; SO_SNDBUF для соединений client-proxy +--remote-rcvbuf= ; SO_RCVBUF для соединений proxy-target +--remote-sndbuf= ; SO_SNDBUF для соединений proxy-target +--nosplice ; не использовать splice на linux системах +--skip-nodelay ; не устанавливать в исходящих соединения TCP_NODELAY. несовместимо со split. +--local-tcp-user-timeout= ; таймаут соединений client-proxy (по умолчанию : 10 сек, 0 = оставить системное значение) +--remote-tcp-user-timeout= ; таймаут соединений proxy-target (по умолчанию : 20 сек, 0 = оставить системное значение) +--fix-seg= ; исправлять неудачи tcp сегментации ценой задержек для всех клиентов и замедления. ждать до N мс. по умолчанию 30 мс. ---split-pos=N|-N|marker+N|marker-N ; список через запятую маркеров для tcp сегментации ---split-any-protocol ; применять сегментацию к любым пакетам. по умолчанию - только к известным протоколам (http, TLS) ---disorder[=http|tls] ; путем манипуляций с сокетом вынуждает отправлять первым второй сегмент разделенного запроса ---oob[=http|tls] ; отправить байт out-of-band data (OOB) в конце первой части сплита ---oob-data=|0xHEX ; переопределить байт OOB. по умолчанию 0x00. ---hostcase ; менять регистр заголовка "Host:". по умолчанию на "host:". ---hostspell=HoST ; точное написание заголовка Host (можно "HOST" или "HoSt"). автоматом включает --hostcase ---hostdot ; добавление точки после имени хоста : "Host: kinozal.tv." ---hosttab ; добавление табуляции после имени хоста : "Host: kinozal.tv\t" ---hostnospace ; убрать пробел после "Host:" ---hostpad= ; добавить паддинг-хедеров общей длиной перед Host: ---domcase ; домен после Host: сделать таким : TeSt.cOm ---methodspace ; добавить пробел после метода : "GET /" => "GET /" ---methodeol ; добавить перевод строки перед методом : "GET /" => "\r\nGET /" ---unixeol ; конвертировать 0D0A в 0A и использовать везде 0A ---tlsrec=N|-N|marker+N|marker-N ; разбивка TLS ClientHello на 2 TLS records на указанной позиции. Минимальное смещение - 6. ---mss= ; установить MSS для клиента. может заставить сервер разбивать ответы, но существенно снижает скорость ---tamper-start=[n] ; начинать дурение только с указанной байтовой позиции или номера блока исходяшего потока (считается позиция начала принятого блока) ---tamper-cutoff=[n] ; закончить дурение на указанной байтовой позиции или номере блока исходящего потока (считается позиция начала принятого блока) ---hostlist= ; действовать только над доменами, входящими в список из filename. поддомены автоматически учитываются. - ; в файле должен быть хост на каждой строке. - ; список читается при старте и хранится в памяти в виде иерархической структуры для быстрого поиска. - ; при изменении времени модификации файла он перечитывается автоматически по необходимости - ; список может быть запакован в gzip. формат автоматически распознается и разжимается - ; списков может быть множество. пустой общий лист = его отсутствие - ; хосты извлекаются из Host: хедера обычных http запросов и из SNI в TLS ClientHello. ---hostlist-domains= ; фиксированный список доменов через зяпятую. можно использовать # в начале для комментирования отдельных доменов. ---hostlist-exclude= ; не применять дурение к доменам из листа. может быть множество листов. схема аналогична include листам. ---hostlist-exclude-domains=; фиксированный список доменов через зяпятую. можно использовать # в начале для комментирования отдельных доменов. ---hostlist-auto= ; обнаруживать автоматически блокировки и заполнять автоматический hostlist (требует перенаправления входящего трафика) ---hostlist-auto-fail-threshold= ; сколько