Адрес РуТрекера для пользователей РФ - MainTracker.org

Расскажи друзьям:  

Обход блокировки провайдеров Дом.ру, Ростелеком, ОнЛайм при помощи iptables

Страницы :   Пред.  1, 2, 3 ... 9, 10, 11 ... 17, 18, 19  След.

Ответить
Автор
Сообщение

karpacco

Стаж: 2 года 1 месяц

Сообщений: 6


karpacco · 04-Ноя-16 12:32 (1 год 1 месяц назад)

[Цитировать] 

blackhole.beeline.ru через iptables не обойти?
[Профиль]  [ЛС] 

fnk2345

Стаж: 7 лет 7 месяцев

Сообщений: 62


fnk2345 · 04-Ноя-16 13:48 (спустя 1 час 15 мин.)

[Цитировать] 

Так blackhole не работает. Но если бы это был действительно blackhole то нет не обойти. Я думаю blackhole.beeline.ru=lawfilter.ertelecom.ru=warning.rt.ru= любая другая заглушка. А с помощью слова blackhole пытаются ввести в заблуждение -)
[Профиль]  [ЛС] 

jazzy

Стаж: 10 лет 1 месяц

Сообщений: 1


jazzy · 04-Ноя-16 16:48 (спустя 3 часа)

[Цитировать] 

А что случилось с Onlime, у них теперь честный DPI? Пару дней назад смотрел blockcheck, был пассивный - ну думаю, надо прикупить микротик и зафигачить на него фильтр. Сегодня пробую - а не работает. Запустил blockcheck - а он говорит, у вас настоящий DPI.
[Профиль]  [ЛС] 

kx77

Стаж: 5 лет

Сообщений: 157


kx77 · 04-Ноя-16 21:01 (спустя 4 часа, ред. 04-Ноя-16 21:01)

[Цитировать] 

karpacco писал(а):
71750046blackhole.beeline.ru через iptables не обойти?
Не обойти. Помогает замена Host на host. Но простым иптаблес это не подкорректировать
[Профиль]  [ЛС] 

djlyolik

Top Bonus 04* 3TB

Стаж: 10 лет

Сообщений: 59

djlyolik · 16-Ноя-16 16:34 (спустя 11 дней)

[Цитировать] 

А для домашнего интернета от МТС (раньше был Комстар-Регионы) нет таких правил? Сложно ли самому их создать?
[Профиль]  [ЛС] 

zOrion

Стаж: 9 лет 5 месяцев

Сообщений: 17

zOrion · 23-Ноя-16 05:55 (спустя 6 дней, ред. 25-Ноя-16 17:41)

[Цитировать] 

У РТК в Мурманской области немного изменился сбрасывающий пакет для HTTPS. Новое правило для него:
Код:
iptables -t raw -A PREROUTING -p tcp --sport 443 -m u32 --u32 "0x4=0x10000 && 0x20=0x50040100" -j DROP
[Профиль]  [ЛС] 

alex222

Стаж: 7 лет 7 месяцев

Сообщений: 7


alex222 · 27-Ноя-16 19:46 (спустя 4 дня)

[Цитировать] 

djlyolik писал(а):
71834585А для домашнего интернета от МТС (раньше был Комстар-Регионы) нет таких правил? Сложно ли самому их создать?
Не знаю как у Вас, у меня МТС не возвращает ответ на GET от сервера, только свою заглушку. Но другие способы, в частности фрагментация, должны сработать, хотя не проверял.
скрытый текст
BlockCheck v0.0.8.4
IP: х.х.х.х, провайдер: Digital Telephone Lines Ltd/ МТС(Южный филиал ЗАО "К...
[O] Тестируем DNS
[O] Получаем эталонные DNS с сервера
Эталонные адреса: ['104.20.74.106', '104.20.75.106', '104.25.118.23', '104.25.119.23', '212.47.251.61', '5.178.68.100']
Адреса через системный DNS: ['104.20.74.106', '104.20.75.106', '104.25.118.23', '104.25.119.23', '212.47.251.61', '5.178.68.100']
Адреса через Google DNS: ['104.20.74.106', '104.20.75.106', '104.25.118.23', '104.25.119.23', '212.47.251.61', '5.178.68.100']
Адреса через DNS AntiZapret: ['195.123.209.38', '195.123.209.38', '195.123.209.38', '195.123.209.38']
[✓] DNS-записи не подменяются
[✓] DNS не перенаправляется
[O] Тестируем HTTP
Открываем http://a.putinhuylo.com/
[✓] Сайт открывается
Открываем http://rule34.xxx/
[✓] Сайт открывается
Открываем http://rule34.xxx/index.php?page=post&s=view&id=879177
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси.
[✓] Сайт открывается через прокси
Открываем http://gelbooru.com/index.php?page=post&s=view&id=1989610
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси.
[✓] Сайт открывается через прокси
Открываем http://maintracker.org/forum/index.php
[☠] Получен неожиданный ответ, скорее всего, страница-заглушка провайдера. Пробуем через прокси.
[✓] Сайт открывается через прокси
Открываем http://gelbooru.com/
[✓] Сайт открывается
[O] Тестируем HTTPS
Открываем https://lolibooru.moe/
[☠] Сертификат подменяется
Открываем https://e621.net/
[☠] Сертификат подменяется
Открываем https://uberbooru.com/
[☠] Сертификат подменяется
[O] Тестируем обход DPI
Пробуем способ «дополнительный пробел после GET» на gelbooru.com
[☠] Ошибка:ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None)
Пробуем способ «перенос строки в заголовках в UNIX-стиле» на gelbooru.com
[☠] Ошибка:ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None)
Пробуем способ «заголовок host вместо Host» на gelbooru.com
[☠] Ошибка:ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None)
Пробуем способ «необычный порядок заголовков» на gelbooru.com
[☠] Ошибка:ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None)
Пробуем способ «точка в конце домена» на gelbooru.com
[✓] Сайт открывается
Пробуем способ «фрагментирование заголовка» на gelbooru.com
[✓] Сайт открывается
Пробуем способ «дополнительный пробел после GET» на rutracker.org
[☠] Ошибка:ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None)
Пробуем способ «перенос строки в заголовках в UNIX-стиле» на rutracker.org
[☠] Ошибка:ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None)
Пробуем способ «заголовок host вместо Host» на rutracker.org
[☠] Ошибка:ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None)
Пробуем способ «необычный порядок заголовков» на rutracker.org
[☠] Ошибка:ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None)
Пробуем способ «точка в конце домена» на rutracker.org
[✓] Сайт открывается
Пробуем способ «фрагментирование заголовка» на rutracker.org
[☠] Ошибка:ConnectionResetError(10054, 'Удаленный хост принудительно разорвал существующее подключение', None, 10054, None)
[!] Результат:
[⚠] Ваш провайдер подменяет HTTPS-сертификат на свой.
[⚠] У вашего провайдера "обычный" DPI. Вам поможет HTTPS/Socks прокси, VPN или Tor.
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 7 лет 9 месяцев

Сообщений: 634

vlad_ns · 29-Ноя-16 20:04 (спустя 2 дня, ред. 29-Ноя-16 20:04)

[Цитировать] 

Любопытства ради проверил:
скрытый текст
BlockCheck v0.0.8.4
IP: AA.BBB.CCC.DDD, провайдер: ER-Telecom/ Дом.ru
[O] Тестируем DNS
[O] Получаем эталонные DNS с сервера
Эталонные адреса: ['104.20.74.106', '104.20.75.106', '104.25.118.23', '104.25.119.23', '212.47.251.61', '5.178.68.100']
Адреса через системный DNS: ['104.20.74.106', '104.20.75.106', '104.25.118.23', '104.25.119.23', '212.47.251.61', '5.178.68.100']
Адреса через Google DNS: ['104.20.74.106', '104.20.75.106', '5.178.68.100', '92.255.241.100', '92.255.241.100']
Адреса через DNS AntiZapret: ['195.123.209.38', '195.123.209.38', '92.255.241.100', '92.255.241.100']
[?] Способ блокировки DNS определить не удалось
[O] Тестируем HTTP
Открываем http://a.putinhuylo.com/
[✓] Сайт открывается
Открываем http://rule34.xxx/
[✓] Сайт открывается
Открываем http://gelbooru.com/
[✓] Сайт открывается
Открываем http://rule34.xxx/index.php?page=post&s=view&id=879177
[✓] Сайт открывается
Открываем http://maintracker.org/forum/index.php
[✓] Сайт открывается
Открываем http://gelbooru.com/index.php?page=post&s=view&id=1989610
[✓] Сайт открывается
[O] Тестируем HTTPS
Открываем https://e621.net/
[✓] Сайт открывается
Открываем https://lolibooru.moe/
[✓] Сайт открывается
Открываем https://uberbooru.com/
[✓] Сайт открывается
[!] Результат:
[☺] Ваш провайдер не блокирует сайты.
Правда когда включён прокси (в ОС явно прописан), тогда что-то не проходит, хотя браузер ходит нормально по тем сайтам даже в этом случае. Без прокси, используется прозрачный прокси.
[Профиль]  [ЛС] 

zOrion

Стаж: 9 лет 5 месяцев

Сообщений: 17

zOrion · 01-Дек-16 03:40 (спустя 1 день 7 часов)

[Цитировать] 

Похоже работники РТК следят за тредом. То что я писал выше опять не подходит. Задолбался менять правила.
[Профиль]  [ЛС] 

kx77

Стаж: 5 лет

Сообщений: 157


kx77 · 01-Дек-16 12:30 (спустя 8 часов)

[Цитировать] 

zOrion писал(а):
71936539Похоже работники РТК следят за тредом. То что я писал выше опять не подходит. Задолбался менять правила.
Делать им нечего. Этот способ обхода доступен настолько ничтожному проценту юзеров, что даже заморачиваться нет смысла
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 7 лет 9 месяцев

Сообщений: 634

vlad_ns · 02-Дек-16 21:52 (спустя 1 день 9 часов)

[Цитировать] 

Кстати, у меня сейчас кинозал.тв по этой схеме нормально работает. Ранее (тут уже писали) была бесконечная загрузка страницы и/или ошибка 503 (или 502), в общем не работало.
[Профиль]  [ЛС] 

SAC70

Стаж: 9 лет 10 месяцев

Сообщений: 125


SAC70 · 03-Дек-16 12:13 (спустя 14 часов, ред. 03-Дек-16 17:37)

[Цитировать] 

vlad_ns писал(а):
71948757Кстати, у меня сейчас кинозал.тв по этой схеме нормально работает. Ранее (тут уже писали) была бесконечная загрузка страницы и/или ошибка 503 (или 502), в общем не работало.
По какой схеме? через прокси?
Вопрос использую томатную прошку, ростелеком, все правила работают хорошо,доступ к заблокированным сайтам проходит, но вот походу что-то ещё блокирует, Нет возможности получить доступ к - http://kinozal.tv
Просто не грузит страницу. В браузере опера включаю турбо и он заходит спокойно на сайт.
Какое ещё правило вписать чтоб получить доступ к этому сайту.
DNSCrypt -не помог получить доступ.
Не хотелось бы использовать прокси из за лишней нагрузки на сеть и низкой их пропускной способности.
[Профиль]  [ЛС] 

SirseS

Стаж: 5 лет 9 месяцев

Сообщений: 2


SirseS · 04-Дек-16 19:13 (спустя 1 день 7 часов, ред. 04-Дек-16 19:13)

[Цитировать] 

Товарищи, никто не адаптировал правила под оборудование, выдаваемое РТ (Eltex NTU-RG-1402G-W)?
Какая-то жопа с iptables:
Код:
iptables -t raw -N lawfilter
iptables v1.4.16.3: can't initialize iptables table `raw': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 7 лет 9 месяцев

Сообщений: 634

vlad_ns · 04-Дек-16 23:49 (спустя 4 часа, ред. 04-Дек-16 23:49)

[Цитировать] 

SAC70 писал(а):
71951897По какой схеме? через прокси?
По описанной тут.
SAC70 писал(а):
71951897Просто не грузит страницу.
Вот что-то такое и было. Сейчас вот такой набор:
скрытый текст
Код:
-A PREROUTING -p udp -m udp --sport 53 -m string --hex-string "|5cfff104|" --algo bm --from 50 --to 150 -j DROP
-A PREROUTING -p tcp -m tcp --sport 80 -m u32 --u32 "0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0xad=0x4c6f6361&&0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0xbd=0x2f6c6177&&0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0xc5=0x65722e65&&0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0xc9=0x7274656c&&0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0xd1=0x2e72750d" -j DROP
-A PREROUTING -p udp -m udp --sport 53 -m u32 --u32 "0x0>>0x12&0x3c@0x6&0xffff@0x0&0xffffffff=0x5cfff164" -j DROP
-A PREROUTING -p udp -m udp --sport 53 -m string --hex-string "|2a022698a00000000000000000000064|" --algo bm --from 40 --to 300 -j DROP
-A PREROUTING -p tcp -m tcp --sport 80 -m u32 --u32 "0x1e&0xffff=0x5010&&0x60=0x7761726e&&0x64=0x696e672e&&0x68=0x72742e72" -m comment --comment "Rostelecom HTTP" -j DROP
-A PREROUTING -p tcp -m tcp --sport 443 -m u32 --u32 "0x4=0x0&&0x20=0x50140000" -m comment --comment "Rostelecom HTTPS" -j DROP
SAC70 писал(а):
71951897Не хотелось бы использовать прокси из за лишней нагрузки на сеть и низкой их пропускной способности.
Прокси на роутере, используется для прочих заблокированных сайтов, список их сам составляется. Особой нагрузки от этого нет. На пропускную способность не жалуюсь (не влияет).
[Профиль]  [ЛС] 

SAC70

Стаж: 9 лет 10 месяцев

Сообщений: 125


SAC70 · 05-Дек-16 17:43 (спустя 17 часов, ред. 05-Дек-16 17:43)

[Цитировать] 

Цитата:
Вот что-то такое и было. Сейчас вот такой набор:
vlad_ns -Эти правила дают доступ к кинозалу без использования проки?
Просто нет сейчас возможности их проверить.
[Профиль]  [ЛС] 

ValdikSS

Стаж: 10 лет

Сообщений: 274


ValdikSS · 06-Дек-16 01:18 (спустя 7 часов)

[Цитировать] 

SirseS
Попробуйте добавить правила в таблицу FORWARD в filter, т.е. просто уберите -t raw и вместо PREROUTING напишите FORWARD.
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 7 лет 9 месяцев

Сообщений: 634

vlad_ns · 06-Дек-16 20:54 (спустя 19 часов)

[Цитировать] 

SAC70 писал(а):
71969025Эти правила дают доступ к кинозалу без использования проки?
По крайней мере у меня сейчас именно они. Добавлял по мере появления тут, но поначалу не работало (для кинозала).
Вот и вот.
[Профиль]  [ЛС] 

SAC70

Стаж: 9 лет 10 месяцев

Сообщений: 125


SAC70 · 07-Дек-16 01:47 (спустя 4 часа)

[Цитировать] 

vlad_ns
Ваш вариант не сработал.
Не работают эти правила для меня.
[Профиль]  [ЛС] 

SirseS

Стаж: 5 лет 9 месяцев

Сообщений: 2


SirseS · 07-Дек-16 15:55 (спустя 14 часов)

[Цитировать] 

ValdikSS писал(а):
71972071SirseS
Попробуйте добавить правила в таблицу FORWARD в filter, т.е. просто уберите -t raw и вместо PREROUTING напишите FORWARD.
Печаль-беда, в стоке нет поддержки ни string, ни u32 собирать прошивку не из чего. Отписал на форум производителя, мб там хоть чем-то помогут.
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 7 лет 9 месяцев

Сообщений: 634

vlad_ns · 07-Дек-16 21:40 (спустя 5 часов, ред. 09-Дек-16 19:38)

[Цитировать] 

SAC70 писал(а):
71978973Ваш вариант не сработал.
Ну это не мой вариант, я лишь им воспользовался. Это всё есть в шапке так сказать. У меня работает и у меня не роутер, может по этому.
Перенёс обновленные правила, так же работает, для интереса продублировал правила с LOG --prefix (такое же правило как с DROP, но DROP заменён на LOG --prefix и расположен перед правилом с DROP), в syslog'е чётко видно как идут заглушки от Дом.ру при заходе на рутрекер и кинозал и др. блокированные трекеры.
[Профиль]  [ЛС] 

i-no

Стаж: 11 лет 7 месяцев

Сообщений: 5


i-no · 03-Янв-17 23:47 (спустя 27 дней)

[Цитировать] 

Коллеги, с Новым Годом!
Подскажите, работает ли ещё на Онлайме HTTPS-fix вида:
Код:
iptables -I FORWARD -i wlan0 -o br-lan -p tcp --sport 443 -m u32 --u32 "4=0x00000000&&0x20=0x50140000" -m comment --comment "Rostelecom HTTPS" -j DROP
И если да, то пригодится совет как разобраться с проблемой u32 на OpenWrt Barrier Breaker 14.07 т.к. познания в линуксах близки к нулю. Не удалось понять, загружен ли этот модуль u32. Пакеты iptables-mod-u32 1.4.21-1 и kmod-ipt-u32 3.10.49-1 вроде бы установлены,
Код:
root@OpenWrt:/# opkg list | grep u32
iptables-mod-u32 - 1.4.21-1 - U32 iptables extensions.  Matches: - u32
kmod-ipt-u32 - 3.10.49-1 - Kernel modules for U32
но modprobe u32 возвращает "kmod: failed to find a module named u32". При этом всём HTTP-фильтры работают как положено.
скрытый текст
Код:
iptables -I FORWARD -N lawfilter
iptables -I FORWARD -A lawfilter -i wlan0 -o br-lan -p tcp --sport 80 -m string --hex-string 'Location: http://95.167.13.50' --algo bm --from 50 --to 200 -j DROP
iptables -I FORWARD -A lawfilter -i wlan0 -o br-lan -p tcp --sport 80 -m string --hex-string 'Location: http://warning.rt.ru/' --algo bm --from 50 --to 200 -j DROP
iptables -I FORWARD -A lawfilter -i wlan0 -o br-lan -p tcp --sport 80 -m string --hex-string 'Location: http://77.37.254.90' --algo bm --from 50 --to 200 -j DROP
iptables -I FORWARD -j lawfilter
[Профиль]  [ЛС] 

kx77

Стаж: 5 лет

Сообщений: 157


kx77 · 04-Янв-17 14:23 (спустя 14 часов)

[Цитировать] 

i-no писал(а):
Код:
root@OpenWrt:/# opkg list | grep u32
iptables-mod-u32 - 1.4.21-1 - U32 iptables extensions.  Matches: - u32
kmod-ipt-u32 - 3.10.49-1 - Kernel modules for U32
но modprobe u32 возвращает "kmod: failed to find a module named u32". При этом всём HTTP-фильтры работают как положено.
opkg list ищет в установленных пакетах+доступных, если индекс был скачан через opkg update
opkg list-installed ищет только в установленных
название модуля для u32 неверно
find /lib/modules/ -name *u32*
/lib/modules/4.4.3/xt_u32.ko
/lib/modules/4.4.3/em_u32.ko
/lib/modules/4.4.3/cls_u32.ko
[Профиль]  [ЛС] 

i-no

Стаж: 11 лет 7 месяцев

Сообщений: 5


i-no · 04-Янв-17 17:03 (спустя 2 часа 39 мин., ред. 04-Янв-17 17:03)

[Цитировать] 

Спасибо, так чуть яснее. Но вот:
Код:
root@OpenWrt:/# opkg list-installed | grep u32
iptables-mod-u32 - 1.4.21-1
kmod-ipt-u32 - 3.10.49-1
root@OpenWrt:/# find /lib/modules/ -name *u32*
/lib/modules/3.10.49/xt_u32.ko
root@OpenWrt:/# insmod xt_u32
kmod: module is already loaded - xt_u32
А вот этих двух ребят
/lib/modules/4.4.3/em_u32.ko
/lib/modules/4.4.3/cls_u32.ko
не наблюдается. Если и они тоже необходимы, то как бы их покорректнее добавить без пересборки всей прошивки?
Кстати, пока мучался с u32, удалось обойти вот таким правилом:
Код:
iptables -t raw -I PREROUTING -i eth0 -p tcp --sport 443 --tcp-flags RST RST -j DROP
Теперь заработал и HTTPS. Это будет не слишком токсичный вариант?
[Профиль]  [ЛС] 

kx77

Стаж: 5 лет

Сообщений: 157


kx77 · 06-Янв-17 11:53 (спустя 1 день 18 часов, ред. 06-Янв-17 11:53)

[Цитировать] 

i-no писал(а):
/lib/modules/4.4.3/em_u32.ko
/lib/modules/4.4.3/cls_u32.ko
не наблюдается. Если и они тоже необходимы, то как бы их покорректнее добавить без пересборки всей прошивки?
Они не нужны. Это классифаер от шейпера.
Openwrt хорош тем, что пересобирать его не нужно, потому что в репе уже все модули есть.
Вопрос лишь устанавливать их или нет.
Поэтому openwrt и является почти нормальным линуксом в отличие от любых других прошивок на базе read only root (заводские, dd-wrt)
Цитата:
Теперь заработал и HTTPS. Это будет не слишком токсичный вариант?
Не очень хороший. Никакой сервер не сможет активно отклонить соединение. Будет вис вместо этого как будто порт filtered.
Нужен критерий чтобы отличить подставной RST от настоящего.
Это могут быть какие-то особенности DPI, вносящие нюансы в подставной пакет, позволяющие его выделить.
Надо тщательно изучить нормальный и подставной пакеты, пытаясь выискать критерий.
Но они такие - сегодня есть, завтра что-то поменялось и перестало работать. Как повезет. Не зря же вдруг перестают у кого-то работать эти правила.
Может в одном городе одна DPI железка, в другом другая, или правила чуть отличаются.
Можно придти к компромиссному варианту - дропать RST только от ип из забаненного списка.
См мою тему про прозрачный обход в linux
[Профиль]  [ЛС] 

super276

Хранитель

Стаж: 7 лет 5 месяцев

Сообщений: 52

super276 · 07-Янв-17 13:37 (спустя 1 день 1 час)

[Цитировать] 

i-no писал(а):
72162841Кстати, пока мучался с u32, удалось обойти вот таким правилом:
Код:
iptables -t raw -I PREROUTING -i eth0 -p tcp --sport 443 --tcp-flags RST RST -j DROP
Теперь заработал и HTTPS. Это будет не слишком токсичный вариант?
Код:
iptables -I forwarding_rule 1 -p tcp --sport 443 --tcp-flags RST RST -m connbytes --connbytes-dir reply --connbytes-mode packets --connbytes 2  -j DROP
Вот так аккуратнее. Если RST приходит от сервера первым же пакетом, то он будет пропущен. Нужны пакеты kmod-ipt-conntrack-extra и iptables-mod-conntrack-extra.
[Профиль]  [ЛС] 

i-no

Стаж: 11 лет 7 месяцев

Сообщений: 5


i-no · 08-Янв-17 09:10 (спустя 19 часов)

[Цитировать] 

Пакеты установились. В мане вычитал, что
ipset.netfilter.org/iptables-extensions.man.html писал(а):
[!] --connbytes from[:to]
match packets from a connection whose packets/bytes/average packet size is more than FROM and less than TO bytes/packets. if TO is omitted only FROM check is done. "!" is used to match packets not falling in the range.
Если логика именно такая, то при --connbytes-dir reply надо что ли указать !--connbytes 2 или --connbytes 0:2
Идея мне нравится, надо бы сузить, но так не сработало. Напр. рутрекер не открылся через HTTPS, хотя iptables ни на что не ругался. Пока не разобрался, возможно дело совсем не в этом, а надо правильно цепочку и таблицу указать. Буду еще пробовать. Временно вернул старое правило.
[Профиль]  [ЛС] 

super276

Хранитель

Стаж: 7 лет 5 месяцев

Сообщений: 52

super276 · 08-Янв-17 10:28 (спустя 1 час 18 мин., ред. 08-Янв-17 10:28)

[Цитировать] 

i-no писал(а):
72188476Если логика именно такая, то при --connbytes-dir reply надо что ли указать !--connbytes 2 или --connbytes 0:2
Нет, логика правильная, при условии что DPI фильтрует по SNI и сбрасывает соединение. В этом случае поддельный RST придёт >=2 по очереди.
i-no писал(а):
72188476Идея мне нравится, надо бы сузить, но так не сработало. Напр. рутрекер не открылся через HTTPS, хотя iptables ни на что не ругался.
Возможно, у вас провайдер не дожидается SNI, а присылает RST первым пакетом, тогда только ваш первый вариант подойдёт.
[Профиль]  [ЛС] 

kx77

Стаж: 5 лет

Сообщений: 157


kx77 · 08-Янв-17 15:01 (спустя 4 часа, ред. 08-Янв-17 15:01)

[Цитировать] 

В обычной ситуации TCP конект либо сразу отклоняется по RST в ответ на SYN, и мы видем connection refused, либо если уж мы прошли хэндшейк, то завершается через FIN, а не RST.
RST после хэндшейка это необычно. На практике так получается, если сервер выставляет SO_LINGER опцию для сокета. Но как правило это не делается.
Такие RST можно рубить. Для их высекания надо использовать connbytes.
Еще лучше если с ipset-ом блоченых ип, чтобы не трогать неблокируемые
[Профиль]  [ЛС] 

i-no

Стаж: 11 лет 7 месяцев

Сообщений: 5


i-no · 08-Янв-17 18:53 (спустя 3 часа, ред. 08-Янв-17 18:53)

[Цитировать] 

Поддельные RST обычно приходят с космической скоростью. Иногда даже заблаговременно - РТ купил в обход санкций телепатический апгрейд для своей DPI. (шутка) Может, можно как-то дропать такие чересчур шустро прилетающие RST. Кроме этого, по наводке я тут подумал, что TTL тоже может быть левый. Какие расширения можно попробовать использовать чтобы заматчить поддельный RST с TTL, как-то отличающимся от TTL оригинальных ответов сервера? Такой подход имеет ли смысл и вообще практичен ли? Наверное, для такого уже придется какой-то скрипт смастерить, верно? Нужно же тогда прежде замерить правильный TTL.
[Профиль]  [ЛС] 

k0ste

Top User 12

Стаж: 10 лет 3 месяца

Сообщений: 563

k0ste · 15-Янв-17 13:41 (спустя 6 дней)

[Цитировать] 

скрытый текст
Цитата:
Какие расширения можно попробовать использовать чтобы заматчить поддельный RST с TTL
iptables -m ttl --help
Цитата:
Такой подход имеет ли смысл и вообще практичен ли?
Не совсем понятно где вы постоянно будите брать "правильный TTL"... Одно дело если бы от DPI постоянно прилетал одинаковый TTL, но если добавить в цепочку вариант от super276 (который кстати работает) и сходить на linkedin по https, можно увидеть что TTL все время разный, если трейс сделать то поди еще и правильный.
Код:
iptables -t filter -A INPUT -p tcp --sport 443 --tcp-flags RST RST -m connbytes --connbytes-dir reply --connbytes-mode packets --connbytes 2  -j DROP
Код:
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.188 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=61270 PROTO=TCP SPT=443 DPT=58712 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.188 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=61271 PROTO=TCP SPT=443 DPT=58712 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.188 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=61272 PROTO=TCP SPT=443 DPT=58712 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.44.77 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=61581 PROTO=TCP SPT=443 DPT=47302 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.44.77 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=61582 PROTO=TCP SPT=443 DPT=47302 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=64.233.162.132 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=33195 PROTO=TCP SPT=443 DPT=34930 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=64.233.162.132 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=33196 PROTO=TCP SPT=443 DPT=34930 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=64.233.162.132 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=33197 PROTO=TCP SPT=443 DPT=34930 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.250 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=6400 PROTO=TCP SPT=443 DPT=33616 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.244 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=54619 PROTO=TCP SPT=443 DPT=42390 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.244 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=54620 PROTO=TCP SPT=443 DPT=42390 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.250 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=6401 PROTO=TCP SPT=443 DPT=33616 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.244 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=54621 PROTO=TCP SPT=443 DPT=42390 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.250 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=6402 PROTO=TCP SPT=443 DPT=33616 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.188 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=61298 PROTO=TCP SPT=443 DPT=58712 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.44.77 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=61626 PROTO=TCP SPT=443 DPT=47302 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=64.233.162.132 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=33323 PROTO=TCP SPT=443 DPT=34930 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.250 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=6516 PROTO=TCP SPT=443 DPT=33616 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.244 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=54691 PROTO=TCP SPT=443 DPT=42390 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.188 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=61433 PROTO=TCP SPT=443 DPT=58712 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:13 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.44.77 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=61765 PROTO=TCP SPT=443 DPT=47302 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:14 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=64.233.162.132 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=33501 PROTO=TCP SPT=443 DPT=34930 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:14 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.250 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=6682 PROTO=TCP SPT=443 DPT=33616 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:14 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.244 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=54905 PROTO=TCP SPT=443 DPT=42390 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:14 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.188 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=61692 PROTO=TCP SPT=443 DPT=58712 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:14 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.44.77 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=62078 PROTO=TCP SPT=443 DPT=47302 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:14 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.186 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=19740 PROTO=TCP SPT=443 DPT=44592 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:14 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.186 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=19741 PROTO=TCP SPT=443 DPT=44592 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:14 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=64.233.162.132 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=33780 PROTO=TCP SPT=443 DPT=34930 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:14 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.250 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=6978 PROTO=TCP SPT=443 DPT=33616 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:14 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.244 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=55197 PROTO=TCP SPT=443 DPT=42390 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:14 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.186 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=19814 PROTO=TCP SPT=443 DPT=44592 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:14 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.186 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=20022 PROTO=TCP SPT=443 DPT=44592 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:15 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.186 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=20308 PROTO=TCP SPT=443 DPT=44592 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:15 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.44.77 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=62670 PROTO=TCP SPT=443 DPT=47302 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:15 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.188 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=62412 PROTO=TCP SPT=443 DPT=58712 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:15 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=64.233.162.132 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=34291 PROTO=TCP SPT=443 DPT=34930 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:15 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.250 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=7709 PROTO=TCP SPT=443 DPT=33616 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:15 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.244 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=55898 PROTO=TCP SPT=443 DPT=42390 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:16 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.186 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=20867 PROTO=TCP SPT=443 DPT=44592 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:17 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.188 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=63611 PROTO=TCP SPT=443 DPT=58712 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:17 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.44.77 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=64081 PROTO=TCP SPT=443 DPT=47302 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:17 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.250 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=8714 PROTO=TCP SPT=443 DPT=33616 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:17 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=64.233.162.132 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=35175 PROTO=TCP SPT=443 DPT=34930 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:18 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.244 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=57333 PROTO=TCP SPT=443 DPT=42390 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:18 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.186 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=22125 PROTO=TCP SPT=443 DPT=44592 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:21 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.188 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=541 PROTO=TCP SPT=443 DPT=58712 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:21 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.44.77 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=1271 PROTO=TCP SPT=443 DPT=47302 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:22 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=199.166.0.200 DST=192.168.0.200 LEN=40 TOS=0x08 PREC=0x40 TTL=52 ID=45651 DF PROTO=TCP SPT=443 DPT=59336 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:22 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.250 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=10905 PROTO=TCP SPT=443 DPT=33616 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:22 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=64.233.162.132 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=37971 PROTO=TCP SPT=443 DPT=34930 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:22 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.244 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=60133 PROTO=TCP SPT=443 DPT=42390 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:23 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.186 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=24414 PROTO=TCP SPT=443 DPT=44592 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:30 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.44.77 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=5896 PROTO=TCP SPT=443 DPT=47302 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:30 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.188 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=5029 PROTO=TCP SPT=443 DPT=58712 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:31 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.250 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=15982 PROTO=TCP SPT=443 DPT=33616 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:31 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=64.233.162.132 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=41840 PROTO=TCP SPT=443 DPT=34930 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:31 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=74.125.232.244 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=591 PROTO=TCP SPT=443 DPT=42390 WINDOW=0 RES=0x00 RST URGP=0
[Sun Jan 15 17:20:32 2017] super276: IN=eth0 OUT= MAC=3c:97:0e:02:9b:79:6c:62:6d:92:37:84:08:00 SRC=173.194.32.186 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=29559 PROTO=TCP SPT=443 DPT=44592 WINDOW=0 RES=0x00 RST URGP=0
[Профиль]  [ЛС] 
 
Ответить
Loading...
Error