Ростелеком обновил механизм блокировки сайтов — обходим снова

На днях не смотря на то, что у меня настроена блокировка фальшивых ответов от Ростелекома в соответствии с статьёй Простой обход блокировки сайтов Ростелекомом на маршрутизаторе MikroTik, я увидел следующее милое приветствие от любимого провайдера:

warning-rt

Ок, придется снова обновлять правила фильтрации на межсетевом экране MikroTik.

Снова включаю wireshark в надежде увидеть что-либо новое и изощренное, но увы, РТ ничем интересным порадовать меня не захотел. Механизм блокировки остался тот же, что и в выше указанной статье, поменялся только адрес перенаправления, а поскольку мы фильтровали фиктивные пакеты как раз по строке, начинающеся с Location: и так далее, теперь у нас правило не работает. Новый адрес теперь warning.rt.ru и, соответственно, правило для интерфейса rt будет следующим:

Не забудьте переместить данное правило в начало цепочки! В конце оно может не работать!

А если вы конфигурируете через winbox, то предлагаю воспользоваться скриншотами из поста по ссылке выше, за одним лишь отличием — в поле content нужно вместо

указать

На этом проблема успешно решена и все сайты вновь должны работать.

Всем свободного интернета и хорошего настроения!

P.S. Злополучные строки в тексте статьи приведены в виде картинок во избежание проблем с открытием странцы для тех, у кого настроена фильтрация по ним. Спасибо за совет rus_pl

UPD: В комментариях Кирилл подсказал, как «починить» и https, всё действительно работает, любимый LinkedIn снова работает 🙂

Ростелеком обновил механизм блокировки сайтов — обходим снова: 36 комментариев

  1. Это прекрасно работает с протоколом http, существует ли аналогичное решение для https?

    1. Боюсь, на простых «домашних» роутерах это никак не сделать — нужна фильтрация пакетов по вхождению произвольной строки.

  2. В случае с https нельзя подменить содержимое, прилетает поддельный пакет с флагом RST. Блокируем такие пакеты, получаем настоящие ответы от запрещенных https-сайтов:
    /ip firewall filter
    add action=drop chain=forward disabled=no in-interface=pppoe-rt protocol=tcp src-port=443 tcp-flags=rst

      1. Действительно так, однако каких-либо проблем с интернетом замечено не было, но для более точной обработки можно поставить дополнительные условия, в моем случае packet size=40 и ttl=120 и теперь счетчик правила увеличивается только при обращении к запрещенным https-сайтам

          1. Дополню, значение ttl=120 — для Windows-систем, для просмотра запрещенных https-страниц в *nix-системах добавил еще одно правило, где ttl=56. Для определения точных значений смотрел значения ttl в поддельных пакетах от провайдера и уменьшал его на 1.

          2. Всё сделал, как описано. HTTP работает. с HTTPS непонятно. BlockCheck результат — «[☺] Ваш провайдер не блокирует сайты.»
            А на LinkedIn и Telegram не заходит…

          3. Да, резолвит корректно…
            В винде пинг до адреса и до ip есть.
            nslookup linkedin.com
            ╤хЁтхЁ: ns1.onlime.ru
            Address: 77.37.251.33

  3. Почему то у меня не работает. Настроил все как в статье. Прошивка микротика 6.38.1 самая свежая. На фильтре стоит 0 байт. Интерфейсы выбирал всякие и ppoe client и все ethernet и убирал совсем. Интернет по dsl ростелеком алтайский край.

      1. Спасибо отключил fasttrack все заработало шикарно. Быстрей чем через прокси в Хроме — Обход блокировок рунета. Провайдер Ростелеком DSL Алтайский край

  4. Admin, чтобы после создания указанного правила данная страница блога так же открывалась, вставь вместо злополучной магической строки Ростелекома рисунок 🙂

  5. Пытаюсь отследить пакеты своего провайдера — Интерсвязь, но пока не получается найти нечто подобное, как в статье. При попытки открыть запрещённый ресурс открывается страница https://you-shall-not-pass.is74.ru/#https://rutracker.. Оба правила, что были в статье добавил (с поправкой на доменное имя), но не получилось

  6. Здравствуйте, провайдер ростелеком. Правило для обычных сайтов работает, а для https нет, при входе на сайт https:Не удается получить доступ к сайту, если в адресе убрать s, то выскакивает окно ростелекома. Если убрать оба правила, и для http и https, то все равно сайт https:Не удается получить доступ к сайту, а http ростелекомовскаяя заглушка. Подскажите куда копать?

    1. А вы добавляете с одинаковыми параметрами два правила? Для https механизм немного другой, обратите внимание на комментарии к этой статье от Кирилла.

  7. Да, извиняюсь, обновил ос на микротик и все заколосилось. Стояла 6.39.3, обновился на 6.41.3. Большое спасибо за статью, очень помогла.

    1. На здоровье!
      Ст29ч5 Конституции: «Гарантируется свобода массовой информации. Цензура запрещается.»

  8. Admin, Кирилл, вы — красавчики!
    «Починила» РТ, удалила все плагины обхода блокировок из браузеров.
    Целую, обнимаю.

  9. Применение двух правил позволило пользоваться интернетом. Но тот же линкедин так и не открылся. Поймать пакеты ваершарком не сумел. нет ни исходящего запроса к серверам ни соответственно ответа. Пинги при этом ловятся.
    Не подскажете как корректно ловить? С меня инструкция по qwerty)

    1. А как ловите пакеты? Запросы в любом случае должны быть, попробуйте без фильтров посмотреть за короткий промежуток времени.

      1. Прошел год)
        По существу скажу следующее: qwerty, как я понял,регулярно блокирует трафик полностью.
        вот скрин вайшарка если интересно (целью был сайт kino.pub)(захват делался с провайдерского интервейса микотиком и пересылался на мой пк для анализа акулой в реальном времени)
        https://pp.userapi.com/c852016/v852016209/154f2e/Ha_E519_Xjs.jpg
        Мое решение состоит в том, что я задрал провайдера требованиями объяснять мне причины незаконной цензуры. Мне сделали скидку на 100 рублей в месяц и увеличили скорость до 100.
        На лишние 100 рублей теперь поднят микротик в нидерландах.
        Пойманные по вашей инструкции отлавливаю заглушку и добавляю «отправителей» ip лист. А потом по этому листу идет маршрутизация в vpn. Все остальное идет напрямую в инет.
        Если интересно подробнее — обращайтесь распишу в подробностях.

        1. Дмитрий, буду благодарен если распишите ваше решение.
          Идея очень интересная, буду так же делать.

  10. Уважаемый admin, а не подскажете набор правил для ДомРу для Микротика.
    На Рутрекере есть правила для iptables, но не знаю как их конвертировать в правила для Микротика.

      1. /ipv6 firewall filter
        add action=jump chain=input jump-target=CHECK_LAWFILTER_DNS protocol=udp src-port=53
        add action=jump chain=forward jump-target=CHECK_LAWFILTER_DNS protocol=udp src-port=53
        add action=drop chain=CHECK_LAWFILTER_DNS content=»*\02&\98\A0\00\00\00\00\00\00\00\00\00\00d»
        add action=drop chain=CHECK_LAWFILTER_DNS content=»*\02&\98\A0\00\00\00\00\00\00\00\00\00\00e»
        add action=drop chain=CHECK_LAWFILTER_DNS content=»*\02&\98\A0\00\00\00\00\00\00\00\00\00\00f»
        add action=drop chain=CHECK_LAWFILTER_DNS content=»\\\FF\F1d»
        add action=drop chain=CHECK_LAWFILTER_DNS content=»\\\FF\F1e»
        add action=drop chain=CHECK_LAWFILTER_DNS content=»\\\FF\F1f»
        add action=return chain=CHECK_LAWFILTER_DNS
        add action=jump chain=input jump-target=CHECK_LAWFILTER_HTTP protocol=tcp src-port=80
        add action=jump chain=forward jump-target=CHECK_LAWFILTER_HTTP protocol=tcp src-port=80
        add action=drop chain=CHECK_LAWFILTER_HTTP content=»Location: http://lawfilter.ertelecom.ru»
        add action=return chain=CHECK_LAWFILTER_HTTP

  11. Ничего не поменялось? У меня после двух лет исправной работы, перестало открываться. Заглушки в браузере нет, просто соединение сбрасывается по таймауту. При отключении правил появляется заглушка.

  12. add action=drop chain=forward disabled=no in
    -interface=pppoe-out1 protocol=tcp src-port=443 packet-size=40 ttl=equal:120 tcp-f
    lags=rst

    add action=drop chain=forward disabled=no in
    -interface=pppoe-out1 protocol=tcp src-port=443 packet-size=40 ttl=equal:56 tcp-f
    lags=rst

    под новый синтаксис RouterOS

  13. добрый день!
    тема достаточно старенькая но актуальная до сих пор. Спасибо за статью все работает идеально кроме одного сайта. Мое хобби умные дома и я часто посещаю форум панели управления openhab. По не понятной мне причине он заблокирован у РКН возможно ip попал под раздачу какого нибудь другого запрещенного сайта. Вообщем не работает: http://community.openhab.org/ ну не как не хочет открываться и страница warning от rt не открывается. Как думает каким образом заблокирован этот форум? в ТОР открывается.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *