bol-van
commented
1 week ago Невозможно, он работает только с udp на определенных портах и определенных IP
Open kjljxybr opened 1 week ago
bol-van
commented
1 week ago Невозможно, он работает только с udp на определенных портах и определенных IP
kjljxybr
commented
1 week ago с дефолтным конфигом без 50-discord все работает, с включенным 50-discord но service zapret stop тоже работает, как только запрет включается сразу вылезает то что выше. Провайдер МГТС, Москва
bol-van
commented
1 week ago Версия какая ? Текущая ? Что в custom.d ? 50-discord оригинальный , из той же версии, что и основной zapret ?
bol-van
commented
1 week ago Что за система ? iptables, nftables ?
kjljxybr
commented
1 week ago nftables, openwrt 23.05.5 или какая там последняя, в custom.d оригинальный 50-discord из той же версии и больше ничего, версия - гит пулл, последний коммит https://github.com/bol-van/zapret/commit/f22dcb24877ec9fe6be63ce3cf64d5433a3061b3
bol-van
commented
1 week ago 50-discord запускает дополнительный инстанс nfqws Его легко найти в 'ps' по номеру очереди qnum=65400 или выше Если убить этот процесс, работоспособность восстанавливается ?
kjljxybr
commented
1 week ago Нет, ошибки те же
UPD: после kill не нужно рестартнуть firewall? сделал только kill, может не доделал что то
bol-van
commented
1 week ago Нет, не нужно рестартать фаервол. Значит дело не в дурении, которое инициирует 50-discord. Может в фаерволе ?
Что там в nft list table inet zapret ?
kjljxybr
commented
1 week ago https://pastebin.com/S0Uv9TBe pastebin тоже отказался открываться, пришлось стопать запрет список скопировал до стопа, вдруг это важно
bol-van
commented
1 week ago А если запустить без 50-discord, что в nft list table inet zapret ?
Должно лишь исчезнуть вот это правило
chain postnat {
oifname @wanif udp dport 50000-50099 ct original packets 1-3 ip daddr @discord ip daddr != @nozapret meta mark set meta mark | 0x20000000 queue flags bypass to 65400https://pastebin.com/FPhR4CsM pastebin заработал, hse.ru все так же сломано, лечится полной переустановкой без 50-discord ну или остановкой сервиса
bol-van
commented
1 week ago Так работает
chain postnat {
oifname @wanif udp dport 443 ct original packets 1-9 ip daddr != @nozapret meta mark set meta mark | 0x20000000 queue flags bypass to 200
oifname @wanif tcp dport { 80, 443 } ct original packets 1-9 ip daddr != @nozapret meta mark set meta mark | 0x20000000 queue flags bypass to 200
}А так не работает
chain postnat {
oifname @wanif udp dport 50000-50099 ct original packets 1-3 ip daddr @discord ip daddr != @nozapret meta mark set meta mark | 0x20000000 queue flags bypass to 65400
oifname @wanif udp dport 443 ct original packets 1-9 ip daddr != @nozapret meta mark set meta mark | 0x20000000 queue flags bypass to 200
oifname @wanif tcp dport { 80, 443 } ct original packets 1-9 ip daddr != @nozapret meta mark set meta mark | 0x20000000 queue flags bypass to 200
}Я все-таки думаю дело тут не в 50-discord, а в каких-то кэш-моментах броузера. Никак это правило, тем более с отсутствующим обработчиком очереди, не может повлиять на работоспособность обычных сайтов. Основная стратегия ломает сайты или не обходит блокировку.
Можно попробовать сделать NFQWS_ENABLE=0 , оставить 50-discord и перезапустить. Думаю вряд ли что-то будет ломаться , кроме заблокированных. Будет девственный провайдер как есть
kjljxybr
commented
1 week ago Кэш не причем, это буквально первое что я проверил
Можно попробовать сделать NFQWS_ENABLE=0 , оставить 50-discord и перезапустить.
так работает, да, но мне нужен nfqws для обхода ютуба, хотелось бы 2в1 получить
bol-van
commented
1 week ago Вы хоть немного в сетях разбираетесь и в таблицах ? Видите что здесь идет направление на очередь udp портов 50000-50099 по списку ip из сета discord ? Как по вашему это может повлиять на доступность веб сайтов ?
Надо разбираться с основной стратегией, которая не работает.
hse.ru ломается, с ним же ломаются еще энное количество сайтов
ERR_CONNECTION_RESET в хроме SSL_ERROR_RX_MALFORMED_SERVER_HELLO в фаерфоксе
версия последняя, конфиг стандартный кроме как nfqws включен