Обход блокировки провайдеров Дом.ру, Ростелеком, ОнЛайм при помощи iptables

Страницы :  1, 2, 3, 4, 5, 6, 7, 8, 9, 10  След.

Ответить
Автор
Сообщение

XtenD-Vas

Стаж: 4 года 9 месяцев

Сообщений: 34

01-Дек-15 19:58 (1 год 1 месяц назад, ред. 07-Окт-16 00:34)

[Цитировать] 

Обход блокировки провайдеров Дом.ру, Ростелеком, ОнЛайм при помощи iptables-Предлагаю способ обхода заглушки без использования VPN и прокси.
Данный способ можно использовать на компьютерах под управлением ОС на ядре Linux,
а так же на маршрутизаторах, прошивка которых поддерживает iptables.
Механизм блокировок-Провайдер следит за отправляемыми в сеть пакетами и отправляет вам поддельные ответы от заблокированных Роскомнадзором ресурсов. Поддельный ответ от провайдера, обычно, приходит раньше чем ответ от заблокированного ресурса, поэтому наш клиент, принимая поддельный пакет думает, что ответ уже получен и закрывает соединение, так и не дождавшись пакета от настоящего сервера. Таким образом, мы имеем один запрос от нас, и два ответа от сервера, один из которых поддельный от провайдерского оборудования, а другой - настоящий, от нужного нам сайта. Отсеяв поддельный пакет от провайдера на брандмауэре, мы начнём получать только настоящие пакеты. Для данных целей идеально подошёл встроенный в ядро Linux брандмауэр - Netfilter, утилитой для работы с которым является Iptables. Расширение string позволяет брандмауэру производить нужный нам анализ пакетов: определять какие пакеты являются поддельными и отсеивать их.
Ниже приведены готовые правила для фильтрации таких пакетов на некоторых провайдерах, а так же способы установки их на маршрутизаторы.
Список правил, актуален на 06.10.16, Третья заглушка у дома.ру.-
Дом.ру, Interzet : IPv4/IPv6, raw prerouting
# Дом.ру спуфит HTTP и DNS. Для HTTPS метода не найдено, возможно блокировка происходит у магистрального провайдера.
# Для IPv4 http и dns
iptables -t raw -N lawfilter
iptables -t raw -A lawfilter -p tcp --sport 80 -m string --hex-string 'Location: http://lawfilter.ertelecom.ru' --algo bm --from 150 --to 350 -j DROP
iptables -t raw -A lawfilter -p tcp --sport 80 -m string --hex-string 'Location: http://lawfilter2.ertelecom.ru' --algo bm --from 150 --to 350 -j DROP
iptables -t raw -A lawfilter -p tcp --sport 80 -m string --hex-string 'Location: http://law.filter.ertelecom.ru' --algo bm --from 150 --to 350 -j DROP
iptables -t raw -A lawfilter -p udp --sport 53 -m string --hex-string "|5cfff164|" --algo bm --from 50 --to 80 -j DROP
iptables -t raw -A lawfilter -p udp --sport 53 -m string --hex-string "|5cfff16e|" --algo bm --from 50 --to 80 -j DROP
iptables -t raw -A lawfilter -p udp --sport 53 -m string --hex-string "|2a022698a00000000000000000000064|" --algo bm --from 50 --to 80 -j DROP
iptables -t raw -A lawfilter -p udp --sport 53 -m string --hex-string "|2a022698a00000000000000000000110|" --algo bm --from 50 --to 80 -j DROP
iptables -t raw -I PREROUTING -j lawfilter
# Для IPv6 http и dns
ip6tables -t raw -N lawfilter
ip6tables -t raw -A lawfilter -p tcp --sport 80 -m string --hex-string 'Location: http://lawfilter.ertelecom.ru' --algo bm --from 150 --to 350 -j DROP
ip6tables -t raw -A lawfilter -p tcp --sport 80 -m string --hex-string 'Location: http://lawfilter2.ertelecom.ru' --algo bm --from 150 --to 350 -j DROP
ip6tables -t raw -A lawfilter -p tcp --sport 80 -m string --hex-string 'Location: http://law.filter.ertelecom.ru' --algo bm --from 150 --to 350 -j DROP
ip6tables -t raw -A lawfilter -p udp --sport 53 -m string --hex-string "|5cfff164|" --algo bm --from 50 --to 80 -j DROP
ip6tables -t raw -A lawfilter -p udp --sport 53 -m string --hex-string "|5cfff16e|" --algo bm --from 50 --to 80 -j DROP
ip6tables -t raw -A lawfilter -p udp --sport 53 -m string --hex-string "|2a022698a00000000000000000000110|" --algo bm --from 50 --to 80 -j DROP
ip6tables -t raw -A lawfilter -p udp --sport 53 -m string --hex-string "|2a022698a00000000000000000000064|" --algo bm --from 50 --to 80 -j DROP
ip6tables -t raw -I PREROUTING -j lawfilter
Ростелеком (Москва, и др.) : IPv4, raw prerouting, Экспериментальный
# У Ростелекома множество филиалов и заглушки у них бывают разные. Заглушки, которые у вас не появляются можно закомментировать знаком # или удалить целиком всю строку.
iptables -t raw -N lawfilter
iptables -t raw -A lawfilter -p tcp --sport 80 -m string --hex-string 'Location: http://95.167.13.50' --algo bm --from 50 --to 200 -j DROP
iptables -t raw -A lawfilter -p tcp --sport 80 -m string --hex-string 'Location: http://warning.rt.ru/' --algo bm --from 50 --to 200 -j DROP
iptables -t raw -A lawfilter -p tcp --sport 80 -m string --hex-string 'Location: http://block.ip.center.rt.ru' --algo bm --from 50 --to 200 -j DROP
iptables -t raw -I PREROUTING -j lawfilter
Ростелеком (Москва, и др.) : IPv4, raw prerouting, Альтернативный
# Фильтры из сообщения ValdikSS, работают для HTTP и HTTPS, наличие других фильтров не обязательно.
iptables -t raw -A PREROUTING -p tcp --sport 80 -m u32 --u32 "0x1E&0xFFFF=0x5010 && 0x60=0x7761726e && 0x64=0x696e672e && 0x68=0x72742e72" -m comment --comment "Rostelecom HTTP" -j DROP
iptables -t raw -A PREROUTING -p tcp --sport 443 -m u32 --u32 "4=0x00000000&&0x20=0x50140000" -m comment --comment "Rostelecom HTTPS" -j DROP
ОнЛайм : IPv4, raw prerouting, экспериментальный
# ОнЛайм может отображать Ростелекомовскую заглушку, дропаем и их тоже.
iptables -t raw -N lawfilter
iptables -t raw -A lawfilter -p tcp --sport 80 -m string --hex-string 'Location: http://95.167.13.50' --algo bm --from 50 --to 200 -j DROP
iptables -t raw -A lawfilter -p tcp --sport 80 -m string --hex-string 'Location: http://block.ip.center.rt.ru' --algo bm --from 50 --to 200 -j DROP
iptables -t raw -A lawfilter -p tcp --sport 80 -m string --hex-string 'Location: http://warning.rt.ru/' --algo bm --from 50 --to 200 -j DROP
iptables -t raw -A lawfilter -p tcp --sport 80 -m string --hex-string 'Location: http://77.37.254.90' --algo bm --from 50 --to 200 -j DROP
iptables -t raw -I PREROUTING -j lawfilter
Установка на маршрутизаторах-
С прошивкой OpenWrt (старый интерфейс)
1. Установите сторонние DNS-серверы:
Network -> Interfaces -> WAN
Убираем галочку с поля "Use DNS servers advertised by peer", появится поле внизу (Use Custom DNS servers), вводим туда адрес желаемого DNS сервера, например 8.8.8.8.
Сохраняем нажав на кнопку "Save & Apply".
Список публичных DNS-серверов можно найти в этой теме.
-2. Установите пакеты, для правильной работы расширений в iptables:
System -> Software
В поле "Download and install package": вводим название пакета "iptables-mod-filter", жмём кнопку "ОК" и дожидаемся окончания установки.
Этого должно хватить если вы используете набор правил для расширения string
Начиная с версии "Attitude Adjustment 12.09" можно установить поддержку модуля u32, для работы набора правил расширения u32 в iptables
Для этого необходимо в "Download and install package": ввести название пакета "iptables-mod-u32" и дождаться окончания установки.
-3. Скопируйте правила в поле "Custom Rules", для автоматической загрузки правил при запуске роутера.
Network -> Firewall-> Custom Rules
-4. Перезагрузите роутер.
System -> Reboot
Жмём на ссылку "Perform reboot"
Так же желательно перезагрузить компьютер для сброса кэша DNS-записей.
С прошивкой OpenWrt (новый интерфейс)
1. Установите сторонние DNS-серверы:
Network -> Interfaces
Выбираем интерфейс, с которого роутер выходит в интернет. В данном случае это WAN, кликаем на кнопку "EDIT".
В открывшихся настройках интерфейса переходим во вкладку "Advanced Settings".
Убираем галочку с поля "Use DNS servers advertised by peer", появится поле внизу (Use Custom DNS servers), вводим туда адрес желаемого DNS сервера, например 8.8.8.8.
Сохраняем нажав на кнопку "Save & Apply".
Список публичных DNS-серверов можно найти в этой теме.

