FYI

ValdikSS 26 декабря 2018 писал
В конце января ожидается версия программы для Linux/macOS.

Кстати, какой провайдер?

DPI

Я живу в Узбекистане провайдер Uztelecom это главный провайдер внешнего канала они блокируют всех и операторов сотовой связи и отдельных мелких провайдеров. И по новостным каналам говорят что они не виноваты google Facebook и YouTube недоступны из-за смены криптографического ключа, который служит защитой для системы доменных имен (DNS) https://upl.uz/obshestvo/9491-news.html

Методы обхода DPI хорошо показывает blockcheck. Полным аналогом GoodByeDPI на linux является zapret от bolvan. Я в свое время даже смог заставить его работать на arm архитектуре. Для быстрой фрагментации пакетов нужна поддержка NFQUEUE в ядре.

Вам нужно почитать про типы DPI, т.к. фрагментация пакетов не поможет при фильтрации HTTPS - там либо пассивный DPI, который обходится отсевом заглушек (привет РТК), либо просто бан по IP. Про DPI c HTTPS SNI пока ничего сказать не могу - нет данных ещё.

Результат программы blockcheck выдает мне: Ваш провайдер полностью блокирует доступ к HTTPS- сайтам из реестра. А программу под Windows GoodByeDPI я запустил с ключем -e 40 а это значит на сколько я понял фрагментация HTTPS (set HTTPS fragmentation to value) и сайты заблокированные начали открываться

Насчет аналога в linux zapret от bolvan я не смог запустить её на openwrt, Если у кого нибудь есть подробная инструкция для новичков по запуску на openwrt или же на Debian 9 фрагментация HTTPS можете ли поделиться?

Покажите полный выхлоп blockcheck. Я выше оставлял инструкцию для установки на кинетики - на openwrt ставится аналогично. Расскажите подробней как ставили и что не получилось.

Проверка работоспособности IPv6: IPv6 недоступен. [O] Тестируем IPv4 DNS Через системный DNS: ['104.20.134.45', '104.20.135.45', '104.24.10.70', '104.24.11.70', '184.173.136.161', '195.8.215.136', '195.82.146.214', '5.178.68.100'] Через Google DNS: ['104.20.134.45', '104.20.135.45', '104.24.10.70', '104.24.11.70', '184.173.136.161', '195.8.215.136', '195.82.146.214', '5.178.68.100'] Через Google API: ['104.20.134.45', '104.20.135.45', '104.24.10.70', '104.24.11.70', '184.173.136.161', '195.8.215.136', '195.82.146.214', '5.178.68.100'] Несуществующий DNS не вернул адресов (это не ошибка) [✓] DNS-записи не подменяются [✓] DNS не перенаправляется

[O] Тестируем HTTP Открываем http://pbooru.com/ [✓] Сайт открывается Открываем http://furry.booru.org/index.php?page=post&s=view&id=111173 [✓] Сайт открывается Открываем http://rutracker.org/forum/index.php [✓] Сайт открывается Открываем http://pbooru.com/index.php?page=post&s=view&id=303026 [✓] Сайт открывается Открываем http://a.putinhuylo.com/ [✓] Сайт открывается Открываем http://furry.booru.org/ [✓] Сайт открывается

[O] Тестируем HTTPS Открываем https://lolibooru.moe/ [✓] Сайт открывается Открываем https://e621.net/ [✓] Сайт открывается Открываем https://rutracker.org/forum/index.php [☠] Сайт не открывается Открываем https://www.dailymotion.com/ [☠] Сайт не открывается

[!] Результат: [⚠] Ваш провайдер полностью блокирует доступ к HTTPS-сайтам из реестра.

на счет openwrt не помню что я сделал не так я сегодня вечером по вашей ссылки попробую на openwrt запустить если не получиться отпишусь.

Есть подозрения что фильтрация HTTPS сделана также криво как и у РТК, т.е. обходится одним правилом iptables для отсева заглушек. Но в любом случае для openwrt попробуйте сначала по инструкции выше поставить, конкретные настройки для вашего случая я вам подскажу. Только убедитесь сначала что NFQUEUE поддерживается ядром:

~ # cat /proc/net/ip_tables_targets | grep NFQUEUE
NFQUEUE
NFQUEUE
NFQUEUE

Вспомнил почему у меня не получилось памяти не хватило на роутере я на роутер устанавливал Midnight Comander может из за него и забросил а отельного USB порта на роутере нет, да и прошивки для моего роутера не было, прошивку подобрал по производителю чипа broadcom от другого производителя. Но суть не в этом.

Попробую что выйдет. Спасибо вам за помощь.

не смог завести на openwrt памяти мало. Будем ждать от vladikss GDPI на Linux.

Так ни linux проще чем на openwrt antizapret заводится. На роутере просто удобней - на клиентов ничего ставить не надо.

пробовал antizapret у меня не работает в частности youtube, пробовал proxy автонастройку https://antizapret.prostovpn.org/proxy.pac результат 0 не знаю как реализовал vladikss GDPI. При запуске программы с ключем goodbyedpi.exe -e 40 (set HTTPS fragmentation) все заблокированные сайты начинают работать. Поэтому открыл эту тему можно ли как нибудь в линуксе реализовать как у vldikss HTTPS fragmentation может бы потом можно былобы перенести и в openwrt. И еще вопрос а программа от bol-van точно ли полный аналог? По описанию она не умеет работать с HTTPS.

Я про программу от bolvan, а не про https://antizapret.prostovpn.org/proxy.pac . У меня работает и HTTP и HTTPS. Функционально обе программы равнозначны что от valdikss что от bolvan.

shadowsocks не помогает ?

протестировал shadowsocks помог но как то не охота гонять весь трафик через proxy, а отдельно нужные сайты гонять через прокси пока способностей не хватит.

А есть ли где нибудь пошаговая инструкция для программы zapret? Или у меня кривые руки или что то я недопонимаю. Завести на lmde3 я не смог.

Ну там есть такая настройка. Mode->PAC, PAC -> Local PAC, Edit Local PAC ( заносишь нужные сайты )

Пошаговая инструкция для ubuntu (systemd)

sudo apt install libnetfilter-queue-dev ipset curl lsb-core
curl -L https://github.com/bol-van/zapret/archive/master.zip -o zapret.zip
unzip ./zapret.zip -d /opt
mv /opt/zapret-master /opt/zapret
cd /opt/zapret/nfq
make
cd ./../tpws
make

В файл /opt/zapret/ipset/zapret-hosts-user.txt заносим перечень сайтов для которых нужно обойти блокировку.

/opt/zapret/ipset/get_user.sh
sudo cp /opt/zapret/init.d/debian7/zapret /etc/init.d/zapret

echo "Adding iptables rule"
	case "${ISP}" in
	    mns)

echo "Deleting iptables rule"
	case "${ISP}" in
	    mns|rt)

Регистрируем юнит в systemd:

sudo /usr/lib/lsb/install_initd zapret

sudo sytemctl start zapret

sudo sytemctl start zapret

sudo systemctl start zapret конечно.

Почти неделю вожусь не получается, перепробовал все дистрибутивы. Хотел разобратся сам но не смог

Сейчас на виртуалке запустил Xubuntu 16.04 x64

не регистрирует юнит в systemd

update-rc.d: warning: start and stop actions are no longer supported; falling back to defaults insserv: script zapret is not an executable regular file, skipped!

chmod +x /etc/init.d/zapret ?

На самом деле, это пздц. Вместо того чтобы нахрен убирать блокировку какую-то херь придумывают.

Mike_RM огромное спасибо вам за помощь после моего недельного мучения все заработало, про атрибуты даже не додумался =).

еще какой пздц. я провайдера нашего уже неделю такими словами благодарю даже и не представляете особенно после нескольких ночей без сна когда не получалось заставить работать да еще без каких либо знаний в линуксе.

Можно Ваш телеграм аккаунт? хотел кое что спросить, на крайняк ВК)

если упомянули IPv6 - можно попробовать туннели до какого-нибудь hurricane electric (в некоторых дистрибутивах даже пакет есть - miredo). поднимается туннель и через него идёт весь траффик. если ваш провайдер достаточно туп (а это так, судя по цитате про ключи DNS), то может прокатить. правда, будет не очень быстро.

удалили аккаунт валдика с гитхаба, всё

Может он сам снёс? (cast ValdikSS)

Его репы есть тут (наверное, может быть не самое последнее состояние).

Ну всё, повесил шпагу д'Артаньян😞 Надеюсь у него всё хорошо. За архивы гитхаба отдельное спасибо - забрал себе blockcheck.

Скрыли, по какой-то причине. Не удалили.

Скрыли, по какой-то причине. Не удалили.

Видимо из-за жалобы РКН’а? В саппорт не обращался?

У них же для их обработки был другой механизм (скрывает только для какой-то страны).

Скорее дело в этом
https://webcache.googleusercontent.com/search?q=cache:7g7c1BrclpsJ:https://gi...

Более того, они раньше отчитывались вот здесь:

https://github.com/github/gov-takedowns

В любом случае, ValdikSS держи в курсе событий, интересно в чём причина скрытия репозиториев из всех зон, а не только RU.

Christchurch shooting. Разблокировали.

Спасибо. Бан видимо автоматом прилетел, а не от человека.