Как стать автором
Обновить

Комментарии 63

Вы действительно ходите на все эти запрещенные сайты? Если нет, то можно выбрать только нужные, и тогда прокси с 5-10 сайтами будет стартовать намного быстрее, да и настройка в целом будет проще.

Проблема в том, что никогда не знаешь когда наткнёшься на заблокированный ресурс. Вон, недавно deviant-art блочили... Да и минута-полторы, раз в сутки, это ерунда. А на современной системе, это вообще секунды.

С некоторых пор РКН начал практиковать блокировку неугодного трафика средствами так называемых ТСПУ, без добавления записей в списки, отправляемые провайдерам.

Таким образом, чтобы чуть менее, чем гарантированно не натыкаться на заблокированный ресурс, надо пользоваться "белыми" списками: на все ресурсы, кроме указанных, ходить в обход.

Ну пока что таких случаев минимум. А там или ишак или падишах... ©

шикарная статья, вот бы плюсик поставить!

надо пользоваться "белыми" списками: на все ресурсы, кроме указанных, ходить в обход.

Если не секрет, поделитесь, пожалуйста, Вашим белым списком. Хочу перейти на своем прокси на указанную стратегию и знать заранее, где лучше белый список оставить. Кроме, может быть, музыки с синего сайта не приходит идей о содержимом.

И дабы одним комментарием обойтись — большое спасибо автору!

Надеюсь, на основе выложенной инструкции появится гайд/скрипт для роутеров, чтобы i2p/onion/прокси и всё такое было доступно со всех устройств беспроводной сети. Конечно, есть несколько похожих гайдов, но немного всё не то.

Не секрет, но не думаю, что от моего списка будет много пользы. Вот он:

mail.ru

yandex.net

yandex.ru

Можно поискать что-то "официальное", но мне пока хватает ручного перечисления ресурсов, обращаться к которым через прокси некомфортно.

PS: тут-ту-ру)

А госуслуги как же!

Госуслуги, банки, налоговая, какой-нибудь Netflix или ivi, ВКонтакте

Решение интересное, но если нет задачи залить совсем в даркнет, почему не обойтись vpn через забугорную vps ?

Для случаев когда отсутствует возможность. Ну даже в случае VPS, если хочется гонять только трафик на заблокированные ресурсы — на VPS вместо TOR поднять тот-же tinyproxy и прописать его на этой стороне.

да, но в случае vps можно сделать без прокси, только силами маршрутизации и туннелирования. Это позволяет поднять туннель на уровне домашнего роутера и все устройства подключающиеся к роутеру будут прозрачно ходить через забугорье. Плюс такого решения в отсутствии необходимости ставить что-то стороннее на клиенты, и нет необходимости настраивать прокси в приложениях. Если сделать vpn на ipsec то можно использовать ту же vps для шифрования трафика при использовании публичного wi-fi с любым утюгом.

Любое туннелирование это, так или иначе, оверхед и потеря производительности. Вот например зачем мне обновления ОС, из реп манджаро, скачивать через VPS / VPN? И так приходится DNS трафик гонять окружными путями, потому что провадер подменяет ответы от «четырёх колов» и прочих паблик DNS, в случае попытки отрезолвить что-то из запрещёнки. Но, как мне кажется, всё-же большая часть трафика вполне может ходить нарямую.

Справедливое замечание. Однако стоит заметить что используя mangle ветку можно разметить какой трафик отправлять в туннель, а какой нет. По поводу оверхеда спорить смысла конечно нету, он есть но насколько он ощутим большой вопрос. Несколько лет живу с ранее описанной схемой, смотрю какие еще есть варианты обхода блокировок... спасибо за статью.

Если пробовали V2ray через quic было бы весьма интересно почитать про ваш опыт :)

Не пробовал. А можно ссылочку?

Я не силен в этих технологиях. Но насколько я понимаю что тор это что-то похожее на торрент (не только тепрвыми тремя буквами) то есть чеез мой комп будет идти трафик который возможно не совсем хороший не только с точки зрения РКН но и с любой точки зрения. Или я ошибаюсь?

TOR может работать просто как клиент (по умолчанию), как релей — передавать чужой зашифрованный трафик и отправлять его дальше. И как Exit Node — собственно нода выхода в интернет. В случае релея о содержимом трафика, начальном и конечном пунктах назначения, вы никогда не узнаете. Потому что только выходная нода видит расшифрованный трафик (но и она не знает кому он предназначен внутри TOR). Повторюсь, TOR, по умолчанию сконфигурирован как просто клиент. Но и релей никаких рисков не несёт. В условиях РФ страшна только выходная нода. Прецеденты были.

Был случай и с релеем — сделали «закупку», увидели адрес релея. Владельцу релея пришлось объяснять, что он содержит узел сети и какой проходит трафик — не знает. После этого никаких обвинений не было.

Ну вобщем в РФ лучше не светить... Хотя не помню, вроде в настройках была возможность запрета быть входным релеем.

А есть какие-то идеи что делать когда РКН начнет замедлять Ютуб? А он к сожалению имеет необходимые для этого технологии...

VPN. А если будут блочить на DPI, то обфусцированный VPN.

Я таким способом проверяю обновления z-i без выкачивания всего репозитория:

cd /usr/share/zapret/z-i
if [ `git log --pretty=%H ...refs/heads/master^` == `git ls-remote origin -h refs/heads/master |cut -f1` ]; then
  	 exit 1;
fi
echo `date` - "New z-i updates"
git pull

Спасибо, пригодится!

Попробуйте `eatmydata git clone`, возможно, ускорит.

Да скачивает он быстро. Большая часть времени тратится на «всасывание» получившегося конфига самим tinyproxy.

А опубликуйте репу со скриптами. И звезд отхватите и PR получите для поддержки других разновидностей линуксов.

Так в самом конце статьи, там где...

Данная связка работает уже неделю 2,5 месяца. Глюкобагов, пока, вроде-бы не замечено. готовые конфиги и скрипты живут на гитхабе, PR приветствуются!

И ссылка.

Переведите пожалуйста статью для тупых виндузятников (меня и мне подобных). Спасибо.

Оу... Неужели оказалось сложно? А что именно непонятно?

Вероятно, нужны ссылки для скачивания tor, i2pd и tinyproxy, инструкция по настройке "Планировщика заданий" и скрипт на PS. Либо как это запустить в WSL.

100500 лет не имел дела с виндой, за ненадобностью...

На винде пользуюсь GoodbyeDPI. Насколько я понимаю пакеты определенным образом режутся, что позволяет обходить блокировки.

Да. Там пакеты фрагментируются, от чего многм DPI системам слегка сносит крышу. Они не умеют собирать фрагментированные пакеты.

Ага, раньше пользовался - удобно было. Никаких прокси не надо. Сейчас не работает, просто нет коннекта вообще с ним. Провайдер МГТС

Я правильно понимаю, что эта штука не восстановит доступ к ресурсам, которые не являются заблокированными, но имеют общий IP-адрес с заблокированными?

Да... Но в приходящем от zapret.info csv файле есть колонка и с ip адресом... но не во всех записях. Вобщем я думаю над этим вопросом. Как сделать так что-б и конфиг не раздулся до вообще неприличных размеров.

Ну, можно dns-прокси сделать, который бы проверял все возвращаемые ip-адреса на предмет их заблокированности. Если в ответе есть хоть один незаблокированный адрес — то просто исключаем из ответа всё что заблокировано, если все адреса заблокированы — заменяем их на какой-нибудь 127.0.0.2. Ну а на 127.0.0.2 должен находиться прозрачный прокси.

Вот интересно, какой из популярных DNS у нас умеет в такие финты? Что-т мне кажется что такого нет... Но это не точно.

Из коробки? Никто, скриптами накрутить над ними такой функционал - реально.

Ну вот и интересно. У какого из серверов можно повесить хуки на запросы / ответы.

У меня дома pfsense с туннелем до амстердамской vps. Просто все, что идет из домашней сети и попадает под список, уходит в туннель. Прозрачно для клиентов.

Так может статью? Больше способов, хороших и разных!

Лениво таки. Да и схема не особо красивая и законченная. Сайты в список сам добавляю, которые нужно редиректить в туннель.
Может быть когда нибудь…

Плагин для браузеров, чтобы в гитхаб коммитил домен заблокированный. Нажал кнопку, домен отправляется в список и тут же срабатывает вызов скрипта обновляющего список на прокси с гита.

Ещё как вариант PDNSD. Очень лёгкий в настройке кэширующий DNS-сервер. Может он DoH умеет? Тогда ответ от настроенного вышестоящего DNS уже так просто не подменят.

Ну хотя-б основные принципы. А дальше глядишь и сообщество поможет. Что мы, не автоматизаторы что ли? ;-P

Наивный вопрос: а нельзя настроить прокси так, чтобы любое соединение сперва устанавливалось напрямую, а в случае обнаружения блокировки использовались механизмы обхода? Когда-то подобным образом работало расширение frigate lite для хрома, но насколько я знаю оно больше не доступно.

Хм... Ну это-ж будет медленнее чем посмотрел в список → направил куда надо. И потом, обнаружение блокировки не так просто гарантированно отловить. Особенно когда дело касается соединения по SSL/TLS.

Насчет скорости согласен, но можно кешировать состояние, так что если обнаружена блокировка, то следующие сутки (к примеру) обращаемся к ресурсу через обходные пути. Насчет гарантированного определения блокировки — тут да, могут быть проблемы.

Но зато с таким подходом не надо постоянно обновлять конфиг.

У меня не так много сайтов блокируется (linkedin), некоторые сайты с торрентами. В таком случае просто включаю кнопкой в Firefox надстройку vpn hoxx, версия бесплатная. Никаких настроек, все максимально просто. А так мне нечего скрывать.

Ну вот у меня не Firefox. Нет, конечно в qutebrowser можно расширять функционал скриптами на питоне, но из меня питонист ещё тот. Да и универсально. Работает даже с торрент и IRC клиентом.

Привет,

Не лучшим ли вариантом будет дополнительно сделать .path сервис, который будет рестартовать только в случае если файл хостов поменялся?

Мысль! Спасибо! Только тогда ещё надо будет проверять результат работы git, который списки вытягивает. И только в случае если новые данные пришли, перегенерить конфиг.

А в моём варианте так ведь и есть, если не было изменений в репозитории, скрипт завершится с кодом ошибки 1. Если изменения были, изменения вытянутся через git pull и после этого можно перегенерировать список хостов. Можно сделать вокруг него скрипт-обвязку, проверять код возврата, и принимать решение. А можно сразу после git pull дописать свой код. Мне было удобнее сделать обвязку.

Надо будет заняться, на выходных...

Лайтовый вариант решения проблемы - расширение FoxyProxy для Firefox. В нем достаточно гибко можно для разных сайтов прописать разные proxy. Работает в windows/linux/android.

Я им раньше и пользовался, пока с FF / Chrome, не ушёл. Только одна беда. В него тоже надо как-то загружать список РКН и что-то мне подсказывает, что в автоматическом режиме это будет сделать малость проблематичнее.

Proxy autoconfiguratiion (PAC) позволяет написать JS скрипт и там уже всякую логику городить. И главное его браузеры уже поддерживают.

Я у себя локальльно поднял tor и подготовил proxy.pac если домен в списке блокировки, то используется tor, иначе подключение напрямую.

Proxy.pac может быть на другом хосте.

Тормозит такое решение. Не то из-за количества доменов, не то из-за объёма файла.

Ну я весь список доменов заблокированных РКН не добавлял, только чем сам пользуюсь.

"Тормозит" больше всего сам tor, но это ожидаемо.

Ну а я как раз пользовался раньше скриптом PAC с полным списком доменов. Он тормозит сильнее чем tor.

Есть пара проблем - скрипт исполняемым сделать (раз), в скрипте добавить грепу параметр -s (два), раскомментировать PID-файл в конфиге tinyproxy(три). Ну да, пара это примерно три.

А, и ещё сервис тора стартовать пришлось.

И так работает, да.

Так может ишью или PR, на гитхабе?

Отписал ишью.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации