Жадный провайдер или как обойти платный NAT

Кстати, вариант. Тогда так:

iptables -t mangle -A POSTROUTING -j TTL --ttl-inc 1

Правда, трейсроут с клиентских устройств немного поломается: сам маршрутизатор видно не будт

Если прокси не прозрачный - то для HTTP трафика DPI вполне это определит, оно какой-то хедер добавляет

Где нищий провайдер считающий копейки от продажи возможности пользоваться NAT возьмет денег на DPI? И да, проксю можно заставить прикидывается браузером. А прозрачные прокси это грязный хак, чтобы о них не знали клиенты.

Элементарно. Просто блочить доступ к интернету при выявлении маршрутизатора или NAT'а (выше по треду указаны возможные маркеры).

Да, такое быдлопровайдеры делают.

Где нищий провайдер считающий копейки от продажи возможности пользоваться NAT возьмет денег на DPI?

DPI — это не обязательно спец.железка, это запросто могут быть обычные правила в iptables/ipfw.

Вот по этому и говорю - жаловаться и валить. А что если этот местечковый интернет-царь захочет деньги брать за торренты, игрушки и UDP-траффик, и за скайп, и за pop3/smtp, и за возможность icmp рассылать?

1. Провайдер может быть монополистом. В здании, в микрорайоне. ТС указал, что менять провайдер для него не вариант.

2. Пока будут идти разборки, предлагаешь сидеть за тупым прокси и страдать? А если волокита будет месяцами идти? Или вообще без инета сидеть?

DPI — это не обязательно спец.железка, это запросто могут быть обычные правила в iptables/ipfw.

Ну выполнятся то это дело будет на железке. Кстати, не спора ради - много мощностей надо, чтобы рубить скажем по useragent, скажем на 10Гб/с канале? Насколько я знаю iptables из коропки заглядывать в пакеты не умеет. Надо модуль свой писать, надежный. Мне по этой теме очень интересно в связи со спорами о блокировках. Почему провайдеры не могут заворачивать IP из черного списка на отдельный узел и там уже делать ему DPI по запросам именно к запрещенным страницам? Зачем все кричат что делать DPI очень дорого?

Пока будут идти разборки, предлагаешь сидеть за тупым прокси и страдать?

Я предлагаю пытаться решить задачу, которую в общем случае, невозможно решить техническими средствами, решать не только техническими средствами. Была бы у меня задача мешать работать нату, я выбрал десяток алгоритмов и менял бы их через день.. а еще бы хорошо подумал, как можно задержки использовать.

как провайдер обнаруживает NAT?

В принципе следующие варианты

1. TTL. В заголовке пакета при прохождении через каждый узел уменьшается на единицу. И если стоит NAT то TTL будет на единицу меньше ожидаемого.

2. ID. У каждого пакета генерируемого компом есть определенный ID. Как правило ОСи тупо увеличивают ID при каждом новом пакете на единицу. Если комп 1 то идет одна последовательность пакетов. Если работают 2 компа, то получаем 2 последовательности.

Ну выполнятся то это дело будет на железке.

Весьма немало провайдеров средней паршивости используют для этих вещей обычные PC, где сеть масштабируется горизонтально. Лично работал в таком межрегиональном провайдере.

Насколько я знаю iptables из коропки заглядывать в пакеты не умеет.

Умеет, например такое простое правило блокировки UA

iptables -A INPUT -p tcp --dport 80 -m string --algo bm --string "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" -j DROP

Гарантий 100% не дает, но жизнь попортит юзеру.

Почему провайдеры не могут заворачивать IP из черного списка на отдельный узел и там уже делать ему DPI по запросам именно к запрещенным страницам? Зачем все кричат что делать DPI очень дорого?

Одно дело — проверять несколько юзеров. Другое — всех. Ты даже не представляешь, как могут быть жадными конторы на оборудование.

офисные провайдеры иногда выставляют бабло за количество подключенных тачек, особенно если канал широкий

прокси тогда, и качать торренты централизованно, прямо на шлюзе

плюс всех соседей подговорить сделать так же, чтобы у провайдера была загрузка канала 120% вообще всегда. Чисто из соображений мести.