Mirror/zapret
1
0
Fork 0
mirror of https://github.com/bol-van/zapret.git synced 2025-12-31 11:55:55 +03:00
Code Issues Packages Projects Releases Wiki Activity

readme: datanoack may pass cgNAT

Browse Source
This commit is contained in:
bol-van
2024-03-05 16:54:39 +03:00
parent 663a2bb2a4
commit d28074b357
2 changed files with 12 additions and 6 deletions
Download Patch File Download Diff File Expand all files Collapse all files

10
docs/readme.txt
View File

@@ -325,8 +325,10 @@ fakeknown отличается от fake тем, что применяется
такие пакеты могут фильтроваться и не доходить. Расчет идет на то, что DPI проанализирует пакет с hop-by-hop,
но он либо не дойдет до адресата всилу фильтров провайдера, либо будет отброшен сервером, потому что хедера два.
* datanoack высылает фейки со снятым tcp флагом ACK. Сервера такое не принимают, а DPI может принять.
Эта техника ломает NAT и не работает с iptables, если используется masquerade, даже с локальной системы
(почти всегда для ipv4). С nftables работает без ограничений. Требуется внешний IP адрес.
Эта техника может ломать NAT и не всегда работает с iptables, если используется masquerade, даже с локальной системы
(почти всегда для ipv4). С nftables работает без ограничений.
Экспериментально выяснено, что некоторые провайдерские NAT не отбрасывают эти пакеты, потому работает даже
с внутренним провайдерским IP. Но linux NAT оно не пройдет. В общем случае требуется внешний IP адрес.
* autottl. Суть режима в автоматическом определении TTL, чтобы он почти наверняка прошел DPI и немного не дошел до сервера.
Берутся базовые значения TTL 64,128,255, смотрится входящий пакет (да, требуется направить первый входящий пакет на nfqws !).
Вычисляется длина пути, отнимается delta (1 по умолчанию). Если TTL вне диапазона (min,max - 3,20 по умолчанию),
@@ -646,7 +648,7 @@ tpws - это transparent proxy.
--split-pos=<offset> ; делить все посылы на сегменты в указанной позиции. единственная опция, работающая на не-http. при указании split-http-req он имеет преимущество на http.
--split-any-protocol ; применять split-pos к любым пакетам. по умолчанию - только к http и TLS ClientHello
--disorder ; путем манипуляций с сокетом вынуждает отправлять первым второй сегмент разделенного запроса
--oob ; отправить 1 нулевой байт out-of-band data (OOB) в конце первой части сплита
--oob[=<char>|0xHEX] ; отправить байт out-of-band data (OOB) в конце первой части сплита
--hostcase ; менять регистр заголовка "Host:". по умолчанию на "host:".
--hostspell=HoST ; точное написание заголовка Host (можно "HOST" или "HoSt"). автоматом включает --hostcase
--hostdot ; добавление точки после имени хоста : "Host: kinozal.tv."
@@ -659,6 +661,8 @@ tpws - это transparent proxy.
--unixeol ; конвертировать 0D0A в 0A и использовать везде 0A
--tlsrec=sni ; разбивка TLS ClientHello на 2 TLS records. режем между 1 и 2 символами hostname в SNI. Если SNI нет - отмена.
--tlsrec-pos=<pos> ; разбивка TLS ClientHello на 2 TLS records. режем на указанной позиции, если длина слишком мелкая - на позиции 1.
--tamper-start=<pos> ; начинать дурение только с указанной байтовой позиции исходяшего потока (считается позиция начала принятого блока)
--tamper-cutoff=<pos> ; закончить дурение на указанной байтовой позиции исходящего потока (считается позиция начала принятого блока)
--hostlist=<filename> ; действовать только над доменами, входящими в список из filename. поддомены автоматически учитываются.
; в файле должен быть хост на каждой строке.
; список читается 1 раз при старте и хранится в памяти в виде иерархической структуры для быстрого поиска.