The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Обход блокировки трафика провайдером при помощи iptables
Многие провайдеры и корпоративные системы инспектирования трафика применяют для
блокирования доступа к сайтам подстановку пакетов, перенаправляющих браузер
пользователя на страницу с информацией о блокировке, при этом не обрывая
изначально установленное соединение к заблокированному ресурсу.

Например, запустив 

   tcpdump -nA -s1500 host заблокированный_IP

и попытавшись отрыть заблокированный ресурс в браузере, можно увидеть такой пакет:

   13:50:24.563093 IP 1.2.3.4.80 > 192.168.1.10.58072: Flags [.], seq 1777859077:1777859201, ack 3185912442, win 229, length 124
   E.......2..a..x$...f.P..i.....*zP....V..HTTP/1.1 302 Found
   Connection: close
   Location: http://warning.bigprovider.ru/?id=61&st=0&dt=1.2.3.4&rs=http://badsite.com/

следом за которым приходит реальный ответ и другие пакеты с подпадающего под
блокировку сайта, которые продолжают приходить и не отбрасываются провайдером.

Данный метод блокировки обусловлен тем,  что оборудование для обеспечения
блокировки хоть и имеет доступ к транзитному трафику, но оно работает
обособленно от сетевой инфраструктуры и не может изменять трафик или напрямую
блокировать прохождение пакетов. Соответственно, суть применяемого провайдерами
метода состоит в том, что блокирующее оборудование зная параметры сетевого
соединения реализует блокировку через отправку подставного упреждающего ответа.
Так как такой фиктивный ответ приходит раньше реального ответа от удалённого
сервера и снабжён корректным номером последовательности TCP, он воспринимается
клиентским ПО в первую очередь, а пришедший хвост реального ответа игнорируется.


Обойти подобную блокировку достаточно легко при помощи добавления на локальной
Linux-системе правила, отбрасывающего фиктивный ответ:

   iptables -I INPUT -p tcp --sport 80 -m string --string "Location: http://warning.bigprovider.ru" --algo bm -j DROP

В случае HTTPS (подобным образом также часто блокируют Tor) блокировка обычно
устраивается  через подстановку в трафик RST-пакетов для принудительного обрыва
соединения. Обходится данное ограничение следующим правилом:

   iptables -I INPUT -p tcp --sport 443 --tcp-flags RST RST -j DROP

Итог: Даже самые крупные провайдеры лукавят и вместо полноценной блокировки
применяют сомнительные методы подстановки трафика, не блокируя фактически
запрещённый трафик. Таким образом, описанная выше техника не может
рассматриваться как метод обхода блокировки, так как блокировки нет как таковой
- пакеты с запрещённых ресурсов не блокируются и продолжают приходить на
клиентскую систему, а приходящие от провайдера вкрапления лишь создают
видимость блокировки и организуют проброс на стороне клиента.

Клиент имеет полное право отбрасывать любые пакеты на своей системе и это не
может рассматриваться как лазейка для обхода блокировки, которая не выполнена
должным образом провайдером.


Дополнение: Для выявления описанного выше вида блокировок можно использовать
утилиту curl, в которой можно увидеть "хвост" реального ответа:

   $ curl -i --ignore-content-length http://badsite.org/

   HTTP/1.1 302 Found
   Connection: close
   Location: http://warning.bitprovider.ru/?id=6&st=0&dt=1.2.3.4&rs=http://badsite.org/

   8
   Location: http://badsite.org/forum/index.php
   Connection: keep-alive
   ...

Если запросить конечную страницу, то можно получить её содержимое без манипуляций с iptables: 

   $ curl -i --ignore-content-length --trace-asci dump.txt http://badsite.org/forum/index.php

   HTTP/1.1 302 Found
   Connection: close
   Location: http://warning.bigprovider.ru/?id=6&st=0&dt=1.2.3.4&rs=http://badsite.org/forum/index.php

   ection: keep-alive

   1fc0
   ...содержимое HTML-документа.

   $ less dump.txt

   ...
   <= Recv header, 20 bytes (0x14)
   0000: HTTP/1.1 302 Found
   <= Recv header, 19 bytes (0x13)
   0000: Connection: close
   <= Recv header, 101 bytes (0x65)
   0000: Location: http://warning.bigprovider.ru/?id=6&st=0&dt=1.2.3.4&rs=h
   0040: ttp://badsite.org/forum/index.php
   <= Recv header, 2 bytes (0x2)
   0000: 
   <= Recv data, 1238 bytes (0x4d6)
   0000: ection: keep-alive
   ...
 
