The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

Обход блокировки трафика провайдером при помощи iptables
Многие провайдеры и корпоративные системы инспектирования трафика применяют для
блокирования доступа к сайтам подстановку пакетов, перенаправляющих браузер
пользователя на страницу с информацией о блокировке, при этом не обрывая
изначально установленное соединение к заблокированному ресурсу.

Например, запустив 

   tcpdump -nA -s1500 host заблокированный_IP

и попытавшись отрыть заблокированный ресурс в браузере, можно увидеть такой пакет:

   13:50:24.563093 IP 1.2.3.4.80 > 192.168.1.10.58072: Flags [.], seq 1777859077:1777859201, ack 3185912442, win 229, length 124
   E.......2..a..x$...f.P..i.....*zP....V..HTTP/1.1 302 Found
   Connection: close
   Location: http://warning.bigprovider.ru/?id=61&st=0&dt=1.2.3.4&rs=http://badsite.com/

следом за которым приходит реальный ответ и другие пакеты с подпадающего под
блокировку сайта, которые продолжают приходить и не отбрасываются провайдером.

Данный метод блокировки обусловлен тем,  что оборудование для обеспечения
блокировки хоть и имеет доступ к транзитному трафику, но оно работает
обособленно от сетевой инфраструктуры и не может изменять трафик или напрямую
блокировать прохождение пакетов. Соответственно, суть применяемого провайдерами
метода состоит в том, что блокирующее оборудование зная параметры сетевого
соединения реализует блокировку через отправку подставного упреждающего ответа.
Так как такой фиктивный ответ приходит раньше реального ответа от удалённого
сервера и снабжён корректным номером последовательности TCP, он воспринимается
клиентским ПО в первую очередь, а пришедший хвост реального ответа игнорируется.


Обойти подобную блокировку достаточно легко при помощи добавления на локальной
Linux-системе правила, отбрасывающего фиктивный ответ:

   iptables -I INPUT -p tcp --sport 80 -m string --string "Location: http://warning.bigprovider.ru" --algo bm -j DROP

В случае HTTPS (подобным образом также часто блокируют Tor) блокировка обычно
устраивается  через подстановку в трафик RST-пакетов для принудительного обрыва
соединения. Обходится данное ограничение следующим правилом:

   iptables -I INPUT -p tcp --sport 443 --tcp-flags RST RST -j DROP

Итог: Даже самые крупные провайдеры лукавят и вместо полноценной блокировки
применяют сомнительные методы подстановки трафика, не блокируя фактически
запрещённый трафик. Таким образом, описанная выше техника не может
рассматриваться как метод обхода блокировки, так как блокировки нет как таковой
- пакеты с запрещённых ресурсов не блокируются и продолжают приходить на
клиентскую систему, а приходящие от провайдера вкрапления лишь создают
видимость блокировки и организуют проброс на стороне клиента.

Клиент имеет полное право отбрасывать любые пакеты на своей системе и это не
может рассматриваться как лазейка для обхода блокировки, которая не выполнена
должным образом провайдером.


Дополнение: Для выявления описанного выше вида блокировок можно использовать
утилиту curl, в которой можно увидеть "хвост" реального ответа:

   $ curl -i --ignore-content-length http://badsite.org/

   HTTP/1.1 302 Found
   Connection: close
   Location: http://warning.bitprovider.ru/?id=6&st=0&dt=1.2.3.4&rs=http://badsite.org/

   8
   Location: http://badsite.org/forum/index.php
   Connection: keep-alive
   ...

Если запросить конечную страницу, то можно получить её содержимое без манипуляций с iptables: 

   $ curl -i --ignore-content-length --trace-asci dump.txt http://badsite.org/forum/index.php

   HTTP/1.1 302 Found
   Connection: close
   Location: http://warning.bigprovider.ru/?id=6&st=0&dt=1.2.3.4&rs=http://badsite.org/forum/index.php

   ection: keep-alive

   1fc0
   ...содержимое HTML-документа.

   $ less dump.txt

   ...
   <= Recv header, 20 bytes (0x14)
   0000: HTTP/1.1 302 Found
   <= Recv header, 19 bytes (0x13)
   0000: Connection: close
   <= Recv header, 101 bytes (0x65)
   0000: Location: http://warning.bigprovider.ru/?id=6&st=0&dt=1.2.3.4&rs=h
   0040: ttp://badsite.org/forum/index.php
   <= Recv header, 2 bytes (0x2)
   0000: 
   <= Recv data, 1238 bytes (0x4d6)
   0000: ection: keep-alive
   ...
 
09.12.2016
Ключи: iptables, block, tor / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетные фильтры в Linux: iptables, ipchains

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, Past (?), 14:24, 09/12/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    Теперь забанят опеннет
     
  • 1.2, Алексей (??), 14:41, 09/12/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    уже исправили, или уже было правильно сделано))
     
  • 1.3, Я (??), 16:12, 09/12/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    ха и вправду помогло, зашел на парочку первых попавшихся заблокированных из реестра спокойно.
     
     
  • 2.17, Zenitur (ok), 18:08, 10/12/2016 [^] [ответить]    [к модератору]
  • +/
    У меня Wayback Machine снова открылся. Раньше через Тор открывал. Хорошая команда, слушай.
     
     
  • 3.103, Neandertalets (ok), 11:10, 22/07/2017 [^] [ответить]    [к модератору]
  • +/
    O_o  А чем ВэбАрхим им помешал?
     
  • 1.4, th3m3 (ok), 17:02, 09/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Когда делаю: iptables -I INPUT --sport 443 -p tcp --tcp-flags RST RST -j DROP

    Выдаёт:

    iptables -I INPUT --sport 443 -p tcp --tcp-flags RST RST -j DROP            
    iptables v1.6.0: unknown option "--sport"
    Try 'iptables -h' or 'iptables --help' for more information.

     
     
  • 2.5, Аноним (-), 17:05, 09/12/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Запускай без --sport:
    iptables -I INPUT -p tcp --tcp-flags RST RST -j DROP

     
  • 2.6, Andrey Mitrofanov (?), 17:06, 09/12/2016 [^] [ответить]    [к модератору]  
  • +/
    > iptables v1.6.0: unknown option "--sport"

    lmddgtfy! http://serverfault.com/a/563036

     
     
  • 3.7, th3m3 (ok), 17:11, 09/12/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Спасибо!

    Блин, всё работает! На рутрекер зашёл без проблем!

     
  • 1.8, Аноним (-), 00:46, 10/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А под Windows что и как прописывать?
     
     
  • 2.9, Fixer (?), 06:57, 10/12/2016 [^] [ответить]    [к модератору]  
  • +/
    хомячки должны страдать.
     
  • 2.10, Fixer (?), 07:04, 10/12/2016 [^] [ответить]    [к модератору]  
  • +/
    > А под Windows что и как прописывать?

    а если серьезно то самый простой вариант купить железку с linux  аля mikrotik/RouterOS и запульнуть rules там. Ну или поставить linux с виртуалкой винды

     
     
  • 3.11, Аноним (-), 09:04, 10/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Почти у каждого виндового пользователя дома стоит беспроводной рутер, точка wifi... весь текст скрыт [показать]
     
     
  • 4.22, Аноним (-), 20:16, 11/12/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > через telnet/ssh прописывать.

    Подробнее бы.

     
     
  • 5.31, Аноним (-), 17:07, 12/12/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Что подробнее Если ты не можешь запустить телнет или ssh и зайти ими на девайс ... весь текст скрыт [показать]
     
     
  • 6.45, Онанимус (?), 13:25, 13/12/2016 [^] [ответить]     [к модератору]  
  • +/
    101 что модуля string там нет А вот с RST правило пойдет Полностью согласен ... весь текст скрыт [показать]
     
  • 4.104, Аноним всея Интернета (?), 01:28, 16/08/2017 [^] [ответить]     [к модератору]  
  • +/
    только на роутере нужно это правило в FORWARD добавлять, чтобы работало не для с... весь текст скрыт [показать]
     
  • 3.23, Аноним (-), 01:01, 12/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Лучше что-нибудь с openwrt, там нормальный линукс без кучи ограничений и с множе... весь текст скрыт [показать]
     
  • 3.58, Аноним (-), 00:24, 17/12/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    >mikrotik/RouterOS и запульнуть rules там.

    А можно пример правил показать, пожалуйста?

     
  • 2.34, Аноним (-), 19:52, 12/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Под винду полно фаерволов разных (я, правда, 10 лет не смотрел на них). Экспериментируй. Не слушай этих умников.
     