раз нужно обнаружить ситуацию, похожую на блокировку, чтобы добавить хост в лист (по умолчанию: 3) ---hostlist-auto-fail-time= ; все эти ситуации должны быть в пределах указанного количества секунд (по умолчанию: 60) ---hostlist-auto-debug= ; лог положительных решений по autohostlist. позволяет разобраться почему там появляются хосты. ---new ; начало новой стратегии (новый профиль) ---skip ; не использовать этот профиль . полезно для временной деактивации профиля без удаления параметров. ---filter-l3=ipv4|ipv6 ; фильтр версии ip для текущей стратегии ---filter-tcp=[~]port1[-port2]|* ; фильтр портов tcp для текущей стратегии. ~ означает инверсию. поддерживается список через запятую. +--split-pos=N|-N|marker+N|marker-N ; список через запятую маркеров для tcp сегментации +--split-any-protocol ; применять сегментацию к любым пакетам. по умолчанию - только к известным протоколам (http, TLS) +--disorder[=http|tls] ; путем манипуляций с сокетом вынуждает отправлять первым второй сегмент разделенного запроса +--oob[=http|tls] ; отправить байт out-of-band data (OOB) в конце первой части сплита +--oob-data=|0xHEX ; переопределить байт OOB. по умолчанию 0x00. +--hostcase ; менять регистр заголовка "Host:". по умолчанию на "host:". +--hostspell=HoST ; точное написание заголовка Host (можно "HOST" или "HoSt"). автоматом включает --hostcase +--hostdot ; добавление точки после имени хоста : "Host: kinozal.tv." +--hosttab ; добавление табуляции после имени хоста : "Host: kinozal.tv\t" +--hostnospace ; убрать пробел после "Host:" +--hostpad= ; добавить паддинг-хедеров общей длиной перед Host: +--domcase ; домен после Host: сделать таким : TeSt.cOm +--methodspace ; добавить пробел после метода : "GET /" => "GET /" +--methodeol ; добавить перевод строки перед методом : "GET /" => "\r\nGET /" +--unixeol ; конвертировать 0D0A в 0A и использовать везде 0A +--tlsrec=N|-N|marker+N|marker-N ; разбивка TLS ClientHello на 2 TLS records на указанной позиции. Минимальное смещение - 6. +--mss= ; установить MSS для клиента. может заставить сервер разбивать ответы, но существенно снижает скорость +--tamper-start=[n] ; начинать дурение только с указанной байтовой позиции или номера блока исходяшего потока (считается позиция начала принятого блока) +--tamper-cutoff=[n] ; закончить дурение на указанной байтовой позиции или номере блока исходящего потока (считается позиция начала принятого блока) +--hostlist= ; действовать только над доменами, входящими в список из filename. поддомены автоматически учитываются. + ; в файле должен быть хост на каждой строке. + ; список читается при старте и хранится в памяти в виде иерархической структуры для быстрого поиска. + ; при изменении времени модификации файла он перечитывается автоматически по необходимости + ; список может быть запакован в gzip. формат автоматически распознается и разжимается + ; списков может быть множество. пустой общий лист = его отсутствие + ; хосты извлекаются из Host: хедера обычных http запросов и из SNI в TLS ClientHello. +--hostlist-domains= ; фиксированный список доменов через зяпятую. можно использовать # в начале для комментирования отдельных доменов. +--hostlist-exclude= ; не применять дурение к доменам из листа. может быть множество листов. схема аналогична include листам. +--hostlist-exclude-domains= ; фиксированный список доменов через зяпятую. можно использовать # в начале для комментирования отдельных доменов. +--hostlist-auto= ; обнаруживать автоматически блокировки и заполнять автоматический hostlist (требует перенаправления входящего