Merge branch 'bol-van:master' into master

5 months ago · 468ff762b0
18 changed files with 99 additions and 68 deletions
--- a/.github/ISSUE_TEMPLATE/issue-warning.md
+++ b/.github/ISSUE_TEMPLATE/issue-warning.md
@ -9,14 +9,14 @@ assignees: ''

 Issues - это место для обращений к разработчику.
 Discussions - место для обсуждения вопросов между пользователями.
-Не тратье время разработчика на ерунду. Вам не будут здесь обьяснять как скопировать, что "писать в", почему сразу же закрывается окно, почему не открывается сайт или госуслуги. Здесь не место обсуждению любых шаманств , т.е. манипуляций без понимания, в стиле 4pda.
+Не тратьте время разработчика на ерунду. Вам не будут здесь объяснять как скопировать, что "писать в", почему сразу же закрывается окно, почему не открывается сайт или госуслуги. Здесь не место обсуждению любых шаманств, т.е. манипуляций без понимания, в стиле 4pda.
 Пишите только конкретные проблемы на техническом уровне в оригинальном zapret (не в сборках), которые вы заметили, и которые являются или могут являться багами в софте.
 Или если вы считаете, что ваше обращение обосновано, технически грамотно и по адресу.
 Все, что будет нарушать эти критерии, может быть молча удалено, закрыто или перенесено в дискуссии на усмотрение разработчика.
 Если сомневаетесь - пишите лучше сразу в дискуссии.

 Прочитайте для начала docs/quick_start.md или docs/quick_start_windows.md.
-Там обьясняется для кого этот софт, какие требуются знания, почему это не простая волшебная таблетка.
+Там объясняется для кого этот софт, какие требуются знания, почему это не простая волшебная таблетка.

 Вирусов здесь нет. У вас либо чья-то сборка, либо ваш антивирус давно пора отправить на покой. Антивирусы в основном жалуются на upx и windivert, которые убраны НЕ будут. upx - это паковщик для сокращения требуемого места на openwrt, windivert - замена iptables для windows, потенциальный инструмент хакера или компонент зловредной программы, но сам по себе вирусом не является. Не согласны - удаляйте софт. За агрессивные наезды "почему автор распространяет вирусы" молча схватите бан.

--- a/common/dialog.sh
+++ b/common/dialog.sh
@ -37,8 +37,7 @@ ask_list()
 	local M_DEFAULT
 	eval M_DEFAULT="\$$1"
 	local M_ALL=$M_DEFAULT
-	local M=""
-	local m
+	local M="" m
 	
 	[ -n "$3" ] && { find_str_in_list "$M_DEFAULT" "$2" || M_DEFAULT="$3" ;}
 	
@ -54,5 +53,5 @@ ask_list()
 	echo selected : $M
 	eval $1="\"$M\""
 	
-	[ "$M" != "$M_OLD" ]
+	[ "$M" != "$M_DEFAULT" ]
 }
--- a/common/installer.sh
+++ b/common/installer.sh
@ -256,7 +256,7 @@ check_system()

 get_free_space_mb()
 {
-    df -m $PWD | awk '/[0-9]%/{print $(NF-2)}'
+    df -m "$1" | awk '/[0-9]%/{print $(NF-2)}'
 }
 get_ram_kb()
 {
@ -522,11 +522,6 @@ install_openwrt_firewall()
 {
 	echo \* installing firewall script $1
 	
-	[ -n "MODE" ] || {
-		echo should specify MODE in $ZAPRET_CONFIG
-		exitp 7
-	}
-	
 	echo "linking : $FW_SCRIPT_SRC => $OPENWRT_FW_INCLUDE"
 	ln -fs "$FW_SCRIPT_SRC" "$OPENWRT_FW_INCLUDE"
 	
