mirror of
https://github.com/bol-van/zapret.git
synced 2024-12-23 23:04:23 +00:00
readme: rewrite badsum limitations
This commit is contained in:
parent
a96d4d3b14
commit
01e72a8e39
@ -220,16 +220,17 @@ nfqws
|
|||||||
|
|
||||||
* md5sig работает не на всех серверах. Пакеты с md5 обычно отбрасывают только linux.
|
* md5sig работает не на всех серверах. Пакеты с md5 обычно отбрасывают только linux.
|
||||||
* badsum не сработает, если ваше устройство за NAT, который не пропускает пакеты с инвалидной суммой.
|
* badsum не сработает, если ваше устройство за NAT, который не пропускает пакеты с инвалидной суммой.
|
||||||
Наиболее распространенная настройка NAT роутера в Linux их не пропускает. На Linux построено большинство домашних роутеров.
|
Наиболее распространенная настройка NAT роутера в Linux их не пропускает. На Linux построено большинство
|
||||||
Непропускание обеспечивается так : настройка ядра sysctl по умолчанию net.netfilter.nf_conntrack_checksum=1
|
домашних роутеров. Непропускание обеспечивается так : настройка ядра sysctl по умолчанию
|
||||||
заставляет conntrack проверять tcp и udp чексуммы и выставлять state INVALID для пакетов с инвалидной суммой.
|
net.netfilter.nf_conntrack_checksum=1 заставляет conntrack проверять tcp и udp чексуммы и выставлять
|
||||||
|
state INVALID для пакетов с инвалидной суммой.
|
||||||
Обычно в правилах iptables вставляется правило для дропа пакетов с состоянием INVALID либо только в FORWARD,
|
Обычно в правилах iptables вставляется правило для дропа пакетов с состоянием INVALID либо только в FORWARD,
|
||||||
либо в FORWARD и OUTPUT. Совместное сочетание этих факторов приводит к непрохождению badsum через такой роутер, а при наличии
|
либо в FORWARD и OUTPUT. Совместное сочетание этих факторов приводит к непрохождению badsum через такой роутер,
|
||||||
дропа INVALID в OUTPUT и к неработоспособности nfqws с badsum с самого роутера.
|
а при наличии дропа INVALID в OUTPUT и к неработоспособности nfqws с badsum с самого роутера.
|
||||||
В openwrt из коробки net.netfilter.nf_conntrack_checksum=0, в других роутерах часто нет, и не всегда это можно изменить.
|
В openwrt из коробки net.netfilter.nf_conntrack_checksum=0, в других роутерах часто нет,
|
||||||
Чтобы nfqws мог работать, нужно выставить указанное значение sysctl в 0 на роутере.
|
и не всегда это можно изменить. Чтобы nfqws мог работать, нужно выставить указанное значение sysctl в 0 на роутере.
|
||||||
Если роутер за другим NAT, например провайдерским, и он не пропускает invalid packets, вы ничего не сможете с этим сделать.
|
Если роутер за другим NAT, например провайдерским, и он не пропускает invalid packets
|
||||||
Но обычно провайдеры все же пропускают badsum.
|
вы ничего не сможете с этим сделать. Но обычно провайдеры все же пропускают badsum.
|
||||||
* пакеты с badseq будут наверняка отброшены принимающим узлом, но так же и DPI, если он ориентируется на sequence numbers
|
* пакеты с badseq будут наверняка отброшены принимающим узлом, но так же и DPI, если он ориентируется на sequence numbers
|
||||||
* TTL казалось бы - лучший вариант, но он требует индивидуальной настройки под каждого провайдера. Если DPI находится дальше локальных
|
* TTL казалось бы - лучший вариант, но он требует индивидуальной настройки под каждого провайдера. Если DPI находится дальше локальных
|
||||||
сайтов провайдера, то вы можете отрезать себе доступ к ним. Необходим ip exclude list, заполняемый вручную.
|
сайтов провайдера, то вы можете отрезать себе доступ к ним. Необходим ip exclude list, заполняемый вручную.
|
||||||
|
Loading…
Reference in New Issue
Block a user