Ник Пост Дата
easyone11

не могу подобрать конфиг для рабочего ютуба
есть у кого получилось настроить трубу?
MODE=tpws - работает всё кроме ютуба
—hostspell=HOST --split-http-req=method --split-pos=3 --oob

нужно что то рабочие найти для nfqws

2024-08-21T17:05:02.078Z
BBS
  • SUMMARY
    ipv4 rutracker.org curl_test_http : tpws --split-http-req=method --oob
    ipv4 rutracker.org curl_test_http : nfqws --dpi-desync=split --dpi-desync-fooling=md5sig
    ipv4 rutracker.org curl_test_https_tls12 : tpws not working
    ipv4 rutracker.org curl_test_https_tls12 : nfqws --dpi-desync=fake,split2 --dpi-desync-ttl=3 --dpi-desync-split-pos=1
    МГТС, всё работает, в т.ч. ютуб.

P.S. Ещё раз выражаю респект создателю за отличную прогу.

2024-08-21T18:42:51.674Z
easyone11

если не сложно можно полный конфиг?
у тебя 2 роутера? у меня мгтсовский серком, а за ним уже настроенный опенврт роутер.

2024-08-21T19:16:04.961Z
BBS 
FWTYPE=iptables

SET_MAXELEM=522288
IPSET_OPT="hashsize 262144 maxelem $SET_MAXELEM"
IP2NET_OPT4="--prefix-length=22-30 --v4-threshold=3/4"
IP2NET_OPT6="--prefix-length=56-64 --v6-threshold=5"
AUTOHOSTLIST_RETRANS_THRESHOLD=3
AUTOHOSTLIST_FAIL_THRESHOLD=3
AUTOHOSTLIST_FAIL_TIME=60
AUTOHOSTLIST_DEBUGLOG=0

MDIG_THREADS=30
GZIP_LISTS=1
MODE=nfqws
MODE_HTTP=1
MODE_HTTP_KEEPALIVE=0
MODE_HTTPS=1
MODE_QUIC=0
MODE_FILTER=none

DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000
NFQWS_OPT_DESYNC="--dpi-desync=fake,split2 --dpi-desync-ttl=3 --dpi-desync-split-pos=1"
NFQWS_OPT_DESYNC_HTTP="--dpi-desync=split --dpi-desync-fooling=md5sig"

FLOWOFFLOAD=donttouch

IFACE_WAN=br0
INIT_APPLY_FW=1

DISABLE_IPV6=1

Мы знакомы?
Да, провайдерский и одноплатник на debian.

2024-08-21T22:42:49.145Z
easyone11

Спасибо, тоже не работает, по логам вроде всё ок, но толку нет

Спойлер

root@OpenWrt:~# /etc/init.d/zapret restart
Clearing iptables
Deleting iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Deleting iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Deleting iptables rule for nfqws postrouting (qnum 201) : -p tcp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Deleting iptables rule for nfqws input+forward (qnum 201) : -p tcp -m multiport --sports 443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Starting daemon 1: /opt/zapret/nfq/nfqws --qnum=200 --user=daemon --dpi-desync-fwmark=0x40000000 --dpi-desync=split --dpi-desync-fooling=md5sig
Starting daemon 2: /opt/zapret/nfq/nfqws --qnum=201 --user=daemon --dpi-desync-fwmark=0x40000000 --dpi-desync=fake,split2 --dpi-desync-ttl=3 --dpi-desync-split-pos=1
Applying iptables
Creating ip list table (firewall type iptables)
setting high oom kill priority
reloading ipset backend (no-update)
Adding iptables rule for nfqws postrouting (qnum 200) : -p tcp -m multiport --dports 80 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Adding iptables rule for nfqws input+forward (qnum 200) : -p tcp -m multiport --sports 80 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1
Adding iptables rule for nfqws postrouting (qnum 201) : -p tcp -m multiport --dports 443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000
Adding iptables rule for nfqws input+forward (qnum 201) : -p tcp -m multiport --sports 443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:1

2024-08-22T05:12:54.844Z
dreatrio

тоже не могу настроить нормальную работу на МГТС Москва, твой конфиг у меня тоже работает, причем ютуб он тоже ускоряет если отключить QUIC в браузере. Но мне не подходит, так как я хочу ускорить ютуб на apple tv, а там quic не отключить

2024-08-22T14:47:24.906Z
easyone11

это тебе надо искать конфиг в которому будет MODE_QUIC=1?

2024-08-22T15:07:02.420Z
dreatrio

я так понял что да

2024-08-22T15:10:39.097Z
BBS

На роутере запретить подключение исходящих UDP на 443 порт - не вариант?

2024-08-22T17:09:22.236Z
dreatrio

Пробовал, чет не взлетело. Возможно я не так что-то сделал

2024-08-22T17:23:22.807Z
easyone11

split-http-req=method --split-pos=3 --oob
заметил что иногда бывает 1 видео из 100 грузится

2024-08-22T20:10:45.372Z
easyone11

делал blockcheck.sh рутрекера

редкие видео на ютубе проигрываются, но в основном нет

SET_MAXELEM=522288
IPSET_OPT=“hashsize 262144 maxelem $SET_MAXELEM”
IP2NET_OPT4=“–prefix-length=22-30 --v4-threshold=3/4”
IP2NET_OPT6=“–prefix-length=56-64 --v6-threshold=5”
AUTOHOSTLIST_RETRANS_THRESHOLD=3
AUTOHOSTLIST_FAIL_THRESHOLD=3
AUTOHOSTLIST_FAIL_TIME=60
AUTOHOSTLIST_DEBUGLOG=0
MDIG_THREADS=30
GZIP_LISTS=1
MODE=nfqws
MODE_HTTP=1
MODE_HTTP_KEEPALIVE=0
MODE_HTTPS=1
MODE_QUIC=0
MODE_FILTER=none
DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000
NFQWS_OPT_DESYNC=“–dpi-desync=syndata --dpi-desync-fake-syndata=/opt/zapret/files/fake/tls_clienthello_iana_org.bin”
NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=fake --dpi-desync-repeats=6”
TPWS_OPT=“–hostspell=HOST --split-http-req=method --split-pos=3 --oob”
FLOWOFFLOAD=donttouch
INIT_APPLY_FW=1
DISABLE_IPV6=1
GETLIST=get_antifilter_ipsmart.sh

PS
а как это может быть если MODE_FILTER=none
значит весь трафик коверкается же, у них там на разных серверах разные типы соединений чтоль?
PSS
снял данные через системинформер с видео которое играется (где mb накачался)
chrome.exe, 192.168.3.209, 65168, 74.125.154.9, 443, TCP, 11,27 MB,
bud02s29-in-f9.1e100.net, https
и еще где hostname не определяется удаленный только ip
chrome.exe, 2088, 192.168.3.209, 65242, 212.188.49.81, 443, TCP, 21,37 MB, , https

2024-08-23T04:49:26.129Z
easyone11
работает всё кроме ютуба nfqws

SET_MAXELEM=522288
IPSET_OPT=“hashsize 262144 maxelem $SET_MAXELEM”
IP2NET_OPT4=“–prefix-length=22-30 --v4-threshold=3/4”
IP2NET_OPT6=“–prefix-length=56-64 --v6-threshold=5”
AUTOHOSTLIST_RETRANS_THRESHOLD=3
AUTOHOSTLIST_FAIL_THRESHOLD=3
AUTOHOSTLIST_FAIL_TIME=60
AUTOHOSTLIST_DEBUGLOG=0
MDIG_THREADS=30
GZIP_LISTS=1
MODE=nfqws
MODE_HTTP=1
MODE_HTTP_KEEPALIVE=0
MODE_HTTPS=1
MODE_QUIC=0
MODE_FILTER=none
DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000
NFQWS_OPT_DESYNC=“–dpi-desync=disorder2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3”
NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=fake --dpi-desync-repeats=6”
TPWS_OPT=“–hostspell=HOST --split-http-req=method --split-pos=3 --oob”
FLOWOFFLOAD=donttouch
INIT_APPLY_FW=1
DISABLE_IPV6=1
GETLIST=get_antifilter_ipsmart.sh

2024-08-23T05:56:42.155Z
dreatrio

пробовал отключить QUIC в браузере?

2024-08-23T10:26:53.592Z
easyone11

да, изначально отключено Kyber и QUIC (для GoodbyeDPI требовалось)

2024-08-23T11:25:23.761Z
halimon

Посоветуйте пожалуйста конфигурацию для МГТС Москва

2024-08-24T13:39:09.792Z
easyone11

Закончу эпопею свою, никакие конфиги с nfqws нормально не работали тк был включен flow offloading в настройках фаирвола роутера
выяснили благодаря логам которые изучи разработчик

рабочий конфиг

FWTYPE=nftables

SET_MAXELEM=522288

IPSET_OPT=“hashsize 262144 maxelem $SET_MAXELEM”

IP2NET_OPT4=“–prefix-length=22-30 --v4-threshold=3/4”
IP2NET_OPT6=“–prefix-length=56-64 --v6-threshold=5”

AUTOHOSTLIST_RETRANS_THRESHOLD=3
AUTOHOSTLIST_FAIL_THRESHOLD=3
AUTOHOSTLIST_FAIL_TIME=60
AUTOHOSTLIST_DEBUGLOG=1

MDIG_THREADS=30

GZIP_LISTS=1

MODE=nfqws
MODE_HTTP=1
MODE_HTTP_KEEPALIVE=0
MODE_HTTPS=1
MODE_QUIC=1
MODE_FILTER=none

DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000
NFQWS_OPT_DESYNC=“–dpi-desync=fake,split2 --dpi-desync-split-pos=1 --dpi-desync-ttl=3 --dpi-desync-fooling=md5sig”
NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=fake --dpi-desync-repeats=6”

TPWS_OPT=“–hostspell=HOST --split-http-req=method --split-pos=3 --oob”

FLOWOFFLOAD=donttouch

INIT_APPLY_FW=1

DISABLE_IPV6=0

2024-08-24T20:52:51.252Z
easyone11

не актуально после 12 09 2024

Можно попробовать без fake

DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000
NFQWS_OPT_DESYNC=“–dpi-desync=split2 --dpi-desync-split-pos=1 --dpi-desync-ttl=3 --dpi-desync-fooling=md5sig”
#NFQWS_OPT_DESYNC_HTTP=“–dpi-desync=split --dpi-desync-ttl=0 --dpi-desync-fooling=badsum”
#NFQWS_OPT_DESYNC_HTTPS=“–wssize=1:6 --dpi-desync=split --dpi-desync-ttl=0 --dpi-desync-fooling=badsum”
#NFQWS_OPT_DESYNC_HTTP6=“–dpi-desync=split --dpi-desync-ttl=5 --dpi-desync-fooling=none”
#NFQWS_OPT_DESYNC_HTTPS6=“–wssize=1:6 --dpi-desync=split --dpi-desync-ttl=5 --dpi-desync-fooling=none”
NFQWS_OPT_DESYNC_QUIC=“–dpi-desync=disorder2 --dpi-desync-repeats=6”
#NFQWS_OPT_DESYNC_QUIC6=“–dpi-desync=hopbyhop”

2024-09-12T20:20:49.773Z
dreatrio

сейчас у тебя работает этот конфиг?

2024-09-28T10:46:05.422Z
easyone11

–dpi-desync=fake,disorder2 --dpi-desync-fooling=md5sig
сейчас такой

2024-09-28T11:10:54.259Z
PirateSkull(unknown )

Disorder2 поменяй на split2

2024-09-28T11:16:56.974Z
easyone11

сплит2 да, из другого копирнул

2024-09-28T11:25:29.185Z
MIHAHIM

Привет, я не правильно понимаю речь идет о файле config, который находится по пусти /opt/zapret/?
Недавно поставил на роутер Openwrt 19.07 поставил запрет, но ни с одним конфигом ничего не работает… И речь даже не о ютубе, ни рутрекер ни любой другой закрытый провайдером сайт…

