The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Борьба с подстановкой фиктивных пакетов провайдером при помощи iptables
Многие провайдеры и корпоративные системы инспектирования трафика применяют
подстановку пакетов, перенаправляющих браузер пользователя на страницу с
информацией о блокировке, при этом не обрывая изначально установленное
соединение к заблокированному ресурсу.

Например, запустив 

   tcpdump -nA -s1500 host заблокированный_IP

и попытавшись отрыть заблокированный ресурс в браузере, можно увидеть такой пакет:

   13:50:24.563093 IP 1.2.3.4.80 > 192.168.1.10.58072: Flags [.], seq 1777859077:1777859201, ack 3185912442, win 229, length 124
   E.......2..a..x$...f.P..i.....*zP....V..HTTP/1.1 302 Found
   Connection: close
   Location: http://warning.bigprovider.ru/?id=61&st=0&dt=1.2.3.4&rs=http://badsite.com/

следом за которым приходит реальный ответ и другие пакеты с подпадающего под
блокировку сайта, которые продолжают приходить и не отбрасываются провайдером.

Данный метод блокировки обусловлен тем,  что оборудование для обеспечения
блокировки хоть и имеет доступ к транзитному трафику, но оно работает
обособленно от сетевой инфраструктуры и не может изменять трафик или напрямую
блокировать прохождение пакетов. Соответственно, суть применяемого провайдерами
метода состоит в том, что блокирующее оборудование зная параметры сетевого
соединения реализует блокировку через отправку подставного упреждающего ответа.
Так как такой фиктивный ответ приходит раньше реального ответа от удалённого
сервера и снабжён корректным номером последовательности TCP, он воспринимается
клиентским ПО в первую очередь, а пришедший хвост реального ответа игнорируется.


Обойти подобную блокировку достаточно легко при помощи добавления на локальной
Linux-системе правила, отбрасывающего фиктивный ответ:

   iptables -I INPUT -p tcp --sport 80 -m string --string "Location: http://warning.bigprovider.ru" --algo bm -j DROP

В случае HTTPS (подобным образом также часто блокируют Tor) блокировка обычно
устраивается  через подстановку в трафик RST-пакетов для принудительного обрыва
соединения. Обходится данное ограничение следующим правилом:

   iptables -I INPUT -p tcp --sport 443 --tcp-flags RST RST -j DROP

Итог: Даже самые крупные провайдеры лукавят и вместо полноценной блокировки
применяют сомнительные методы подстановки трафика, не блокируя фактически
запрещённый трафик. Таким образом, описанная выше техника не может
рассматриваться как метод обхода блокировки, так как блокировки нет как таковой
- пакеты с запрещённых ресурсов не блокируются и продолжают приходить на
клиентскую систему, а приходящие от провайдера вкрапления лишь создают
видимость блокировки и организуют проброс на стороне клиента.

Клиент имеет полное право отбрасывать любые пакеты на своей системе и это не
может рассматриваться как лазейка для обхода блокировки, которая не выполнена
должным образом провайдером.


Дополнение: Для выявления описанного выше вида блокировок можно использовать
утилиту curl, в которой можно увидеть "хвост" реального ответа:

   $ curl -i --ignore-content-length http://badsite.org/

   HTTP/1.1 302 Found
   Connection: close
   Location: http://warning.bitprovider.ru/?id=6&st=0&dt=1.2.3.4&rs=http://badsite.org/

   8
   Location: http://badsite.org/forum/index.php
   Connection: keep-alive
   ...

Если запросить конечную страницу, то можно получить её содержимое без манипуляций с iptables: 

   $ curl -i --ignore-content-length --trace-asci dump.txt http://badsite.org/forum/index.php

   HTTP/1.1 302 Found
   Connection: close
   Location: http://warning.bigprovider.ru/?id=6&st=0&dt=1.2.3.4&rs=http://badsite.org/forum/index.php

   ection: keep-alive

   1fc0
   ...содержимое HTML-документа.

   $ less dump.txt

   ...
   <= Recv header, 20 bytes (0x14)
   0000: HTTP/1.1 302 Found
   <= Recv header, 19 bytes (0x13)
   0000: Connection: close
   <= Recv header, 101 bytes (0x65)
   0000: Location: http://warning.bigprovider.ru/?id=6&st=0&dt=1.2.3.4&rs=h
   0040: ttp://badsite.org/forum/index.php
   <= Recv header, 2 bytes (0x2)
   0000: 
   <= Recv data, 1238 bytes (0x4d6)
   0000: ection: keep-alive
   ...
 
09.12.2016
Ключи: iptables, block, tor / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетные фильтры в Linux: iptables, ipchains

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, Past (?), 14:24, 09/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Теперь забанят опеннет
     
  • 1.2, Алексей (??), 14:41, 09/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    уже исправили, или уже было правильно сделано))
     
  • 1.3, Я (??), 16:12, 09/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ха и вправду помогло, зашел на парочку первых попавшихся заблокированных из реестра спокойно.
     
     
  • 2.17, Zenitur (ok), 18:08, 10/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    У меня Wayback Machine снова открылся. Раньше через Тор открывал. Хорошая команда, слушай.
     
     
  • 3.103, Neandertalets (ok), 11:10, 22/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    O_o  А чем ВэбАрхим им помешал?
     

  • 1.4, th3m3 (ok), 17:02, 09/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Когда делаю: iptables -I INPUT --sport 443 -p tcp --tcp-flags RST RST -j DROP

    Выдаёт:

    iptables -I INPUT --sport 443 -p tcp --tcp-flags RST RST -j DROP            
    iptables v1.6.0: unknown option "--sport"
    Try 'iptables -h' or 'iptables --help' for more information.

     
     
  • 2.5, Аноним (-), 17:05, 09/12/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Запускай без --sport:
    iptables -I INPUT -p tcp --tcp-flags RST RST -j DROP

     
  • 2.6, Andrey Mitrofanov (?), 17:06, 09/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > iptables v1.6.0: unknown option "--sport"

    lmddgtfy! http://serverfault.com/a/563036

     
     
  • 3.7, th3m3 (ok), 17:11, 09/12/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Спасибо!

    Блин, всё работает! На рутрекер зашёл без проблем!

     

  • 1.8, Аноним (-), 00:46, 10/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А под Windows что и как прописывать?
     
     
  • 2.9, Fixer (?), 06:57, 10/12/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    хомячки должны страдать.
     
  • 2.10, Fixer (?), 07:04, 10/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А под Windows что и как прописывать?

    а если серьезно то самый простой вариант купить железку с linux  аля mikrotik/RouterOS и запульнуть rules там. Ну или поставить linux с виртуалкой винды

     
     
  • 3.11, Аноним (-), 09:04, 10/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Почти у каждого виндового пользователя дома стоит беспроводной рутер, точка wifi-доступа или DSL-модем с Linux. Можно на домашнем рутере правило прописать, правда через web-интерфейс дополнительные опции iptables скорее всего не даст указать, придётся через telnet/ssh прописывать.
     
     
  • 4.22, Аноним (-), 20:16, 11/12/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > через telnet/ssh прописывать.

    Подробнее бы.

     
     
  • 5.31, Аноним (-), 17:07, 12/12/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Подробнее бы.

    Что подробнее? Если ты не можешь запустить телнет или ssh и зайти ими на девайс - тебе надо почитать какой-нибудь букварь по системному администрированию *nix немного.

    После того как ты зашел на девайс - там скорее всего тоже iptables. Просто потому что внутрях почти все роутеры и точки доступа давно уже являют собой мелкие компьютеры с Linux на борту. Разбираешься как правила сделаны и вклиниваешь свое правило в духе вот этих. Тоже корее всего в таблицу forward. Единственная проблема - файловая система в роутере часто readonly и изменения живут до первой перезагрузки устройства. Поэтому народу и нравится https://openwrt.org/

     
     
  • 6.45, Онанимус (?), 13:25, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > После того как ты зашел на девайс - там скорее всего тоже
    > iptables.

    101% что модуля string там нет. А вот с RST правило пойдет.
    > Поэтому народу и нравится https://openwrt.org/

    Полностью согласен.

     
  • 4.104, Аноним всея Интернета (?), 01:28, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    только на роутере нужно это правило в FORWARD добавлять, чтобы работало не для собственно роутера, а для его клиентов.

    ЗЫ. К правильным роутерам есть правильные модные прошивки, в которых 101% есть модуль string.

     
  • 3.23, Аноним (-), 01:01, 12/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > а если серьезно то самый простой вариант купить железку с linux  
    > аля mikrotik/RouterOS и запульнуть rules там. Ну или поставить linux с
    > виртуалкой винды

    Лучше что-нибудь с openwrt, там нормальный линукс без кучи ограничений и с множеством дополнительных пакетов. Можно еще и прокси блокирующий рекламу поставить, например.

     
  • 3.58, Аноним (-), 00:24, 17/12/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >mikrotik/RouterOS и запульнуть rules там.

    А можно пример правил показать, пожалуйста?

     
  • 2.34, Аноним (-), 19:52, 12/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Под винду полно фаерволов разных (я, правда, 10 лет не смотрел на них). Экспериментируй. Не слушай этих умников.
     

  • 1.12, Сергей (??), 09:58, 10/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Я так понимаю с HTTPs это не прокатит...
     
     
  • 2.15, Аноним (-), 10:49, 10/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Я так понимаю с HTTPs это не прокатит...

    Правило с убиванием пакетов RST прокатывает. Другое дело, что не везде, так как некоторые продолжают список IP для блокировки HTTPS загружать в межсетевой экран.

     

  • 1.13, Владимир Владимирович (?), 10:37, 10/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
       iptables -I INPUT -p tcp --sport 443 --tcp-flags RST RST -j DROP

    Но ведь в таком случае мы получим кучу висячих HTTPS соединений на клиентской машине, разве нет?

     
     
  • 2.14, Аноним (-), 10:47, 10/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Но ведь в таком случае мы получим кучу висячих HTTPS соединений на клиентской машине, разве нет?

    нет, для нормального завершения соединения используется FIN, а флаг RST только для обрыва. На практике он очень редко применяется, можете запустить в обычных условиях tcpdump и последить за появлением RST.

     

  • 1.16, Аноним (-), 16:43, 10/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Блин, реально работает. Дроп RST -- мощно.
     
  • 1.18, uchiya (ok), 21:27, 10/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Первое правило для http не пашет
     
     
  • 2.19, Аноним (-), 23:03, 10/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А вы точно строковую маску правильно для своего провайдера подобрали?
    Какое именно в iptables правило добавили и что выдаёт curl -i --ignore-content-length http://запрещённый_сайт ?
     
     
  • 3.35, Аноним (-), 19:59, 12/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А вы точно строковую маску правильно для своего провайдера подобрали?
    > Какое именно в iptables правило добавили и что выдаёт curl -i --ignore-content-length
    > http://запрещённый_сайт ?

    -I INPUT -p tcp --sport 80 -m string --string "Location: http://blocked.netbynet.ru" --algo bm -j DROP
    Правильно?
    Баннер с предупреждением не открывается, но и сайт тоже

     
     
  • 4.47, Онанимус (?), 13:49, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вам нужно точно знать, что выдает провайдер Нужно сниффирить, а не гадать 1 с... большой текст свёрнут, показать
     
     
  • 5.48, Аноним (-), 20:59, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Эх я бы еще понимал, что мне все это выдало curl -i --ignore-content-length ru... большой текст свёрнут, показать
     
     
  • 6.53, Nas_tradamus (ok), 19:45, 14/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Попробуйте RST для 80 и 443 портов заблочить .

    > 20:50:21.500747 IP 195.82.146.214.80 > 95.221.70.4.39408: Flags [R.], seq 90, ack 79, win 29040, length 0

    Вот тут у вас провайдер от имени рутрекера шлет reset.

     

  • 1.20, Аноним (-), 11:28, 11/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Добавил для Mikrotik роутера правило

    /ip firewall filter
    add chain=input protocol=tcp src-port=80 content="Location: http://blocked.kvidex.ru/" comment="Drop block" action=drop

    Не работает. Может кто-нибудь подсказать в чем проблема?

     
     
  • 2.21, Andrew (??), 18:46, 11/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    chain=input "ловит" трафик, который адресован самому роутеру. Для транзитного трафика нужно chain=forward.
     
     
  • 3.24, _KUL (ok), 09:08, 12/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Имею тоже микротик и не могу понять как провайдер так хитро придумал 1 Открыва... большой текст свёрнут, показать
     
     
  • 4.25, _KUL (ok), 09:09, 12/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    прров ктт (читать наоборот)
     
     
  • 5.29, _KUL (ok), 14:13, 12/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Порыбачил на линуксе, поймал злой пакет ...
    root@debian:~# curl -i --ignore-content-length http://rutracker.org
    HTTP/1.1 301 Moved Permanently
    Server: squid/3.4.8
    Date: Mon, 12 Dec 2016 11:12:49 GMT
    Content-Length: 0
    Location: http://62.33.207.196/
    X-Cache: MISS from blacklist.ttk.ru
    X-Cache-Lookup: MISS from blacklist.ttk.ru:3128
    Via: 1.1 blacklist.ttk.ru (squid)
    Connection: keep-alive

    Самое обидное, что мой провайдер реально блочит трафик, и после правила iptables счётчик блокированных пакетов растёт и ничего больше не приходит после подменённого пакета ... Заглушка видать просто для информативности юзеру прикрутили, эх ;'(

     
  • 4.105, Аноним всея Интернета (?), 01:35, 16/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Всё просто - у тебя браузер кэширует 301 редирект - почи... большой текст свёрнут, показать
     
  • 3.26, Аноним (-), 10:56, 12/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо! Помогло
     

  • 1.27, Саня (??), 12:26, 12/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В чем юмор первый команды, с фильтрацией по Location?
    Оно же отбрасывает пакет с HTTP-заголовком целиком, то есть сайт как не открывался, так и не открывается.
     
     
  • 2.28, Andrey Mitrofanov (?), 13:40, 12/12/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В чем юмор первый команды, с
    > Оно же отбрасывает пакет
    >как не открывался, так и не открывается.

    Юмор в том, что Вы не понимаете.  Смотрите -- над Вами смеются.

     
  • 2.30, Freddy Cuper (?), 16:21, 12/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > В чем юмор первый команды, с фильтрацией по Location?
    > Оно же отбрасывает пакет с HTTP-заголовком целиком, то есть сайт как не
    > открывался, так и не открывается.

    Смысл в том, что приходят два пакета с заголовками -  первый, который отправил провайдер, а второй ответ реального сервера. Провайдерский, используемый для блокировки, приходит первым, так как сеть провайдера рядом. Следом приходит реальный ответ, но подставной ответ провайдера уже обработан и реальный ответ отбрасывается. Убив подставной пакет с заголовком от провайдера реальный ответ от сервера обрабатывается как без блокировки.

     
     
  • 3.46, Саня (??), 13:36, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не обрабатывается. Сообщение от провайдера перестает показываться, но и браузер, и CURL при попытке открытии подобных сайтов начинают выдавать
    curl: (56) Recv failure: Connection reset by peer

     
     
  • 4.49, _KUL (ok), 06:12, 14/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это у вас порядок пакетов в TCP нарушился. Т.е. как будто вас запроксировали. В теории то злой хост напрямую с вами сессию начинает устанавливать, а не через провайдера. В ваершарке по L4 заголовкам пакетов проследите, на каком этапе приходит пакет с прошлым номером ожидая при этом следующий.
     

  • 1.32, Аноним (-), 17:17, 12/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для билайна похоже не работает. Печаль ;(
     
     
  • 2.50, _KUL (ok), 06:15, 14/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Очень похожу на то, что так маленькие провайдеры лочат, т.к. сервера глушилки рядом. А магистралы походу хитрее и грознее, т.к. у них одна/несколько централизованных точек, до которых пакет может и через всю Россию идти, а это может быть дольше чем до злого хоста.
     

  • 1.33, Zenitur (ok), 18:38, 12/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо! Применил на Raspberry Pi, который у меня как роутер. Интересно, как то же самое применить на SUSE-роутере...
     
  • 1.36, ананизмус (?), 20:22, 12/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо- все ok. Дополню- провы еще и на уровне dns делают подмену(дурдом.ру) - в /etc/hosts прописываем верную пару ip домен (или биндим в своей локлаьной прокси) + правило и все работает.
     
     
  • 2.37, Аноним (-), 21:58, 12/12/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А если в /etc/resolv.conf просто прописать нормальный днс (208.67.220.220 или 8.8.4.4)?
     
     
  • 3.44, ананизмус (?), 11:28, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Просто не поможет. Либо пров перехватывает обращение к внещним серверам, либо у него где то локлаьно ip тех dns прописаны.
     
     
  • 4.87, Аноним (-), 20:29, 15/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Просто не поможет. Либо пров перехватывает обращение к внещним серверам, либо у
    > него где то локлаьно ip тех dns прописаны.

    Поздравляю с открытием, 8.8.x.x от гугла - это anycast, он не уникальный. И пров может подсунуть свой 8.8.х.х запросто.

     
  • 3.85, Укпшд (?), 18:08, 14/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Часть российских провов много лет перехватывает все запросы на 53/udp и 53/tcp и заворачивают на свои ДНСы.
    Правильный выход — установка dnscrypt.
     

  • 1.38, Аноним (-), 22:01, 12/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Блин, слушай, чувак, ты, который написал этот пост, невыразимый тебе респектище!!!
     
  • 1.39, garrick (?), 22:46, 12/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В Билайне ничего из этого не работает. А как теперь вернуть всё обратно?
     
     
  • 2.40, Аноним (-), 02:20, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    iptables -F
    Все правила очистятся.
     
     
  • 3.41, garrick (?), 08:26, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо
     
     
  • 4.51, _KUL (ok), 06:16, 14/12/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вообще то "sudo rm -rf /" было бы корректнее!
     
     
  • 5.52, _KUL (ok), 06:18, 14/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще то "sudo rm -rf /" было бы корректнее!

    это шутка. зачем вы вводите от рута то, не понимая, что оно делает? это же не по сноуденовски ...

     

  • 1.42, korrado (?), 08:50, 13/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня местный провайдер еще проще делает. Вообще ничего не блокирует. Только подменяет DNS-ответы для заблокированных файлов своим сервером со страницей про то что сайт заблокирован. Просто поставил BIND на компе и прописал DNS сервер на 127.0.0.1 и вуаля, все заработало :)
     
  • 1.43, korrado (?), 08:52, 13/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    заблокированных сайтов :)
    Опечатался
     
  • 1.54, Nas_tradamus (ok), 01:26, 15/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Onlime (Ростелеком) - не работает. Провайдер сразу после рукопожатия шлет редирект и никакого реального трафика. RST по http/https заблокировал - не помогло.
     
     
  • 2.55, Nas_tradamus (ok), 01:40, 15/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Onlime (Ростелеком) - не работает. Провайдер сразу после рукопожатия шлет редирект и
    > никакого реального трафика. RST по http/https заблокировал - не помогло.

    Долго вкуривал в tcpdump и счетчики firewall (mikrotik) - все так и есть, я нигде не ошибся. Провайдер не пропускает реальный tcp-ответ :(

     
  • 2.56, Krot (??), 16:40, 15/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Провайдер Онлайм - только что реализовал на микротике - нет проблем всё равботает:
    chain=forward action=drop tcp-flags=rst protocol=tcp src-port=443 log=no log-prefix=""
    chain=forward action=drop tcp-flags="" protocol=tcp src-port=80 content=Location: http://warning.rt.ru/ log=no log-prefix=""
     
  • 2.59, M. (?), 18:34, 17/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    От суперюзера:
    iptables -I INPUT -p tcp --tcp-flags RST RST -j DROP
    iptables -I INPUT -p tcp --sport 80 -m string --string "Location: http://warning.rt.ru/" --algo bm -j DROP
    Онлайм же как раз. У меня заработало. У вас гранаты не той системы.
     
  • 2.60, Nas_tradamus (ok), 02:31, 18/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Поправка вышесказанное действительно только для рутрекера по http По https отб... большой текст свёрнут, показать
     

  • 1.57, Анончик (?), 17:10, 16/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > iptables -I INPUT -p tcp --sport 80 -m string --string "Location: http://warning.bigprovider.ru" --algo bm -j DROP

    Пытаюсь сделать, в ответ получаю "iptables: No chain/target/match by that name.". Цепочка INPUT есть, таргет DROP тоже, ибо правило с дропом резетов из HTTPS проглатывает нормально.
    Подозреваю что ругается на -m string, ибо на "iptables -I INPUT -m string --algo bm --string "test" -j DROP" тоже ругается. Но "iptables -m string -h" выдаёт полный хелп...
    Что за херня?

     
     
  • 2.64, pavlinux (ok), 02:15, 19/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    lsmod  | grep ts_bm
     

  • 1.61, y (??), 20:46, 18/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    kinozal.tv не работает...
     
     
  • 2.62, Nas_tradamus (ok), 01:43, 19/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > kinozal.tv не работает...

    Подтверждаю. Онлайм. В сторону кинозала только syn от меня летят, а обратно вообще ничего. Через freegate все ок.

     
     
  • 3.66, trublast (?), 07:42, 19/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    kinozal.website работает  перкрасно
     

  • 1.63, pavlinux (ok), 02:12, 19/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сосём!

    Location: http://block.mgts.ru/

     
  • 1.65, trublast (?), 07:41, 19/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отправляют пользователю RST только какие-то совсем доморощенные блокировщики. Чуть более нормальные (хотя работающие на том же принципе - сбросить соединение, но не блокировать сам трафик) помимо отправки RST пользователю еще шлют RST вебсерверу. Повлиять на который вы со своего роутера не сможете никак. Ну и в догонку еще DNS спуфят, для надежности и корректной блокировки https.

    Если есть роутер, куда можно поставить openwrt, то на него же можно поставить tor и и прозрачно заворачивать нужные IP на ТОР, после чего доступ на всех устройствах за роутером заработает. Но скорость и стабильность соединения до ресурсов да,  просядет.
    Если нужно просто глянуть информацию на каком-то таком ресурсе по быстрой, то лайфхак - отрыть страницу через translate.google.com Верстку рвет, но на смысл не влияет.

     
     
  • 2.68, Аноним (-), 11:31, 19/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Отправляют пользователю RST только какие-то совсем доморощенные блокировщики.

    Скорее наоборот, доморощенные блокируют нормально, а крупные особо не парятся с блокировкой. Например, Ростелеком, самый крупный оператор связи РФ, шлёт RST только клиенту.

     
     
  • 3.81, pavlinux (ok), 19:00, 04/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Отправляют пользователю RST только какие-то совсем доморощенные блокировщики.
    > Например, Ростелеком, самый крупный оператор связи РФ, шлёт RST только клиенту.

    Откуда инфа, что он не шлёт ещё куда-то?  


     
     
  • 4.88, Анином (?), 08:52, 25/01/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С какой целью интересуетесь?
     

  • 1.69, Сноуден (?), 19:27, 19/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Блокировка такими способами не добавляет провайдерам никаких хлопот и финансовых рисков. А вот если бы их могли проконтролировать эксперты, а не просто пользователи-министры, которые получили редирект на страничку с предупреждением о блокировке на своем яблочном планшетике или телефончике и уже радуются аки дети, то было бы гораздо хуже и для пользователей и для провайдеров. А так и овцы целы и волки сыты.
     
     
  • 2.71, nikosd (ok), 20:28, 20/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    в известных мне системах ( внедрение блокировки от довольно популярного билинга) -  RST Будет единственным пакетом, который Вы увидите, то есть блокиратор шлет еще и от Вас RST.
    Про пользователей, если кому- то очень  хочется  в условиях нынешнего законодательства РФ платить сильно больше за инет, то   вполне можно продвигать в массы  законодателей  идеи  полноценного DPI  на все ( закон Яровой  почти этого и требует).  Платить за быстрый инет станет сложнее всем, ну и  развитие его в  регионах с малой прибылью  будет свернуто.  
     
     
  • 3.72, Онанимус (?), 10:47, 23/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >RST Будет единственным пакетом, который Вы увидите

    Статистика этого треда показывает обратное. RST шлют при https коннектах, при http присылают страницу - заглушку. Да и при https может прийти такое:

    10:34:47.877915 IP 88.208.29.24.443 > 192.168.0.10.49344: Flags [F.], seq 1:92, ack 299, win 32120, length 91
    ..tw.\..g3....E...4...<...X......
    .....%. ....P.}x.!..HTTP/1.1 307 Temporary Redirect
    Location: http://forbidden.yota.ru/
    Connection: close

    У ёты, как мы знаем, DPI полноценный (еще и с шейперами).

    >если кому- то очень  хочется

    Это, смотря как посмотреть (

    1. ЖКХ растет
    2. продукты, водка и курево дорожает
    3. автомобиль из средства передвижения превращается в роскошь
    4. по телику сказали - инет подорожает
    5. ...
    N. А я вот день рожденья не буду справлять! Все з..о! П..ц на х.. б..ь! (с)

     
     
  • 4.73, nikosd (ok), 11:01, 23/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>RST Будет единственным пакетом, который Вы увидите
    > Статистика этого треда показывает обратное. RST шлют при https коннектах, при http
    > присылают страницу - заглушку. Да и при https может прийти такое:

    Мысли были про https -  только RST, если http ,  то к Вам придет перенаправление и не придет пакет от нормального сервера вообще.

    > 10:34:47.877915 IP 88.208.29.24.443 > 192.168.0.10.49344: Flags [F.], seq 1:92, ack 299,
    > win 32120, length 91
    > ..tw.\..g3....E...4...<...X......
    > .....%. ....P.}x.!..HTTP/1.1 307 Temporary Redirect
    > Location: http://forbidden.yota.ru/
    > Connection: close
    > У ёты, как мы знаем, DPI полноценный (еще и с шейперами).

    Что  там в ёта наворотила - не знаю, кстати совсем не уверен что  у них именно DPI блочит сайты, а не что - то еще,  с монитором, но без разрыва

    >>если кому- то очень  хочется
    > Это, смотря как посмотреть (
    > 1. ЖКХ растет
    > 2. продукты, водка и курево дорожает
    > 3. автомобиль из средства передвижения превращается в роскошь
    > 4. по телику сказали - инет подорожает
    > 5. ...
    > N. А я вот день рожденья не буду справлять! Все з..о! П..ц
    > на х.. б..ь! (с)

     
     
  • 5.74, Онанимус (?), 13:36, 23/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Как же они без DPI openvpn рукопожатия отлавливают и шейпером загоняют в низкий ... большой текст свёрнут, показать
     

  • 1.70, key (??), 23:07, 19/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    У МГТС не робит. Реального хвоста нет, похоже действительно ограничивают.
     
  • 1.75, freehck (ok), 15:44, 26/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А я тут, кстати, обнаружил, что некоторые облака (которые я не буду называть здесь), не блокируют траффик к запрещённым роскомнадзором сайтам. Посмотрите по своим виртуалкам, может отыщете. :)
     
     
  • 2.76, marios (ok), 02:26, 27/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    VPS-провайдеры не блокируют.
    Да и не обязаны.
     
     
  • 3.77, freehck (ok), 06:38, 27/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > VPS-провайдеры не блокируют.
    > Да и не обязаны.

    Что, серьёзно? То есть это не мне повезло, а через любого VPS-провайдера можно как через проксю ходить?

     
     
  • 4.79, Константин (??), 20:59, 29/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну понял ты, а писать всем об этом зачем?
    Не порть бизнес: https://antizapret.prostovpn.org и подобные.....
     

  • 1.80, anonkot (?), 03:12, 02/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не подскажете- у меня никаких RST нет, и курлу и вгету и всем браузерам приходит SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
    но каким-то образом links2 открывает https заблокированные сайты. Что это такое?
     
     
  • 2.82, Аноним (-), 19:45, 09/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Инспектируйте трафик от links2 и от curl с помощью tcpdump и/или wireshark и сравнивайте получившееся.
     

  • 1.84, 858d214ba09f174963f9d4f132585a83 (?), 21:07, 10/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А может кто подскажет нормальный VPN где можно взять?
     
     
  • 2.86, Аноним (-), 20:22, 15/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А может кто подскажет нормальный VPN где можно взять?

    Зависит от критериев нормальности.

     
  • 2.90, Вареник (?), 08:02, 31/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Поднять через виртуалку в нормальной стране. Копейки стоит.
     
  • 2.92, Аноним (-), 15:50, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Амазон вроде на год vps на халяву дает
     

  • 1.89, SpaceRaven (ok), 06:22, 28/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для домолинка калужского не работает, на запрос к xhamster отдает HTTP/1.1 451 Unavailable For Legal Reasons
     
  • 1.94, гг (?), 19:45, 23/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Самый простой, лучший и гарантированно рабочий способ обойти блокировки роскоммизуленой — не жить там, где они есть.
     
     
  • 2.95, Himik (ok), 02:10, 26/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Там где нет РОСнадзора, там есть XXXнадзор, только ещё грознее, злее и хитрее.
     

  • 1.96, L29Ah (?), 04:50, 15/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мегафон не халтурит похоже.
     
  • 1.98, Аноним (-), 13:39, 09/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо, мил человек! Всё работает, только ещё пришлось dnscrypt-proxy поставить, ибо мой хаббардисткий провайдер ещё и DNS подменяет. Твари несчастные.
     
  • 1.100, Аноним (-), 10:20, 09/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зачем хомяков-провайдеров нагружают?
    этож на магистральщиках решается всё.
    А их в 100500 раз меньше чем хомяков.
     
  • 1.101, 5percent (?), 15:27, 22/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    старая опера не знает про name server indication, поэтому https сайты работаю, а вот хром и файрфокс доблестно шлют незашифрованным имя сайта, поэтому провайдер все это спокойно блочит.
     
     
  • 2.106, kadafy (?), 00:54, 14/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Старая, это какая конкретно версия?

    Спасибо.

     

  • 1.102, svsd_val (ok), 05:41, 27/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Скоро придёт запрос к Опеннету на удаление данной страницы :D
     
  • 1.107, пфф (?), 08:04, 26/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а для винда подходит?
     
  • 1.108, Anonim (??), 17:22, 09/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Слушайте а в системе андроид такая хрень
    Пройдет . У моего оператора такая хрень так вот чем бы ломануть ?
     
  • 1.109, vo1 (?), 22:50, 16/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а как на прошивке падаван подобное реализовать? провайдер ростелеком
     
     
  • 2.110, XAuBAH (?), 00:10, 18/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    тоже Рт, вот что отловил
    https://i.imgur.com/z1sIttm.png
     

  • 1.111, avsprv (ok), 15:19, 17/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    с МГТС не прокатило...
     
  • 1.112, zzr (??), 20:39, 22/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    с рт дос их пор прокатывает я ни магу
     
     
  • 2.113, gone (?), 20:38, 29/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    not anymore
     

  • 1.114, фвыыфваыв (?), 00:23, 07/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всё. Статья неактуальная. РТ теперь повзрослому блокирует.
     
     
  • 2.115, Подтверждаю (?), 15:12, 20/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь все, халява кончилась.
     
  • 2.116, etomoynick (?), 14:03, 15/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А есть инфа, как именно? гудбайдипиай справляется, а микротик нет - все пакеты стали rst
     
  • 2.117, Любитель РТК (?), 17:23, 02/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ктор-нибудь нашел новый шаблон для обхода блокировок? Что-то я  RST  пакеты отбрасывать пытаюсь, но не очень помогает =(
     

  • 1.118, Jenkins (?), 11:08, 06/08/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А кто-нибудь может всё это добро адаптировать к openwrt и его nft?
     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру