Борщевик признан иноагентом

В Нижегородской области хотят ввести понятие «растения-иноагенты» — так будут называть чужеродные и инвазивные виды, которые угрожают экологии и здоровью людей

Первый кандидат — борщевик Сосновского, владельцев участков обяжут уничтожать опасные растения, а за халатность введут ответственность

⚡️Мышеловка

Пока нужен премиум

Скоро введу запрет на новую версию 21.0

Борщевик признан иноагентом.

В Нижегородской области скоро появится понятие «растение-иноагент» — так будут называть инвазивные и чужеродные виды, представляющие опасность для людей и экологии.

Первый на очереди — борщевик Сосновского, полный перечень утвердят позже. Владельцев участков обяжут уничтожать опасные растения, а за халатность введут ответственность.

Подпишись, у нас интересно❤️

Вот так выглядит запрет больного человека раком

Взяли и удалили гайд — так и пиши что ты автор после этого(

Ну хоть кому-то мы помогли

отличный пример как НЕ надо делать — https://github.com/by-sonic/unblock-pro/blob/main/habr-article-v2.md

Продолжим работу над оркестраторным запретом 2 — теперь он поддерживает пресеты

Подробнее про него можно прочитать здесь

В пресетах сделал поддержку нескольких фаз

--lua-desync=multisplit:pos=2,midsld-2:seqovl=1:seqovl_pattern=tls7
  --lua-desync=send:repeats=2 --lua-desync=syndata:blob=tls_google --lua-desync=hostfakesplit_multi:hosts=google.com,vimeo.com:tcp_ts=-1000:tcp_md5:repeats=2
  --lua-desync=fake:blob=fake_default_http:repeats=4:ip_autottl=2,3-20:ip6_autottl=2,3-20:tcp_md5

вторая строчка это одна стратегия и там должны быть одинаковые числа

Парсер сам расставит цифры

По умолчанию в оркестраторном запрете 2 проксируются все порты но это можно исправить

--wf-tcp-out=80,443-65535
--wf-tcp-in=80,443-65535
--wf-udp-out=80,443-65535
--wf-udp-in=80,443-65535

Для безопасности используются 10 пакетов на выходящий трафик и бесконечное количество на исходящий (для того чтобы видеть DPI блокировки).

--out-range=-d10
--in-range=-s5556

Ввиду того что субдомены часто блокируют по разному домены сохраняются с учётом 3 поддомена com.com.com (nld=3) смена стратегий происходит при первой же неудачи для более агрессивного перебора (fails=1)

--lua-desync=circular:fails=1:time=300:retrans=3:nld=3

Почему так медленно

nfqws2 перехватывает сетевые пакеты через NFQUEUE (механизм ядра Linux), обрабатывает их в C-коде, и при необходимости запускает Lua-скрипты для "десинхронизации" (обхода DPI).

NFQUEUE — главный тормоз (~45% CPU) — это не код nfqws2, это сам механизм Linux

Lua API overhead — второй тормоз — дорого не сам LuaJIT (он JIT-компилирует и работает быстро — 15% CPU), а передача данных из C в Lua

C-код — почти бесплатный (5%) — вся логика отбора, фильтрации, cutoff — копейки.

Главный практический вывод: cutoff и фильтры по range

Без cutoff: каждый пакет → push таблицы → Lua вызов [дорого]
С cutoff: 95% пакетов → сразу в тишину [бесплатно]

Внутрипрофильные фильтры по range (например, connbytes) — это способ не пускать пакеты в Lua вообще. Когда все инстансы превысили upper limit по range — Lua полностью отключается, CPU резко падает.

Я всё это время неправильно понимал обработку пакетов

  d1<d5  →  обрабатывает пакеты с данными 1,2,3,4  →  cutoff при d=5
    -d5  →  обрабатывает всё до d=5 включая SYN/ACK →  cutoff при d=6

Кстати в глобальном фильтре виндиверта есть исключения чтобы вообще winws не пропускал этот трафик

# Добавить в фильтр: "и не этот IP"
  tcp.DstPort == 443 and tcp.PayloadLength >= 40 and tcp.Payload[0] == 0x16 and tcp.Payload[5] == 0x01 and ip.DstAddr != 1.2.3.4

--wf-raw-filter — AND-фильтр к конструктору

Комбинируется со всем остальным по AND. Удобно держать исключения отдельным файлом:

  --wf-raw-filter="not (ip.DstAddr == 1.2.3.4 or ip.DstAddr == 5.6.7.8)"
  # или из файла:
  --wf-raw-filter=@exclude_ips.txt

Домены — только через --hostlist-exclude т.к. WinDivert не умеет
смотреть SNI