Перейти к содержимому


Ads
Фотография
- - - - -

Обход блокировок сайтов Ростелекома одной командой (linux и устройства на базе него)


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 84

#1 Peter

Peter

    -

  • Почетный житель
  • PipPipPipPip
  • 2 025 сообщений

Отправлено 04.02.2015, 23:33

Собственно вот она:
iptables -I INPUT -p tcp --sport 80 -m u32 --u32 "0x60=0x39352e31&&0x64=0x36372e31&&0x68=0x332e3530" -j DROP
Можно и на роутере применить, как-то так:
iptables -t mangle -I PREROUTING -p tcp --sport 80 -m u32 --u32 "0x60=0x39352e31&&0x64=0x36372e31&&0x68=0x332e3530" -j DROP
Смысл в том, что цензурный агрегат у них включен параллельно, т.е. он получает копию трафика пользователей для анализа, но весь трафик продолжает ходить обычным образом. При этом нормальный ответ от сайта также приходит пользователю, но цензурный редирект приходит раньше. Данное правило блокирует пакеты с редиректом на сообщение о цензуре, но нормальные пакеты остаются как есть, т.е. сайты становятся доступны обычным образом.
Конкретно в правиле проверяется наличие в определенном месте пакета байт, складывающихся в строку "95.167.13.50".

Началось все с того, что родились пара способов обхода блокировки при помощи прокси: http://habrahabr.ru/post/249433/ , а в комментах (как это часто бывает на хабре) предложили более хорошее решение.
Интересно, есть ли варианты под windows?
Родители так хотели, чтобы из сына вышел толк. Толк вышел. Бестолочь осталась...
peter23.com

#2 SeVeR

SeVeR

    Аксакал

  • Почетный житель
  • PipPipPipPip
  • 1 930 сообщений

Отправлено 04.02.2015, 23:43

Благодарю за интересную ссылку. 



#3 Script

Script

    ООО "Сириус-сервис" https://vk.com/sirius113

  • Почетный житель
  • 4 470 сообщений

Отправлено 04.02.2015, 23:51

Думаю по идеи wipfw может принять подобную команду...


Сообщение отредактировал Script: 04.02.2015, 23:52

Ремонт комп. техники, поставка, монтаж ЛВС, видеонаблюдение, системное администрирование win\linux, 1С. СИРИУС.https://vk.com/sirius113

#4 Peter

Peter

    -

  • Почетный житель
  • PipPipPipPip
  • 2 025 сообщений

Отправлено 04.02.2015, 23:56

Думаю по идеи wipfw может принять подобную команду...

Сильно сомневаюсь, в их доках ничего такого не нашел.
Да и в самой *BSD это как-то сложно делается ( https://forums.freeb...-with-pf.13837/ ).

Впрочем wipfw - это opensource, наверняка подобную фильтрацию можно дописать весьма легко.
Ведь фильтрация по ip или порту это тот же самый анализ определенных байтов пакета.
Родители так хотели, чтобы из сына вышел толк. Толк вышел. Бестолочь осталась...
peter23.com

#5 Script

Script

    ООО "Сириус-сервис" https://vk.com/sirius113

  • Почетный житель
  • 4 470 сообщений

Отправлено 05.02.2015, 00:03

Ну да собственно даже решение по прикрутке анализа пакетов есть - http://citrin.ru/fre...:ng_ipfw_ng_bpf Осталось все скомпилировать :)


Ремонт комп. техники, поставка, монтаж ЛВС, видеонаблюдение, системное администрирование win\linux, 1С. СИРИУС.https://vk.com/sirius113

#6 Peter

Peter

    -

  • Почетный житель
  • PipPipPipPip
  • 2 025 сообщений

Отправлено 05.02.2015, 00:06

Ну да собственно даже решение по прикрутке анализа пакетов есть - http://citrin.ru/fre...:ng_ipfw_ng_bpf Осталось все скомпилировать smile.png

Если речь о том, чтобы запустить это в Windows, то однозначно нужно портировать (по сути переписывать), просто скомпилировать конечно же не удастся.
Тот же wipfw с оригинальным ipfw кроме синтаксиса команд мало чего общего имеет.
Родители так хотели, чтобы из сына вышел толк. Толк вышел. Бестолочь осталась...
peter23.com

#7 Script

Script

    ООО "Сириус-сервис" https://vk.com/sirius113

  • Почетный житель
  • 4 470 сообщений

Отправлено 05.02.2015, 00:09

Да, тоже почитал подробнее. Это не отдельная библиотека и без фряшного netgraph не скомилить...

Еще порылся и... действительно не нашел под винду файрвола с контролем по содержимому пакета...


Сообщение отредактировал Script: 05.02.2015, 00:30

Ремонт комп. техники, поставка, монтаж ЛВС, видеонаблюдение, системное администрирование win\linux, 1С. СИРИУС.https://vk.com/sirius113

#8 BaRoN

BaRoN

    Ламо

  • Почетный житель
  • PipPipPipPip
  • 2 032 сообщений

Отправлено 05.02.2015, 00:58

Еще порылся и... действительно не нашел под винду файрвола с контролем по содержимому пакета...

В WFP нету, если надо реализовать - думается, надо писать свой драйвер IPV4.

Впрочем, смысла в этом немного (хотя блокирование этого пакета с редиректом - это отсутствие всяких потерь в скорости, что очень круто), учитывая специфику DPI от Ростелекома, как по мне - это самый лучший DPI среди всех провайдеров. Пропускает любые DNS-запросы, не заруливая их на свой сервер. Фильтрацию осуществляет по URL, а не по IP. Причём фильтрация работает лишь при совпадении IP и порта. Перефразирую: если хочется купить спайса, можно просто задействовать прокси. Чтобы не включать его самостоятельно, можно задействовать Frigate или ещё чего (но лично я ростелекомовских блокировок с полгода не видел, никаких прокси не использую biggrin.png).

Вот где DPI лютует - так это в каком-нибудь мегафоне.

https://msdn.microso...6(v=vs.85).aspx).aspx про WFP из MSDN

Сообщение отредактировал BaRoN: 05.02.2015, 00:58

Искренне свой, Я! =)
[Старый блог] [ Место работы ] [ Jabber: ruslanbalkin@gmail.com ] [ Telegram ] [baron.su] [ Twitter ].
Могу помочь обналичить Вебмани в Саранске, от 30000 р., стучаться в жабер или в твиттер.


#9 SeVeR

SeVeR

    Аксакал

  • Почетный житель
  • PipPipPipPip
  • 1 930 сообщений

Отправлено 05.02.2015, 01:31

"Иногда HTTPS-сайт из реестра блокируется только по HTTP (соответственно по URL, а не по IP) и спокойно доступен по HTTPS."

Некоторые наработки (с винды).

 

http://www.lostfilm....wse.php?cat=189

 

https://www.lostfilm...wse.php?cat=189

 

+ Гугловские DNS или альтернативные РТ. Иначе по ссылкам страница вообще недоступна.


Блочат по IP и URL.


Сообщение отредактировал SeVeR: 05.02.2015, 01:48


#10 lysart

lysart

    Ёгало

  • Почетный житель
  • PipPipPipPip
  • 1 691 сообщений

Отправлено 05.02.2015, 08:27


Вот где DPI лютует - так это в каком-нибудь мегафоне.
 

 

Но он и лечится там проще всего. Достаточно обратиться в техподдержку с вопросом, на основании чего блокируют. Отвечают быстро, включают ВСЕ - еще быстрее.


ndl, типа...


#11 FleX

FleX

    Бородатый

  • Небожитель
  • PipPipPipPipPip
  • 7 527 сообщений

Отправлено 05.02.2015, 08:53

Объясните что это такое:

0x60=0x39352e31&&0x64=0x36372e31&&0x68=0x332e3530


Делаем модные НАТЯЖНЫЕ ПОТОЛКИ В САРАНСКЕ! Низкие цены! Свое производство! Работаем по договору!

proffdecor.com  Мы вконтакте   8 (927) 972-44-99

 


#12 Sten (aka Подрывник)

Sten (aka Подрывник)

    Вредный Котяра любящий Юлию Ивановну

  • Небожитель
  • PipPipPipPipPip
  • 6 097 сообщений

Отправлено 05.02.2015, 09:09

гм странно, точно помню что брат менял dns на гугловые и все запахало


Продам игру Sleeping dogs цена 100рэ, лицензия для Steam-a


#13 Script

Script

    ООО "Сириус-сервис" https://vk.com/sirius113

  • Почетный житель
  • 4 470 сообщений

Отправлено 05.02.2015, 10:13

Объясните что это такое:

0x60=0x39352e31&&0x64=0x36372e31&&0x68=0x332e3530

А вроде ж написно:

Конкретно в правиле проверяется наличие в определенном месте пакета байт, складывающихся в строку "95.167.13.50".


Ремонт комп. техники, поставка, монтаж ЛВС, видеонаблюдение, системное администрирование win\linux, 1С. СИРИУС.https://vk.com/sirius113

#14 SeVeR

SeVeR

    Аксакал

  • Почетный житель
  • PipPipPipPip
  • 1 930 сообщений

Отправлено 05.02.2015, 20:31

 

Объясните что это такое:

0x60=0x39352e31&&0x64=0x36372e31&&0x68=0x332e3530

А вроде ж написно:

Конкретно в правиле проверяется наличие в определенном месте пакета байт, складывающихся в строку "95.167.13.50".

 

Проще - генерируется http://95.167.13.50



#15 Peter

Peter

    -

  • Почетный житель
  • PipPipPipPip
  • 2 025 сообщений

Отправлено 05.02.2015, 20:32

Объясните что это такое:
0x60=0x39352e31&&0x64=0x36372e31&&0x68=0x332e3530

А вроде ж написно:
Конкретно в правиле проверяется наличие в определенном месте пакета байт, складывающихся в строку "95.167.13.50".

Проще - генерируется http://95.167.13.50

"http://" - нет
Да и не генерируется ничего.
Родители так хотели, чтобы из сына вышел толк. Толк вышел. Бестолочь осталась...
peter23.com

#16 Dr. GonZZZo

Dr. GonZZZo

    Гигант мысли

  • Почетный житель
  • 829 сообщений

Отправлено 05.02.2015, 20:48

Вспоминается, как раньше хорошо без этого на ТТК сиделось, никаких блокировок. Считаю это единственным минусом ростелекомовского интернета. FriGate рулит конечно, но там многое в свою базу надо ручками вносить.



#17 SeVeR

SeVeR

    Аксакал

  • Почетный житель
  • PipPipPipPip
  • 1 930 сообщений

Отправлено 05.02.2015, 21:10

 

 

 

Объясните что это такое:
0x60=0x39352e31&&0x64=0x36372e31&&0x68=0x332e3530

А вроде ж написно:
Конкретно в правиле проверяется наличие в определенном месте пакета байт, складывающихся в строку "95.167.13.50".

 

Проще - генерируется http://95.167.13.50

 

"http://" - нет
Да и не генерируется ничего.

 

Ну да, а просто генерируется то что видят тысячи и выкидывает на адрес "приветствия" со своим IP.


Сообщение отредактировал SeVeR: 05.02.2015, 21:11


#18 super

super

    Зевс

  • Небожитель
  • PipPipPipPipPip
  • 5 583 сообщений

Отправлено 05.02.2015, 21:12

опера турбо



#19 SeVeR

SeVeR

    Аксакал

  • Почетный житель
  • PipPipPipPip
  • 1 930 сообщений

Отправлено 05.02.2015, 21:14

Петер, у тебя просто фобия, сразу начинать генерировать правильные толкования. Ты крутой сетевик, никто не спорит, но порой контекст дочитывай.


опера турбо

? Всё открывает?



#20 super

super

    Зевс

  • Небожитель
  • PipPipPipPipPip
  • 5 583 сообщений

Отправлено 05.02.2015, 21:16

ага






Количество пользователей, читающих эту тему: 4

0 пользователей, 4 гостей, 0 скрытых пользователей