трафика) +--hostlist-auto-fail-threshold= ; сколько раз нужно обнаружить ситуацию, похожую на блокировку, чтобы добавить хост в лист (по умолчанию: 3) +--hostlist-auto-fail-time= ; все эти ситуации должны быть в пределах указанного количества секунд (по умолчанию: 60) +--hostlist-auto-debug= ; лог положительных решений по autohostlist. позволяет разобраться почему там появляются хосты. +--new ; начало новой стратегии (новый профиль) +--skip ; не использовать этот профиль . полезно для временной деактивации профиля без удаления параметров. +--filter-l3=ipv4|ipv6 ; фильтр версии ip для текущей стратегии +--filter-tcp=[~]port1[-port2]|* ; фильтр портов tcp для текущей стратегии. ~ означает инверсию. поддерживается список через запятую. --filter-l7=[http|tls|quic|wireguard|dht|unknown] ; фильтр протокола L6-L7. поддерживается несколько значений через запятую. ---ipset= ; включающий ip list. на каждой строчке ip или cidr ipv4 или ipv6. поддерживается множество листов и gzip. перечитка автоматическая. ---ipset-ip= ; фиксированный список подсетей через запятую. можно использовать # в начале для комментирования отдельных подсетей. ---ipset-exclude= ; исключающий ip list. на каждой строчке ip или cidr ipv4 или ipv6. поддерживается множество листов и gzip. перечитка автоматическая. ---ipset-exclude-ip= ; фиксированный список подсетей через запятую. можно использовать # в начале для комментирования отдельных подсетей. +--ipset= ; включающий ip list. на каждой строчке ip или cidr ipv4 или ipv6. поддерживается множество листов и gzip. перечитка автоматическая. +--ipset-ip= ; фиксированный список подсетей через запятую. можно использовать # в начале для комментирования отдельных подсетей. +--ipset-exclude= ; исключающий ip list. на каждой строчке ip или cidr ipv4 или ipv6. поддерживается множество листов и gzip. перечитка автоматическая. +--ipset-exclude-ip= ; фиксированный список подсетей через запятую. можно использовать # в начале для комментирования отдельных подсетей. ``` ### TCP СЕГМЕНТАЦИЯ В TPWS From 7d9946b0070dc00280c028971c9a0e1bebc80108 Mon Sep 17 00:00:00 2001 From: bol-van Date: Tue, 3 Dec 2024 18:23:13 +0300 Subject: [PATCH 06/10] update docs --- docs/readme.md | 4 ++-- 1 file changed, 2 insertions(+), 2 deletions(-) diff --git a/docs/readme.md b/docs/readme.md index 4ada150..b4c58be 100644 --- a/docs/readme.md +++ b/docs/readme.md @@ -162,7 +162,7 @@ dvtws, собираемый из тех же исходников (см. [док @|$ ; читать конфигурацию из файла. опция должна быть первой. остальные опции игнорируются. --debug=0|1 ; 1=выводить отладочные сообщения ---dry-run ; проверить опции командной строки и выйти. код 0 - успешная проверка. +--dry-run ; проверить опции командной строки и выйти. код 0 - успешная проверка. --daemon ; демонизировать прогу --pidfile= ; сохранить PID в файл --user= ; менять uid процесса @@ -759,7 +759,7 @@ tpws - это transparent proxy. --debug=0|1|2|syslog|@ ; 0,1,2 = логирование на косоль : 0=тихо, 1(default)=подробно, 2=отладка. --debug-level=0|1|2 ; указать уровень логирования для syslog и @ ---dry-run ; проверить опции командной строки и выйти. код 0 - успешная проверка. +--dry-run ; проверить опции командной строки и выйти. код 0 - успешная проверка. --daemon ; демонизировать прогу --pidfile= ; сохранить PID в файл From 4ae1ad053dc8ff7761546e1b992c98a1b443273f Mon Sep 17 00:00:00 2001 From: bol-van <9076680+bol-van@users.noreply.github.com> Date: Wed, 4 Dec 2024 10:57:09 +0300 Subject: [PATCH 07/10] Update windows.md --- docs/windows.md | 2 ++ 1 file changed, 2 insertions(+) diff --git a/docs/windows.md b/docs/windows.md index f93f124..99dd256 100644 --- a/docs/windows.md +++ b/docs/windows.md @@ -160,6 +160,8 @@ _windivert 2.2.2-A_, который идет в поставке zapret. В [zapret-win-bundle](https://github.com/bol-van/zapret-win-bundle) есть отдельных 2 места, где находится **winws** : [_zapret-winws_](https://github.com/bol-van/zapret-win-bundle/tree/master/zapret-winws) и [_blockcheck/zapret/nfq_](https://github.com/bol-van/zapret-win-bundle/tree/master/blockcheck). Надо менять в обоих местах. +Альтернативный вариант при использовании win bundle - запустить `win7\install_win7.cmd` + > [!NOTE] > Этот вариант проверен и должен работать. Тем не менее патч 10 летней давности, который включает SHA256 сигнатуры, все еще необходим. From 1904f01cf462139fa781a39fe91d833199cb5010 Mon Sep 17 00:00:00 2001 From: bol-van <9076680+bol-van@users.noreply.github.com> Date: Wed, 4 Dec 2024 10:58:25 +0300 Subject: [PATCH 08/10] Update windows.en.md --- docs/windows.en.md | 6 ++++-- 1 file changed, 4 insertions(+), 2 deletions(-) diff --git a/docs/windows.en.md b/docs/windows.en.md index ed99b06..14059c6 100644 --- a/docs/windows.en.md +++ b/docs/windows.en.md @@ -102,9 +102,11 @@ Replace these 2 files in every location they are present. In `zapret-win-bundle` they are in `zapret-winws` и `blockcheck/zapret/nfq` folders. However this option still requires 10+ year old patch that enables SHA256 signatures. -2. [Hack ESU](https://hackandpwn.com/windows-7-esu-patching) +If you're using win bundle you can simply run `win7\install_win7.cmd` -3. Use `UpdatePack7R2` from simplix : https://blog.simplix.info +3. [Hack ESU](https://hackandpwn.com/windows-7-esu-patching) + +4. Use `UpdatePack7R2` from simplix : https://blog.simplix.info If you are in Russia or Belarus temporary change region in Control Panel. ### blockcheck From 166847ba92dd66655e47dbfc64bfb976fe15efbb Mon Sep 17 00:00:00 2001 From: bol-van <9076680+bol-van@users.noreply.github.com> Date: Wed, 4 Dec 2024 10:59:22 +0300 Subject: [PATCH 09/10] Update windows.en.md --- docs/windows.en.md | 1 - 1 file changed, 1 deletion(-) diff --git a/docs/windows.en.md b/docs/windows.en.md index 14059c6..04922d2 100644 --- a/docs/windows.en.md +++ b/docs/windows.en.md @@ -101,7 +101,6 @@ There are several options : Replace these 2 files in every location they are present. In `zapret-win-bundle` they are in `zapret-winws` и `blockcheck/zapret/nfq` folders. However this option still requires 10+ year old patch that enables SHA256 signatures. - If you're using win bundle you can simply run `win7\install_win7.cmd` 3. [Hack ESU](https://hackandpwn.com/windows-7-esu-patching) From 8324c04a411272b13c27a19882bded7ed9a5868a Mon Sep 17 00:00:00 2001 From: bol-van <9076680+bol-van@users.noreply.github.com> Date: Wed, 4 Dec 2024 10:59:57 +0300 Subject: [PATCH 10/10] Update windows.md --- docs/windows.md | 1 - 1 file changed, 1 deletion(-) diff --git a/docs/windows.md b/docs/windows.md index 99dd256..024a12d 100644 --- a/docs/windows.md +++ b/docs/windows.md @@ -159,7 +159,6 @@ _windivert 2.2.2-A_, который идет в поставке zapret. и заменить эти 2 файла. В [zapret-win-bundle](https://github.com/bol-van/zapret-win-bundle) есть отдельных 2 места, где находится **winws** : [_zapret-winws_](https://github.com/bol-van/zapret-win-bundle/tree/master/zapret-winws) и [_blockcheck/zapret/nfq_](https://github.com/bol-van/zapret-win-bundle/tree/master/blockcheck). Надо менять в обоих местах. - Альтернативный вариант при использовании win bundle - запустить `win7\install_win7.cmd` > [!NOTE]