doc works

2024-11-26 12:10:53 +03:00 · 2024-11-18 20:24:17 +03:00 · 2024-11-18 20:24:17 +03:00 · db5c60e19f
commit db5c60e19f
parent 256c2d7e50
1 changed files with 191 additions and 138 deletions
--- a/docs/readme.md
+++ b/docs/readme.md
@ -17,8 +17,6 @@ zapret является свободным и open source.
  - [Как это работает](#как-это-работает)
  - [Что сейчас происходит в России](#что-сейчас-происходит-в-россии)
  - [Как это реализовать на практике в системе linux](#как-это-реализовать-на-практике-в-системе-linux)
  - [Особенности применения ip6tables](#особенности-применения-ip6tables)
  - [Особенности применения nftables](#особенности-применения-nftables)
  - [Когда это работать не будет](#когда-это-работать-не-будет)
  - [nfqws](#nfqws)
    - [АТАКА ДЕСИНХРОНИЗАЦИИ DPI](#атака-десинхронизации-dpi)
@ -28,7 +26,6 @@ zapret является свободным и open source.
    - [СПЕЦИФИЧЕСКИЕ РЕЖИМЫ IPV6](#специфические-режимы-ipv6)
    - [КОМБИНИРОВАНИЕ МЕТОДОВ ДЕСИНХРОНИЗАЦИИ](#комбинирование-методов-десинхронизации)
    - [РЕАКЦИЯ DPI НА ОТВЕТ СЕРВЕРА](#реакция-dpi-на-ответ-сервера)
    - [IPTABLES ДЛЯ NFQWS](#iptables-для-nfqws)
    - [РЕЖИМ SYNACK](#режим-synack)
    - [РЕЖИМ SYNDATA](#режим-syndata)
    - [ВИРТУАЛЬНЫЕ МАШИНЫ](#виртуальные-машины)
@ -37,6 +34,9 @@ zapret является свободным и open source.
    - [ПОДДЕРЖКА UDP](#поддержка-udp)
    - [IP ФРАГМЕНТАЦИЯ](#ip-фрагментация)
    - [МНОЖЕСТВЕННЫЕ СТРАТЕГИИ](#множественные-стратегии)
    - [IPTABLES ДЛЯ NFQWS](#iptables-для-nfqws)
    - [NFTABLES ДЛЯ NFQWS](#nftables-для-nfqws)
    - [FLOW OFFLOADING](#flow-offloading)
  - [tpws](#tpws)
    - [TCP СЕГМЕНТАЦИЯ В TPWS](#tcp-сегментация-в-tpws)
    - [TLSREC](#tlsrec)
@ -44,6 +44,8 @@ zapret является свободным и open source.
    - [ДРУГИЕ ПАРАМЕТРЫ ДУРЕНИЯ](#другие-параметры-дурения)
    - [МНОЖЕСТВЕННЫЕ СТРАТЕГИИ](#множественные-стратегии-1)
    - [СЛУЖЕБНЫЕ ПАРАМЕТРЫ](#служебные-параметры)
    - [IPTABLES ДЛЯ TPWS](#iptables-для-nfqws)
    - [NFTABLES ДЛЯ TPWS](#nftables-для-tpws)
  - [Способы получения списка заблокированных IP](#способы-получения-списка-заблокированных-ip)
  - [ip2net](#ip2net)
  - [mdig](#mdig)
@ -137,107 +139,6 @@ DPI. Все больше становится внереестровых бло
 Для вариантов 2 и 3 реализованы программы tpws и nfqws соответственно. Чтобы они работали, необходимо их запустить с
 нужными параметрами и перенаправить на них определенный трафик средствами iptables или nftables.