--- a/common/ipt.sh
+++ b/common/ipt.sh
@ -43,7 +43,7 @@ ipt6_add_del()
 }
 ipt6a_add_del()
 {
-	on_off_function ipt6 ipt6a_del "$@"
+	on_off_function ipt6a ipt6_del "$@"
 }

 is_ipt_flow_offload_avail()
--- a/docs/bsd.md
+++ b/docs/bsd.md
@ -88,7 +88,7 @@ PF. Если в фаерволе есть правило divert, но на diver
 отдельно для ipv4 и ipv6 и работают только с одной версией `ip` каждый. На
 **MacOS** похоже, что divert сокеты из ядра вырезаны. См подробнее раздел про
 **MacOS**. Отсылка в divert сокет работает аналогично отсылке через raw socket
-на linux. Передается полностью IP фрейм, начиная с ip загловка. Эти особенности
+на linux. Передается полностью IP фрейм, начиная с ip заголовка. Эти особенности
 учитываются в `dvtws`.

 ### Lookup Tables
--- a/docs/changes.txt
+++ b/docs/changes.txt
@ -586,3 +586,12 @@ nfqws: backport from nfqws2 nl80211 ssid discovery fix for newer kernels

 ipset: remove zapret-info based scripts because it's gone
 blockcheck: fix tpws test regression
+
+73.7
+
+nfqws,tpws: memleak fix
+mdig: --eagain, --eagain-delay
+
+73.8
+
+nfqws: fix breaking tcp if ts fooling is enabled but no timestamps present
--- a/docs/nftables_notes.txt
+++ b/docs/nftables_notes.txt
@ -35,7 +35,7 @@ Swap позволяет немного сгладить проблему, но
 Например, есть 1 большой set на 100000 элементов и 1 маленький на 2 элемента.
 Чтобы просто пролистать мелкий set или добавить туда еще что-то nft будет мусолить несколько секунд.
 Что он делает за это время ? Тащит из ядра огромный блоб, в котором все в куче, и разбирает его, чтобы выделить искомую мелочь ?
-В какой-то мере удается это сгладить, обьединяя несколько команд в единый скрипт.
+В какой-то мере удается это сгладить, объединяя несколько команд в единый скрипт.

 Боль N3

@ -100,7 +100,7 @@ zapret может работать в другой таблице и не тро
 Плюс N5

 Пишут, что nftables работают быстрее. Но это не точно и зависит от много чего.
-В целом - чем меньше правил, тем выше скорость. Но в nftables правил можно писать меньше, значит скрость тоже может быть выше.
+В целом - чем меньше правил, тем выше скорость. Но в nftables правил можно писать меньше, значит скорость тоже может быть выше.
 У разработчиков есть идея перевести backend nftables на BPF, а это наверняка будет существенно быстрее.


--- a/docs/quick_start.md
+++ b/docs/quick_start.md
@ -193,9 +193,9 @@
   > профилях автоматически отражаются во всех остальных.
   >
   > Если стратегии отличаются по версии ip протокола, и вы не можете их
-   > обьединить, фильтр пишется так:
+   > объединить, фильтр пишется так:
   > ```sh
-   > "--filter-l3=ipv4 --filter-udp=443 lпараметры для quic ipv4' <HOSTLIST_NOAUTO> --new
+   > "--filter-l3=ipv4 --filter-udp=443 'параметры для quic ipv4' <HOSTLIST_NOAUTO> --new
   > --filter-l3=ipv4 --filter-tcp=80 'параметры для http ipv4' <HOSTLIST> --new
   > --filter-l3=ipv4 --filter-tcp=443 'параметры для https ipv4' <HOSTLIST> --new
   > --filter-l3=ipv6 --filter-udp=443 'параметры для quic ipv6' <HOSTLIST_NOAUTO> --new
--- a/docs/quick_start_windows.md
+++ b/docs/quick_start_windows.md
@ -117,7 +117,7 @@
   > Если кратко по мультистратегии, то обычно параметры конструируются так :
   > ```
   > --filter-udp=443 'параметры для quic' --new
-   > --filter-tcp=80,443 'обьединенные параметры для http и https'
+   > --filter-tcp=80,443 'объединенные параметры для http и https'
   > ```
   >
   > Или так :
@ -127,7 +127,7 @@
   > --filter-tcp=443 'параметры для https'
   > ```
   >
-   > Если стратегии отличаются по версии ip протокола, и вы не можете их обьединить, фильтр пишется так :
+   > Если стратегии отличаются по версии ip протокола, и вы не можете их объединить, фильтр пишется так :
   > ```
   > --filter-l3=ipv4 --filter-udp=443 "параметры для quic ipv4" --new
   > --filter-l3=ipv4 --filter-tcp=80 'параметры для http ipv4' --new
@ -199,7 +199,7 @@
   когда ничего лучше нет. Хорошая стратегия может сильно ломать из-за плохо подобранных ограничителей для фейков - ttl, fooling.