При этом на винде тот же запрет работает на ура…

2024-10-12T05:28:21.660Z
easyone11

ну значит не правильно что то сделал
да о нём по этому пути

2024-10-12T05:41:04.441Z
MIHAHIM

У меня вот так в файле config получилось, не знаю как по другому…

DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000
NFQWS_OPT_DESYNC="--wf-tcp=80,443 --wf-udp=443,50000-65535"
NFQWS_OPT_DESYNC_SUFFIX="--filter-udp=443 --hostlist="%~dp0russia-youtubeQ.txt" --dpi-desync=fake --dpi-desync-repeats=4 --dpi-desync-fake-quic="%~dp0quic_initial_www_google_com.bin" --new"
NFQWS_OPT_DESYNC_HTTP="--filter-tcp=443 --hostlist="%~dp0russia-youtubeGV.txt" --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-ttl=4 --new"
NFQWS_OPT_DESYNC_HTTP_SUFFIX="--filter-tcp=443 --hostlist="%~dp0russia-youtube.txt" --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3 --dpi-desync-fake-tls="%~dp0tls_clienthello_www_google_com.bin" --dpi-desync-ttl=3 --new"
NFQWS_OPT_DESYNC_HTTPS="--filter-tcp=80 --hostlist="%~dp0russia-blacklist.txt" --dpi-desync=fake,split2 --dpi-desync-fooling=md5sig --new"
NFQWS_OPT_DESYNC_HTTPS_SUFFIX="--filter-tcp=443 --hostlist="%~dp0russia-blacklist.txt" --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sniext --dpi-desync-fake-tls="%~dp0tls_clienthello_www_google_com.bin" --dpi-desync-ttl=5 --new"
NFQWS_OPT_DESYNC_HTTP6=""
NFQWS_OPT_DESYNC_HTTP6_SUFFIX=""
NFQWS_OPT_DESYNC_HTTPS6=""
NFQWS_OPT_DESYNC_HTTPS6_SUFFIX=""
NFQWS_OPT_DESYNC_QUIC="--filter-udp=443 --hostlist="%~dp0russia-discord.txt" --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=7 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic="%~dp0quic_initial_www_google_com.bin" --new"
NFQWS_OPT_DESYNC_QUIC_SUFFIX="--filter-udp=50000-65535 --dpi-desync=fake,tamper --dpi-desync-any-protocol --dpi-desync-fake-quic="%~dp0quic_initial_www_google_com.bin" --new"
NFQWS_OPT_DESYNC_QUIC6=""
NFQWS_OPT_DESYNC_QUIC6_SUFFIX=""

А вот то что у меня в винде, работает:

@echo off
start “zapret: http,https,quic,discord” /min “%~dp0winws.exe” ^
–wf-tcp=80,443 --wf-udp=443,50000-65535 ^
–filter-udp=443 --hostlist=“%~dp0russia-youtubeQ.txt” --dpi-desync=fake --dpi-desync-repeats=4 --dpi-desync-fake-quic=“%~dp0quic_initial_www_google_com.bin” --new ^
–filter-tcp=443 --hostlist=“%~dp0russia-youtubeGV.txt” --dpi-desync=split --dpi-desync-split-pos=1 --dpi-desync-fooling=badseq --dpi-desync-repeats=10 --dpi-desync-ttl=4 --new ^
–filter-tcp=443 --hostlist=“%~dp0russia-youtube.txt” --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=3 --dpi-desync-fake-tls=“%~dp0tls_clienthello_www_google_com.bin” --dpi-desync-ttl=3 --new ^
–filter-tcp=80 --hostlist=“%~dp0russia-blacklist.txt” --dpi-desync=fake,split2 --dpi-desync-fooling=md5sig --new ^
–filter-tcp=443 --hostlist=“%~dp0russia-blacklist.txt” --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sniext --dpi-desync-fake-tls=“%~dp0tls_clienthello_www_google_com.bin” --dpi-desync-ttl=5 --new ^
–filter-udp=443 --hostlist=“%~dp0russia-discord.txt” --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=7 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic=“%~dp0quic_initial_www_google_com.bin” --new ^
–filter-udp=50000-65535 --dpi-desync=fake,tamper --dpi-desync-any-protocol --dpi-desync-fake-quic=“%~dp0quic_initial_www_google_com.bin” --new ^
–filter-tcp=443 --hostlist=“%~dp0russia-discord.txt” --dpi-desync=fake,split2 --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=sniext --dpi-desync-fake-tls=“%~dp0tls_clienthello_www_google_com.bin” --dpi-desync-ttl=4

2024-10-12T07:18:01.087Z
TesterTi(TesterIt)

А разве на линуксе это работает? Мне кажется, вам нужно заменить путь на полный ко всем такого рода файлам. Для фейков /opt/zapret/files/fake/. Для хостилистов тоже (смотря где они лежат)

2024-10-12T08:14:32.116Z
MIHAHIM

Насчет путей понял, но меня больше смущает другое, мне кажется что весь скрипт (ну почти) нужно вместить в один или два параметра
NFQWS_OPT_DESYNC=
NFQWS_OPT_DESYNC=
Только как именно сюда всё вместить, я не представляю

2024-10-12T08:20:41.228Z