 Для перенаправления tcp соединения на transparent proxy используются команды следующего вида :
 проходящий трафик:
 `iptables -t nat -I PREROUTING -i <внутренний_интерфейс> -p tcp --dport 80 -j DNAT --to 127.0.0.127:988`
 исходящий трафик:
 `iptables -t nat -I OUTPUT -o <внешний_интерфейс> -p tcp --dport 80 -m owner ! --uid-owner tpws -j DNAT --to 127.0.0.127:988`
 DNAT на localhost работает в цепочке OUTPUT, но не работает в цепочке PREROUTING без включения параметра
 route_localnet :
 `sysctl -w net.ipv4.conf.<внутренний_интерфейс>.route_localnet=1`
 Можно использовать `-j REDIRECT --to-port 988` вместо DNAT, однако в этом случае процесс transparent proxy должен
 слушать на ip адресе входящего интерфейса или на всех адресах. Слушать на всех - не есть хорошо с точки зрения
 безопасности. Слушать на одном (локальном) можно, но в случае автоматизированного скрипта придется его узнавать, потом
 динамически вписывать в команду. В любом случае требуются дополнительные усилия. Использование route_localnet тоже имеет
 потенциальные проблемы с безопасностью. Вы делаете доступным все, что висит на `127.0.0.0/8` для локальной подсети <
 внутренний_интерфейс>. Службы обычно привязываются к `127.0.0.1`, поэтому можно средствами iptables запретить входящие
 на `127.0.0.1` не с интерфейса lo, либо повесить tpws на любой другой IP из из `127.0.0.0/8`, например на `127.0.0.127`,
 и разрешить входящие не с lo только на этот IP.
 ```
 iptables -A INPUT ! -i lo -d 127.0.0.127 -j ACCEPT
 iptables -A INPUT ! -i lo -d 127.0.0.0/8 -j DROP
 ```
 Фильтр по owner необходим для исключения рекурсивного перенаправления соединений от самого tpws. tpws запускается под
 пользователем `tpws`, для него задается исключающее правило.
 tpws может использоваться в режиме socks proxy. В этом случае iptables не нужны, а нужно прописать socks в настройки
 программы (например, броузера), с которой будем обходить блокировки. transparent proxy отличается от socks именно тем,
 что в варианте transparent настраивать клиентские программы не нужно.
 Для перенаправления на очередь NFQUEUE исходящего и проходящего в сторону внешнего интерфейса трафика используются
 команды следующего вида :
 `iptables -t mangle -I POSTROUTING -o <внешний_интерфейс> -p tcp --dport 80 -j NFQUEUE --queue-num 200 --queue-bypass`
 Чтобы не трогать трафик на незаблокированные адреса, можно взять список заблокированных хостов, заресолвить его в IP
 адреса и загнать в ipset zapret, затем добавить фильтр в команду :
 `iptables -t mangle -I POSTROUTING -o <внешний_интерфейс> -p tcp --dport 80 -m set --match-set zapret dst -j NFQUEUE --queue-num 200 --queue-bypass`
 DPI может ловить только первый http запрос, игнорируя последующие запросы в keep-alive сессии. Тогда можем уменьшить
 нагрузку на проц, отказавшись от процессинга ненужных пакетов.
 `iptables -t mangle -I POSTROUTING -o <внешний_интерфейс> -p tcp --dport 80 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000 -m set --match-set zapret dst -j NFQUEUE --queue-num 200 --queue-bypass`
 Фильтр по mark нужен для отсечения от очереди пакетов, сгенерированных внутри nfqws. Если применяется фильтр по
 connbytes 1:6, то обязательно добавлять в iptables и фильтр по mark. Иначе возможно перепутывание порядка следования
 пакетов, что приведет к неработоспособности метода. Так же возможно зависание nfqws по deadlock.
 Для некоторых атак на DPI требуется перенаправлять один или несколько входящих пакетов от соединения :
 `iptables -t mangle -I PREROUTING -i <внешний_интерфейс> -p tcp --sport 80 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:6 -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass`
 Получаемые пакеты будут фильтроваться по входящему интерфейсу, порту и IP источника, то есть наоборот прямому правилу.
 Некоторые техники, ломающие NAT, не всегда можно реализовать через iptables. Требуются nftables.
