Не работает с connbytes в правилах iptables

alekskomp commented 3 hours ago

Приветствую. Не работают правила с модулем connbytes в iptables При этом в логах видно, что SNI детектятся. conntrack включен.

youtubeUnblock[18423]: Target SNI detected: rr5---sn-ixh7yn7e.googlevideo.com
youtubeUnblock[18423]: Target SNI detected: i.ytimg.com
youtubeUnblock[18423]: Target SNI detected: rr2---sn-ixh7rn76.googlevideo.com
youtubeUnblock[18423]: Target SNI detected: rr2---sn-ixh7rn76.googlevideo.com
youtubeUnblock[18423]: Target SNI detected: rr5---sn-ixh7rn76.googlevideo.com
youtubeUnblock[18423]: Target SNI detected: rr1---sn-ixh7yn7e.googlevideo.com
youtubeUnblock[18423]: Target SNI detected: play.google.com
youtubeUnblock[18423]: Target SNI detected: rr4---sn-npoe7ns6.googlevideo.com

Если убрать из правил connbytes, то все работает как надо.

Система:

Debian 12.7  
6.1.0-26-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.112-1 (2024-09-30) x86_64 GNU/Linux

При этом на точно таком же дебиане, но в виртуальной машине с connbytes в правилах работает нормально.

Waujito commented 3 hours ago

Чёт у вас не то с машиной) И сегфолт и коннбайтс...

alekskomp commented 48 minutes ago

По вашем совету из соседнего issue собрал youtubeUnblock из исходников. Не помогло, c connbytes все так же не "ускоряет" :(

Подскажите, в какую сторону смотреть?

# lsmod | grep conn
xt_conntrack           16384  1
nf_conntrack_netlink    57344  0
xt_connbytes           16384  0
nf_conntrack          188416  3 xt_conntrack,nf_conntrack_netlink,xt_connbytes
nf_defrag_ipv6         24576  1 nf_conntrack
nf_defrag_ipv4         16384  1 nf_conntrack
libcrc32c              16384  2 nf_conntrack,nf_tables
nfnetlink              20480  8 nfnetlink_queue,nft_compat,nf_conntrack_netlink,nf_tables
x_tables               61440  7 xt_conntrack,nft_compat,xt_tcpudp,ip_tables,xt_NFQUEUE,xt_mark,xt_connbytes

Waujito / youtubeUnblock

Не работает с connbytes в правилах iptables #170