  • 1.12, Сергей (??), 09:58, 10/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Я так понимаю с HTTPs это не прокатит...
     
     
  • 2.15, Аноним (-), 10:49, 10/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Правило с убиванием пакетов RST прокатывает Другое дело, что не везде, так как ... весь текст скрыт [показать]
     
  • 1.13, Владимир Владимирович (?), 10:37, 10/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
       iptables -I INPUT -p tcp --sport 443 --tcp-flags RST RST -j DROP

    Но ведь в таком случае мы получим кучу висячих HTTPS соединений на клиентской машине, разве нет?

     
     
  • 2.14, Аноним (-), 10:47, 10/12/2016 [^] [ответить]     [к модератору]  
  • +/
    нет, для нормального завершения соединения используется FIN, а флаг RST только д... весь текст скрыт [показать]
     
  • 1.16, Аноним (-), 16:43, 10/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Блин, реально работает. Дроп RST -- мощно.
     
  • 1.18, uchiya (ok), 21:27, 10/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Первое правило для http не пашет
     
     
  • 2.19, Аноним (-), 23:03, 10/12/2016 [^] [ответить]    [к модератору]  
  • +/
    А вы точно строковую маску правильно для своего провайдера подобрали?
    Какое именно в iptables правило добавили и что выдаёт curl -i --ignore-content-length http://запрещённый_сайт ?
     
     
  • 3.35, Аноним (-), 19:59, 12/12/2016 [^] [ответить]     [к модератору]  
  • +/
    -I INPUT -p tcp --sport 80 -m string --string Location http blocked netbynet... весь текст скрыт [показать]
     
     
  • 4.47, Онанимус (?), 13:49, 13/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Вам нужно точно знать, что выдает провайдер Нужно сниффирить, а не гадать 1 с... весь текст скрыт [показать]
     
     
  • 5.48, Аноним (-), 20:59, 13/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Эх я бы еще понимал, что мне все это выдало curl -i --ignore-content-length ru... весь текст скрыт [показать]
     
     
  • 6.53, Nas_tradamus (ok), 19:45, 14/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Попробуйте RST для 80 и 443 портов заблочить Вот тут у вас провайдер от имени ... весь текст скрыт [показать]
     
  • 1.20, Аноним (-), 11:28, 11/12/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Добавил для Mikrotik роутера правило ip firewall filter add chain input protoco... весь текст скрыт [показать]
     
     
  • 2.21, Andrew (??), 18:46, 11/12/2016 [^] [ответить]    [к модератору]  
  • +/
    chain=input "ловит" трафик, который адресован самому роутеру. Для транзитного трафика нужно chain=forward.
     
     
  • 3.24, _KUL (ok), 09:08, 12/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Имею тоже микротик и не могу понять как провайдер так хитро придумал 1 Открыва... весь текст скрыт [показать]
     
     
  • 4.25, _KUL (ok), 09:09, 12/12/2016 [^] [ответить]    [к модератору]  
  • +/
    прров ктт (читать наоборот)
     
     
  • 5.29, _KUL (ok), 14:13, 12/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Порыбачил на линуксе, поймал злой пакет root debian curl -i --ignore-cont... весь текст скрыт [показать]
     
  • 4.105, Аноним всея Интернета (?), 01:35, 16/08/2017 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален Всё просто - у тебя браузер кэширует 301 редирект - почи... весь текст скрыт [показать]
     
  • 3.26, Аноним (-), 10:56, 12/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Спасибо! Помогло
     
  • 1.27, Саня (??), 12:26, 12/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    В чем юмор первый команды, с фильтрацией по Location?
    Оно же отбрасывает пакет с HTTP-заголовком целиком, то есть сайт как не открывался, так и не открывается.
     
     
  • 2.28, Andrey Mitrofanov (?), 13:40, 12/12/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > В чем юмор первый команды, с
    > Оно же отбрасывает пакет
    >как не открывался, так и не открывается.

    Юмор в том, что Вы не понимаете.  Смотрите -- над Вами смеются.

     
  • 2.30, Freddy Cuper (?), 16:21, 12/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Смысл в том, что приходят два пакета с заголовками - первый, который отправил п... весь текст скрыт [показать]
     
     
  • 3.46, Саня (??), 13:36, 13/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Не обрабатывается. Сообщение от провайдера перестает показываться, но и браузер, и CURL при попытке открытии подобных сайтов начинают выдавать
    curl: (56) Recv failure: Connection reset by peer

     
     
  • 4.49, _KUL (ok), 06:12, 14/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Ну это у вас порядок пакетов в TCP нарушился Т е как будто вас запроксировали ... весь текст скрыт [показать]
     
  • 1.32, Аноним (-), 17:17, 12/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Для билайна похоже не работает. Печаль ;(
     
     
  • 2.50, _KUL (ok), 06:15, 14/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Очень похожу на то, что так маленькие провайдеры лочат, т к сервера глушилки ря... весь текст скрыт [показать]
     
  • 1.33, Zenitur (ok), 18:38, 12/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Спасибо! Применил на Raspberry Pi, который у меня как роутер. Интересно, как то же самое применить на SUSE-роутере...
     
  • 1.36, ананизмус (?), 20:22, 12/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Спасибо- все ok. Дополню- провы еще и на уровне dns делают подмену(дурдом.ру) - в /etc/hosts прописываем верную пару ip домен (или биндим в своей локлаьной прокси) + правило и все работает.
     
     
  • 2.37, Аноним (-), 21:58, 12/12/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    А если в /etc/resolv.conf просто прописать нормальный днс (208.67.220.220 или 8.8.4.4)?
     
     
  • 3.44, ананизмус (?), 11:28, 13/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Просто не поможет. Либо пров перехватывает обращение к внещним серверам, либо у него где то локлаьно ip тех dns прописаны.
     
     
  • 4.87, Аноним (-), 20:29, 15/01/2017 [^] [ответить]     [к модератору]  
  • +/
    Поздравляю с открытием, 8 8 x x от гугла - это anycast, он не уникальный И пров... весь текст скрыт [показать]
     
  • 3.85, Укпшд (?), 18:08, 14/01/2017 [^] [ответить]    [к модератору]  
  • +/
    Часть российских провов много лет перехватывает все запросы на 53/udp и 53/tcp и заворачивают на свои ДНСы.
    Правильный выход — установка dnscrypt.
     
  • 1.38, Аноним (-), 22:01, 12/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Блин, слушай, чувак, ты, который написал этот пост, невыразимый тебе респектище!!!
     
  • 1.39, garrick (?), 22:46, 12/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    В Билайне ничего из этого не работает. А как теперь вернуть всё обратно?
     
     
  • 2.40, Аноним (-), 02:20, 13/12/2016 [^] [ответить]    [к модератору]  
  • +/
    iptables -F
    Все правила очистятся.
     
     
  • 3.41, garrick (?), 08:26, 13/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Спасибо
     
     
  • 4.51, _KUL (ok), 06:16, 14/12/2016 [^] [ответить]    [к модератору]  
  • –3 +/
    Вообще то "sudo rm -rf /" было бы корректнее!
     
     
  • 5.52, _KUL (ok), 06:18, 14/12/2016 [^] [ответить]    [к модератору]  
  • +/
    > Вообще то "sudo rm -rf /" было бы корректнее!

    это шутка. зачем вы вводите от рута то, не понимая, что оно делает? это же не по сноуденовски ...

     
  • 1.42, korrado (?), 08:50, 13/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    У меня местный провайдер еще проще делает. Вообще ничего не блокирует. Только подменяет DNS-ответы для заблокированных файлов своим сервером со страницей про то что сайт заблокирован. Просто поставил BIND на компе и прописал DNS сервер на 127.0.0.1 и вуаля, все заработало :)
     
  • 1.43, korrado (?), 08:52, 13/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    заблокированных сайтов :)
    Опечатался
     
  • 1.54, Nas_tradamus (ok), 01:26, 15/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Onlime (Ростелеком) - не работает. Провайдер сразу после рукопожатия шлет редирект и никакого реального трафика. RST по http/https заблокировал - не помогло.
     