 Если ваше устройство поддерживает аппаратное ускорение (flow offloading, hardware nat, hardware acceleration), то
 iptables могут не работать. При включенном offloading пакет не проходит по обычному пути netfilter. Необходимо или его
 отключить, или выборочно им управлять.
 В новых ядрах (и в более старых, openwrt портировал изменение на 4.14) присутствует software flow offloading (SFO).
 Пакеты, проходящие через SFO, так же проходят мимо большей части механизмов iptables. При включенном SFO работает
 DNAT/REDIRECT (tpws). Эти соединения исключаются из offloading. Однако, остальные соединения идут через SFO, потому
 NFQUEUE будет срабатывать только до помещения соединения в flowtable. Практически это означает, что nfqws будет работать
 на window size changing, но не будут работать опции по модификации содержимого пакетов. Offload включается через
 специальный target в iptables `FLOWOFFLOAD`. Не обязательно пропускать весь трафик через offload. Можно исключить из
 offload соединения, которые должны попасть на tpws или nfqws. openwrt не предусматривает выборочного управления offload.
 Поэтому скрипты zapret поддерживают свою систему выборочного управления offload в openwrt.
 ## Особенности применения ip6tables
 ip6tables работают почти точно так же, как и ipv4, но есть ряд важных нюансов. В DNAT следует брать адрес --to в
 квадратные скобки. Например :
 `ip6tables -t nat -I OUTPUT -o <внешний_интерфейс> -p tcp --dport 80 -m owner ! --uid-owner tpws -j DNAT --to [::1]:988`
 Параметра route_localnet не существует для ipv6. DNAT на localhost (::1) возможен только в цепочке OUTPUT. В цепочке
 PREROUTING DNAT возможен на любой global address или на link local address того же интерфейса, откуда пришел пакет.
 NFQUEUE работает без изменений.
 ## Особенности применения nftables
 Более подробно преимущества и недостатки nftables применительно к данной системе описаны в [docs/nftables_notes.txt](./nftables_notes.txt) Если
 коротко, то в nftables невозможно работать с большими ip листами на системах с малым количеством RAM. Остальные
 рассматриваемые здесь функции могут быть перенесены на nftables.
 Рекомендуется версия nft `1.0.2` или выше. Но чем выше версия, тем лучше. В nft регулярно находят баги.
 Относительно старые версии ядра и/или утилиты nft могут вызывать ошибки. В частности, на ubuntu 18.04 с ядром 4.15 будут
 проблемы. В 20.04 - работает.
 Некоторые техники можно полноценно использовать только с nftables. Например, в iptables невозможно перенаправить пакеты
 на nfqws после NAT. Следовательно, при использовании NAT невозможно произвести атаку, не совместимую с NAT. В nftables
 этой проблемы не существует, потому что приоритеты хука выставляете вы сами, а не привязаны к фиксированным значениям,
 соответствующим разным таблицам iptables. В iptables нет таблицы, способной перехватить пакеты после MASQUERDADE.
 ## Когда это работать не будет
 * Если подменяется DNS. С этой проблемой легко справиться.
@ -497,7 +398,7 @@ extension хедерам в поисках транспортного хедер
 В параметре dpi-desync можно указать до 3 режимов через запятую.
-* 0 фаза - предполагает работу на этапе установления соединения : `synack`, `syndata` `--wsize`, `--wssize`.
+* 0 фаза - предполагает работу на этапе установления соединения : `synack`, `syndata` `--wsize`, `--wssize`. На эту фазу не действуют фильтры по [hostlist](((#множественные-стратегии))).
 * 1 фаза - отсылка чего-либо до оригинального пакета данных : `fake`, `rst`, `rstack`.
 * 2 фаза - отсылка в модифицированном виде оригинального пакета данных (например, `fakedsplit` или `ipfrag2`).
@ -519,34 +420,6 @@ DPI может отстать от потока, если ClientHello его у
 Лучшее решение - включить на сервере поддержку TLS 1.3. В нем сертификат сервера передается в зашифрованном виде.
 Это рекомендация ко всем админам блокируемых сайтов. Включайте TLS 1.3. Так вы дадите больше возможностей преодолеть DPI.
