GoodbyeDPI на отдельной системе, iptables

[Sam Stone]

Добрый день.

Хочу поднять zapret на малинке, чтобы смотреть ютуб с телека и деградировать без установки чего-либо на сам ТВ.

Хочу на роутере (mikrotik), правилами завернуть трафик на малинку. То есть пришел пакет на роутер, правило отправило его в малину, там пакет "гнется" и уходит в интернет через тот же роутер.
Это вообще рабочий вариант или малину тоже придется настраивать как роутер, с двумя сетевухами и тд?

Смущает, что nfqws работает просто как обработчик очереди NFQUEUE и порты не слушает. Суть велосипеда - не делать каких-либо настроек на каждом устройстве отдельно.

[Protopopulus]

По идее, надо сделать подсеть для устройств (тв/комп) и настроить роутинг через малину, которая будет гейтвеем для устройств. На малине можно через одну сетевуху все пустить, просто два интерфейса будет. Так-то да, вполне рабочий вариант, если малина тоже будет роутером.

[Smorman]

Суть велосипеда - не делать каких-либо настроек на каждом устройстве отдельно

Из личного моего и не только опыта, zapret ты сможешь настроить нормально именно только для одного ресурса.
В редком случае одни и те же параметры zapret подойдут ещё для какого-либо ресурса.

В этом плане byeDPI намного гибче и при желании можно добится, что будет работать практически для большинства ресурсов...
ИМХО

[Sam Stone]

В общем, сам придумал, сам решил.

Криво был настроен роутер (микротик). На лине всё настраивается в 2 строчки.
Общее, но пока нестабильное, решение ниже (не на всех устройствах ютуб открывается).

Smorman, к сожалению, goodbyeDPI только под винду.

(Нажмите, чтобы показать/скрыть)

1) виртуалка либо свободная железка в локальной сети, настроенная как роутер. У меня это минимальная установка дебиана и правило в iptables, чтобы NAT работал. У виртуалки 2 айпишника, оба в одной подсети: IP_A (типа в локалку), IP_B (и типа в интернет смотрит)

2) устанавливаем туда zapret (линуксовый клон GDPI), настраиваем под своего прова. Это читать инструкцию к софтине

На этом шаге, если всё ок, можно на любом рабочем компе указать шлюзом IP_A и все заработает. Пакеты тупо через два NATa пройдут.

3) настраиваем роутер:
Т.к. айпишников у ютуба дофига, пусть роутер сам их собирает в список

Код: [Выделить]

/ip/firewall/mangle
chain=prerouting action=add-dst-to-address-list address-list=youtube address-list-timeout=none-dynamic content=googlevideo.com log=no log-prefix=""
chain=prerouting action=add-dst-to-address-list address-list=youtube address-list-timeout=none-dynamic content=googleusercontent.com log=no log-prefix=""
chain=prerouting action=add-dst-to-address-list address-list=youtube address-list-timeout=none-dynamic content=youtube.com log=no log-prefix=""

Далее пометим все пакеты для айпишников ютуба

Код: [Выделить]

/ip/firewall/mangle
chain=prerouting action=mark-routing new-routing-mark=DPI passthrough=no protocol=tcp src-address=!IP_B
      dst-address-list=youtube log=no log-prefix=""
Для всех помеченных пакетов сделаем отдельную таблицу маршрутизации

Код: [Выделить]

/ip/route
dst-address=0.0.0.0/0 gateway=IP_A routing-table=DPI disabled=0


[Smorman]

goodbyeDPI только под винду

Не внимательно читаете!
Я не про GoodbyeDPI, а про byeDPI писал.

byeDPI чисто под Linux и есть ещё версия для Андрейки...

Есть сборка в Docker для Mikrotik