blockcheck: fix frag6 notrack

2026-01-06 08:38:49 +03:00 · 2022-02-05 17:58:56 +03:00
parent 4aef7a96a4
commit bf74a6caf9
3 changed files with 8 additions and 2 deletions
--- a/docs/readme.txt
+++ b/docs/readme.txt
@@ -304,6 +304,7 @@ extension хедерам в поисках транспортного хедер
 Может сочетаться с любыми режимами 2-й фазы, кроме варианта "ipfrag1+ipfrag2".
 Например, "hopbyhop,split2" означает разбить tcp пакет на 2 сегмента, в каждый из них добавить hop-by-hop.
 При "hopbyhop,ipfrag2" последовательность хедеров будет : ipv6,hop-by-hop,fragment,tcp/udp.
+Режим "ipfrag1" может срабатывать не всегда без специальной подготовки. См. раздел "IP фрагментация".

 Есть DPI, которые анализируют ответы от сервера, в частности сертификат из ServerHello, где прописаны домены.
 Подтверждением доставки ClientHello является ACK пакет от сервера с номером ACK sequence, соответствующим длине ClientHello+1.
@@ -460,6 +461,8 @@ ipv6 : Нет способа для приложения гарантирова
 Для ядер <4.16 похоже, что нет иного способа решить эту проблему, кроме как выгрузить модуль nf_conntrack,
 который подтягивает зависимость nf_defrag_ipv6. Он то как раз и выполняет дефрагментацию.
 Для ядер 4.16+ ситуация чуть лучше. Из дефрагментации исключаются пакеты в состоянии NOTRACK.
+Иногда требуется подгружать модуль ip6table_raw с параметром raw_before_defrag=1.
+В openwrt параметры модулей указываются через пробел после их названий в файлах /etc/modules.d.
 Чтобы не загромождать описание, смотрите пример решения этой проблемы в blockcheck.sh.