Loading docs/quick_start.md +1 −1 Original line number Diff line number Diff line Loading @@ -16,7 +16,7 @@ в простыню [readme.md](readme.md). Обход DPI является хакерской методикой. Под этим словом понимается метод, которому сопротивляется окружающая среда, которому автоматически не которому оказывается активное противодействие и поэтому автоматически не гарантирована работоспособность в любых условиях и на любых ресурсах, требуется настройка под специфические условия у вашего провайдера. Условия могут меняться со временем, и методика может начинать или переставать работать, может Loading docs/quick_start_windows.md +30 −27 Original line number Diff line number Diff line Loading @@ -11,8 +11,8 @@ ## Немного разъяснений Обход DPI является хакерской методикой. Под этим словом понимается метод, которому сопротивляется окружающая среда, которому автоматически не гарантирована работоспособность в любых условиях и на любых ресурсах, Обход DPI является хакерской методикой. Под этим словом понимается метод, которому оказывается активное противодействие и поэтому автоматически не гарантирована работоспособность в любых условиях и на любых ресурсах, требуется настройка под специфические условия у вашего провайдера. Условия могут меняться со временем, и методика может начинать или переставать работать, может потребоваться повторный анализ ситуации. Могут обнаруживаться отдельные ресурсы, которые заблокированы иначе, и которые не работают или перестали работать. Loading Loading @@ -83,31 +83,25 @@ blockcheck перейдет в этом случае на **DoH** _(DNS over HTT Лог скрипта будет сохранен в `blockcheck\blockcheck.log`. Запомните/перепишите найденные стратегии. > [!WARNING] > Следует понимать, что blockcheck проверяет доступность только конкретного домена, который вы вводите в начале. > Вероятно, все остальные домены блокированы подобным образом, но не факт. > [!TIP] > В большинстве случаев можно обьединить несколько стратегий в одну универсальную, и это крайне желательно. > Необходимо понимать [как работают стратегии](./readme.md/#nfqws). > zapret не может пробить блокировку по IP адресу. Для проверки нескольких доменов вводите их через пробел. > > Сейчас блокираторы ставят на магистральных каналах. В сложных случаях у вас может быть несколько маршрутов > с различной длиной по ХОПам, с DPI на разных хопах. Приходится преодолевать целый зоопарк DPI, > которые еще и включаются в работу хаотичным образом или образом, зависящим от направления (IP сервера). > blockcheck не всегда может выдать вам в итогах оптимальную стратегию, которую надо просто переписать в настройки. > В некоторых случаях надо реально думать что происходит, анализируя результат на разных стратегиях. > Если вы применяете большой TTL, чтобы достать до магистрала, то не лишним будет добавить дополнительный ограничитель > `--dpi-desync-fooling`, чтобы не сломать сайты на более коротких дистанциях. > _md5sig_ наиболее совместим, но работатет только на linux серверах. > badseq может работать только на https и не работать на http. > Чтобы выяснить какие дополнительные ограничители работают, смотрите результат теста аналогичных стратегий без TTL > с каждым из этих ограничителей. > > При использовании autottl следует протестировать как можно больше разных доменов. Эта техника > может на одних провайдерах работать стабильно, на других потребуется выяснить при каких параметрах > она стабильна, на третьих полный хаос, и проще отказаться. Следует понимать, что скрипт проверяет доступность только конкретного домена, который вы вводите в начале, конкретной программой curl. У разных клиентов есть свой фингерпринт. У броузеров один, у curl другой. Может применяться или не применяться многопакетный TLS с постквантовой криптографией (kyber). От этого может зависеть работоспособность стратегий. Обычно остальные домены блокированы подобным образом, **но не факт**. Бывают специальные блокировки. Некоторые параметры требуют тюнинга под "общий знаменатель". В большинстве случаев можно объединить несколько стратегий в одну универсальную, и это **крайне желательно**, но это требует понимания как работают стратегии. zapret **не может пробить блокировку по IP адресу**. Для проверки нескольких доменов вводите их через пробел. > Сейчас блокираторы ставят на магистральных каналах. В сложных случаях у > вас может быть несколько маршрутов с различной длиной по ХОПам, с DPI на > разных хопах. Приходится преодолевать целый зоопарк DPI, которые еще и > включаются в работу хаотичным образом или образом, зависящим от > направления (IP сервера). скрипт не всегда может выдать вам в итогах > оптимальную стратегию, которую надо просто переписать в настройки. В > некоторых случаях надо реально думать что происходит, анализируя результат > на разных стратегиях. > > Далее, имея понимание что работает на http, https, quic, нужно сконструировать параметры запуска winws > с использованием мультистратегии. Как работают мультистратегии описано в [readme.md](./readme.md#множественные-стратегии). Loading Loading @@ -170,6 +164,15 @@ blockcheck перейдет в этом случае на **DoH** _(DNS over HTT > > В этих примерах wssize будет применяться всегда к порту tcp 443, а хостлист будет игнорироваться. > К http применять wssize вредно и бессмысленно. > > Иногда требуется дописать к стратегиям свои собственные параметры. > Например, нужно изменить количество повторов фейков или задать свой фейк. > Это делается через шелл-переменные `PKTWS_EXTRA`, `TPWS_EXTRA`. Пользуйтесь шеллом `cygwin/cygwin-admin.cmd`. > > ```PKTWS_EXTRA="--dpi-desync-repeats=10 --dpi-desync-fake-tls=/tmp/tls.bin" blockcheck > > Перебор всех комбинаций может привести к ожиданию неделями, поэтому выбран разумный > костяк проверки, на который вы можете навешивать свои кустомизации. 7) Протестируйте найденные стратегии на winws. Winws следует брать из zapret-winws. Для этого откройте командную строку windows от имени администратора в директории zapret-winws. Loading docs/readme.md +1 −1 Original line number Diff line number Diff line Loading @@ -842,7 +842,7 @@ L7 протокол становится известен обычно посл > [!IMPORTANT] > user-mode реализация ipset создавалась не как удобная замена *nix версии, реализованной в ядре. > Вариант в ядре работает гораздо эффективнее. Это создавалось для систем без подд3ержки ipset в ядре. > Вариант в ядре работает гораздо эффективнее. Это создавалось для систем без поддержки ipset в ядре. > Конкретно - Windows и ядра Linux, собранные без nftables и ipset модулей ядра. Например, в android нет ipset. ### ФИЛЬТРАЦИЯ ПО WIFI Loading Loading
docs/quick_start.md +1 −1 Original line number Diff line number Diff line Loading @@ -16,7 +16,7 @@ в простыню [readme.md](readme.md). Обход DPI является хакерской методикой. Под этим словом понимается метод, которому сопротивляется окружающая среда, которому автоматически не которому оказывается активное противодействие и поэтому автоматически не гарантирована работоспособность в любых условиях и на любых ресурсах, требуется настройка под специфические условия у вашего провайдера. Условия могут меняться со временем, и методика может начинать или переставать работать, может Loading
docs/quick_start_windows.md +30 −27 Original line number Diff line number Diff line Loading @@ -11,8 +11,8 @@ ## Немного разъяснений Обход DPI является хакерской методикой. Под этим словом понимается метод, которому сопротивляется окружающая среда, которому автоматически не гарантирована работоспособность в любых условиях и на любых ресурсах, Обход DPI является хакерской методикой. Под этим словом понимается метод, которому оказывается активное противодействие и поэтому автоматически не гарантирована работоспособность в любых условиях и на любых ресурсах, требуется настройка под специфические условия у вашего провайдера. Условия могут меняться со временем, и методика может начинать или переставать работать, может потребоваться повторный анализ ситуации. Могут обнаруживаться отдельные ресурсы, которые заблокированы иначе, и которые не работают или перестали работать. Loading Loading @@ -83,31 +83,25 @@ blockcheck перейдет в этом случае на **DoH** _(DNS over HTT Лог скрипта будет сохранен в `blockcheck\blockcheck.log`. Запомните/перепишите найденные стратегии. > [!WARNING] > Следует понимать, что blockcheck проверяет доступность только конкретного домена, который вы вводите в начале. > Вероятно, все остальные домены блокированы подобным образом, но не факт. > [!TIP] > В большинстве случаев можно обьединить несколько стратегий в одну универсальную, и это крайне желательно. > Необходимо понимать [как работают стратегии](./readme.md/#nfqws). > zapret не может пробить блокировку по IP адресу. Для проверки нескольких доменов вводите их через пробел. > > Сейчас блокираторы ставят на магистральных каналах. В сложных случаях у вас может быть несколько маршрутов > с различной длиной по ХОПам, с DPI на разных хопах. Приходится преодолевать целый зоопарк DPI, > которые еще и включаются в работу хаотичным образом или образом, зависящим от направления (IP сервера). > blockcheck не всегда может выдать вам в итогах оптимальную стратегию, которую надо просто переписать в настройки. > В некоторых случаях надо реально думать что происходит, анализируя результат на разных стратегиях. > Если вы применяете большой TTL, чтобы достать до магистрала, то не лишним будет добавить дополнительный ограничитель > `--dpi-desync-fooling`, чтобы не сломать сайты на более коротких дистанциях. > _md5sig_ наиболее совместим, но работатет только на linux серверах. > badseq может работать только на https и не работать на http. > Чтобы выяснить какие дополнительные ограничители работают, смотрите результат теста аналогичных стратегий без TTL > с каждым из этих ограничителей. > > При использовании autottl следует протестировать как можно больше разных доменов. Эта техника > может на одних провайдерах работать стабильно, на других потребуется выяснить при каких параметрах > она стабильна, на третьих полный хаос, и проще отказаться. Следует понимать, что скрипт проверяет доступность только конкретного домена, который вы вводите в начале, конкретной программой curl. У разных клиентов есть свой фингерпринт. У броузеров один, у curl другой. Может применяться или не применяться многопакетный TLS с постквантовой криптографией (kyber). От этого может зависеть работоспособность стратегий. Обычно остальные домены блокированы подобным образом, **но не факт**. Бывают специальные блокировки. Некоторые параметры требуют тюнинга под "общий знаменатель". В большинстве случаев можно объединить несколько стратегий в одну универсальную, и это **крайне желательно**, но это требует понимания как работают стратегии. zapret **не может пробить блокировку по IP адресу**. Для проверки нескольких доменов вводите их через пробел. > Сейчас блокираторы ставят на магистральных каналах. В сложных случаях у > вас может быть несколько маршрутов с различной длиной по ХОПам, с DPI на > разных хопах. Приходится преодолевать целый зоопарк DPI, которые еще и > включаются в работу хаотичным образом или образом, зависящим от > направления (IP сервера). скрипт не всегда может выдать вам в итогах > оптимальную стратегию, которую надо просто переписать в настройки. В > некоторых случаях надо реально думать что происходит, анализируя результат > на разных стратегиях. > > Далее, имея понимание что работает на http, https, quic, нужно сконструировать параметры запуска winws > с использованием мультистратегии. Как работают мультистратегии описано в [readme.md](./readme.md#множественные-стратегии). Loading Loading @@ -170,6 +164,15 @@ blockcheck перейдет в этом случае на **DoH** _(DNS over HTT > > В этих примерах wssize будет применяться всегда к порту tcp 443, а хостлист будет игнорироваться. > К http применять wssize вредно и бессмысленно. > > Иногда требуется дописать к стратегиям свои собственные параметры. > Например, нужно изменить количество повторов фейков или задать свой фейк. > Это делается через шелл-переменные `PKTWS_EXTRA`, `TPWS_EXTRA`. Пользуйтесь шеллом `cygwin/cygwin-admin.cmd`. > > ```PKTWS_EXTRA="--dpi-desync-repeats=10 --dpi-desync-fake-tls=/tmp/tls.bin" blockcheck > > Перебор всех комбинаций может привести к ожиданию неделями, поэтому выбран разумный > костяк проверки, на который вы можете навешивать свои кустомизации. 7) Протестируйте найденные стратегии на winws. Winws следует брать из zapret-winws. Для этого откройте командную строку windows от имени администратора в директории zapret-winws. Loading
docs/readme.md +1 −1 Original line number Diff line number Diff line Loading @@ -842,7 +842,7 @@ L7 протокол становится известен обычно посл > [!IMPORTANT] > user-mode реализация ipset создавалась не как удобная замена *nix версии, реализованной в ядре. > Вариант в ядре работает гораздо эффективнее. Это создавалось для систем без подд3ержки ipset в ядре. > Вариант в ядре работает гораздо эффективнее. Это создавалось для систем без поддержки ipset в ядре. > Конкретно - Windows и ядра Linux, собранные без nftables и ipset модулей ядра. Например, в android нет ipset. ### ФИЛЬТРАЦИЯ ПО WIFI Loading