 ### IPTABLES ДЛЯ NFQWS
 iptables для задействования атаки на первый пакет данных :
 `iptables -t mangle -I POSTROUTING -o <внешний_интерфейс> -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass`
 Этот вариант применяем, когда DPI не следит за всеми запросами http внутри keep-alive сессии.
 Если следит, направляем только первый пакет от https и все пакеты от http :
 ```
 iptables -t mangle -I POSTROUTING -o <внешний_интерфейс> -p tcp --dport 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
 iptables -t mangle -I POSTROUTING -o <внешний_интерфейс> -p tcp --dport 80 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
 ```
 mark нужен, чтобы сгенерированный поддельный пакет не попал опять к нам на обработку. nfqws выставляет fwmark при его отсылке.
 хотя nfqws способен самостоятельно различать помеченные пакеты, фильтр в iptables по mark нужен при использовании connbytes,
 чтобы не допустить изменения порядка следования пакетов. Процессинг очереди - процесс отложенный.
 Если ядро имеет пакеты на отсылку вне очереди - оно их отправляет незамедлительно.
 Изменение правильного порядка следования пакетов при десинхронизации ломает всю идею.
 Так же были замечены дедлоки при достаточно большой отсылке пакетов из nfqws и отсутствии mark фильтра.
 Процесс может зависнуть. Поэтому наличие фильтра по mark в ip/nf tables можно считать обязательным.
 Почему --connbytes 1:6 :
 * 1 - для работы методов десинхронизации 0-й фазы и корректной работы conntrack
 * 2 - иногда данные идут в 3-м пакете 3-way handshake
 * 3 - стандартная ситуация приема одного пакета запроса
 * 4-6 - на случай ретрансмиссии или запроса длиной в несколько пакетов (TLSClientHello с kyber, например)
 ### РЕЖИМ SYNACK
 В документации по geneva это называется "TCB turnaround". Попытка ввести DPI в заблуждение относительно
@ -776,6 +649,115 @@ L7 протокол становится известен обычно посл
 > Вариант в ядре работает гораздо эффективнее. Это создавалось для систем без подержки ipset в ядре.
 > Конкретно - Windows и ядра Linux, собранные без nftables и ipset модулей ядра. Например, в android нет ipset.
 ### IPTABLES ДЛЯ NFQWS
 iptables для задействования атаки на первые пакеты данных в tcp соединении :
 ```
 iptables -t mangle -I POSTROUTING -o <внешний_интерфейс> -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
 ```
 Этот вариант применяем, когда DPI не следит за всеми запросами http внутри keep-alive сессии.
 Если следит, направляем только первый пакет от https и все пакеты от http :
 ```
 iptables -t mangle -I POSTROUTING -o <внешний_интерфейс> -p tcp --dport 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
 iptables -t mangle -I POSTROUTING -o <внешний_интерфейс> -p tcp --dport 80 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
 ```
 mark нужен, чтобы сгенерированный поддельный пакет не попал опять к нам на обработку. nfqws выставляет fwmark при его отсылке.
 хотя nfqws способен самостоятельно различать помеченные пакеты, фильтр в iptables по mark нужен при использовании connbytes,
 чтобы не допустить изменения порядка следования пакетов. Процессинг очереди - процесс отложенный.
 Если ядро имеет пакеты на отсылку вне очереди - оно их отправляет незамедлительно.
 Изменение правильного порядка следования пакетов при десинхронизации ломает всю идею.
 Так же были замечены дедлоки при достаточно большой отсылке пакетов из nfqws и отсутствии mark фильтра.
 Процесс может зависнуть. Поэтому наличие фильтра по mark в ip/nf tables можно считать обязательным.
 Почему `--connbytes 1:6` :
 * 1 - для работы методов десинхронизации 0-й фазы и корректной работы conntrack
 * 2 - иногда данные идут в 3-м пакете 3-way handshake
 * 3 - стандартная ситуация приема одного пакета запроса
 * 4-6 - на случай ретрансмиссии или запроса длиной в несколько пакетов (TLSClientHello с kyber, например)
 Для режима autottl необходимо перенаправление входящего `SYN,ACK` пакета или первого пакета соединения (что обычно есть тоже самое).
 Можно построить фильтр на tcp flags и модуле u32 для поиска характерных паттернов http redirect, но проще использовать connbytes.
 Для режима autohostlist необходимо перенаправление нескольких входящих пакетов, чтобы засечь RST или http redirect.
 Так же стоит увеличить лимит исходящих пакетов в connbytes, чтобы в него вошли все возможные ретрансмиссии, после которых идет реакция по autoostlist.
 `
 iptables -t mangle -I PREROUTING -i <внешний интерфейс> -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:3 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
 `
 Для quic :
 ```
 iptables -t mangle -I POSTROUTING -o <внешний_интерфейс> -p udp --dport 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
 ```
 6 пакетов берется, чтобы покрыть случаи возможных ретрансмиссий quic initial в случае плохой связи или если сервер плохо себя чувствует, а приложение настаивает именно на quic, не переходя на tcp.
 А так же для работы autohostlist по quic. Однако, autohostlist для quic не рекомендуется.
 ### NFTABLES ДЛЯ NFQWS
 Можно начать с базовой конфигурации.
 ```
 IFACE_WAN=wan
 nft create table inet ztest
 nft add chain inet ztest post "{type filter hook postrouting priority mangle;}"
 nft add rule inet ztest post oifname $IFACE_WAN meta mark and 0x40000000 == 0 tcp dport "{80,443}" ct original packets 1-6 queue num 200 bypass
 nft add rule inet ztest post oifname $IFACE_WAN meta mark and 0x40000000 == 0 udp dport 443 ct original packets 1-6 queue num 200 bypass
 # auto hostlist with avoiding wrong ACK numbers in RST,ACK packets sent by russian DPI
 sysctl net.netfilter.nf_conntrack_tcp_be_liberal=1 
 nft add chain inet ztest pre "{type filter hook prerouting priority filter;}"
 nft add rule inet ztest pre iifname $IFACE_WAN tcp sport "{80,443}" ct reply packets 1-3 queue num 200 bypass
 ```
 Для задействования IP фрагментации и `datanoack` на проходящие пакеты требуется особая конфигурация цепочек, перенаправляющая пакеты после NAT.
 В скриптах zapret эта схема называется `POSTNAT`, и она возможна только на nftables.
 Сгенерированные nfqws пакеты требуется на раннем этапе помечать как **notrack**, чтобы они не были испорчены NAT.
 ```
 IFACE_WAN=wan
 nft create table inet ztest
 nft add chain inet ztest postnat "{type filter hook postrouting priority srcnat+1;}"
 nft add rule inet ztest postnat oifname $IFACE_WAN meta mark and 0x40000000 == 0 tcp dport "{80,443}" ct original packets 1-6 queue num 200 bypass
 nft add rule inet ztest postnat oifname $IFACE_WAN meta mark and 0x40000000 == 0 udp dport 443 ct original packets 1-6 queue num 200 bypass
 nft add chain inet ztest predefrag "{type filter hook output priority -401;}"
 nft add rule inet ztest predefrag "mark & 0x40000000 != 0x00000000 notrack"
 ```
 Удаление тестовой таблицы :
 ```
 nft delete table inet ztest
 ```
 ### FLOW OFFLOADING
 Если ваше устройство поддерживает аппаратное ускорение (flow offloading, hardware nat, hardware acceleration), то
 iptables могут не работать. При включенном offloading пакет не проходит по обычному пути netfilter. Необходимо или его
 отключить, или выборочно им управлять.
 В новых ядрах присутствует software flow offloading (SFO).
 Пакеты, проходящие через SFO, так же проходят мимо большей части механизмов iptables. При включенном SFO работает
 DNAT/REDIRECT (tpws). Эти соединения исключаются из offloading. Однако, остальные соединения идут через SFO, потому
 NFQUEUE будет срабатывать только до помещения соединения в flowtable. Практически это означает, что почти весь функционал nfqws работать не будет.
 Offload включается через специальный target в iptables `FLOWOFFLOAD`. Не обязательно пропускать весь трафик через offload. Можно исключить из
 offload соединения, которые должны попасть на tpws или nfqws. openwrt не предусматривает выборочного управления offload.
 Поэтому скрипты zapret поддерживают свою систему выборочного управления offload в openwrt.
 iptables target `FLOWOFFLOAD` - это проприетарное изобретение openwrt.
 Управление offload в nftables реализовано в базовом ядре linux без патчей.
 ## tpws
 tpws - это transparent proxy.
@ -1034,6 +1016,77 @@ tpws поддерживает эту возможность асинхронно
 Если задан параметр `--no-resolve`, то подключения по именам хостов запрещаются, а пул ресолверов не создается.
 Тем самым экономятся ресурсы.
 ### IPTABLES ДЛЯ TPWS
 Для перенаправления tcp соединения на transparent proxy используются команды следующего вида :
 ```
 iptables -t nat -I OUTPUT -o <внешний_интерфейс> -p tcp --dport 80 -m owner ! --uid-owner tpws -j DNAT --to 127.0.0.127:988
 iptables -t nat -I PREROUTING -i <внутренний_интерфейс> -p tcp --dport 80 -j DNAT --to 127.0.0.127:988
 ```
 Первая команда для соединений с самой системы, вторая - для проходящих через роутер соединений.
 DNAT на localhost работает в цепочке OUTPUT, но не работает в цепочке PREROUTING без включения параметра
 route_localnet :
 `sysctl -w net.ipv4.conf.<внутренний_интерфейс>.route_localnet=1`
 Можно использовать `-j REDIRECT --to-port 988` вместо DNAT, однако в этом случае процесс transparent proxy должен
 слушать на ip адресе входящего интерфейса или на всех адресах. Слушать на всех - не есть хорошо с точки зрения
 безопасности. Слушать на одном (локальном) можно, но в случае автоматизированного скрипта придется его узнавать, потом
 динамически вписывать в команду. В любом случае требуются дополнительные усилия. Использование route_localnet тоже имеет
 потенциальные проблемы с безопасностью. Вы делаете доступным все, что висит на `127.0.0.0/8` для локальной подсети <
 внутренний_интерфейс>. Службы обычно привязываются к `127.0.0.1`, поэтому можно средствами iptables запретить входящие
 на `127.0.0.1` не с интерфейса lo, либо повесить tpws на любой другой IP из из `127.0.0.0/8`, например на `127.0.0.127`,
 и разрешить входящие не с lo только на этот IP.
 ```
 iptables -A INPUT ! -i lo -d 127.0.0.127 -j ACCEPT
 iptables -A INPUT ! -i lo -d 127.0.0.0/8 -j DROP
 ```
 Фильтр по owner необходим для исключения рекурсивного перенаправления соединений от самого tpws. tpws запускается под
 пользователем `tpws`, для него задается исключающее правило.
 ip6tables работают почти точно так же, как и ipv4, но есть ряд важных нюансов. В DNAT следует брать адрес --to в
 квадратные скобки. Например :
 `ip6tables -t nat -I OUTPUT -o <внешний_интерфейс> -p tcp --dport 80 -m owner ! --uid-owner tpws -j DNAT --to [::1]:988`
 Параметра route_localnet не существует для ipv6. DNAT на localhost (::1) возможен только в цепочке OUTPUT. В цепочке
 PREROUTING DNAT возможен на любой global address или на link local address того же интерфейса, откуда пришел пакет.
 NFQUEUE работает без изменений.
 ### NFTABLES ДЛЯ TPWS
 Базовая конфигурация :
 ```
 IFACE_WAN=wan
 IFACE_LAN=br-lan
 sysctl -w net.ipv4.conf.$IFACE_LAN.route_localnet=1
 nft create table inet ztest
 nft create chain inet ztest localnet_protect
 nft add rule inet ztest localnet_protect ip daddr 127.0.0.127 return
 nft add rule inet ztest localnet_protect ip daddr 127.0.0.0/8 drop
 nft create chain inet ztest input "{type filter hook input priority filter - 1;}"
 nft add rule inet ztest input iif != "lo" jump localnet_protect
 nft create chain inet ztest dnat_output "{type nat hook output priority dstnat;}"
 nft add rule inet ztest dnat_output meta skuid != tpws oifname $IFACE_WAN tcp dport { 80, 443 } dnat ip to 127.0.0.127:988
 nft create chain inet ztest dnat_pre "{type nat hook prerouting priority dstnat;}"
 nft add rule inet ztest dnat_pre meta iifname $IFACE_LAN tcp dport { 80, 443 } dnat ip to 127.0.0.127:988
 ```
 Удаление таблицы :
 ```
 nft delete table inet ztest
 ```
 ## Способы получения списка заблокированных IP
@ -1115,17 +1168,17 @@ Cкрипты с названием `get_antifilter_*` оперируют спи
 в отдельный ipset `ipban`. Он может использоваться для принудительного завертывания всех
 соединений на прозрачный proxy `redsocks` или на VPN.
-IPV6 : если включен ipv6, то дополнительно создаются листы с таким же именем, но с "6" на конце перед расширением.
+**IPV6** : если включен ipv6, то дополнительно создаются листы с таким же именем, но с "6" на конце перед расширением.
 `zapret-ip.txt` => `zapret-ip6.txt`
 Создаются ipset-ы zapret6 и ipban6.
 Листы с antifilter не содержат список ipv6 адресов.
-СИСТЕМА ИСКЛЮЧЕНИЯ IP. Все скрипты ресолвят файл `zapret-hosts-user-exclude.txt`, создавая `zapret-ip-exclude.txt` и `zapret-ip-exclude6.txt`.
+**СИСТЕМА ИСКЛЮЧЕНИЯ IP**. Все скрипты ресолвят файл `zapret-hosts-user-exclude.txt`, создавая `zapret-ip-exclude.txt` и `zapret-ip-exclude6.txt`.
 Они загоняются в ipset-ы nozapret и nozapret6. Все правила, создаваемые init скриптами, создаются с учетом этих ipset.
 Помещенные в них IP не участвуют в процессе.
 `zapret-hosts-user-exclude.txt` может содержать домены, ipv4 и ipv6 адреса или подсети.
-FreeBSD. Скрипты ipset/*.sh работают так же на FreeBSD. Вместо ipset они создают lookup таблицы ipfw с аналогичными именами.
+**FreeBSD**. Скрипты ipset/*.sh работают так же на FreeBSD. Вместо ipset они создают lookup таблицы ipfw с аналогичными именами.
 ipfw таблицы в отличие от ipset могут содержать как ipv4, так и ipv6 адреса и подсети в одной таблице, поэтому разделения нет.
 Параметр конфига LISTS_RELOAD задает произвольную команду для перезагрузки листов.
@ -1982,10 +2035,10 @@ zapret_custom_firewall_nft поднимает правила nftables.
 tpws будет работать в любом случае, он не требует чего-либо особенного.
 Хотя linux варианты под Android работают, рекомендуется использовать специально собранные под bionic бинарники.
-У них не будет проблем с DNS, с локальным временем и именами юзеров и групп.
+У них не будет проблем с DNS, с локальным временем и именами юзеров и групп.\
 Рекомендую использовать gid 3003 (AID_INET). Иначе можете получить permission denied на создание сокета.
 Например: `--uid 1:3003`\
-В iptables укажите: "! --uid-owner 1" вместо "! --uid-owner tpws".\
+В iptables укажите: `! --uid-owner 1` вместо `! --uid-owner tpws`.\
 Напишите шелл скрипт с iptables и tpws, запускайте его средствами вашего рут менеджера.
 Скрипты автозапуска лежат тут:\
 magisk : /data/adb/service.d\