Comments 63
Вы действительно ходите на все эти запрещенные сайты? Если нет, то можно выбрать только нужные, и тогда прокси с 5-10 сайтами будет стартовать намного быстрее, да и настройка в целом будет проще.
Проблема в том, что никогда не знаешь когда наткнёшься на заблокированный ресурс. Вон, недавно deviant-art блочили... Да и минута-полторы, раз в сутки, это ерунда. А на современной системе, это вообще секунды.
С некоторых пор РКН начал практиковать блокировку неугодного трафика средствами так называемых ТСПУ, без добавления записей в списки, отправляемые провайдерам.
Таким образом, чтобы чуть менее, чем гарантированно не натыкаться на заблокированный ресурс, надо пользоваться "белыми" списками: на все ресурсы, кроме указанных, ходить в обход.
Ну пока что таких случаев минимум. А там или ишак или падишах... ©
надо пользоваться "белыми" списками: на все ресурсы, кроме указанных, ходить в обход.
Если не секрет, поделитесь, пожалуйста, Вашим белым списком. Хочу перейти на своем прокси на указанную стратегию и знать заранее, где лучше белый список оставить. Кроме, может быть, музыки с синего сайта не приходит идей о содержимом.
И дабы одним комментарием обойтись — большое спасибо автору!
Надеюсь, на основе выложенной инструкции появится гайд/скрипт для роутеров, чтобы i2p/onion/прокси и всё такое было доступно со всех устройств беспроводной сети. Конечно, есть несколько похожих гайдов, но немного всё не то.
Не секрет, но не думаю, что от моего списка будет много пользы. Вот он:
mail.ru
yandex.net
yandex.ru
Можно поискать что-то "официальное", но мне пока хватает ручного перечисления ресурсов, обращаться к которым через прокси некомфортно.
PS: тут-ту-ру)
Решение интересное, но если нет задачи залить совсем в даркнет, почему не обойтись vpn через забугорную vps ?
Для случаев когда отсутствует возможность. Ну даже в случае VPS, если хочется гонять только трафик на заблокированные ресурсы — на VPS вместо TOR поднять тот-же tinyproxy и прописать его на этой стороне.
да, но в случае vps можно сделать без прокси, только силами маршрутизации и туннелирования. Это позволяет поднять туннель на уровне домашнего роутера и все устройства подключающиеся к роутеру будут прозрачно ходить через забугорье. Плюс такого решения в отсутствии необходимости ставить что-то стороннее на клиенты, и нет необходимости настраивать прокси в приложениях. Если сделать vpn на ipsec то можно использовать ту же vps для шифрования трафика при использовании публичного wi-fi с любым утюгом.
Любое туннелирование это, так или иначе, оверхед и потеря производительности. Вот например зачем мне обновления ОС, из реп манджаро, скачивать через VPS / VPN? И так приходится DNS трафик гонять окружными путями, потому что провадер подменяет ответы от «четырёх колов» и прочих паблик DNS, в случае попытки отрезолвить что-то из запрещёнки. Но, как мне кажется, всё-же большая часть трафика вполне может ходить нарямую.
Справедливое замечание. Однако стоит заметить что используя mangle ветку можно разметить какой трафик отправлять в туннель, а какой нет. По поводу оверхеда спорить смысла конечно нету, он есть но насколько он ощутим большой вопрос. Несколько лет живу с ранее описанной схемой, смотрю какие еще есть варианты обхода блокировок... спасибо за статью.
Если пробовали V2ray через quic было бы весьма интересно почитать про ваш опыт :)
Я не силен в этих технологиях. Но насколько я понимаю что тор это что-то похожее на торрент (не только тепрвыми тремя буквами) то есть чеез мой комп будет идти трафик который возможно не совсем хороший не только с точки зрения РКН но и с любой точки зрения. Или я ошибаюсь?
TOR может работать просто как клиент (по умолчанию), как релей — передавать чужой зашифрованный трафик и отправлять его дальше. И как Exit Node — собственно нода выхода в интернет. В случае релея о содержимом трафика, начальном и конечном пунктах назначения, вы никогда не узнаете. Потому что только выходная нода видит расшифрованный трафик (но и она не знает кому он предназначен внутри TOR). Повторюсь, TOR, по умолчанию сконфигурирован как просто клиент. Но и релей никаких рисков не несёт. В условиях РФ страшна только выходная нода. Прецеденты были.
А есть какие-то идеи что делать когда РКН начнет замедлять Ютуб? А он к сожалению имеет необходимые для этого технологии...
Я таким способом проверяю обновления z-i без выкачивания всего репозитория:
cd /usr/share/zapret/z-i
if [ `git log --pretty=%H ...refs/heads/master^` == `git ls-remote origin -h refs/heads/master |cut -f1` ]; then
exit 1;
fi
echo `date` - "New z-i updates"
git pull
Попробуйте `eatmydata git clone`, возможно, ускорит.
А опубликуйте репу со скриптами. И звезд отхватите и PR получите для поддержки других разновидностей линуксов.
Так в самом конце статьи, там где...
Данная связка работает уже
неделю2,5 месяца. Глюкобагов, пока, вроде-бы не замечено. готовые конфиги и скрипты живут на гитхабе, PR приветствуются!
И ссылка.
Переведите пожалуйста статью для тупых виндузятников (меня и мне подобных). Спасибо.
На винде пользуюсь GoodbyeDPI. Насколько я понимаю пакеты определенным образом режутся, что позволяет обходить блокировки.
Я правильно понимаю, что эта штука не восстановит доступ к ресурсам, которые не являются заблокированными, но имеют общий IP-адрес с заблокированными?
Да... Но в приходящем от zapret.info csv файле есть колонка и с ip адресом... но не во всех записях. Вобщем я думаю над этим вопросом. Как сделать так что-б и конфиг не раздулся до вообще неприличных размеров.
Ну, можно dns-прокси сделать, который бы проверял все возвращаемые ip-адреса на предмет их заблокированности. Если в ответе есть хоть один незаблокированный адрес — то просто исключаем из ответа всё что заблокировано, если все адреса заблокированы — заменяем их на какой-нибудь 127.0.0.2. Ну а на 127.0.0.2 должен находиться прозрачный прокси.
Так может статью? Больше способов, хороших и разных!
Может быть когда нибудь…
Плагин для браузеров, чтобы в гитхаб коммитил домен заблокированный. Нажал кнопку, домен отправляется в список и тут же срабатывает вызов скрипта обновляющего список на прокси с гита.
Ещё как вариант PDNSD. Очень лёгкий в настройке кэширующий DNS-сервер. Может он DoH умеет? Тогда ответ от настроенного вышестоящего DNS уже так просто не подменят.
Ну хотя-б основные принципы. А дальше глядишь и сообщество поможет. Что мы, не автоматизаторы что ли? ;-P
Хм... Ну это-ж будет медленнее чем посмотрел в список → направил куда надо. И потом, обнаружение блокировки не так просто гарантированно отловить. Особенно когда дело касается соединения по SSL/TLS.
Но зато с таким подходом не надо постоянно обновлять конфиг.
У меня не так много сайтов блокируется (linkedin), некоторые сайты с торрентами. В таком случае просто включаю кнопкой в Firefox надстройку vpn hoxx, версия бесплатная. Никаких настроек, все максимально просто. А так мне нечего скрывать.
Привет,
Не лучшим ли вариантом будет дополнительно сделать .path сервис, который будет рестартовать только в случае если файл хостов поменялся?
Мысль! Спасибо! Только тогда ещё надо будет проверять результат работы git, который списки вытягивает. И только в случае если новые данные пришли, перегенерить конфиг.
А в моём варианте так ведь и есть, если не было изменений в репозитории, скрипт завершится с кодом ошибки 1. Если изменения были, изменения вытянутся через git pull и после этого можно перегенерировать список хостов. Можно сделать вокруг него скрипт-обвязку, проверять код возврата, и принимать решение. А можно сразу после git pull дописать свой код. Мне было удобнее сделать обвязку.
Лайтовый вариант решения проблемы - расширение FoxyProxy для Firefox. В нем достаточно гибко можно для разных сайтов прописать разные proxy. Работает в windows/linux/android.
Proxy autoconfiguratiion (PAC) позволяет написать JS скрипт и там уже всякую логику городить. И главное его браузеры уже поддерживают.
Я у себя локальльно поднял tor и подготовил proxy.pac если домен в списке блокировки, то используется tor, иначе подключение напрямую.
Proxy.pac может быть на другом хосте.
Есть пара проблем - скрипт исполняемым сделать (раз), в скрипте добавить грепу параметр -s (два), раскомментировать PID-файл в конфиге tinyproxy(три). Ну да, пара это примерно три.
А, и ещё сервис тора стартовать пришлось.
И так работает, да.
Единая точка выхода в web, I2P, TOR и обход блокировок