Перейти к содержимому


Фотография
- - - - -

Обход блокировок сайтов Ростелекома одной командой (linux и устройства на базе него)


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 84

#61 Spinoza

Spinoza

    Двигайся - Segway13.ru

  • Небожитель
  • PipPipPipPipPipPipPipPipPip
  • 26 869 сообщений

Отправлено 29.06.2018, 11:04

Не все устройства на винде, с нею и для хрома есть решение. Интересен универсальный вариант

#62 PavelRM

PavelRM

    Небожитель

  • Небожитель
  • PipPipPipPipPip
  • 9 062 сообщений

Отправлено 29.06.2018, 11:06

Для более простого варианта хватает fastproxy в качестве дополнения к браузеру. Бесплатно, без участия пользователя.

У меня на одном компьютере ReQrypt + GoodbyeDPI, на остальных просто плагин к браузеру. Для сёрфинга вообще никакой разницы.

Основной смысл:  это настроить этот обход на роутере, чтоб весь этот софт снести со всех устройств сети.


Какую бы глупость не придумала голова, что бы не сказал злой язык, что бы не сделали кривые руки, куда бы не принесли бешеные ноги, за все достается жoпe.
© bash.org.ru


#63 Spinoza

Spinoza

    Двигайся - Segway13.ru

  • Небожитель
  • PipPipPipPipPipPipPipPipPip
  • 26 869 сообщений

Отправлено 29.06.2018, 11:08

Ага. И да чайников. Роутеры подходящие вроде есть, подсказывайте :)

#64 Kaesar

Kaesar

    Небожитель

  • Небожитель
  • PipPipPipPipPip
  • 8 131 сообщений

Отправлено 29.06.2018, 11:34

Goodbyedpi?

 

Один чел кстати сделал интерфейс для нее, очень удобно, можно найти по "Launcher for GoodbyeDPI"



#65 Spinoza

Spinoza

    Двигайся - Segway13.ru

  • Небожитель
  • PipPipPipPipPipPipPipPipPip
  • 26 869 сообщений

Отправлено 29.06.2018, 11:54

Не интересна она мне. На винде все обходится легко при помощи расширения в браузере, интересна реализация на уровне роутера :)



#66 Peter

Peter

    -

  • Почетный житель
  • PipPipPipPip
  • 2 112 сообщений

Отправлено 29.06.2018, 13:06

расширения в браузере

Принцип иной - никаких прокси и VPN, т.е. пинг в порядке, айпи российский и т.п.

 

интересна реализация на уровне роутера smile.png

Как я уже говорил, не проблема нарисовать правила iptables, надо только посмотреть дамп трафика с заходом на какой-то заблокированный сайт по http и по https.

Для каждого провайдера будет свое правило.


Сообщение отредактировал Peter: 29.06.2018, 13:06

Родители так хотели, чтобы из сына вышел толк. Толк вышел. Бестолочь осталась...
peter23.com

#67 Spinoza

Spinoza

    Двигайся - Segway13.ru

  • Небожитель
  • PipPipPipPipPipPipPipPipPip
  • 26 869 сообщений

Отправлено 29.06.2018, 13:25

Готов продолжить общение в личке, предоставить всю имеющуюся информацию.



#68 Михaил

Михaил

    Enlightened

  • Небожитель
  • PipPipPipPipPipPip
  • 11 282 сообщений

Отправлено 29.06.2018, 17:08

Не все устройства на винде, с нею и для хрома есть решение. Интересен универсальный вариант

Основной смысл:  это настроить этот обход на роутере, чтоб весь этот софт снести со всех устройств сети.

Есть ли в этом смысл? Мне раньше тоже интересно было сделать обход в роутере (потом поменял железку и забил). За последние 2-3 года я вспоминаю только 1 случай, когда мне бы это пригодилось -  с мобильника на популярный трекер не зашёл (внезапно захотел книжку почитать перед сном). Вот тогда мне выдало окно о блокировке ресурса, а больше вообще не помню чтобы беспокоил этот вопрос.


Мир, дружба, встречный иск.

 

 


#69 PavelRM

PavelRM

    Небожитель

  • Небожитель
  • PipPipPipPipPip
  • 9 062 сообщений

Отправлено 29.06.2018, 20:44

Если GoodbyeDPI не сработал (дома Контакт ТВ) смысла нет дальше ковыряться?
Посмотрел в своём роутере, есть там iptables

Какую бы глупость не придумала голова, что бы не сказал злой язык, что бы не сделали кривые руки, куда бы не принесли бешеные ноги, за все достается жoпe.
© bash.org.ru


#70 Danis

Danis

    Житель

  • Житель
  • 234 сообщений

Отправлено 29.06.2018, 22:45

Если GoodbyeDPI не сработал (дома Контакт ТВ) смысла нет дальше ковыряться?
Посмотрел в своём роутере, есть там iptables

Есть ) Поднимай тор на роутере (LEDE Openwrt) и весь трафик по IPSet, по нужным доменным именам или айпишникам, загоняй туда. Правда 32 метра памяти маловато может быть.



#71 PavelRM

PavelRM

    Небожитель

  • Небожитель
  • PipPipPipPipPip
  • 9 062 сообщений

Отправлено 29.06.2018, 22:50

Я правильно понимаю, ответ от сайта не долетает?

 

cNnw9vX.png


Какую бы глупость не придумала голова, что бы не сказал злой язык, что бы не сделали кривые руки, куда бы не принесли бешеные ноги, за все достается жoпe.
© bash.org.ru


#72 Peter

Peter

    -

  • Почетный житель
  • PipPipPipPip
  • 2 112 сообщений

Отправлено 29.06.2018, 22:55

Контакт ТВ

 

В 2016 все работало, после не знаю. Но сильно сомневаюсь, что поменяли систему.

Возможно фильтры, используемые GoodbyeDPI, не подходят, в моих правилах хоть и тот же принцип, но фильтр по иным критериям, т.к. не стояла задача сделать универсальное решение.

В общем дампы трафика наше все. Не стесняйтесь, выкладывайте, под Windows можно снимать при помощи Wireshark. Заранее отфильтруйте по ip, чтобы ничего лишнего в дампе.


ответ от сайта не долетает?

 

Странно, на первый взгляд не видно чистого ответа. Вот этот редирект как раз приходит от DPI. Но должен быть также реальный ответ от сайта, он будет отброшен системой как ретрансмит, т.к. ответ от DPI всегда приходит быстрее. Принцип как раз в том, чтобы заблокировать ответ от DPI и получать чистый ответ от сайта.


Родители так хотели, чтобы из сына вышел толк. Толк вышел. Бестолочь осталась...
peter23.com

#73 PavelRM

PavelRM

    Небожитель

  • Небожитель
  • PipPipPipPipPip
  • 9 062 сообщений

Отправлено 29.06.2018, 22:59

Попробовать этот ответ от DPI заблочить и проверить?
Подкинь, пожалуйста, правило, а то я iptabels вообще не знаю ((

Так?

iptables -A FORWARD -p tcp --sport 80 -m string --algo bm --string "http://zapret.contact-tv.ru" -j DROP

Сообщение отредактировал PavelRM: 29.06.2018, 23:15

Какую бы глупость не придумала голова, что бы не сказал злой язык, что бы не сделали кривые руки, куда бы не принесли бешеные ноги, за все достается жoпe.
© bash.org.ru


#74 Peter

Peter

    -

  • Почетный житель
  • PipPipPipPip
  • 2 112 сообщений

Отправлено 29.06.2018, 23:45

Подкинь, пожалуйста, правило, а то я iptabels вообще не знаю ((

 

По трафику вижу, что старое правило должно быть по-прежнему актуально. Т.е.

iptables -t mangle -I PREROUTING -p tcp -m tcp --sport 80 -m u32 --u32 "0x59=0x7a617072&&0x5d=0x65742e63&&0x61=0x6f6e7461&&0x65=0x63742d74" -j DROP

u32 предпочтительнее, т.к. он быстрее плюс модуля string на роутере весьма вероятно не будет.

 

У себя в записях нахожу, что я и https спокойно посещал при помощи

iptables -t mangle -I PREROUTING -p tcp -m tcp --sport 443 -m u32 --u32 "0x0=0x45000028&&0x20=0x5004016d" -j DROP

Наверное тоже по-прежнему актуально.

 

Это все для Контакт-ТВ, я именно им пользовался до отъезда.

 

Кстати, не могу вспомнить почему я использовал именно -t mangle. Вероятно лишь потому, что в таком виде оно сработает раньше всего, соответственно отброшенный пакет создаст минимум работы для системы.


Сообщение отредактировал Peter: 29.06.2018, 23:46

Родители так хотели, чтобы из сына вышел толк. Толк вышел. Бестолочь осталась...
peter23.com

#75 PavelRM

PavelRM

    Небожитель

  • Небожитель
  • PipPipPipPipPip
  • 9 062 сообщений

Отправлено 01.07.2018, 19:04

iptables v1.3.7: Couldn't find match `u32'
iptables v1.3.7: Couldn't find match `string'

cry.gif


Какую бы глупость не придумала голова, что бы не сказал злой язык, что бы не сделали кривые руки, куда бы не принесли бешеные ноги, за все достается жoпe.
© bash.org.ru


#76 Danis

Danis

    Житель

  • Житель
  • 234 сообщений

Отправлено 07.07.2018, 14:28

А эти установлены?
iptables-mod-u32 - 1.4.21-3 - U32 iptables extensions.  Matches: - u32
kmod-ipt-u32 - 4.4.92-1 - Kernel modules for U32


#77 21124

21124

    Новосел

  • Житель
  • 62 сообщений

Отправлено 13.07.2018, 19:49

чё то не работает вот это вводил:

 

iptables -t mangle -I PREROUTING -p tcp -m tcp --sport 80 -m u32 --u32 "0x59=0x7a617072&&0x5d=0x65742e63&&0x61=0x6f6e7461&&0x65=0x63742d74" -j DROP
iptables -t mangle -I PREROUTING -p tcp -m tcp --sport 443 -m u32 --u32 "0x0=0x45000028&&0x20=0x5004016d" -j DROP

 

подскажите как этих тупых тварей обойти без прокси и VPN. что это за цифры такие шестнадцатиричные? что они обозначают конкретно?


и возможно ли как то добавить в таблицу роутинга что бы к примеру трафик для торрента шёл напрямую (что бы не нагружать сильно сервак с которым VPN - кремлёвские сучки его вроде не банят пока) а остальное через к примеру 192.168.5.32 (в VPN). Система: Linux.



#78 DivineShadow

DivineShadow

    I worship his divine shadow

  • Почетный житель
  • 1 153 сообщений

Отправлено 13.07.2018, 20:58

А тебе зачем?


За СпН...

#79 Peter

Peter

    -

  • Почетный житель
  • PipPipPipPip
  • 2 112 сообщений

Отправлено 13.07.2018, 23:42

чё то не работает вот это вводил:

Эти правила конкретно для Контакт-ТВ.
Наверняка остальные провайдеры используют аналогичную схему, просто будут несколько иные правила. Нужно смотреть дампы трафика.

что это за цифры такие шестнадцатиричные? что они обозначают конкретно?

"7a" - код символа "z", "61" - "a" и т.д. 7a617072 65742e63 6f6e7461 63742d74 это "zapret.contact-t"
0x59 - это смещение в IP-пакете, по которому вышеуказанные байты располагаются.

Во втором случае (45000028 по смещению 0 и 5004016d по смещению 20) анализируются заголовки пакета. А конкретно:
"45" в двоичном виде это 01000101, первые 4 бита (0100) это версия протокола (4), а следующие 4 бита (0101) - размер заголовка, выраженный количеством 4байтовых блоков (5 = 20 байт).
"00" - DSC и ECN
"0028" - общий размер пакета (40 байт)
Далее по смещению 20 мы уже смотрим заголовки TCP.
"5004" в двоичном виде это 0101 0000 0000 0100. Тут 4 бита (0101) это размер заголовка TCP, опять же выраженный количеством 4байтовых блоков (5 = 20 байт), остальные биты - флаги TCP, стоит только флаг Reset, что означает жесткий разрыв соединения без разбирательств.
"016d" - размер TCP-окна, в десятичном виде - 365
В данном случае по совокупности признаков получается достаточно специфичный пакет, не встречающийся в реальной жизни - размер 40 байт с флагом RST и размером окна 365 байт.

При этом нормальный трафик в любом случае ходит в обе стороны, т.е. реальной блокировки трафика нет, есть лишь параллельно включенный DPI, который подсовывает редирект/обрыв, когда видит запрос запрещенного сайта. Блокировка срабатывает лишь потому, что пакеты от DPI приходят абоненту быстрее. Отбрасывая эти вредоносные пакеты, мы предотвращаем их обработку нашей системой, т.е. предотвращаем редирект на заглушку (в 1м случае, http) или разрыв соединения (во 2м случае, https), т.е. получаем нормальный чистый доступ в сеть.

и возможно ли как то добавить в таблицу роутинга что бы к примеру трафик для торрента шёл напрямую ... а остальное через к примеру 192.168.5.32

Ну по destination торрент точно не определить. Проще всего пожалуй повесить торрент на отдельный IP и роутить по source. Гуглить "linux source routing". Если слишком много непонятных слов, тогда ответ - "никак" smile.png
Родители так хотели, чтобы из сына вышел толк. Толк вышел. Бестолочь осталась...
peter23.com

#80 21124

21124

    Новосел

  • Житель
  • 62 сообщений

Отправлено 14.07.2018, 00:41

спасибо за пояснения. будем разбираться с tcpdump'ом. а как понять "повесить торрент на отдельный IP"? Т.е. например есть от ростелекома IP и интерфейс tun0 192.168.5.83. Смысл в том что бы можно было указать программе отправлять весь траффик через интерфейс tun0 или ppp0 соответственно. Получается создать таблицу роутинга не глобальную а свою для конкретной программы. Это вообще делается как то стандартной командой route или как?






Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 скрытых пользователей