Обход блокировки трафика провайдером при помощи iptables

[vlad11]

Subj в статье на опеннете.

[YuryD]

Subj в статье на опеннете.

Хихис :) При полном включении dpi в трафик, этот запрос до сервера и не дойдет, точнее первый дойдёт, до запроса сертификата, а затем это запрос будет сброшен, по анализу сертификата, для обеих сторон. Это для https конечно... Ну пусть мальчики пиписьками меряются, может поумнеют ?

[vlad11]

Хихис :) При полном включении dpi в трафик, этот запрос до сервера и не дойдет, точнее первый дойдёт,

И сколько ISP купило нормальный DPI?

Большинство провайдеров использует CKAT, который выполняет блокировку точно так же, как описано в статье.

[YuryD]

Хихис :) При полном включении dpi в трафик, этот запрос до сервера и не дойдет, точнее первый дойдёт,

И сколько ISP купило нормальный DPI?

Большинство провайдеров использует CKAT, который выполняет блокировку точно так же, как описано в статье.

 

Ну у меня и Скат сквозной - подскажите, как я могу его обмануть ? Ссылки с опеннета чего-то не работают...

[Negator]

Большинство провайдеров использует CKAT

Правда? Я вот не уверен.

[snvoronkov]

Боянище.

 

А ещё после этого куча придурков альтернативно одаренной молодёжи теперь на своих VPS стала все RST просто дропать. Задрался уже банить их с середины декабря.

[alibek]

Большинство провайдеров использует CKAT, который выполняет блокировку точно так же, как описано в статье.

Неверно.

Так СКАТ работает при асинхронном включении (в зеркале). И, кстати, RST он отправляет в обе стороны.

При включении в разрыв СКАТ дропает исходные пакеты.

[infery]

Неверно.

Так СКАТ работает при асинхронном включении (в зеркале). И, кстати, RST он отправляет в обе стороны.

При включении в разрыв СКАТ дропает исходные пакеты.

Подтверждаю. Затестил https на сети со скатом - дропал rst, сайт не открылся) http уже лень проверять

[vlad11]

Так СКАТ работает при асинхронном включении (в зеркале). И, кстати, RST он отправляет в обе стороны.

Ура, они таки это запилили.

[alibek]

Что именно? То что я указал, работает давно.

[Ivan_83]

Ггг в обе стороны rst слать я догадался давно, когда с uTP игрался :)

У меня провайдер садист: они на скид всё завернули и возвращают 403.

А я завернул всё на домашний нгинх и когда он видит 403 то создаёт в /tmp файл с именем домена и гонит через прокси.

Для всех запросов проверяется есть ли в /tmp файл совпадающий с названием домена, если есть то через прокси ходим.

[vlad11]

У меня провайдер садист: они на скид всё завернули и возвращают 403.

А я завернул всё на домашний нгинх и когда он видит 403 то создаёт в /tmp файл с именем домена и гонит через прокси.

Для всех запросов проверяется есть ли в /tmp файл совпадающий с названием домена, если есть то через прокси ходим.

 

А покажите конфиг nginx'a.

[YuryD]

У меня провайдер садист: они на скид всё завернули и возвращают 403.

А я завернул всё на домашний нгинх и когда он видит 403 то создаёт в /tmp файл с именем домена и гонит через прокси.

Для всех запросов проверяется есть ли в /tmp файл совпадающий с названием домена, если есть то через прокси ходим.

 

А покажите конфиг nginx'a.

А назачем? Пров сдуру выдаёт 403 вместо rst соединению. Попадёт этот пров под санкции.

[myth]

А назачем? Пров сдуру выдаёт 403 вместо rst соединению. Попадёт этот пров под санкции

почему это?

[alibek]

Потому что это нельзя будет объяснить проверяющим или судье, когда на проверке браузер с настройкой "Показывать ответ сервера при ошибках" покажет доступность сайтов.

[myth]

текст страницы с 403 то можно и поменять

[st_re]

ну как бы да, напишите там что заблокировано РКН и свой логатип. я не думаю чтобы у суда или проверяющих остались вопросы. Вот програмном ревизору может и придется что объяснять. Но это, скорее всего, единоразово.

[Ivan_83]

А покажите конфиг nginx'a.

 

==========================================================================

	log_format	proxy_full_log '$remote_addr - $remote_user [$time_local] "$http_host" "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" "$http_x_forwarded_for"';
log_format	proxy_tinny_log '-';

server {
	listen			0.0.0.0:8080 default_server rcvbuf=16k sndbuf=1m accept_filter=httpready so_keepalive=30m::10;
	listen			[::]:8080 default_server rcvbuf=16k sndbuf=1m accept_filter=httpready so_keepalive=30m::10 ipv6only=on;

	# Allow proxy only for local nets.
	allow			10.0.0.0/8;
	allow			127.0.0.0/8;
	allow			169.254.0.0/16;
	allow			172.16.0.0/12;
	allow			192.168.0.0/16;
	deny			all;

	# Log
	access_log		off;
	#access_log		/dev/stdout proxy_full_log;
	#error_log		/dev/stdout info;

	# Timeouts settings.
	## client
	keepalive_timeout	75s;
	client_header_timeout	8s;
	client_body_timeout	30s;
	send_timeout		30s;
	reset_timedout_connection on;
	## server
	proxy_connect_timeout	10s;
	proxy_send_timeout	30s;
	proxy_read_timeout	5m;

	send_lowat		0;
	lingering_close		on;
	lingering_time		8s;
	lingering_timeout	4s;
	postpone_output		0;
	tcp_nodelay		on;
	tcp_nopush		off;

	# Request headers tuning
	merge_slashes		on;
	ignore_invalid_headers	on;
	underscores_in_headers	off;
	proxy_http_version	1.1;
	proxy_pass_request_headers on;
	proxy_set_header	Host $http_host;
	#proxy_set_header	Connection 'close';
	## filter some headers
	proxy_set_header	Accept '*/*';
	proxy_set_header	Accept-Language '';
	proxy_set_header	Accept-Charset '';
	proxy_set_header	Cache-Control '';
	proxy_set_header	DNT '';
	proxy_set_header	If-None-Match ''; # ETag filter
	proxy_set_header	Proxy-Connection '';
	proxy_set_header	Range $http_range;
	proxy_set_header	If-Range $http_if_range;
	#proxy_set_header	X-Real-IP $remote_addr;
	#proxy_set_header	X-Forwarded-For $proxy_add_x_forwarded_for;
	proxy_pass_request_body	on; # for off: proxy_set_header Content-Length 0;
	#proxy_set_body

	# Reply headers tuning
	chunked_transfer_encoding off;
	msie_padding		off;
	msie_refresh		off;
	server_name_in_redirect	off;
	server_tokens		on;
	proxy_ignore_headers	X-Accel-Buffering X-Accel-Expires X-Accel-Limit-Rate X-Accel-Redirect X-Accel-Charset;
	proxy_pass_header	Date;
	proxy_pass_header	Server;
	#proxy_hide_header	
	proxy_redirect		off;
	proxy_cookie_domain	off;
	proxy_cookie_path	off;

	# Buffers
	## client
	client_body_buffer_size 64k;
	client_body_in_file_only off;
	client_body_in_single_buffer off;
	client_header_buffer_size 16k;
	large_client_header_buffers 4 16k;
	client_max_body_size	1m;
	## server
	proxy_buffering		on;
	proxy_buffers		32 64k;
	#proxy_buffer_size	8k;

	# Cache
	proxy_cache		off;
	proxy_store		off;

	# Buffering + cache
	#proxy_temp_path		/tmp/nginx/proxy_temp;
	proxy_max_temp_file_size 0; #off 
	proxy_temp_file_write_size 64k;
	open_file_cache		off;

	# Error handling
	proxy_ignore_client_abort off;
	#proxy_next_upstream	error timeout invalid_header http_403;
	proxy_next_upstream	error timeout invalid_header;
	proxy_intercept_errors	on;
	recursive_error_pages	on;
	error_page		599 = @return_filtered;
	error_page		598 = @empty_img;
	error_page		597 = /empty.mpeg;
	error_page		596 = @proxy_direct;
	error_page		595 = @proxy_retry;
	error_page		403 = @proxy_set;
	root			/tmp/nginx/proxy_temp;

	location / {

		if (-f /tmp/nginx/proxy_temp/$http_host) {
			return 595;
		}
		return 596;
	}

	location @return_filtered {
		internal;

		if ($uri ~* ^.+\.(jpg|jpeg|gif|png)$) {
			return 598;
		}
		expires -1;
		return 200;
	}
	location @empty_img {
		internal;

		expires -1;
		empty_gif;
	}
	location @proxy_direct {
		internal;

		proxy_pass http://$http_host;
	}
	location @proxy_set {
		internal;

		return 595;
	}
	location @proxy_retry {
		internal;

		access_log	/tmp/nginx/proxy_temp/$http_host proxy_tinny_log;

		set 		$schm_hst $scheme://$http_host/;
		rewrite		^/(.*)$ $schm_hst$1 break;
		proxy_pass	[url="http://gw2.anticenz.org:8080;"]http://gw2.anticenz.org:8080;[/url]
		#proxy_pass	[url="http://proxy.antizapret.prostovpn.org:3128;"]http://proxy.antizap...tovpn.org:3128;[/url]
	}
}

================================================================================

access_log /tmp/nginx/proxy_temp/$http_host proxy_tinny_log;

Это хак для создания файла :)

Тут ещё можно подчистить, ибо конструкция с проксированием раньше занималась ещё и фильтрацией баннеров и прочего, удалением рекламы с иви и даже кешированием....

[vlad11]

Пожалуйста, используйте тэг "

"

[Ivan_83]

done.

[ichthyandr]

У меня провайдер садист: они на скид всё завернули и возвращают 403.

А я завернул всё на домашний нгинх и когда он видит 403 то создаёт в /tmp файл с именем домена и гонит через прокси.

Для всех запросов проверяется есть ли в /tmp файл совпадающий с названием домена, если есть то через прокси ходим.

 

А покажите конфиг nginx'a.

А назачем? Пров сдуру выдаёт 403 вместо rst соединению. Попадёт этот пров под санкции.

403 можно отдать и в rst пакете. Хром в этом случае 403 не показывает,а вот ИЕ кажет

[ichthyandr]

Хихис :) При полном включении dpi в трафик, этот запрос до сервера и не дойдет, точнее первый дойдёт,

И сколько ISP купило нормальный DPI?

Большинство провайдеров использует CKAT, который выполняет блокировку точно так же, как описано в статье.

это шипко дорого да и не нужно. А практика блокировки вполне нормальная

You can use the SPAN destination port to inject traffic from a network security device. 
For example, if you connect a Cisco Intrusion Detection System (IDS) Sensor Appliance to 
a destination port, the IDS device can send TCP Reset packets to close down the TCP 
session of a suspected attacker.

тыц

[Ivan_83]

403 можно отдать и в rst пакете. Хром в этом случае 403 не показывает,а вот ИЕ кажет

Нужно понимать что происходит.

На самом деле ни хром ни ИЕ об rst на прямую ничего не знают.

У них на сокете уведомление о чтении и eof - что соединение завершено.

То что хром не показывает скорее всего баг при работе с сокетом: они в начале смотрят что eof и просто не читают дальше.