-2. Установите пакеты, для правильной работы расширений в iptables:
System -> Software
Обновляем список пакетов нажатием на кнопку "Update lists" (Необходим выход в интернет)
После чего в поле "Download and install package": вводим название пакета "iptables-mod-filter", жмём кнопку "ОК" и дожидаемся окончания установки.
-3. Скопируйте правила в поле "Custom Rules", для автоматической загрузки правил при запуске роутера.
Network -> Firewall-> Custom Rules
В текстовое поле копируем наши фильтры и сохраняем нажатием на кнопку "Submit".
-4. Перезагрузите роутер.
System -> Reboot
Жмём на ссылку "Perform reboot"
Так же желательно перезагрузить компьютер для сброса кэша DNS-записей.
С прошивкой Tomato (by shibby)
1. Установите сторонние DNS-серверы:
Basic -> Network
Впишите желаемые адреса DNS серверов в поле "Static DNS", например 8.8.8.8 и сохраните ваши изменения нажав на кнопку "Save".
Список публичных DNS-серверов можно найти в этой теме.
-2. Если вы используете правила для расширения string, то активируйте модуль "ipt/xt_string" в поле Init.
Administration -> Scripts
Если у вашей прошивки версия ядра 2.4(K24) впишите строку "modprobe -a ipt_string" в поле Init,
а если версия ядра 2.6(K26) тогда впишите строку "modprobe -a xt_string".
Узнать версию ядра можно в разеде "About" : Tomato Firmware 1.28.0000 MIPSR1-132 K24 USB Big-VPN
Модуль "ipt/xt_string" необходим для работы расширения string в iptables.
-3. Скопируйте правила в поле Firewall, для автоматической загрузки правил при запуске роутера.
Administration -> Scripts
Сохраните изменения нажав на кнопку "Save".
-4. Перезагрузите роутер.
Вкладка "System" (Справа Сверху) -> Reboot
Так же желательно перезагрузить компьютер для сброса кэша DNS-записей.
С прошивкой Tomato (AdvancedTomato)
1. Установите сторонние DNS-серверы:
Basic Settings -> Network
Впишите желаемые адреса DNS серверов в поле "Static DNS", например 8.8.8.8 и сохраните ваши изменения нажав на кнопку "Save".
Список публичных DNS-серверов можно найти в этой теме.
-2. Если вы используете правила для расширения string, то активируйте модуль "xt_string" в поле Init.
Administration -> Scripts
Впишите строку "modprobe -a xt_string" в поле Init.
Модуль "xt_string" необходим для работы расширения string в iptables.
-3. Скопируйте правила в поле Firewall, для автоматической загрузки правил при запуске роутера.
Administration -> Scripts
Сохраните изменения нажав на кнопку "Save".
-4. Перезагрузите роутер.
Вкладка "System" (Справа Сверху) -> Reboot
Так же желательно перезагрузить компьютер для сброса кэша DNS-записей.
Mikrotik RouterOS, для Ростелекома
Ссылка на статью в этом посте: http://maintracker.org/forum/viewtopic.php?p=69972630#69972630
Работоспособность проверена на-
Провайдерах
Дом.Ру:
✔ г.Санкт-Петербург
✔ г.Набережные Челны
✔ г.Нижний Новгород
✔ г.Саратов
✔ г.Самара
Interzet:
✔ г.Санкт-Петербург
Ростелеком:
✔ г.Москва
✔ г.Санкт-Петербург
ОнЛайм (объединён с Ростелекомом):
✔ г.Москва
Больше информации-! Проверить работоспособность можно утилитой BlockCheck от ValdikSS : Ссылка на загрузку
! Все вышеуказанные действия, вы выполняете на свой страх и риск, автор не несёт никакой ответственности за ваши маршрутизаторы, которые в случае неудачной прошивки/настройки могут стать неработоспособными.
! В качестве DNS-серверов используйте любые сервера, но не провайдерские, они блокируют вебсайты. Список публичных DNS-серверов можно найти в этой теме.
! Фильтры не работают на сайтах, загруженных при помощи зашифрованных соединений ( https / vpn / dnscrypt )
! Если у кого-то заработает в другом городе или на какой-либо другой прошивке, пожалуйста поделитесь в сообщении к теме.
! Подробнее о "Спуфинге" на википедии.
[Профиль]  [ЛС] 

Polzuk

Стаж: 7 лет 2 месяца

Сообщений: 1


01-Дек-15 20:07 (спустя 9 минут)

[Цитировать] 

[Профиль]  [ЛС] 

djlyolik

Top Bonus ****

Стаж: 9 лет 1 месяц

Сообщений: 52

02-Дек-15 17:56 (спустя 21 час)

[Цитировать] 

Подскажите, пожалуйста, как это включить на OpenWRT?
[Профиль]  [ЛС] 

XtenD-Vas

Стаж: 4 года 9 месяцев

Сообщений: 34

03-Дек-15 01:10 (спустя 7 часов, ред. 03-Дек-15 01:10)

[Цитировать] 

djlyolik писал(а):
69417710Подскажите, пожалуйста, как это включить на OpenWRT?
Network -> Firewall -> Custom Rules, копируем правила в поле, сохраняем настройки
скрытый текст
[Профиль]  [ЛС] 

vlad_ns

Стаж: 6 лет 10 месяцев

Сообщений: 259


06-Дек-15 22:07 (спустя 3 дня, ред. 07-Дек-15 22:03)

[Цитировать] 

Замечательный способ! Можно узнать что делают эти строки, более детально?
Дом.ру, Н. Челны, роутер на Ubuntu Server. У меня основной способ обхода связка tor+privoxy. Этот способ лучше, не нужно использовать тор...
Я тут заметил некоторый недостаток. У меня настроен dnscrypt-proxy, решил временно отключить его и воспользоваться (автоматически) dns-серверами провайдера. Вот в таком случае уже не работает, блокируемый сайт очень долго загружается (я не дождался). Ну и blockcheck в таком случае определяет что dns записи подменяются и рекомендация использовать сторонний dns.
[Профиль]  [ЛС] 

XtenD-Vas

Стаж: 4 года 9 месяцев

Сообщений: 34

08-Дек-15 01:01 (спустя 1 день 2 часа, ред. 08-Дек-15 01:01)

[Цитировать] 

vlad_ns писал(а):
69454637Замечательный способ! Можно узнать что делают эти строки, более детально?
Дом.ру, Н. Челны, роутер на Ubuntu Server. У меня основной способ обхода связка tor+privoxy. Этот способ лучше, не нужно использовать тор...
Я тут заметил некоторый недостаток. У меня настроен dnscrypt-proxy, решил временно отключить его и воспользоваться (автоматически) dns-серверами провайдера. Вот в таком случае уже не работает, блокируемый сайт очень долго загружается (я не дождался). Ну и blockcheck в таком случае определяет что dns записи подменяются и рекомендация использовать сторонний dns.
Не баг а фича™, следуйте рекомендациям. DNS-сервера провайдера тоже блокируют сайты, но только это происходит уже без фальсификации ответов приходящих с других dns-серверов.
Так же учтите, что указанные в шапке темы правила не будут отрабатывать по зашифрованному трафику, ровно как и дом.рушный dpi.
По поводу работы строк, распишу более детально чуть позже.
[Профиль]  [ЛС] 

vlad_ns

Стаж: 6 лет 10 месяцев

Сообщений: 259


08-Дек-15 22:18 (спустя 21 час, ред. 08-Дек-15 22:18)

[Цитировать] 

XtenD-Vas писал(а):
69464495следуйте рекомендациям.
Ну я лишь добавил строки из первого способа, dnscrypt уже был настроен, просто решил проверить как он влияет и влияет ли вообще. Просто, наверно другие могут столкнуться с этой проблемой?
XtenD-Vas писал(а):
69464495По поводу работы строк, распишу более детально чуть позже.
Заранее спасибо!
А-а, по поводу рекомендаций дошло . Я в те спойлеры не заглядывал, ибо не на маршрутизаторе (типа аппаратном) настраивал.
[Профиль]  [ЛС] 

a-yrich

Стаж: 5 лет

Сообщений: 2


12-Дек-15 23:20 (спустя 4 дня)

[Цитировать] 

Работает, спасибо!
Домru Н.Новгород
Оpenwrt TP-Link TL-WR842ND v2
blockcheck 0.0.6.4
[O] Тестируем DNS
[O] Получаем эталонные DNS с сервера
Эталонные адреса: ['104.25.118.23', '104.25.119.23', '212.47.251.61', '5.178.68.100', '69.165.95.242']
Адреса через системный DNS: ['104.25.118.23', '104.25.119.23', '212.47.251.61', '5.178.68.100', '69.165.95.242']
Адреса через Google DNS: ['104.25.118.23', '104.25.119.23', '212.47.251.61', '5.178.68.100', '69.165.95.242']
Адреса через DNS AntiZapret: ['107.150.11.192', '107.150.11.192', '107.150.11.192', '107.150.11.192']
[✓] DNS-записи не подменяются
[✓] DNS не перенаправляется
[O] Тестируем HTTP
Открываем http://gelbooru.com/
[✓] Сайт открывается
Открываем http://gelbooru.com/index.php?page=post&s=view&id=1989610
[✓] Сайт открывается
Открываем http://sukebei.nyaa.se/?page=view&tid=395631
[✓] Сайт открывается
Открываем http://sukebei.nyaa.se/
[✓] Сайт открывается
Открываем через прокси http://gelbooru.com/
[✓] Сайт открывается
Открываем через прокси http://gelbooru.com/index.php?page=post&s=view&id=1989610
[✓] Сайт открывается
Открываем через прокси http://sukebei.nyaa.se/?page=view&tid=395631
[✓] Сайт открывается
Открываем через прокси http://sukebei.nyaa.se/
[✓] Сайт открывается
[O] Тестируем HTTPS
Открываем https://2chru.cafe/
[☠] Сайт не открывается
Открываем https://e621.net/
[☠] Сайт не открывается
[!] Результат:
[⚠] Ваш провайдер блокирует доступ к HTTPS-сайтам.
[Профиль]  [ЛС] 

Natsuru-san

Стаж: 7 лет 6 месяцев

Сообщений: 430

Откуда: Дубна

18-Дек-15 15:52 (спустя 5 дней)

[Цитировать] 

Не работает. Ростелеком, область.
блокчек 0.0.6.4
[O] Тестируем DNS
[O] Получаем эталонные DNS с сервера
Эталонные адреса: ['104.25.118.23', '104.25.119.23', '212.47.251.61', '5.178.68.100', '69.165.95.242']
Адреса через системный DNS: ['104.25.118.23', '104.25.119.23', '212.47.251.61', '5.178.68.100', '69.165.95.242']
Адреса через Google DNS: ['104.25.118.23', '104.25.119.23', '212.47.251.61', '5.178.68.100', '69.165.95.242']
Адреса через DNS AntiZapret: ['107.150.11.192', '107.150.11.192']
[✓] DNS-записи не подменяются
[✓] DNS не перенаправляется
[O] Тестируем HTTP
Открываем http://sukebei.nyaa.se/?page=view&tid=395631
[☠] Сайт не открывается
Открываем http://sukebei.nyaa.se/
[✓] Сайт открывается
Открываем http://gelbooru.com/index.php?page=post&s=view&id=1989610
[☠] Сайт не открывается
Открываем http://gelbooru.com/
[✓] Сайт открывается
Открываем через прокси http://sukebei.nyaa.se/?page=view&tid=395631
[✓] Сайт открывается
Открываем через прокси http://sukebei.nyaa.se/
[✓] Сайт открывается
Открываем через прокси http://gelbooru.com/index.php?page=post&s=view&id=1989610
[✓] Сайт открывается
Открываем через прокси http://gelbooru.com/
[✓] Сайт открывается
[O] Тестируем HTTPS
Открываем https://e621.net/
[☠] Сайт не открывается
Открываем https://2chru.cafe/
[☠] Сайт не открывается
[!] Результат:
[⚠] Ваш провайдер блокирует доступ к HTTPS-сайтам.
[⚠] У вашего провайдера "обычный" DPI.
Вам поможет HTTPS/Socks прокси, VPN или Tor.
Видимо другая технология блокировок...
[Профиль]  [ЛС] 

XtenD-Vas

Стаж: 4 года 9 месяцев

Сообщений: 34

18-Дек-15 17:04 (спустя 1 час 11 минут, ред. 18-Дек-15 17:04)

[Цитировать] 

Natsuru-san писал(а):
69545598Не работает. Ростелеком, область.
блокчек 0.0.6.4
[O] Тестируем DNS
[O] Получаем эталонные DNS с сервера
Эталонные адреса: ['104.25.118.23', '104.25.119.23', '212.47.251.61', '5.178.68.100', '69.165.95.242']
Адреса через системный DNS: ['104.25.118.23', '104.25.119.23', '212.47.251.61', '5.178.68.100', '69.165.95.242']
Адреса через Google DNS: ['104.25.118.23', '104.25.119.23', '212.47.251.61', '5.178.68.100', '69.165.95.242']
Адреса через DNS AntiZapret: ['107.150.11.192', '107.150.11.192']
[✓] DNS-записи не подменяются
[✓] DNS не перенаправляется
[O] Тестируем HTTP
Открываем http://sukebei.nyaa.se/?page=view&tid=395631
[☠] Сайт не открывается
Открываем http://sukebei.nyaa.se/
[✓] Сайт открывается
Открываем http://gelbooru.com/index.php?page=post&s=view&id=1989610
[☠] Сайт не открывается
Открываем http://gelbooru.com/
[✓] Сайт открывается
Открываем через прокси http://sukebei.nyaa.se/?page=view&tid=395631
[✓] Сайт открывается
Открываем через прокси http://sukebei.nyaa.se/
[✓] Сайт открывается
Открываем через прокси http://gelbooru.com/index.php?page=post&s=view&id=1989610
[✓] Сайт открывается
Открываем через прокси http://gelbooru.com/
[✓] Сайт открывается
[O] Тестируем HTTPS
Открываем https://e621.net/
[☠] Сайт не открывается
Открываем https://2chru.cafe/
[☠] Сайт не открывается
[!] Результат:
[⚠] Ваш провайдер блокирует доступ к HTTPS-сайтам.
[⚠] У вашего провайдера "обычный" DPI.
Вам поможет HTTPS/Socks прокси, VPN или Tor.
Видимо другая технология блокировок...
Правила актуальны только для провайдеров дом.ру(эртелеком) и ИнтерЗет, в фильтрах указаны совпадения только для их заглушек.
У РТК технология может быть такой же, но уже с разными данными, нужно покопаться на выходных.
[Профиль]  [ЛС] 

Natsuru-san

Стаж: 7 лет 6 месяцев

Сообщений: 430

Откуда: Дубна

18-Дек-15 17:31 (спустя 26 минут)

[Цитировать] 

Если надо, могу данные какие-то предоставить или потестировать).
[Профиль]  [ЛС] 

E320 Sportline

Хранитель

Стаж: 9 лет 3 месяца

Сообщений: 807

18-Дек-15 21:48 (спустя 4 часа, ред. 18-Дек-15 21:48)

[Цитировать] 

Дом.ру (Саратов)
iptables ч/з string на прошивке Padavan:
скрытый текст
[O] Тестируем DNS
[O] Получаем эталонные DNS с сервера
Эталонные адреса: ['104.25.118.23', '104.25.119.23', '212.47.251.61', '5.178.68.100', '69.165.95.242']
Адреса через системный DNS: ['104.25.118.23', '104.25.119.23', '212.47.251.61', '5.178.68.100', '69.165.95.242']
Адреса через Google DNS: ['104.25.118.23', '104.25.119.23', '212.47.251.61', '5.178.68.100', '69.165.95.242']
Адреса через DNS AntiZapret: ['107.150.11.192', '107.150.11.192', '107.150.11.192', '107.150.11.192']
[✓] DNS-записи не подменяются
[✓] DNS не перенаправляется
[O] Тестируем HTTP
Открываем http://gelbooru.com/
[✓] Сайт открывается
Открываем http://sukebei.nyaa.se/?page=view&tid=395631
[✓] Сайт открывается
Открываем http://sukebei.nyaa.se/
[✓] Сайт открывается
Открываем http://gelbooru.com/index.php?page=post&s=view&id=1989610
[✓] Сайт открывается
Открываем через прокси http://gelbooru.com/
[✓] Сайт открывается
Открываем через прокси http://sukebei.nyaa.se/?page=view&tid=395631
[✓] Сайт открывается
Открываем через прокси http://sukebei.nyaa.se/
[✓] Сайт открывается
Открываем через прокси http://gelbooru.com/index.php?page=post&s=view&id=1989610
[✓] Сайт открывается
[O] Тестируем HTTPS
Открываем https://2chru.cafe/
[☠] Сайт не открывается
Открываем https://e621.net/
[☠] Сайт не открывается
[!] Результат:
[⚠] Ваш провайдер блокирует доступ к HTTPS-сайтам.
да, кстати, включение или выключение DNSCrypt на результат не влияет...
[Профиль]  [ЛС] 

kaldown

Стаж: 6 лет 10 месяцев

Сообщений: 11


19-Дек-15 04:56 (спустя 7 часов)

[Цитировать] 

Здравсвуйте.
А У меня не получается =(
Подскажите пожалуйста в чем может быть дело.
Вопрос на stack
Если нужно - продублирую здесь по-русски.
Спасибо.
[Профиль]  [ЛС] 

XtenD-Vas

Стаж: 4 года 9 месяцев

Сообщений: 34

19-Дек-15 14:50 (спустя 9 часов)

[Цитировать] 

kaldown писал(а):
69550601Здравсвуйте.
А У меня не получается =(
Подскажите пожалуйста в чем может быть дело.
Вопрос на stack
Если нужно - продублирую здесь по-русски.
Спасибо.
Что конкретно не получается? Давайте по порядку.
1. Какую ОС используете?
2. Где блокируете? (На роутере или на ПК, укажите марку и модель роутера и версию прошивки)
3. Какая ошибка возникает?
[Профиль]  [ЛС] 

kaldown

Стаж: 6 лет 10 месяцев

Сообщений: 11


19-Дек-15 17:30 (спустя 2 часа 39 минут, ред. 19-Дек-15 17:30)

[Цитировать] 

XtenD-Vas писал(а):
69553295
kaldown писал(а):
69550601Здравсвуйте.
А У меня не получается =(
Подскажите пожалуйста в чем может быть дело.
Вопрос на stack
Если нужно - продублирую здесь по-русски.
Спасибо.
Что конкретно не получается? Давайте по порядку.
1. Какую ОС используете?
2. Где блокируете? (На роутере или на ПК, укажите марку и модель роутера и версию прошивки)
3. Какая ошибка возникает?
Здравствуйте.
1. Debian
2. На ПК, который за AP
3. Никакой ошибки не возникает. 2ip видит что я подключен через америки, но домру продолжает выкидывать баннер когда захожу на сайты запрещенные.
[Профиль]  [ЛС] 

XtenD-Vas

Стаж: 4 года 9 месяцев

Сообщений: 34

19-Дек-15 17:57 (спустя 27 минут, ред. 19-Дек-15 17:57)

[Цитировать] 

kaldown писал(а):
Здравствуйте.
1. Debian
2. На ПК, который за AP
3. Никакой ошибки не возникает. 2ip видит что я подключен через америки, но домру продолжает выкидывать баннер когда захожу на сайты запрещенные.
Покажите вывод команды "iptables -L",
убедитесь что скопировали команды из первого сообщения правильно.
[Профиль]  [ЛС] 

kaldown

Стаж: 6 лет 10 месяцев

Сообщений: 11


19-Дек-15 18:05 (спустя 7 минут, ред. 19-Дек-15 18:05)

[Цитировать] 

Код:
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
lawfilter  all  --  anywhere             anywhere
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
lawfilter  all  --  anywhere             anywhere
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Chain lawfilter (2 references)
target     prot opt source               destination
DROP       tcp  --  anywhere             anywhere             tcp spt:http STRING match  "Location: http://lawfilter.ertelecom.ru" ALGO name bm FROM 200 TO 300
DROP       udp  --  anywhere             anywhere             udp spt:domain STRING match  "|5cfff164|" ALGO name bm FROM 50 TO 150
А вообще разве есть смысл настраивать iptables если использую VPN подключение на 80 порту (и даже 53)?
Или я чегото не понимаю, по идеи весь мой трафик должен рассматриваться, как приходящий с сервера, который находится в другой стране. Почемуто spotify, lastfm и другие реагируют, а тут каким-то образом домру определил что я его взуть пытаюсь. Или я чегото не понимаю в VPN?
[Профиль]  [ЛС] 

XtenD-Vas

Стаж: 4 года 9 месяцев

Сообщений: 34

19-Дек-15 18:55 (спустя 50 минут, ред. 19-Дек-15 18:55)

[Цитировать] 

kaldown писал(а):
69554863А вообще разве есть смысл настраивать iptables если использую VPN подключение на 80 порту (и даже 53)?
Или я чегото не понимаю, по идеи весь мой трафик должен рассматриваться, как приходящий с сервера, который находится в другой стране. Почемуто spotify, lastfm и другие реагируют, а тут каким-то образом домру определил что я его взуть пытаюсь. Или я чегото не понимаю в VPN?
Да, с включенным VPN не должно ничего блокировать, т.к весь трафик зашифрован и гонится через другой сервер, а гонится ли? Попробуйте без VPN зайти на любой заблокированный сайт. (К примеру на web.archive.org , или lurkmore.to)
В качестве DNS-сервера юзаете адрес вашей AP, а на самой AP уже адреса dns-серверов google?
Можете ещё привести выводы с команд "traceroute lurkmore.to" и "host lurkmore.to"?
[Профиль]  [ЛС] 

kaldown

Стаж: 6 лет 10 месяцев

Сообщений: 11


19-Дек-15 19:46 (спустя 51 минута, ред. 19-Дек-15 19:46)

[Цитировать] 

Да, лурк тоже блокируется, ровно как и ex.ua, я об этом написал на стаке, с сылкой.
Использую гугловский днс.
Мой провайдер без махинаций
скрытый текст
с включеным VPN
скрытый текст
Собсно сама траблка
скрытый текст
Тот же spotify (запрезенный из россии) открывается на ура
С VPN и без, соответственно:
скрытый текст
Код:
% traceroute lurkmore.to
traceroute to lurkmore.to (178.248.235.25), 30 hops max, 60 byte packets
1  10.12.0.1 (10.12.0.1)  162.882 ms  361.205 ms  361.199 ms
2  * * *
3  * * *
4  * * *
5  * * *
6  * * *
7  *^C
kaldown@kali:~/Pictures/screenshots % traceroute lurkmore.to
traceroute to lurkmore.to (178.248.235.25), 30 hops max, 60 byte packets
1  192.168.0.1 (192.168.0.1)  1.107 ms  1.374 ms  1.872 ms
2  10.92.127.254 (10.92.127.254)  624.773 ms  719.181 ms  816.473 ms
3  lag-3-438.bgw01.tmn.ertelecom.ru (109.194.168.30)  5.002 ms  5.003 ms  4.999 ms
4  Ertelecom-gw.transtelecom.net (188.43.11.121)  31.906 ms  31.917 ms  32.921 ms
5  mskn08.transtelecom.net (188.43.11.122)  35.953 ms  35.963 ms  35.958 ms
6  10.99.99.125 (10.99.99.125)  34.542 ms  30.431 ms  30.366 ms
7  HLL-gw.transtelecom.net (188.43.15.237)  30.361 ms  30.357 ms  30.354 ms
8  * * *
9  * * *
10  * * *
11  * * *
12  * * *
13  *^C
[Профиль]  [ЛС] 

XtenD-Vas

Стаж: 4 года 9 месяцев

Сообщений: 34

19-Дек-15 20:03 (спустя 17 минут, ред. 19-Дек-15 20:03)

[Цитировать] 

kaldown писал(а):
69555675Да, лурк тоже блокируется, ровно как и ex.ua, я об этом написал на стаке, с сылкой.
Использую гугловский днс.
Мой провайдер без махинаций
Похоже на блокировку по DNS, результаты команд "curl --resolve lurkmore.to:80:178.248.235.25 http://lurkmore.to | grep MediaWiki" и "dig lurkmore.to @8.8.8.8" какие?
з.ы Spotify никто в России не запрещал, эт они сами себя заблокировали. Кстати, его можно обмануть используя заголовки X-Forwarded-For c американским IP-адресом, для Firefox есть плагин iPFlood.
[Профиль]  [ЛС] 

kaldown

Стаж: 6 лет 10 месяцев

Сообщений: 11


19-Дек-15 20:32 (спустя 28 минут, ред. 19-Дек-15 20:32)

[Цитировать] 

Флешнул iptables.
скрытый текст
Код:
% curl --resolve lurkmore.to:80:178.248.235.25 http://lurkmore.to | grep MediaWiki
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:-- 100    13  100    13    0     0    411      0 --:--:-- --:--:-- --:--:--   419
kaldown@kali:~ % dig lurkmore.to @8.8.8.8
; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> lurkmore.to @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64226
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;lurkmore.to.   IN A
;; ANSWER SECTION:
lurkmore.to.  600 IN A 92.255.241.100
;; Query time: 1 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sat Dec 19 22:11:04 YEKT 2015
;; MSG SIZE  rcvd: 45
Цитата:
з.ы Spotify никто в России не запрещал, эт они сами себя заблокировали. Кстати, его можно обмануть используя заголовки X-Forwarded-For c американским IP-адресом, для Firefox есть плагин iPFlood.
Cори что ввел в заблуждение, я хотел сказать, что сервисы реагируют на этот VPN.
[Профиль]  [ЛС] 

XtenD-Vas

Стаж: 4 года 9 месяцев

Сообщений: 34

19-Дек-15 20:48 (спустя 15 минут)

[Цитировать] 

kaldown писал(а):
Флешнул iptables.
После применения правил перезагружаетесь?
[Профиль]  [ЛС] 

kaldown

Стаж: 6 лет 10 месяцев

Сообщений: 11


19-Дек-15 20:53 (спустя 5 минут)

[Цитировать] 

XtenD-Vas писал(а):
69556268
kaldown писал(а):
Флешнул iptables.
После применения правил перезагружаетесь?
Конечно.
[Профиль]  [ЛС] 

XtenD-Vas

Стаж: 4 года 9 месяцев

Сообщений: 34

19-Дек-15 21:06 (спустя 12 минут, ред. 19-Дек-15 21:13)

[Цитировать] 

kaldown писал(а):
69556326
XtenD-Vas писал(а):
69556268
kaldown писал(а):
Флешнул iptables.
После применения правил перезагружаетесь?
Конечно.
В этом и проблема, наверное, iptables после загрузки обычно очищается...
Примените правила ещё раз (если не применили после перезагрузки), и сохраните их в файл:
Код:
iptables-save > /etc/lawfilter.rules
И заствьте их восстанавливаться после перезагрузки отредактировав файл "/etc/network/interfaces" примерно так:
(разместим строку "post-up iptables-restore < /etc/lawfilter.rules" после всех строк в loopback)
Код:
# The loopback network interface
auto lo
iface lo inet loopback
post-up iptables-restore < /etc/lawfilter.rules
После перезагрузки убедитесь что правила там присутствуют.
[Профиль]  [ЛС] 

kaldown

Стаж: 6 лет 10 месяцев

Сообщений: 11


19-Дек-15 21:13 (спустя 7 минут)

[Цитировать] 

Я наверно не правильно Вас понял, когда Вы сказали что "Да, с включеным VPN не должно блокировать..." потому и очистил iptables.
Вообще как-то странно что все так, попробую найти полноценный VPN, а не только по порту.
Может поскажите, есть ли такие?
[Профиль]  [ЛС] 

XtenD-Vas

Стаж: 4 года 9 месяцев

Сообщений: 34

19-Дек-15 21:27 (спустя 14 минут, ред. 19-Дек-15 21:27)

[Цитировать] 

kaldown писал(а):
69556516Я наверно не правильно Вас понял, когда Вы сказали что "Да, с включеным VPN не должно блокировать..." потому и очистил iptables.
Вообще как-то странно что все так, попробую найти полноценный VPN, а не только по порту.
Может поскажите, есть ли такие?
С включённым VPN не должно блокировать сайты. Метод с iptables на работу VPN не повлияет.
Да, впн можно подобрать в этом разделе. Для OpenVPN подойдёт этот вариант или этот.
[Профиль]  [ЛС] 

vlad_ns

Стаж: 6 лет 10 месяцев

Сообщений: 259


05-Янв-16 16:11 (спустя 16 дней)

[Цитировать] 

Можно (думаю что да) этим способом блокировать сообщения рекламного характера, которые иногда вставляет Дом.ру? Появляются они отсюда http://info.ertelecom.ru/.
[Профиль]  [ЛС] 

Dark@Game

Стаж: 4 года 4 месяца

Сообщений: 48

10-Янв-16 20:40 (спустя 5 дней)

[Цитировать] 

Доброго времени суток, подскажите пожалуйста а можно это как то реализовать на вин хр ?? роутера у меня нету, кабель на прямую подключен к компу, но из за того что мерзкий домру подменяет ssl сертификаты (или что он с ними там вытворяет, что по https сайты не открываются, я хз) VPN у меня есть, но иногда все равно идет подмена ssl сертификатов, а каждый раз чистить кэш DNS не вариант
[Профиль]  [ЛС] 

Merconzo

Стаж: 8 лет 3 месяца

Сообщений: 80


11-Янв-16 16:57 (спустя 20 часов)

[Цитировать] 

Dark@Game
Никак. Используй dnscrypt для защиты от подмены днс-ответов.
[Профиль]  [ЛС] 

d.telnov

Стаж: 7 лет 7 месяцев

Сообщений: 1


13-Янв-16 13:28 (спустя 1 день 20 часов)

[Цитировать] 

не подскажите куда воткнуть этот блок (если я правильно понял):
Цитата:
iptables -t filter -N lawfilter
iptables -t filter -A lawfilter -p udp --sport 53 -m u32 --u32 "0>>18&0x3C@6&0xFFFF@0&0xFFFFFFFF=0x5cfff164" -j DROP
iptables -t filter -A lawfilter -p tcp --sport 80 -m u32 --u32 "0>>22&0x3C@12>>26&0x3C@173=0x4c6f6361&&0>>22&0x3C@12>>26&0x3C@189=0x2f6c6177&&0>>22&0x3C@12>>26&0x3C@197=0x65722e65&&0>>22&0x3C@12>>26&0x3C@201=0x7274656c&&0>>22&0x3C@12>>26&0x3C@209=0x2e72750d" -j DROP
iptables -t filter -I FORWARD -j lawfilter
iptables -t filter -I INPUT -j lawfilter
и что включить в роутере Asus N65U на прошивке padavan.
[Профиль]  [ЛС] 
 
Ответить
Loading...
Error