09.12.2016
Ключи: iptables, block, tor / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетные фильтры в Linux: iptables, ipchains



Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, Past, 14:24, 09/12/2016 [ответить] [смотреть все]    [к модератору]
  • +1 +/
    Теперь забанят опеннет
     
  • 1.2, Алексей, 14:41, 09/12/2016 [ответить] [смотреть все]    [к модератору]
  • +/
    уже исправили, или уже было правильно сделано))
     
  • 1.3, Я, 16:12, 09/12/2016 [ответить] [смотреть все]    [к модератору]
  • +/
    ха и вправду помогло, зашел на парочку первых попавшихся заблокированных из реестра спокойно.
     
     
  • 2.17, Zenitur, 18:08, 10/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +/
    У меня Wayback Machine снова открылся Раньше через Тор открывал Хорошая команд... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.103, Neandertalets, 11:10, 22/07/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    O_o  А чем ВэбАрхим им помешал?
     
  • 1.4, th3m3, 17:02, 09/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Когда делаю: iptables -I INPUT --sport 443 -p tcp --tcp-flags RST RST -j DROP

    Выдаёт:

    iptables -I INPUT --sport 443 -p tcp --tcp-flags RST RST -j DROP            
    iptables v1.6.0: unknown option "--sport"
    Try 'iptables -h' or 'iptables --help' for more information.

     
     
  • 2.5, Аноним, 17:05, 09/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Запускай без --sport:
    iptables -I INPUT -p tcp --tcp-flags RST RST -j DROP

     
  • 2.6, Andrey Mitrofanov, 17:06, 09/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    lmddgtfy http serverfault com a 563036... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.7, th3m3, 17:11, 09/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Спасибо!

    Блин, всё работает! На рутрекер зашёл без проблем!

     
  • 1.8, Аноним, 00:46, 10/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    А под Windows что и как прописывать?
     
     
  • 2.9, Fixer, 06:57, 10/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    хомячки должны страдать.
     
  • 2.10, Fixer, 07:04, 10/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    а если серьезно то самый простой вариант купить железку с linux аля mikrotik Ro... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, Аноним, 09:04, 10/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Почти у каждого виндового пользователя дома стоит беспроводной рутер, точка wifi... весь текст скрыт [показать]
     
     
  • 4.22, Аноним, 20:16, 11/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    > через telnet/ssh прописывать.

    Подробнее бы.

     
     
  • 5.31, Аноним, 17:07, 12/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Что подробнее Если ты не можешь запустить телнет или ssh и зайти ими на девайс ... весь текст скрыт [показать]
     
     
  • 6.45, Онанимус, 13:25, 13/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    101 что модуля string там нет А вот с RST правило пойдет Полностью согласен ... весь текст скрыт [показать]
     
  • 4.104, Аноним всея Интернета, 01:28, 16/08/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    только на роутере нужно это правило в FORWARD добавлять, чтобы работало не для с... весь текст скрыт [показать]
     
  • 3.23, Аноним, 01:01, 12/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Лучше что-нибудь с openwrt, там нормальный линукс без кучи ограничений и с множе... весь текст скрыт [показать]
     
  • 3.58, Аноним, 00:24, 17/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    А можно пример правил показать, пожалуйста ... весь текст скрыт [показать]
     
  • 2.34, Аноним, 19:52, 12/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Под винду полно фаерволов разных я, правда, 10 лет не смотрел на них Эксперим... весь текст скрыт [показать] [показать ветку]
     
  • 1.12, Сергей, 09:58, 10/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Я так понимаю с HTTPs это не прокатит...
     
     
  • 2.15, Аноним, 10:49, 10/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Правило с убиванием пакетов RST прокатывает Другое дело, что не везде, так как ... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, Владимир Владимирович, 10:37, 10/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
       iptables -I INPUT -p tcp --sport 443 --tcp-flags RST RST -j DROP

    Но ведь в таком случае мы получим кучу висячих HTTPS соединений на клиентской машине, разве нет?

     
     
  • 2.14, Аноним, 10:47, 10/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    нет, для нормального завершения соединения используется FIN, а флаг RST только д... весь текст скрыт [показать] [показать ветку]
     
  • 1.16, Аноним, 16:43, 10/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Блин, реально работает. Дроп RST -- мощно.
     
  • 1.18, uchiya, 21:27, 10/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Первое правило для http не пашет
     
     
  • 2.19, Аноним, 23:03, 10/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    А вы точно строковую маску правильно для своего провайдера подобрали Какое имен... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.35, Аноним, 19:59, 12/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    -I INPUT -p tcp --sport 80 -m string --string Location http blocked netbynet... весь текст скрыт [показать]
     
     
  • 4.47, Онанимус, 13:49, 13/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вам нужно точно знать, что выдает провайдер Нужно сниффирить, а не гадать 1 с... весь текст скрыт [показать]
     
     
  • 5.48, Аноним, 20:59, 13/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Эх я бы еще понимал, что мне все это выдало curl -i --ignore-content-length ru... весь текст скрыт [показать]
     
     
  • 6.53, Nas_tradamus, 19:45, 14/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Попробуйте RST для 80 и 443 портов заблочить Вот тут у вас провайдер от имени ... весь текст скрыт [показать]
     
  • 1.20, Аноним, 11:28, 11/12/2016 [ответить] [смотреть все]     [к модератору]  
  • +/
    Добавил для Mikrotik роутера правило ip firewall filter add chain input protoco... весь текст скрыт [показать]
     
     
  • 2.21, Andrew, 18:46, 11/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    chain input ловит трафик, который адресован самому роутеру Для транзитного тр... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, _KUL, 09:08, 12/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Имею тоже микротик и не могу понять как провайдер так хитро придумал 1 Открыва... весь текст скрыт [показать]
     
     
  • 4.25, _KUL, 09:09, 12/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    прров ктт (читать наоборот)
     
     
  • 5.29, _KUL, 14:13, 12/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Порыбачил на линуксе, поймал злой пакет root debian curl -i --ignore-cont... весь текст скрыт [показать]
     
  • 4.105, Аноним всея Интернета, 01:35, 16/08/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    gt оверквотинг удален Всё просто - у тебя браузер кэширует 301 редирект - почи... весь текст скрыт [показать]
     
  • 3.26, Аноним, 10:56, 12/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Спасибо! Помогло
     
  • 1.27, Саня, 12:26, 12/12/2016 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    В чем юмор первый команды, с фильтрацией по Location?
    Оно же отбрасывает пакет с HTTP-заголовком целиком, то есть сайт как не открывался, так и не открывается.
     
     
  • 2.28, Andrey Mitrofanov, 13:40, 12/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Юмор в том, что Вы не понимаете Смотрите -- над Вами смеются ... весь текст скрыт [показать] [показать ветку]
     
  • 2.30, Freddy Cuper, 16:21, 12/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Смысл в том, что приходят два пакета с заголовками - первый, который отправил п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.46, Саня, 13:36, 13/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не обрабатывается Сообщение от провайдера перестает показываться, но и браузер,... весь текст скрыт [показать]
     
     
  • 4.49, _KUL, 06:12, 14/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну это у вас порядок пакетов в TCP нарушился Т е как будто вас запроксировали ... весь текст скрыт [показать]
     
  • 1.32, Аноним, 17:17, 12/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Для билайна похоже не работает. Печаль ;(
     
     
  • 2.50, _KUL, 06:15, 14/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Очень похожу на то, что так маленькие провайдеры лочат, т к сервера глушилки ря... весь текст скрыт [показать] [показать ветку]
     
  • 1.33, Zenitur, 18:38, 12/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Спасибо! Применил на Raspberry Pi, который у меня как роутер. Интересно, как то же самое применить на SUSE-роутере...
     
  • 1.36, ананизмус, 20:22, 12/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Спасибо- все ok. Дополню- провы еще и на уровне dns делают подмену(дурдом.ру) - в /etc/hosts прописываем верную пару ip домен (или биндим в своей локлаьной прокси) + правило и все работает.
     
     
  • 2.37, Аноним, 21:58, 12/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    А если в etc resolv conf просто прописать нормальный днс 208 67 220 220 или 8 ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.44, ананизмус, 11:28, 13/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Просто не поможет Либо пров перехватывает обращение к внещним серверам, либо у ... весь текст скрыт [показать]
     
     
  • 4.87, Аноним, 20:29, 15/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Поздравляю с открытием, 8 8 x x от гугла - это anycast, он не уникальный И пров... весь текст скрыт [показать]
     
  • 3.85, Укпшд, 18:08, 14/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Часть российских провов много лет перехватывает все запросы на 53 udp и 53 tcp и... весь текст скрыт [показать]
     
  • 1.38, Аноним, 22:01, 12/12/2016 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Блин, слушай, чувак, ты, который написал этот пост, невыразимый тебе респектище ... весь текст скрыт [показать]
     
  • 1.39, garrick, 22:46, 12/12/2016 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    В Билайне ничего из этого не работает. А как теперь вернуть всё обратно?
     
     
  • 2.40, Аноним, 02:20, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    iptables -F
    Все правила очистятся.
     
     
  • 3.41, garrick, 08:26, 13/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Спасибо
     
     
  • 4.51, _KUL, 06:16, 14/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –3 +/
    Вообще то "sudo rm -rf /" было бы корректнее!
     
     
  • 5.52, _KUL, 06:18, 14/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    это шутка зачем вы вводите от рута то, не понимая, что оно делает это же не по... весь текст скрыт [показать]
     
  • 1.42, korrado, 08:50, 13/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    У меня местный провайдер еще проще делает. Вообще ничего не блокирует. Только подменяет DNS-ответы для заблокированных файлов своим сервером со страницей про то что сайт заблокирован. Просто поставил BIND на компе и прописал DNS сервер на 127.0.0.1 и вуаля, все заработало :)
     
  • 1.43, korrado, 08:52, 13/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    заблокированных сайтов :)
    Опечатался
     
  • 1.54, Nas_tradamus, 01:26, 15/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Onlime (Ростелеком) - не работает. Провайдер сразу после рукопожатия шлет редирект и никакого реального трафика. RST по http/https заблокировал - не помогло.
     
     
  • 2.55, Nas_tradamus, 01:40, 15/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Долго вкуривал в tcpdump и счетчики firewall mikrotik - все так и есть, я нигд... весь текст скрыт [показать] [показать ветку]
     
  • 2.56, Krot, 16:40, 15/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Провайдер Онлайм - только что реализовал на микротике - нет проблем всё равботае... весь текст скрыт [показать] [показать ветку]
     
  • 2.59, M., 18:34, 17/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    От суперюзера iptables -I INPUT -p tcp --tcp-flags RST RST -j DROP iptables -I ... весь текст скрыт [показать] [показать ветку]
     
  • 2.60, Nas_tradamus, 02:31, 18/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Поправка вышесказанное действительно только для рутрекера по http По https отб... весь текст скрыт [показать] [показать ветку]
     
  • 1.57, Анончик, 17:10, 16/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    > iptables -I INPUT -p tcp --sport 80 -m string --string "Location: http://warning.bigprovider.ru" --algo bm -j DROP

    Пытаюсь сделать, в ответ получаю "iptables: No chain/target/match by that name.". Цепочка INPUT есть, таргет DROP тоже, ибо правило с дропом резетов из HTTPS проглатывает нормально.
    Подозреваю что ругается на -m string, ибо на "iptables -I INPUT -m string --algo bm --string "test" -j DROP" тоже ругается. Но "iptables -m string -h" выдаёт полный хелп...
    Что за херня?

     
     
  • 2.64, pavlinux, 02:15, 19/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    lsmod  | grep ts_bm
     
  • 1.61, y, 20:46, 18/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    kinozal.tv не работает...
     
     
  • 2.62, Nas_tradamus, 01:43, 19/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Подтверждаю Онлайм В сторону кинозала только syn от меня летят, а обратно вооб... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.66, trublast, 07:42, 19/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    kinozal.website работает  перкрасно
     
  • 1.63, pavlinux, 02:12, 19/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Сосём!

    Location: http://block.mgts.ru/

     
  • 1.65, trublast, 07:41, 19/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Отправляют пользователю RST только какие-то совсем доморощенные блокировщики. Чуть более нормальные (хотя работающие на том же принципе - сбросить соединение, но не блокировать сам трафик) помимо отправки RST пользователю еще шлют RST вебсерверу. Повлиять на который вы со своего роутера не сможете никак. Ну и в догонку еще DNS спуфят, для надежности и корректной блокировки https.

    Если есть роутер, куда можно поставить openwrt, то на него же можно поставить tor и и прозрачно заворачивать нужные IP на ТОР, после чего доступ на всех устройствах за роутером заработает. Но скорость и стабильность соединения до ресурсов да,  просядет.
    Если нужно просто глянуть информацию на каком-то таком ресурсе по быстрой, то лайфхак - отрыть страницу через translate.google.com Верстку рвет, но на смысл не влияет.

     
     
  • 2.68, Аноним, 11:31, 19/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Скорее наоборот, доморощенные блокируют нормально, а крупные особо не парятся с ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.81, pavlinux, 19:00, 04/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Откуда инфа, что он не шлёт ещё куда-то ... весь текст скрыт [показать]
     
     
  • 4.88, Анином, 08:52, 25/01/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    С какой целью интересуетесь?
     
  • 1.69, Сноуден, 19:27, 19/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Блокировка такими способами не добавляет провайдерам никаких хлопот и финансовых рисков. А вот если бы их могли проконтролировать эксперты, а не просто пользователи-министры, которые получили редирект на страничку с предупреждением о блокировке на своем яблочном планшетике или телефончике и уже радуются аки дети, то было бы гораздо хуже и для пользователей и для провайдеров. А так и овцы целы и волки сыты.
     
     
  • 2.71, nikosd, 20:28, 20/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    в известных мне системах внедрение блокировки от довольно популярного билинга ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.72, Онанимус, 10:47, 23/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Статистика этого треда показывает обратное RST шлют при https коннектах, при ht... весь текст скрыт [показать]
     
     
  • 4.73, nikosd, 11:01, 23/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Мысли были про https - только RST, если http , то к Вам придет перенаправление... весь текст скрыт [показать]
     
     
  • 5.74, Онанимус, 13:36, 23/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Как же они без DPI openvpn рукопожатия отлавливают и шейпером загоняют в низкий ... весь текст скрыт [показать]
     
  • 1.70, key, 23:07, 19/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    У МГТС не робит. Реального хвоста нет, похоже действительно ограничивают.
     
  • 1.75, freehck, 15:44, 26/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    А я тут, кстати, обнаружил, что некоторые облака (которые я не буду называть здесь), не блокируют траффик к запрещённым роскомнадзором сайтам. Посмотрите по своим виртуалкам, может отыщете. :)
     
     
  • 2.76, marios, 02:26, 27/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    VPS-провайдеры не блокируют.
    Да и не обязаны.
     
     
  • 3.77, freehck, 06:38, 27/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Что, серьёзно То есть это не мне повезло, а через любого VPS-провайдера можно к... весь текст скрыт [показать]
     
     
  • 4.79, Константин, 20:59, 29/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну понял ты, а писать всем об этом зачем Не порть бизнес https antizapret pr... весь текст скрыт [показать]
     
  • 1.80, anonkot, 03:12, 02/01/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    Не подскажете- у меня никаких RST нет, и курлу и вгету и всем браузерам приходит SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
    но каким-то образом links2 открывает https заблокированные сайты. Что это такое?
     
     
  • 2.82, Аноним, 19:45, 09/01/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Инспектируйте трафик от links2 и от curl с помощью tcpdump и или wireshark и сра... весь текст скрыт [показать] [показать ветку]
     
  • 1.84, 858d214ba09f174963f9d4f132585a83, 21:07, 10/01/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    А может кто подскажет нормальный VPN где можно взять?
     
     
  • 2.86, Аноним, 20:22, 15/01/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Зависит от критериев нормальности ... весь текст скрыт [показать] [показать ветку]
     
  • 2.90, Вареник, 08:02, 31/01/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Поднять через виртуалку в нормальной стране. Копейки стоит.
     
  • 2.92, Аноним, 15:50, 08/02/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Амазон вроде на год vps на халяву дает
     
  • 1.89, SpaceRaven, 06:22, 28/01/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    Для домолинка калужского не работает, на запрос к xhamster отдает HTTP/1.1 451 Unavailable For Legal Reasons
     
  • 1.94, гг, 19:45, 23/02/2017 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Самый простой, лучший и гарантированно рабочий способ обойти блокировки роскоммизуленой — не жить там, где они есть.
     
     
  • 2.95, Himik, 02:10, 26/02/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Там где нет РОСнадзора, там есть XXXнадзор, только ещё грознее, злее и хитрее.
     
  • 1.96, L29Ah, 04:50, 15/03/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    Мегафон не халтурит похоже.
     
  • 1.98, Аноним, 13:39, 09/05/2017 [ответить] [смотреть все]     [к модератору]  
  • +/
    Спасибо, мил человек Всё работает, только ещё пришлось dnscrypt-proxy поставить... весь текст скрыт [показать]
     
  • 1.100, Аноним, 10:20, 09/06/2017 [ответить] [смотреть все]     [к модератору]  
  • +/
    Зачем хомяков-провайдеров нагружают этож на магистральщиках решается всё А их ... весь текст скрыт [показать]
     
  • 1.101, 5percent, 15:27, 22/06/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    старая опера не знает про name server indication, поэтому https сайты работаю, а вот хром и файрфокс доблестно шлют незашифрованным имя сайта, поэтому провайдер все это спокойно блочит.
     
     
  • 2.106, kadafy, 00:54, 14/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Старая, это какая конкретно версия?

    Спасибо.

     
  • 1.102, svsd_val, 05:41, 27/06/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    Скоро придёт запрос к Опеннету на удаление данной страницы :D
     
  • 1.107, пфф, 08:04, 26/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    а для винда подходит?
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor