Адрес РуТрекера для пользователей РФ - MainTracker.org

Расскажи друзьям:  

Обход блокировки провайдеров Дом.ру, Ростелеком, ОнЛайм при помощи iptables

Страницы :   Пред.  1, 2, 3 ... 15, 16, 17, 18, 19  След.

Ответить
Автор
Сообщение

kx77

Стаж: 4 года 11 месяцев

Сообщений: 156


kx77 · 08-Май-17 22:10 (6 месяцев назад, ред. 08-Май-17 22:10)

[Цитировать] 

Системы с NT4.0 до XP имеют firewall hook в ядре. Давным давно кодил с его помощью. Есть сорцы, могу поделиться если кому интересно.
Можно сделать простенький драйвер. Подписывать его не надо - в то время не было еще подписей.
API очень простое. Тебе дают пакет, а ты возвращаешь что с ним делать. Акцепт или нет.
Правда, таким образом нельзя всовывать свои пакеты.
[Профиль]  [ЛС] 

valobasoff

Стаж: 6 лет 10 месяцев

Сообщений: 20


valobasoff · 09-Май-17 11:03 (спустя 12 часов)

[Цитировать] 

каюсь, все каменты не читал, но у меня в онлайме по предложенной схеме с openwrt заглушки не появляются, но и ресурс не открывается. Полагаю правило работает, но оригинальные пакеты пров таки дропает? причём многовероятно по пути "туда"...
[Профиль]  [ЛС] 

Dicrock

Стаж: 5 лет 6 месяцев

Сообщений: 230


Dicrock · 10-Май-17 05:29 (спустя 18 часов, ред. 10-Май-17 05:29)

[Цитировать] 

valobasoff, на openwrt есть какие-то зморочки с firewall'ом. Если остановить сервис и добавить правила фильтрации, то всё работает. Но вот ежели сервис включен, то даже добавление правил вверх цепочки ("-I") эффекта не даёт. Глубоко копать не стал ибо нужды не было т.к. openwrt крутился локально под vbox.
Если кто подскажет решение - буду благодарен
Ах да.
Для фильтрации https на openwrt пришлось пару пакетов для iptables доставлять (могу позже глянуть, что за пакеты, если нужно).
kx77, ValdikSS мб вам свои усилия объединить, да создать полноценный софт ?)))
[Профиль]  [ЛС] 

Dicrock

Стаж: 5 лет 6 месяцев

Сообщений: 230


Dicrock · 17-Май-17 11:25 (спустя 7 дней, ред. 17-Май-17 11:25)

[Цитировать] 

Решил новую тему не создавать т.к. в этой теме обсуждают обход блокировки посредством iptables разных провайдеров (хотя и обсуждается преимущественно Ростелеком )
Намедни появилась возможность поработать через МТС (к сожалению краткосрочная) и решил я поглядеть что там с их DPI и можно ли с ним что-то сделать посредством iptables. Как оказалось - можно. (правда до конца мне удалось выяснить что к чему, т.к. возможность что-то проверить появится только позднее).
Итак, при запросе в сторону рутрекера приходит rst -пакет и нас перенаправляет на заглушку
Код:
Location: http://block.mts.ru/?host=rutracker.org&url=/&params=
Ежели это дело заблокировать чуть подправленным правилом, применимым для Ростелекома
Код:
iptables -I INPUT -p tcp --sport 80 -m string --algo bm --string "Location: http://block.mts.ru/?host=" -j DROP
Приходит другой rst пакет, после которого DPI перенаправляет уже на другую заглушку https://pastebin.com/Dxym35mR (пришлось закинуть на pastebin ибо антиспам съедал практически весь линк)
для которого правило
Код:
iptables -I INPUT -p tcp --sport 80 -m string --algo bm --string "Location: http://block.mts.ru/?url=" -j DROP
не работает.
Единственное отличие от rst-пакетов "первой" волны судя по дампу было в параметре "Acknowledgment number", который варьировался от пакета к пакету (в пакетах "первой" волны данный параметр был равен нулю)
У кого какие мысли есть ?
p.s. Что там к чему с https не успел выяснить (вроде как идёт подмена сертификата)
[Профиль]  [ЛС] 

XtenD-Vas

Стаж: 5 лет 7 месяцев

Сообщений: 42

XtenD-Vas · 17-Май-17 14:03 (спустя 2 часа 37 мин., ред. 17-Май-17 14:03)

[Цитировать] 

"Location: http://block.mts.ru" можно загнать под одну гребёнку. Советую использовать ключи --from 50 --to 350, чтобы модуль не искал эту строку в содержимом страниц.
Код:
iptables -I INPUT -p tcp --sport 80 -m string --string "Location: http://block.mts.ru" --algo bm --from 50 --to 350 -j DROP
Сертификаты МТСа, можно попробовать отсеять по публичному ключу или по какому-нибудь другому признаку, но скорей всего потом ещё придёт RST, либо вообще хост по IP заблокирован будет.
[Профиль]  [ЛС] 

Dicrock

Стаж: 5 лет 6 месяцев

Сообщений: 230


Dicrock · 19-Май-17 10:03 (спустя 1 день 20 часов, ред. 19-Май-17 13:19)

[Цитировать] 

XtenD-Vas, правило работает, но походу там ещё и RST-пакеты, надо дампы будет посмотреть. По крайней мере кинозал на пинги отвечал. Вот что в выхлопе curl'a содержится
Цитата:
* Recv failure: Connection reset by peer
* Closing connection 0
curl: (56) Recv failure: Connection reset by peer
МТС-цы явно ответственней к вопросу блокировок подошли, мать их за ногу.
upd: Да, RST пакеты есть и это на http-подключении. Можно ли создать конкретезированное правило для МТС-х RST пакетов ? Какие данные нужны ? Сам составление правила не осилю даже после того как расписали что к чему (и где я в итоге так ничего не понял).
Возможно пригодится - вот поля Identification RST пакетов c кинозала и рутрекера :
Цитата:
Identification: 0x252f (9519)
Identification: 0x1f3d (7997)
[Профиль]  [ЛС] 

ValdikSS

Стаж: 9 лет 11 месяцев

Сообщений: 264


ValdikSS · 19-Май-17 13:34 (спустя 3 часа)

[Цитировать] 

Dicrock
Блокировка пакетов от DPI работает только с пассивными DPI. Вы уверены, что у вашего провайдера именно пассивный DPI? Проверить можно blockcheck. Если на этапе тестирования DPI вы видите текст «обнаружен пассивный DPI», то блокировка пакетов сработает для HTTP (но не факт, что для HTTPS тоже). Если не видите, вам не помогут советы из этой темы.
Выкладывайте pcap, если ожидаете помощи.
[Профиль]  [ЛС] 

Dicrock

Стаж: 5 лет 6 месяцев

Сообщений: 230


Dicrock · 22-Май-17 18:43 (спустя 3 дня)

[Цитировать] 

ValdikSS, как снова будет возможность выйти в сеть с МТС'а - сделаю новые дампы т.к. старые удалил.
[Профиль]  [ЛС] 

zOrion

Стаж: 9 лет 4 месяца

Сообщений: 17

zOrion · 03-Июн-17 22:44 (спустя 12 дней, ред. 03-Июн-17 22:44)

[Цитировать] 

Код:
iptables -t raw -A PREROUTING -p tcp --sport 80 -m u32 --u32 "0x35=0x626c6f63 && 0x39=0x6b2e6d74 && 0x3d=0x732e7275" -j DROP
Оптимально коцает HTTP редиректы у МТС.
[Профиль]  [ЛС] 

llatigid

Стаж: 8 лет 3 месяца

Сообщений: 17

llatigid · 11-Июн-17 09:09 (спустя 7 дней, ред. 11-Июн-17 09:09)

[Цитировать] 

Можно добавить в шапку дополнительно для HTTPS (дом.ру) в macOS: http://maintracker.org/forum/viewtopic.php?t=5412734.p?t=5412734.
[Профиль]  [ЛС] 

ValdikSS

Стаж: 9 лет 11 месяцев

Сообщений: 264


ValdikSS · 11-Июн-17 18:19 (спустя 9 часов)

[Цитировать] 

llatigid
Вы предлагаете блокировать все RST-пакеты. Блокировка RST-пакетов нарушает корректную работу сетевого стека. Это некорректный способ обхода блокировки (хоть он и работает).
[Профиль]  [ЛС] 

llatigid

Стаж: 8 лет 3 месяца

Сообщений: 17

llatigid · 11-Июн-17 18:49 (спустя 29 мин., ред. 11-Июн-17 18:49)

[Цитировать] 

ValdikSS писал(а):
73279338llatigid
Вы предлагаете блокировать все RST-пакеты. Блокировка RST-пакетов нарушает корректную работу сетевого стека. Это некорректный способ обхода блокировки (хоть он и работает).
Предлагаю не я. И внимательнее, пожалуйста: "...tcp from rutracker.org flags".
[Профиль]  [ЛС] 

ValdikSS

Стаж: 9 лет 11 месяцев

Сообщений: 264


ValdikSS · 11-Июн-17 22:03 (спустя 3 часа)

[Цитировать] 

llatigid
Это ничего не меняет.
[Профиль]  [ЛС] 

kx77

Стаж: 4 года 11 месяцев

Сообщений: 156


kx77 · 11-Июн-17 23:10 (спустя 1 час 6 мин.)

[Цитировать] 

Если фильтруется RST со списка хостов, и это работает, то польза от этого больше, чем вред
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 7 лет 8 месяцев

Сообщений: 618

vlad_ns · 12-Июн-17 14:24 (спустя 15 часов)

[Цитировать] 

llatigid
Кстати, при наличии роутера с openwrt зачем вообще заморачиваться с обходом блокировки таким способом в ОС?
[Профиль]  [ЛС] 

llatigid

Стаж: 8 лет 3 месяца

Сообщений: 17

llatigid · 13-Июн-17 17:34 (спустя 1 день 3 часа)

[Цитировать] 

vlad_ns писал(а):
73283763llatigid
Кстати, при наличии роутера с openwrt зачем вообще заморачиваться с обходом блокировки таким способом в ОС?
Хорошо, тогда как прописать точно такое же правило через iptables?
[Профиль]  [ЛС] 

Alexxx585858

Стаж: 6 лет 11 месяцев

Сообщений: 11


Alexxx585858 · 13-Июн-17 19:30 (спустя 1 час 55 мин.)

[Цитировать] 

Какой из двух способов для ростелекома создает меньшую нагрузку на ЦП роутера? Подозреваю что u32 верный выбор.
Наличие правила в forward или prerouting цепочках не влияют на производительность?
Трафик анализируется весь или только ответы от DPI?
Есть не сильно мощный роутер на прошивке lede project и линк ростелекома ~300 Мбит/с.
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 7 лет 8 месяцев

Сообщений: 618

vlad_ns · 13-Июн-17 19:34 (спустя 4 мин., ред. 13-Июн-17 19:34)

[Цитировать] 

llatigid писал(а):
73290447тогда как прописать точно такое же правило через iptables?
Не люблю давать такие "советы", но почитать эту ветку, хотя бы с 13 страницы?
[Профиль]  [ЛС] 

llatigid

Стаж: 8 лет 3 месяца

Сообщений: 17

llatigid · 14-Июн-17 06:41 (спустя 11 часов, ред. 14-Июн-17 06:41)

[Цитировать] 

vlad_ns писал(а):
73291141
llatigid писал(а):
73290447тогда как прописать точно такое же правило через iptables?
Не люблю давать такие "советы", но почитать эту ветку, хотя бы с 13 страницы?
Зато отлично удаётся утверждать про правила в openwrt .
Уже и всю тему в этой ветке, не встретил упоминания о фильтрации по домену.
Это корректное правило?
Код:
iptables -t raw -p tcp --sport 443 -m string --hex-string 'Location: https://rutracker.org' --tcp-flags ALL RST,ACK -j DROP
[Профиль]  [ЛС] 

Dicrock

Стаж: 5 лет 6 месяцев

Сообщений: 230


Dicrock · 14-Июн-17 08:12 (спустя 1 час 31 мин., ред. 14-Июн-17 08:12)

[Цитировать] 

llatigid писал(а):
Это корректное правило?
Код:
iptables -t raw -p tcp --sport 443 -m string --hex-string 'Location: https://rutracker.org' --tcp-flags ALL RST,ACK -j DROP
Нет. Для роутера на OpenWrt корректны эти правила :
Код:
iptables -I FORWARD -p tcp --sport 443 -m connbytes --connbytes 1:2 --connbytes-mode packets --connbytes-dir reply -m u32 --u32 "0x4=0x10000&&0x1E&0xffff=0x5004" -j DROP
iptables -I FORWARD -p tcp --sport 80 -m string --algo bm --string "Location: http://warning.rt.ru" -j DROP
Правда есть пара нюансов -
1. Для фильтрации https нужна пара доп.модулей iptables, которых "из коробки" может и не быть (что за модули навскидку не вспомню, но могу позже посмотреть если сильно нужно).
2. location для 80 порта может варьироваться от филиала к филиалу РТ
3. Оригинальные правила были предназначались для таблицы mangle ( -t mangle), но у меня всё вполне работало, когда правила были расположены в "корневых" таблицах
4. Файерволл OpenWrt ходу этим правилам не даст, пока его не отключишь или где-то их не пропишешь (выяснять что там было влом, т.к. openwrt крутился у меня на virtual box, ежели выясните что, к чему - буду очень благодарен).
[Профиль]  [ЛС] 

ValdikSS

Стаж: 9 лет 11 месяцев

Сообщений: 264


ValdikSS · 14-Июн-17 10:31 (спустя 2 часа 18 мин.)

[Цитировать] 

llatigid
Зачем вам фильтрация по домену? Отбрасывайте пакеты от DPI глобально, для всех доменов. В первом сообщении темы актуальные правила.
[Профиль]  [ЛС] 

Alexxx585858

Стаж: 6 лет 11 месяцев

Сообщений: 11


Alexxx585858 · 14-Июн-17 16:03 (спустя 5 часов)

[Цитировать] 

ValdikSS писал(а):
73294003llatigidВ первом сообщении темы актуальные правила.
поясните как работает правило с u32 доступным языком для идиота. Проверяются все входящие пакеты или только пакеты от DPI? Как это влияет на скорость соединения при слабом роутере и линке в ~300Мбит/с. Спасибо.
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 7 лет 8 месяцев

Сообщений: 618

vlad_ns · 14-Июн-17 19:08 (спустя 3 часа, ред. 06-Июл-17 18:38)

[Цитировать] 

llatigid писал(а):
73293357Зато отлично удаётся утверждать про правила в openwrt
Я не пользовался этой прошивкой. Но читал что у неё самые большие возможности из всех альтернативных, думаю проблем с iptables там не будет.
Alexxx585858 писал(а):
73295463поясните как работает правило с u32 доступным языком ...
http://maintracker.org/forum/viewtopic.php?p=72808163#72808163
[Профиль]  [ЛС] 

Alexxx585858

Стаж: 6 лет 11 месяцев

Сообщений: 11


Alexxx585858 · 15-Июн-17 09:01 (спустя 13 часов)

[Цитировать] 

vlad_ns
Все ясно, u32 проверяет несколько байт всего входящего трафика с 443 порта. Как это влияет на загрузку процессора роутера?
[Профиль]  [ЛС] 

ValdikSS

Стаж: 9 лет 11 месяцев

Сообщений: 264


ValdikSS · 15-Июн-17 10:30 (спустя 1 час 29 мин.)

[Цитировать] 

Alexxx585858
Минимально. Все проверки происходят в ядре, вы не заметите изменение в производительности.
[Профиль]  [ЛС] 

llatigid

Стаж: 8 лет 3 месяца

Сообщений: 17

llatigid · 06-Июл-17 02:40 (спустя 20 дней)

[Цитировать] 

Смотрите что нашлось: https://developers.google.com/speed/public-dns/docs/dns-over-https.
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 7 лет 8 месяцев

Сообщений: 618

vlad_ns · 06-Июл-17 18:50 (спустя 16 часов)

[Цитировать] 

llatigid
Уже есть dnscrypt, который запрос передаёт шифрованном виде. По описанию (переводил через гуглопереводчик), предлагается использовать гугловский dns видимо, что не есть хорошо. Я пользуюсь вот этими через dnscrypt: https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv с флагами DNSSEC validation и No logs - yes.
[Профиль]  [ЛС] 

warez_zone

Стаж: 10 месяцев

Сообщений: 3


warez_zone · 09-Авг-17 22:37 (спустя 1 месяц 3 дня)

[Цитировать] 

Друзья, давайте что-то подобное сделаем для провайдера Эт Хоум(Питерский пров). Готов принять участие, тока руки у меня из жопы растут. Роутер Asus N16 прошивка AdvancedTomato.
[Профиль]  [ЛС] 

vlad_ns

Top Bonus 05* 10TB

Стаж: 7 лет 8 месяцев

Сообщений: 618

vlad_ns · 10-Авг-17 20:10 (спустя 21 час)

[Цитировать] 

warez_zone
Сразу говорю что я не спец, вот отсюда можно попробовать: https://www.opennet.ru/tips/2999_iptables_block_tor.shtml
[Профиль]  [ЛС] 

Dicrock

Стаж: 5 лет 6 месяцев

Сообщений: 230


Dicrock · 11-Авг-17 05:37 (спустя 9 часов, ред. 11-Авг-17 05:37)

[Цитировать] 

warez_zone, снимаете дамп tcpdump'ом на роутере или wireshark'ом на ПК (если на ПК linux, то используйте тот же tcpdump) во время открытия залоченных сайтов и выкладываете сюда, а после спецы подскажут вам решение ( если что, это не ко мне я всё пытался осилить алгоритм составления правил на базе данных из дампов, но увы).
[Профиль]  [ЛС] 
 
Ответить
Loading...
Error