Общие вопросы по настройке

[fa1ke5]

И снова здравствуйте! Сразу скажу я ценю детальнейший мануал по параметрам который выложили разработчики, с ним все замечательно только он не решает главного вопроса как эту дичь настроить. Можно почитать про методы, про параметры, про тонкости но именно ответа на вопрос как это использовать в нем нет от слова совсем. Я уже писал тут на тему как же все таки обойти блокировку ютуба, пытались разбираться, один из ответов включите лог. Ок, есть параметр --debug=1, добавляем, в сислоге инфа только про старт сервиса. Мало того, сервис при старте же читает конфиг, но в логах ноль внимания на это фунт презрения, правильно он там что то распарсил, неправильно, пофигу. Как это должно работать? Все это описание последовательности стратегий бесполезно без понимания как это построено и как работает. Имеем вот к примеру конфиг там параметры NFQWS_OPT_DESYNC и NFQWS_OPT_DESYNC_QUIC у обоих лепят строку параметров, какая когда работать должна, как оно обрабатывается? есть еще NFQWS_OPT_DESYNC_HTTP и NFQWS_OPT_DESYNC_HTTPS это куда вообще? Что должен cделать рядовой потребитель этого творения что бы получить результат отличный от нулевого? Я прямо очень сильно извиняюсь, но капец наболело ковыряние в этом конфиге. Как я могу узнать что вообще эти параметры обрабатываются а не игнорируются при старте? Скрипт теста стратегий Офигенная вещь, но толку от него ноль, если ты не вставил туда имя домена который реально не работает В случае с ютубом, это может быть один из сервисов стриминга, название его совсем не yutube.com. В итоге скрипт отрабатывает, находит стратегию, бодро докладывает "все пучком командир, щас поедем, юзай эту строку в параметрах", ессно это не помогает от слова совсем.

[electrifying]

это куда вообще?

В актуальных версиях конфиг давно переделан автором

[fa1ke5]

да это все замечательно наверное, мне то что делать что бы этот конфиг работал?

[fa1ke5]

вот пример, включаем отладку, стартуем сервис в сислоге видим Nov 11 14:33:44 atom zapret[23383]: Applying iptables Nov 11 14:33:44 atom zapret[23383]: Creating ip list table (firewall type iptables) Nov 11 14:33:44 atom zapret[23423]: setting high oom kill priority Nov 11 14:33:44 atom zapret[23423]: reloading ipset backend (no-update) Nov 11 14:33:44 atom systemd[1]: Started zapret.service. и ноль реакции на попытку открыть сайт, как это диагностировать? какой то конфиг (вероятно кривые правила там) есть, но он его типа принял.

[eastone11]

вот пример, включаем отладку, стартуем сервис в сислоге видим Nov 11 14:33:44 atom zapret[23383]: Applying iptables Nov 11 14:33:44 atom zapret[23383]: Creating ip list table (firewall type iptables) Nov 11 14:33:44 atom zapret[23423]: setting high oom kill priority Nov 11 14:33:44 atom zapret[23423]: reloading ipset backend (no-update) Nov 11 14:33:44 atom systemd[1]: Started zapret.service. и ноль реакции на попытку открыть сайт, как это диагностировать? какой то конфиг (вероятно кривые правила там) есть, но он его типа принял.

а покажи строку куда ты настройку с дебагом добавил

[eastone11]

Что должен cделать рядовой потребитель этого творения что бы получить результат отличный от нулевого?

у автора программы нет цели чтобы эта программа запускалась у рядового потребителя, отталкивайся от этой мысли и тогда остальное станет понятно)

[fa1ke5]

есть кстати реализация этого запрета под винду и там прям из коробки все летит по дефолтным конфигам https://github.com/Flowseal/zapret-discord-youtube/releases есть даже эти конфиги, но что бы их вкрутить в наш хрен сломаешь пока осмыслишь

start "zapret: general" /min "%BIN%winws.exe" --wf-tcp=80,443 --wf-udp=443,50000-50100 ^ --filter-udp=443 --hostlist="list-general.txt" --dpi-desync=fake --dpi-desync-repeats=6 --dpi-desync-fake-quic="%BIN%quic_initial_www_google_com.bin" --new ^ --filter-udp=50000-50100 --ipset="ipset-discord.txt" --dpi-desync=fake --dpi-desync-any-protocol --dpi-desync-cutoff=d3 --dpi-desync-repeats=6 --new ^ --filter-tcp=80 --hostlist="list-general.txt" --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new ^ --filter-tcp=443 --hostlist="list-general.txt" --dpi-desync=fake,split --dpi-desync-autottl=5 --dpi-desync-repeats=6 --dpi-desync-fooling=badseq --dpi-desync-fake-tls="%BIN%tls_clienthello_www_google_com.bin"

[fa1ke5]

а покажи строку куда ты настройку с дебагом добавил

NFQWS_OPT_DESYNC="--debug=1 --debug_level=2 --dpi-desync=disorder2 --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin" NFQWS_OPT_DESYNC_QUIC="--debug=1 --debug_level=2 --dpi-desync=fake --dpi-desync-repeats=6 --dpi-desync-autottl=5 --dpi-desync-ttl=2 --dpi-desync-any-protocol --dpi-desync-cutoff=d4 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin"

[fa1ke5]

Причем в принципе непонятно ка эти параметры обрабатываются сервисом, я предполагаю, что в зависимости от детектируемого типа пакета выбирается либо десинк либо десинк куик. То есть если пакет не подходит конфиг вообще не применяется, нельзя просто сервису скормить параметр дебаг напостоянку

[eastone11]

--debug_level=2

попробуй без левела, например в файл --debug=@/tmp/log_zapret.txt ну или в сислог если так удобней

[fa1ke5]

то есть ежели по уму, то должно быть что то вроде NFQWS_OPT= тут общие параметры и тут надо указать дебаг NFQWS_OPT_DESYNC = тут необщие ;) NFQWS_OPT_DESYNC_QUIC = тут QUIC

[eastone11]

а ты принципиально старую версию используешь?

[fa1ke5]

попробуй без левела, например в файл --debug=@/tmp/log_zapret.txt ну или в сислог если так удобней

именно это я и попробовал, файл не появляется, полез в мануал, там подобного не обнаружил и поставил так как там написано пробовал и debug и в связке с debug level, ноль на выходе

[eastone11]

ясно, не подскажу тогда почему он у тебя не работает попробуй обновись до последней версии и там тесть

[fa1ke5]

а ты принципиально старую версию используешь?

старую версию чего? пардон, я скачал последнюю с гита, родной конфиг там без правил, забрал правила со старого конфига

[eastone11]

запрета начиная с 66ой версии параметры по типу NFQWS_OPT_DESYNC, NFQWS_OPT_DESYNC_QUIC выглядят как --filter-tcp, --filter-udp

забрал правила со старого конфига

совместимость со старыми конфигами потеряна.

https://github.com/bol-van/zapret/releases

[fa1ke5]

запрета начиная с 66ой версии параметры по типу NFQWS_OPT_DESYNC, NFQWS_OPT_DESYNC_QUIC выглядят как --filter-tcp, --filter-udp

забрал правила со старого конфига

c 66ой версии совместимость со старыми конфигами потеряна.

кабыздец, слов нет, спасибо большое за инфу, тогда сразу становится понятно отличие с виндовой версией

[eastone11]

запрета начиная с 66ой версии параметры по типу NFQWS_OPT_DESYNC, NFQWS_OPT_DESYNC_QUIC выглядят как --filter-tcp, --filter-udp

забрал правила со старого конфига

c 66ой версии совместимость со старыми конфигами потеряна.

кабыздец, слов нет, спасибо большое за инфу, тогда сразу становится понятно отличие с виндовой версией

Предлагаю полностью похерить существующий и накатить новый заново

[fa1ke5]

тогда получается такой набор правил NFQWS_OPT=" --debug=1 --filter-udp=443 --hostlist=list-general.txt --dpi-desync=fake --dpi-desync-repeats=6 --dpi-desync-fake-quic=/files/fake/quic_initial_www_google_com.bin --new --filter-tcp=80 --hostlist=list-general.txt --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new --filter-tcp=443 --hostlist=list-general.txt --dpi-desync=fake,split --dpi-desync-autottl=5 --dpi-desync-repeats=6 --dpi-desync-fooling=badseq --dpi-desync-fake-tls=/files/fake/tls_clienthello_www_google_com.bin "

[fa1ke5]

пути к файлам без кавычек указывать?

[fa1ke5]

мде, не взлетает

[bol-van]

--hostlist=list-general.txt

Откуда он знает где этот файл лежит ? В винде он берет при запуске через батник из текущей. А тут где он найдет ?

[fa1ke5]

Всем спасибо за советы. Для тех кто такие же проблемы получит пишу рецепт

1. в папке zapret запускаем скрипт uninstall_easy.sh и сносим нафиг эту дрянь
2. включаем DNSOverTLS (у меня сервер на UBUNTU 22.04 ниже инструкция для нее) https://docs.quad9.net/Setup_Guides/Linux_and_BSD/Ubuntu_22.04_%28Encrypted%29/ и ставим DNS сервера 9.9.9.9 и 149.112.112.112 в настройках сети
3. И все работает, ютуб, рутрэкер и тп. вообще без танцев

[fa1ke5]

--hostlist=list-general.txt

Откуда он знает где этот файл лежит ? В винде он берет при запуске через батник из текущей. А тут где он найдет ?

ну очевидно я я его забрал из винды

[electrifying]

ну очевидно я я его забрал из винды

Ну так вам автор и пишет, зачем вы это сделали если используете запрет не на винде и в флаге указали использовать лист которого у вас нет, а даже если бы и был путь бы пришлось прописывать полностью

[fa1ke5]

ну очевидно я я его забрал из винды

Ну так вам автор и пишет, зачем вы это сделали если используете запрет не на винде и в флаге указали использовать лист которого у вас нет, а даже если бы и был путь бы пришлось прописывать полностью

я же написал, я его забрал, про путь полностью верно, стоило бы прописать, но увы, с запретом я попрощался, надоело этот кактус кушать

[ivdeveloper86]

Всем спасибо за советы. Для тех кто такие же проблемы получит пишу рецепт

1. в папке zapret запускаем скрипт uninstall_easy.sh и сносим нафиг эту дрянь
2. включаем DNSOverTLS (у меня сервер на UBUNTU 22.04 ниже инструкция для нее) https://docs.quad9.net/Setup_Guides/Linux_and_BSD/Ubuntu_22.04_%28Encrypted%29/ и ставим DNS сервера 9.9.9.9 и 149.112.112.112 в настройках сети
3. И все работает, ютуб, рутрэкер и тп. вообще без танцев

Только что проверил, отключил zapret, установил DNSOverTLS с указанными серверами DNS, бутнул роутер -> нифига не работает. Ни Ютуб, ни заблокированные сайты. Да и с чего бы DNS мог чем-то помочь, если DPI анализирует пакеты данных?

[fa1ke5]

Я не знаю что там и кто анализирует, на старых DNS 8.8.х.х и провайдерских у меня ютуб работал только через запрет, потом перестал, дальше я попытался опять его привести в чувство, безуспешно. В итоге сейчас я его снес вообще, поставил DNSOverTLS и работает ютуб и рутрэкер, правда сейчас вот смотрю ютуб работает странно, тормозит видео, но открывается быстро, прям после запрета моментально.

[fa1ke5]

нашел причину, в браузере остался включен впн плагин, увы чуда не случилось, опять придется бодаться с этим