     
  • 2.55, Nas_tradamus (ok), 01:40, 15/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Долго вкуривал в tcpdump и счетчики firewall mikrotik - все так и есть, я нигд... весь текст скрыт [показать]
     
  • 2.56, Krot (??), 16:40, 15/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Провайдер Онлайм - только что реализовал на микротике - нет проблем всё равботае... весь текст скрыт [показать]
     
  • 2.59, M. (?), 18:34, 17/12/2016 [^] [ответить]     [к модератору]  
  • +/
    От суперюзера iptables -I INPUT -p tcp --tcp-flags RST RST -j DROP iptables -I ... весь текст скрыт [показать]
     
  • 2.60, Nas_tradamus (ok), 02:31, 18/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Поправка вышесказанное действительно только для рутрекера по http По https отб... весь текст скрыт [показать]
     
  • 1.57, Анончик (?), 17:10, 16/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > iptables -I INPUT -p tcp --sport 80 -m string --string "Location: http://warning.bigprovider.ru" --algo bm -j DROP

    Пытаюсь сделать, в ответ получаю "iptables: No chain/target/match by that name.". Цепочка INPUT есть, таргет DROP тоже, ибо правило с дропом резетов из HTTPS проглатывает нормально.
    Подозреваю что ругается на -m string, ибо на "iptables -I INPUT -m string --algo bm --string "test" -j DROP" тоже ругается. Но "iptables -m string -h" выдаёт полный хелп...
    Что за херня?

     
     
  • 2.64, pavlinux (ok), 02:15, 19/12/2016 [^] [ответить]    [к модератору]  
  • +/
    lsmod  | grep ts_bm
     
  • 1.61, y (??), 20:46, 18/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    kinozal.tv не работает...
     
     
  • 2.62, Nas_tradamus (ok), 01:43, 19/12/2016 [^] [ответить]    [к модератору]  
  • +/
    > kinozal.tv не работает...

    Подтверждаю. Онлайм. В сторону кинозала только syn от меня летят, а обратно вообще ничего. Через freegate все ок.

     
     
  • 3.66, trublast (?), 07:42, 19/12/2016 [^] [ответить]    [к модератору]  
  • +/
    kinozal.website работает  перкрасно
     
  • 1.63, pavlinux (ok), 02:12, 19/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Сосём!

    Location: http://block.mgts.ru/

     
  • 1.65, trublast (?), 07:41, 19/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Отправляют пользователю RST только какие-то совсем доморощенные блокировщики. Чуть более нормальные (хотя работающие на том же принципе - сбросить соединение, но не блокировать сам трафик) помимо отправки RST пользователю еще шлют RST вебсерверу. Повлиять на который вы со своего роутера не сможете никак. Ну и в догонку еще DNS спуфят, для надежности и корректной блокировки https.

    Если есть роутер, куда можно поставить openwrt, то на него же можно поставить tor и и прозрачно заворачивать нужные IP на ТОР, после чего доступ на всех устройствах за роутером заработает. Но скорость и стабильность соединения до ресурсов да,  просядет.
    Если нужно просто глянуть информацию на каком-то таком ресурсе по быстрой, то лайфхак - отрыть страницу через translate.google.com Верстку рвет, но на смысл не влияет.

     
     
  • 2.68, Аноним (-), 11:31, 19/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Скорее наоборот, доморощенные блокируют нормально, а крупные особо не парятся с ... весь текст скрыт [показать]
     
     
  • 3.81, pavlinux (ok), 19:00, 04/01/2017 [^] [ответить]     [к модератору]  
  • +/
    Откуда инфа, что он не шлёт ещё куда-то ... весь текст скрыт [показать]
     
     
  • 4.88, Анином (?), 08:52, 25/01/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    С какой целью интересуетесь?
     
  • 1.69, Сноуден (?), 19:27, 19/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Блокировка такими способами не добавляет провайдерам никаких хлопот и финансовых рисков. А вот если бы их могли проконтролировать эксперты, а не просто пользователи-министры, которые получили редирект на страничку с предупреждением о блокировке на своем яблочном планшетике или телефончике и уже радуются аки дети, то было бы гораздо хуже и для пользователей и для провайдеров. А так и овцы целы и волки сыты.
     
     
  • 2.71, nikosd (ok), 20:28, 20/12/2016 [^] [ответить]     [к модератору]  
  • +/
    в известных мне системах внедрение блокировки от довольно популярного билинга ... весь текст скрыт [показать]
     
     
  • 3.72, Онанимус (?), 10:47, 23/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Статистика этого треда показывает обратное RST шлют при https коннектах, при ht... весь текст скрыт [показать]
     
     
  • 4.73, nikosd (ok), 11:01, 23/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Мысли были про https - только RST, если http , то к Вам придет перенаправление... весь текст скрыт [показать]
     
     
  • 5.74, Онанимус (?), 13:36, 23/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Как же они без DPI openvpn рукопожатия отлавливают и шейпером загоняют в низкий ... весь текст скрыт [показать]
     
  • 1.70, key (??), 23:07, 19/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    У МГТС не робит. Реального хвоста нет, похоже действительно ограничивают.
     
  • 1.75, freehck (ok), 15:44, 26/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А я тут, кстати, обнаружил, что некоторые облака (которые я не буду называть здесь), не блокируют траффик к запрещённым роскомнадзором сайтам. Посмотрите по своим виртуалкам, может отыщете. :)
     
     
  • 2.76, marios (ok), 02:26, 27/12/2016 [^] [ответить]    [к модератору]  
  • +/
    VPS-провайдеры не блокируют.
    Да и не обязаны.
     
     
  • 3.77, freehck (ok), 06:38, 27/12/2016 [^] [ответить]    [к модератору]  
  • +/
    > VPS-провайдеры не блокируют.
    > Да и не обязаны.

    Что, серьёзно? То есть это не мне повезло, а через любого VPS-провайдера можно как через проксю ходить?

     
     
  • 4.79, Константин (??), 20:59, 29/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Ну понял ты, а писать всем об этом зачем?
    Не порть бизнес: https://antizapret.prostovpn.org и подобные.....
     
  • 1.80, anonkot (?), 03:12, 02/01/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Не подскажете- у меня никаких RST нет, и курлу и вгету и всем браузерам приходит SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
    но каким-то образом links2 открывает https заблокированные сайты. Что это такое?
     
     
  • 2.82, Аноним (-), 19:45, 09/01/2017 [^] [ответить]    [к модератору]  
  • +/
    Инспектируйте трафик от links2 и от curl с помощью tcpdump и/или wireshark и сравнивайте получившееся.
     
  • 1.84, 858d214ba09f174963f9d4f132585a83 (?), 21:07, 10/01/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А может кто подскажет нормальный VPN где можно взять?
     
     
  • 2.86, Аноним (-), 20:22, 15/01/2017 [^] [ответить]    [к модератору]  
  • +/
    > А может кто подскажет нормальный VPN где можно взять?

    Зависит от критериев нормальности.

     
  • 2.90, Вареник (?), 08:02, 31/01/2017 [^] [ответить]    [к модератору]  
  • +/
    Поднять через виртуалку в нормальной стране. Копейки стоит.
     
  • 2.92, Аноним (-), 15:50, 08/02/2017 [^] [ответить]    [к модератору]  
  • +/
    Амазон вроде на год vps на халяву дает
     
  • 1.89, SpaceRaven (ok), 06:22, 28/01/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Для домолинка калужского не работает, на запрос к xhamster отдает HTTP/1.1 451 Unavailable For Legal Reasons
     
  • 1.94, гг (?), 19:45, 23/02/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Самый простой, лучший и гарантированно рабочий способ обойти блокировки роскоммизуленой — не жить там, где они есть.
     
     
  • 2.95, Himik (ok), 02:10, 26/02/2017 [^] [ответить]    [к модератору]  
  • +/
    Там где нет РОСнадзора, там есть XXXнадзор, только ещё грознее, злее и хитрее.
     
  • 1.96, L29Ah (?), 04:50, 15/03/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Мегафон не халтурит похоже.
     
  • 1.98, Аноним (-), 13:39, 09/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Спасибо, мил человек! Всё работает, только ещё пришлось dnscrypt-proxy поставить, ибо мой хаббардисткий провайдер ещё и DNS подменяет. Твари несчастные.
     
  • 1.100, Аноним (-), 10:20, 09/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Зачем хомяков-провайдеров нагружают?
    этож на магистральщиках решается всё.
    А их в 100500 раз меньше чем хомяков.
     
  • 1.101, 5percent (?), 15:27, 22/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    старая опера не знает про name server indication, поэтому https сайты работаю, а вот хром и файрфокс доблестно шлют незашифрованным имя сайта, поэтому провайдер все это спокойно блочит.
     
     
  • 2.106, kadafy (?), 00:54, 14/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Старая, это какая конкретно версия?

    Спасибо.

     
  • 1.102, svsd_val (ok), 05:41, 27/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Скоро придёт запрос к Опеннету на удаление данной страницы :D
     
  • 1.107, пфф (?), 08:04, 26/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    а для винда подходит?
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor