Ростелеком обновил механизм блокировки сайтов — обходим снова

На днях не смотря на то, что у меня настроена блокировка фальшивых ответов от Ростелекома в соответствии с статьёй Простой обход блокировки сайтов Ростелекомом на маршрутизаторе MikroTik, я увидел следующее милое приветствие от любимого провайдера:

warning-rt

Ок, придется снова обновлять правила фильтрации на межсетевом экране MikroTik.

Снова включаю wireshark в надежде увидеть что-либо новое и изощренное, но увы, РТ ничем интересным порадовать меня не захотел. Механизм блокировки остался тот же, что и в выше указанной статье, поменялся только адрес перенаправления, а поскольку мы фильтровали фиктивные пакеты как раз по строке, начинающеся с Location: и так далее, теперь у нас правило не работает. Новый адрес теперь warning.rt.ru и, соответственно, правило для интерфейса rt будет следующим:

Не забудьте переместить данное правило в начало цепочки! В конце оно может не работать!

А если вы конфигурируете через winbox, то предлагаю воспользоваться скриншотами из поста по ссылке выше, за одним лишь отличием — в поле content нужно вместо

указать

На этом проблема успешно решена и все сайты вновь должны работать.

Всем свободного интернета и хорошего настроения!

P.S. Злополучные строки в тексте статьи приведены в виде картинок во избежание проблем с открытием странцы для тех, у кого настроена фильтрация по ним. Спасибо за совет rus_pl

UPD: В комментариях Кирилл подсказал, как «починить» и https, всё действительно работает, любимый LinkedIn снова работает 🙂

Ростелеком обновил механизм блокировки сайтов — обходим снова: 26 комментариев

  1. Это прекрасно работает с протоколом http, существует ли аналогичное решение для https?

    1. Боюсь, на простых «домашних» роутерах это никак не сделать — нужна фильтрация пакетов по вхождению произвольной строки.

  2. В случае с https нельзя подменить содержимое, прилетает поддельный пакет с флагом RST. Блокируем такие пакеты, получаем настоящие ответы от запрещенных https-сайтов:
    /ip firewall filter
    add action=drop chain=forward disabled=no in-interface=pppoe-rt protocol=tcp src-port=443 tcp-flags=rst

      1. Действительно так, однако каких-либо проблем с интернетом замечено не было, но для более точной обработки можно поставить дополнительные условия, в моем случае packet size=40 и ttl=120 и теперь счетчик правила увеличивается только при обращении к запрещенным https-сайтам

          1. Дополню, значение ttl=120 — для Windows-систем, для просмотра запрещенных https-страниц в *nix-системах добавил еще одно правило, где ttl=56. Для определения точных значений смотрел значения ttl в поддельных пакетах от провайдера и уменьшал его на 1.

  3. Почему то у меня не работает. Настроил все как в статье. Прошивка микротика 6.38.1 самая свежая. На фильтре стоит 0 байт. Интерфейсы выбирал всякие и ppoe client и все ethernet и убирал совсем. Интернет по dsl ростелеком алтайский край.

      1. Спасибо отключил fasttrack все заработало шикарно. Быстрей чем через прокси в Хроме — Обход блокировок рунета. Провайдер Ростелеком DSL Алтайский край

  4. Admin, чтобы после создания указанного правила данная страница блога так же открывалась, вставь вместо злополучной магической строки Ростелекома рисунок 🙂

  5. Пытаюсь отследить пакеты своего провайдера — Интерсвязь, но пока не получается найти нечто подобное, как в статье. При попытки открыть запрещённый ресурс открывается страница https://you-shall-not-pass.is74.ru/#https://rutracker.. Оба правила, что были в статье добавил (с поправкой на доменное имя), но не получилось

  6. Здравствуйте, провайдер ростелеком. Правило для обычных сайтов работает, а для https нет, при входе на сайт https:Не удается получить доступ к сайту, если в адресе убрать s, то выскакивает окно ростелекома. Если убрать оба правила, и для http и https, то все равно сайт https:Не удается получить доступ к сайту, а http ростелекомовскаяя заглушка. Подскажите куда копать?

    1. А вы добавляете с одинаковыми параметрами два правила? Для https механизм немного другой, обратите внимание на комментарии к этой статье от Кирилла.

  7. Да, извиняюсь, обновил ос на микротик и все заколосилось. Стояла 6.39.3, обновился на 6.41.3. Большое спасибо за статью, очень помогла.

    1. На здоровье!
      Ст29ч5 Конституции: «Гарантируется свобода массовой информации. Цензура запрещается.»

  8. Admin, Кирилл, вы — красавчики!
    «Починила» РТ, удалила все плагины обхода блокировок из браузеров.
    Целую, обнимаю.

  9. Применение двух правил позволило пользоваться интернетом. Но тот же линкедин так и не открылся. Поймать пакеты ваершарком не сумел. нет ни исходящего запроса к серверам ни соответственно ответа. Пинги при этом ловятся.
    Не подскажете как корректно ловить? С меня инструкция по qwerty)

    1. А как ловите пакеты? Запросы в любом случае должны быть, попробуйте без фильтров посмотреть за короткий промежуток времени.

  10. Уважаемый admin, а не подскажете набор правил для ДомРу для Микротика.
    На Рутрекере есть правила для iptables, но не знаю как их конвертировать в правила для Микротика.

  11. Ничего не поменялось? У меня после двух лет исправной работы, перестало открываться. Заглушки в браузере нет, просто соединение сбрасывается по таймауту. При отключении правил появляется заглушка.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *