https://itch.io/t/3791685/itchio-not-available-in-russia-err-connection-refused-and-err-connection-timed-out

Не похоже, что блокировка внутри России. По http (порт 80) - все ОК. По https (порт 443) на TCP SYN сразу приходит TCP RST с верным TTL. Так что это не MITM. Подключался к 45.33.107.166.

У меня тоже не работает, пустил через proxifier. А SS, наоборот, сегодня заработал.

# lft -d 443 45.33.107.166
Tracing ....**..*..*.......***.T
TTL LFT trace to 45-33-107-166.ip.linodeusercontent.com (45.33.107.166):443/tcp
**  [neglected] no reply packets received from TTL 1
 2  89.178.254.204 (89.178.254.204) 1.0ms
**  [neglected] no reply packets received from TTL 3
 4  79.104.58.125 (79.104.58.125) 2.1ms
**  [neglected] no reply packets received from TTL 5
 6  sto-b9-link.ip.twelve99.net (62.115.44.72) 214.4ms
 7  sto-bb2-link.ip.twelve99.net (62.115.139.186) 47.0ms
 8  kbn-bb6-link.ip.twelve99.net (62.115.139.173) 46.1ms
 9  nyk-bb2-link.ip.twelve99.net (80.91.254.91) 114.8ms
**  [neglected] no reply packets received from TTL 10
11  akamai-ic-372768.ip.twelve99-cust.net (62.115.50.15) 114.4ms
12  ae2.r01.ewr01.icn.netarch.akamai.com (23.203.154.36) 115.9ms
13  ae6.r21.iad04.icn.netarch.akamai.com (23.193.112.222) 122.7ms
14  ae5.r21.iad02.mag.netarch.akamai.com (23.209.170.80) 123.6ms
15  ae0.r23.iad02.icn.netarch.akamai.com (23.209.165.135) 121.0ms
16  ae9.r02.ord01.icn.netarch.akamai.com (23.32.62.123) 132.6ms
17  ae4.r02.sjc01.icn.netarch.akamai.com (23.32.63.27) 184.9ms
18  ae2.r11.sjc01.ien.netarch.akamai.com (23.207.232.39) 183.7ms
19  a23-203-158-51.deploy.static.akamaitechnologies.com (23.203.158.51) 184.4ms
**  [neglected] no reply packets received from TTLs 20 through 22
23  [target closed] 45-33-107-166.ip.linodeusercontent.com (45.33.107.166):443 184.8ms

С большей части нод не открывается, с некоторых открывается. Действительно, больше похоже на блокировку со стороны сайта.

Это блокировка TCP порта для адреса сайта на ТСПУ, где в отличии от DROP-блокировки, RST выполняется как MITM с модификацией ответа. DROP или RST – зависит от настроения the ТСПУ. При RST-блокировке порта под модификацию попадает SYN/ACK. На уровне приложения RST блокировка порта неотличима от закрытого порта.

Хотите сказать, что ТСПУ дожидается SYN ACK от оригинального сервера, блокирует его, вытаскивает оттуда TTL и копирует его в свой поддельный TCP RST? Зачем так заморачиваться? Я не встречал такого поведения цензора. Просто TCP RST с каким-то фиксированным IP TTL - сколько угодно.

Спросите у разработчиков ТСПУ, зачем им это.
Не копирует, а модифицирует нагрузку ответа и флаги.

Возможно вы и правы. Если подключаться на 45.33.107.166 и какой-нибудь левый TCP-порт, например 444, то приходит TCP RST с window = 0, как и положено как минимум в случае Linux kernel. Если же на 443, то TCP RST с window = 31856. То же самое значение window в TCP SYN+ACK, если подключаться из места, где этой блокировки нет.

Отправьте им багрепорт. Возможно.

Похоже это блокировка VPN сервиса GO2HTTPS
itch.io хостится по этому адресу только последние пару дней.

Страница на личном субдомене одного из пользователей сайта в списке с 2022:
https://reestr.rublacklist.net/en/?q=itch.io

Похоже сайт снова переезжает. Проверьте доступность сайта по адресу 173.255.209.84, например через hosts файл.

Не блокируется.

А в Китае этот блокируют и первичный, в отличии от старого 173.255.250.29, но там уже ничего нет.
Это точно сервер из их инфраструктуры, но не замена или переезд, а вторичный или что там у них.

Пришел админ и всех выгнал. Доступ к внутренним системам закрыт, теперь уже с их стороны. Таков путь отцензурованных пользователей. Инфраструктура сайта состоит из первичного кэширующего обратного прокси (45.33.107.166), основного веб сервера (173.255.209.84), и ядра системы на 5 серверах (список адресов не прилагается)