 > [!CAUTION]  
-> Это минимальная инструкция, чтобы соориентироваться с чего начать. Однако, это - не панацея.
+> Это минимальная инструкция, чтобы сориентироваться с чего начать. Однако, это - не панацея.
 > В некоторых случаях вы не обойдетесь без знаний и основного "талмуда".

 Подробности и полное техническое описание расписаны в [readme.md](./readme.md)
--- a/docs/readme.md
+++ b/docs/readme.md
@ -4,6 +4,12 @@ zapret является свободным и open source.
 Всякий, кто понуждает вас скачивать zapret только с его ресурса, требует удалить ссылки, видео, файлы, обосновывая эти требования авторскими правами, сам нарушает [лицензию](./LICENSE.txt).
 Однако, это не исключает [добровольные пожертвования](#поддержать-разработчика).

+# zapret2
+
+Эта версия zapret более не развивается и находится в режиме EOL (End-Of-Life). Никаких новых функций больше не будет. Только багфиксы.
+
+[Актуальная версия - zapret 2](https://github.com/bol-van/zapret2)
+
 # Multilanguage README

 [![en](https://img.shields.io/badge/lang-en-red.svg)](./readme.en.md)
@ -153,7 +159,7 @@ DPI. Все больше становится внереестровых бло
 * Если блокировка осуществляется по IP.
 * Если соединение проходит через фильтр, способный реконструировать TCP соединение, и который следует всем стандартам.
  Например, нас заворачивают на squid. Соединение идет через полноценный стек tcpip операционной системы.
-  Проект нацелен на обман DPI, который всилу ограниченности ресурсов и большого трафика вынужден интерпретировать его лишь ограниченно.
+  Проект нацелен на обман DPI, который в силу ограниченности ресурсов и большого трафика вынужден интерпретировать его лишь ограниченно.
  Обмануть полноценный стек ОС и полноценные серверные приложения не получится.

 ## nfqws
@ -176,7 +182,7 @@ dvtws, собираемый из тех же исходников (см. [док
 --bind-fix4                                               ; пытаться решить проблему неверного выбора исходящего интерфейса для сгенерированных ipv4 пакетов
 --bind-fix6                                               ; пытаться решить проблему неверного выбора исходящего интерфейса для сгенерированных ipv6 пакетов
 --ctrack-timeouts=S:E:F[:U]                               ; таймауты внутреннего conntrack в состояниях SYN, ESTABLISHED, FIN, таймаут udp. по умолчанию 60:300:60:60
--ctrack-disable=[0|1]                                    ; 1 или остутствие аргумента отключает conntrack
+--ctrack-disable=[0|1]                                    ; 1 или отсутствие аргумента отключает conntrack
 --ipcache-lifetime=<int>                                  ; время жизни записей кэша IP в секундах. 0 - без ограничений.
 --ipcache-hostname=[0|1]                                  ; 1 или отсутствие аргумента включают кэширование имен хостов для применения в стратегиях нулевой фазы
 --wsize=<winsize>[:<scale_factor>]                        ; менять tcp window size на указанный размер в SYN,ACK. если не задан scale_factor, то он не меняется (устарело !)
--- a/docs/redsocks.txt
+++ b/docs/redsocks.txt
@ -1,6 +1,6 @@
 Данный мануал пишется не как копипастная инструкция, а как помощь уже соображающему.
 Если вы не знаете основ сетей, linux, openwrt, а пытаетесь что-то скопипастить отсюда без малейшего
-понимания смысла, то маловероятно, что у вас что-то заработает. Не тратье свое время напрасно.
+понимания смысла, то маловероятно, что у вас что-то заработает. Не тратьте свое время напрасно.
 Цель - донести принципы как это настраивается вообще, а не указать какую буковку где вписать.


@ -147,7 +147,7 @@ nfset является частью таблицы nftable и принадлеж
 Чтобы использовать эти nfset-ы в своих правилах, необходимо синхронизироваться с их созданием и вносить свои цепочки в nftable "zapret".
 Для этого существуют хуки - скрипты, вызываемые из zapret на определенных стадиях инициализации фаервола.

-Раскоментируейте в /opt/zapret/config строчку
+Раскомментируйте в /opt/zapret/config строчку
 INIT_FW_POST_UP_HOOK="/etc/firewall.zapret.hook.post_up"

 Создайте файл /etc/firewall.zapret.hook.post_up и присвойте ему chmod 755.
--- a/docs/windows.md
+++ b/docs/windows.md
@ -97,7 +97,7 @@ autottl и autohostlist. При включении autohostlist так же пе
 Фильтрация windivert производится в ядре. Это несравнимо легче по ресурсам, чем перенаправлять пакеты в пространство user mode,
 чтобы winws принимал решение. Поэтому пользуйтесь по максимуму возможностями windivert.
 Например, если вам нужно дурить wireguard на все порты, вам придется перенаправить все порты на winws. Или же написать windivert фильтр, который отсечет wireguard по содержимому пакета.
-Разница в нагрузке на процессор колоссальна. В первом случае - до 100% одного ядра cpu в зависимости от обьема исходящего udp трафика (привет, торрент и uTP), во втором - близко к 0.
+Разница в нагрузке на процессор колоссальна. В первом случае - до 100% одного ядра cpu в зависимости от объема исходящего udp трафика (привет, торрент и uTP), во втором - близко к 0.
 Кроме нагрузки на процессор еще можете порезать себе скорость, тк одно ядро не будет справляться с обработкой вашего гигабитного интернета. А на старых ноутах еще и получите самолетный вой системы охлаждения, приводящий к ее износу.

 Можно запускать несколько процессов **winws** с разными стратегиями. Однако, не следует делать пересекающиеся фильтры.
@ -120,14 +120,14 @@ winws включается. Это нужно, чтобы можно было п
 NLM абстрагирует типы сетевых адаптеров. Он работает как с wifi, так и с ethernet и любыми другими.
 Поэтому это более универсальный метод, чем **SSID** фильтр.
 Однако, есть и неприятная сторона. В windows 7 вы легко могли ткнуть на иконку сети и выбрать тип : private или public.
-Там же вы могли посмотреть список сетей и обьединить их. Чтобы, допустим, вы могли подключаться по кабелю и wifi
+Там же вы могли посмотреть список сетей и объединить их. Чтобы, допустим, вы могли подключаться по кабелю и wifi
 к одному роутеру, и система эти подключения воспринимала как одну сеть.
 В следующих версиях windows они эти возможности сильно порезали. Похоже нет встроенных средств полноценно управлять
 network locations в win10/11. Кое-что есть в **powershell**.
 Можно поковыряться напрямую в реестре здесь : 
 `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList`
 Нужно менять ProfileGUID в `Signatures\Unmanaged`. Имена можно поменять в Profiles.
-Есть кое-какие сторонние утилиты. Кое-что находится, позволяющее посмотреть и удалить network profiles, но не обьединить.
+Есть кое-какие сторонние утилиты. Кое-что находится, позволяющее посмотреть и удалить network profiles, но не объединить.
 Факт, что в ms они это сильно испортили. Движок network list все тот же, и он способен на все то, что было в win7.
 Можно не бороться с этой проблемой, а просто указывать через запятую те названия сетей или GUIDы, которые выбрала система.
 Или если у вас только wifi, то использовать `--ssid-filter`. Там хотя бы есть гарантия, что **SSID** соответствуют реальности,
@ -137,7 +137,7 @@ network locations в win10/11. Кое-что есть в **powershell**.
 Для русского языка это 866. Пути с пробелами нужно брать в кавычки.
 При использовании опции @<config_file> кодировка в файле должна быть **UTF-8** без **BOM mark**.

-Существует неочевидный момент, каcаемый запуска **winws** из cygwin shell\`а. Если в директории, где находится winws, находится
+Существует неочевидный момент, касаемый запуска **winws** из cygwin shell\`а. Если в директории, где находится winws, находится
 копия `cygwin1.dll`, **winws** не запустится.
 Если нужен запуск под cygwin, то следует удалить или переместить `cygwin1.dll` из `binaries/windows-x86_64`. Это нужно для работы blockcheck.
 Из cygwin шелла можно посылать winws сигналы через `kill` точно так же, как в `*nix`.
@ -165,7 +165,7 @@ network locations в win10/11. Кое-что есть в **powershell**.
 Требования к подписи драйверов windows изменились в 2021 году.
 Официальные бесплатные обновления windows 7 закончились в 2020.
 После этого несколько лет продолжали идти платные обновления по программе **ESU**.
-Именно в этих **ESU** обновлениях находится обновление ядра windows 7, позволяющиее загрузить драйвер
+Именно в этих **ESU** обновлениях находится обновление ядра windows 7, позволяющее загрузить драйвер
 _windivert 2.2.2-A_, который идет в поставке zapret.
 Поэтому варианты следующие :

--- a/docs/wireguard_iproute_openwrt.txt
+++ b/docs/wireguard_iproute_openwrt.txt
@ -104,11 +104,11 @@ Endpoint должен быть прописан хотя бы на одном п
 менять ip и быть за nat. Endpoint пира настраивается динамически после успешной фазы
 проверки ключа.

-Включаем маршрутизцию :
+Включаем маршрутизацию :
 # echo net.ipv4.ip_forward = 1 >>/etc/sysctl.conf
 # sysctl -p

-Интерфейс конфигурится стандартно для дебианоподобных систем :
+Интерфейс конфигурируется стандартно для дебианоподобных систем :

 --/etc/network/interfaces.d/wgvps-------------
 auto wgvps
@ -203,7 +203,7 @@ config rule

 Что тут было сделано :
 *) Настроен интерфейс wireguard. Указан собственный приватный ключ.
-*) Настроен пир-партнер с указанием его публичнго ключа и endpoint (ip:port нашего сервера)
+*) Настроен пир-партнер с указанием его публичного ключа и endpoint (ip:port нашего сервера)
   такая настройка заставит периодически долбиться на сервер по указанному ip
   route_allowed_ip '0'  запрещает автоматическое создание маршрута
   allowed_ips '0.0.0.0/0' разрешает пакеты с любым адресом источника.
@ -275,7 +275,7 @@ for ext_iface in $wan_iface; do
 	ipt OUTPUT -t mangle -o $DEVICE -m set --match-set ipban dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800
 done

-network_get_device DEVICE lan
+network_get_device DEVICE lan
 ipt PREROUTING -t mangle -i $DEVICE -p tcp --dport 443 -m set --match-set zapret dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800
 ipt PREROUTING -t mangle -i $DEVICE -m set --match-set ipban dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800
 ------------------------------------------------
@ -429,8 +429,8 @@ for ext_iface in $wan_iface; do
 	ipt OUTPUT -t mangle -o $DEVICE -m set --match-set ipban dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800
 	ipt OUTPUT -t mangle -o $DEVICE -j MARK --set-mark 0x1000/0x1000
 done
-
-network_get_device DEVICE lan
+
+network_get_device DEVICE lan
 ipt PREROUTING -t mangle -i $DEVICE -p tcp --dport 443 -m set --match-set zapret dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800
 ipt PREROUTING -t mangle -i $DEVICE -m set --match-set ipban dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800

--- a/install_easy.sh
+++ b/install_easy.sh
@ -323,7 +323,7 @@ ask_config_tmpdir()
 		echo /tmp in openwrt is tmpfs. on low RAM systems there may be not enough RAM to store downloaded files
 		echo default tmpfs has size of 50% RAM
 		echo "RAM  : $(get_ram_mb) Mb"
-		echo "DISK : $(get_free_space_mb) Mb"
+		echo "DISK : $(get_free_space_mb "$EXEDIR/tmp") Mb"
 		echo select temp file location
 		[ -z "$TMPDIR" ] && TMPDIR=/tmp
 		ask_list TMPDIR "/tmp $EXEDIR/tmp" && {
--- a/mdig/mdig.c
+++ b/mdig/mdig.c
@ -30,7 +30,8 @@
 #endif
 #include <time.h>

-#define RESOLVER_EAGAIN_ATTEMPTS 2
+#define RESOLVER_EAGAIN_ATTEMPTS	10
+#define RESOLVER_EAGAIN_DELAY		500

 static void trimstr(char *s)
 {
@ -97,7 +98,7 @@ static struct
 {
 	char verbose;
 	char family;
-	int threads;
+	int threads, eagain, eagain_delay;
 	time_t start_time;
 	pthread_mutex_t flock;
 	pthread_mutex_t slock; // stats lock
@ -193,11 +194,12 @@ static void *t_resolver(void *arg)
 	int i, r;
 	char dom[256];
 	bool is_ok;
-	struct addrinfo hints;
-	struct addrinfo *result;
+	struct addrinfo hints, *result;
+	struct timespec ts_eagain = { .tv_sec = glob.eagain_delay/1000, .tv_nsec=glob.eagain_delay%1000*1000000 };

 	VLOG("started");

+
 	memset(&hints, 0, sizeof(struct addrinfo));
 	hints.ai_family = (glob.family == FAMILY4) ? AF_INET : (glob.family == FAMILY6) ? AF_INET6 : AF_UNSPEC;
 	hints.ai_socktype = SOCK_DGRAM;
@ -244,12 +246,16 @@ static void *t_resolver(void *arg)
 			else if (dom_valid(dom))
 			{
 				VLOG("resolving %s", dom);
-				for (i = 0; i < RESOLVER_EAGAIN_ATTEMPTS; i++)
+				for (i = 0; i < glob.eagain; i++)
 				{
 					if ((r = getaddrinfo(dom, NULL, &hints, &result)))
 					{
 						VLOG("failed to resolve %s : result %d (%s)", dom, r, eai_str(r));
-						if (r == EAI_AGAIN) continue; // temporary failure. should retry
+						if (r == EAI_AGAIN)
+						{
+							nanosleep(&ts_eagain, NULL);
+							continue; // temporary failure. should retry
+						}
 					}
 					else
 					{
@ -447,14 +453,18 @@ int dns_parse_query()
 static void exithelp(void)
 {
 	printf(
-		" --threads=<threads_number>\n"
 		" --family=<4|6|46>\t\t; ipv4, ipv6, ipv4+ipv6\n"
+		" --threads=<threads_number>\n"
+		" --eagain=<eagain_retries>\t; how many times to retry if EAGAIN received. default %u\n"
+		" --eagain-delay=<ms>\t\t; time in msec to wait between EAGAIN attempts. default %u\n"
 		" --verbose\t\t\t; print query progress to stderr\n"
 		" --stats=N\t\t\t; print resolve stats to stderr every N domains\n"
 		" --log-resolved=<file>\t\t; log successfully resolved domains to a file\n"
 		" --log-failed=<file>\t\t; log failed domains to a file\n"
 		" --dns-make-query=<domain>\t; output to stdout binary blob with DNS query. use --family to specify ip version.\n"
-		" --dns-parse-query\t\t; read from stdin binary DNS answer blob and parse it to ipv4/ipv6 addresses\n"
+		" --dns-parse-query\t\t; read from stdin binary DNS answer blob and parse it to ipv4/ipv6 addresses\n",
+		RESOLVER_EAGAIN_ATTEMPTS,
+		RESOLVER_EAGAIN_DELAY
 	);
 	exit(1);
 }
@ -469,6 +479,8 @@ static void exithelp(void)

 enum opt_indices {
 	IDX_HELP,
+	IDX_EAGAIN,
+	IDX_EAGAIN_DELAY,
 	IDX_THREADS,
 	IDX_FAMILY,
 	IDX_VERBOSE,
@ -483,6 +495,8 @@ enum opt_indices {
 static const struct option long_options[] = {
 	[IDX_HELP] = {"help", no_argument, 0, 0},
 	[IDX_THREADS] = {"threads", required_argument, 0, 0},
+	[IDX_EAGAIN] = {"eagain", required_argument, 0, 0},
+	[IDX_EAGAIN_DELAY] = {"eagain-delay", required_argument, 0, 0},
 	[IDX_FAMILY] = {"family", required_argument, 0, 0},
 	[IDX_VERBOSE] = {"verbose", no_argument, 0, 0},
 	[IDX_STATS] = {"stats", required_argument, 0, 0},
@ -503,6 +517,8 @@ int main(int argc, char **argv)
 	*fn1 = *fn2 = *dom = 0;
 	glob.family = FAMILY4;
 	glob.threads = 1;
+	glob.eagain = RESOLVER_EAGAIN_ATTEMPTS;
+	glob.eagain_delay = RESOLVER_EAGAIN_DELAY;
 	while ((v = getopt_long_only(argc, argv, "", long_options, &option_index)) != -1)
 	{
 		if (v) exithelp();
@ -513,13 +529,29 @@ int main(int argc, char **argv)
 			exithelp();
 			break;
 		case IDX_THREADS:
-			glob.threads = optarg ? atoi(optarg) : 0;
+			glob.threads = atoi(optarg);
 			if (glob.threads <= 0 || glob.threads > 100)
 			{
 				fprintf(stderr, "thread number must be within 1..100\n");
 				return 1;
 			}
 			break;
+		case IDX_EAGAIN:
+			glob.eagain = atoi(optarg);
+			if (glob.eagain <= 0 || glob.eagain > 1000)
+			{
+				fprintf(stderr, "eagain must be within 1..1000\n");
+				return 1;
+			}
+			break;
+		case IDX_EAGAIN_DELAY:
+			glob.eagain_delay = atoi(optarg);
+			if (glob.eagain_delay < 0 || glob.eagain_delay > 100000)
+			{
+				fprintf(stderr, "eagain-delay must be within 0..100000\n");
+				return 1;
+			}
+			break;
 		case IDX_FAMILY:
 			if (!strcmp(optarg, "4"))
 				glob.family = FAMILY4;
--- a/nfq/darkmagic.c
+++ b/nfq/darkmagic.c
@ -192,7 +192,7 @@ static uint16_t tcpopt_len(bool sack, bool mss, uint32_t fooling, const uint32_t
 	if (sack) t+=2;
 	if (mss) t+=4;
 	if (fooling & FOOL_MD5SIG) t+=18;
-	if ((fooling & FOOL_TS) || timestamps) t+=10;
+	if (timestamps) t+=10;
 	if (scale_factor!=SCALE_NONE) t+=3;
 	return (t+3)&~3;
 }
--- a/nfq/protocol.c
+++ b/nfq/protocol.c
@ -615,24 +615,18 @@ bool IsQUICCryptoHello(const uint8_t *data, size_t len, size_t *hello_offset, si
 uint8_t QUICDraftVersion(uint32_t version)
 {
 	/* IETF Draft versions */
-	if ((version >> 8) == 0xff0000) {
+	if ((version >> 8) == 0xff0000)
 		return (uint8_t)version;
-	}
 	/* Facebook mvfst, based on draft -22. */
-	if (version == 0xfaceb001) {
+	if (version == 0xfaceb001)
 		return 22;
-	}
 	/* Facebook mvfst, based on draft -27. */
-	if (version == 0xfaceb002 || version == 0xfaceb00e) {
+	if (version == 0xfaceb002 || version == 0xfaceb00e)
 		return 27;
-	}
 	/* GQUIC Q050, T050 and T051: they are not really based on any drafts,
 	 * but we must return a sensible value */
-	if (version == 0x51303530 ||
-		version == 0x54303530 ||
-		version == 0x54303531) {
+	if (version == 0x51303530 || version == 0x54303530 || version == 0x54303531)
 		return 27;
-	}
 	/* https://tools.ietf.org/html/draft-ietf-quic-transport-32#section-15
 	   "Versions that follow the pattern 0x?a?a?a?a are reserved for use in
 	   forcing version negotiation to be exercised"
@ -640,19 +634,17 @@ uint8_t QUICDraftVersion(uint32_t version)
 	   used to select a proper salt (which depends on the version itself), but
 	   we don't have a real version here! Let's hope that we need to handle
 	   only latest drafts... */
-	if ((version & 0x0F0F0F0F) == 0x0a0a0a0a) {
+	if ((version & 0x0F0F0F0F) == 0x0a0a0a0a)
 		return 29;
-	}
 	/* QUIC (final?) constants for v1 are defined in draft-33, but draft-34 is the
 	   final draft version */
-	if (version == 0x00000001) {
+	if (version == 0x00000001)
 		return 34;
-	}
 	/* QUIC Version 2 */
 	/* TODO: for the time being use 100 as a number for V2 and let see how v2 drafts evolve */
-	if (version == 0x709A50C4) {
+	if ((version == 0x709A50C4) || (version == 0x6b3343cf))
 		return 100;
-	}
+
 	return 0;
 }

@ -662,7 +654,7 @@ static bool is_quic_draft_max(uint32_t draft_version, uint8_t max_version)
 }
 static bool is_quic_v2(uint32_t version)
 {
-    return version == 0x6b3343cf;
+    return (version == 0x709A50C4) || (version == 0x6b3343cf);
 }

 static bool quic_hkdf_expand_label(const uint8_t *secret, uint8_t secret_len, const char *label, uint8_t *out, size_t out_len)
@ -811,6 +803,7 @@ bool QUICDecryptInitial(const uint8_t *data, size_t data_len, uint8_t *clean, si
 	if ((pn_offset + tvb_get_size(data[pn_offset])) >= data_len) return false;
 	pn_offset += tvb_get_varint(data + pn_offset, &token_len);
 	pn_offset += token_len;
+	if (pn_offset >= data_len) return false;
 	if ((pn_offset + tvb_get_size(data[pn_offset])) >= data_len) return false;
 	pn_offset += tvb_get_varint(data + pn_offset, &payload_len);
 	if (payload_len<20 || (pn_offset + payload_len)>data_len) return false;
--- a/tpws/pools.c
+++ b/tpws/pools.c
@ -98,6 +98,7 @@ hostfail_pool *HostFailPoolFind(hostfail_pool *p,const char *s)
 }
 void HostFailPoolDel(hostfail_pool **p, hostfail_pool *elem)
 {
+	free(elem->str);
 	HASH_DEL(*p, elem);
 	free(elem);
 }
@ -108,11 +109,7 @@ void HostFailPoolPurge(hostfail_pool **pp)
 	HASH_ITER(hh, *pp, elem, tmp)
 	{
 		if (now >= elem->expire)
-		{
-			free(elem->str);
-			HASH_DEL(*pp, elem);
-			free(elem);
-		}
+			HostFailPoolDel(pp, elem);
 	}
 }
 static time_t host_fail_purge_prev=0;