From 82697e6ebf8a3f00c8e3359a1cc72572ae539358 Mon Sep 17 00:00:00 2001 From: GlazovYuri Date: Thu, 8 Jan 2026 02:51:23 +0300 Subject: [PATCH 01/10] Fix some mistakes --- .github/ISSUE_TEMPLATE/issue-warning.md | 4 ++-- docs/bsd.md | 2 +- docs/nftables_notes.txt | 4 ++-- docs/quick_start.md | 4 ++-- docs/quick_start_windows.md | 6 +++--- docs/readme.md | 4 ++-- docs/redsocks.txt | 4 ++-- docs/windows.md | 10 +++++----- docs/wireguard_iproute_openwrt.txt | 12 ++++++------ 9 files changed, 25 insertions(+), 25 deletions(-) diff --git a/.github/ISSUE_TEMPLATE/issue-warning.md b/.github/ISSUE_TEMPLATE/issue-warning.md index 2b87cf72..7333e519 100644 --- a/.github/ISSUE_TEMPLATE/issue-warning.md +++ b/.github/ISSUE_TEMPLATE/issue-warning.md @@ -9,14 +9,14 @@ assignees: '' Issues - это место для обращений к разработчику. Discussions - место для обсуждения вопросов между пользователями. -Не тратье время разработчика на ерунду. Вам не будут здесь обьяснять как скопировать, что "писать в", почему сразу же закрывается окно, почему не открывается сайт или госуслуги. Здесь не место обсуждению любых шаманств , т.е. манипуляций без понимания, в стиле 4pda. +Не тратьте время разработчика на ерунду. Вам не будут здесь объяснять как скопировать, что "писать в", почему сразу же закрывается окно, почему не открывается сайт или госуслуги. Здесь не место обсуждению любых шаманств, т.е. манипуляций без понимания, в стиле 4pda. Пишите только конкретные проблемы на техническом уровне в оригинальном zapret (не в сборках), которые вы заметили, и которые являются или могут являться багами в софте. Или если вы считаете, что ваше обращение обосновано, технически грамотно и по адресу. Все, что будет нарушать эти критерии, может быть молча удалено, закрыто или перенесено в дискуссии на усмотрение разработчика. Если сомневаетесь - пишите лучше сразу в дискуссии. Прочитайте для начала docs/quick_start.md или docs/quick_start_windows.md. -Там обьясняется для кого этот софт, какие требуются знания, почему это не простая волшебная таблетка. +Там объясняется для кого этот софт, какие требуются знания, почему это не простая волшебная таблетка. Вирусов здесь нет. У вас либо чья-то сборка, либо ваш антивирус давно пора отправить на покой. Антивирусы в основном жалуются на upx и windivert, которые убраны НЕ будут. upx - это паковщик для сокращения требуемого места на openwrt, windivert - замена iptables для windows, потенциальный инструмент хакера или компонент зловредной программы, но сам по себе вирусом не является. Не согласны - удаляйте софт. За агрессивные наезды "почему автор распространяет вирусы" молча схватите бан. diff --git a/docs/bsd.md b/docs/bsd.md index 5315c915..cbb5c954 100644 --- a/docs/bsd.md +++ b/docs/bsd.md @@ -88,7 +88,7 @@ PF. Если в фаерволе есть правило divert, но на diver отдельно для ipv4 и ipv6 и работают только с одной версией `ip` каждый. На **MacOS** похоже, что divert сокеты из ядра вырезаны. См подробнее раздел про **MacOS**. Отсылка в divert сокет работает аналогично отсылке через raw socket -на linux. Передается полностью IP фрейм, начиная с ip загловка. Эти особенности +на linux. Передается полностью IP фрейм, начиная с ip заголовка. Эти особенности учитываются в `dvtws`. ### Lookup Tables diff --git a/docs/nftables_notes.txt b/docs/nftables_notes.txt index 75fa845f..b76c78b0 100644 --- a/docs/nftables_notes.txt +++ b/docs/nftables_notes.txt @@ -35,7 +35,7 @@ Swap позволяет немного сгладить проблему, но Например, есть 1 большой set на 100000 элементов и 1 маленький на 2 элемента. Чтобы просто пролистать мелкий set или добавить туда еще что-то nft будет мусолить несколько секунд. Что он делает за это время ? Тащит из ядра огромный блоб, в котором все в куче, и разбирает его, чтобы выделить искомую мелочь ? -В какой-то мере удается это сгладить, обьединяя несколько команд в единый скрипт. +В какой-то мере удается это сгладить, объединяя несколько команд в единый скрипт. Боль N3 @@ -100,7 +100,7 @@ zapret может работать в другой таблице и не тро Плюс N5 Пишут, что nftables работают быстрее. Но это не точно и зависит от много чего. -В целом - чем меньше правил, тем выше скорость. Но в nftables правил можно писать меньше, значит скрость тоже может быть выше. +В целом - чем меньше правил, тем выше скорость. Но в nftables правил можно писать меньше, значит скорость тоже может быть выше. У разработчиков есть идея перевести backend nftables на BPF, а это наверняка будет существенно быстрее. diff --git a/docs/quick_start.md b/docs/quick_start.md index e19e3587..98f9bae1 100644 --- a/docs/quick_start.md +++ b/docs/quick_start.md @@ -193,9 +193,9 @@ > профилях автоматически отражаются во всех остальных. > > Если стратегии отличаются по версии ip протокола, и вы не можете их - > обьединить, фильтр пишется так: + > объединить, фильтр пишется так: > ```sh - > "--filter-l3=ipv4 --filter-udp=443 lпараметры для quic ipv4' --new + > "--filter-l3=ipv4 --filter-udp=443 'параметры для quic ipv4' --new > --filter-l3=ipv4 --filter-tcp=80 'параметры для http ipv4' --new > --filter-l3=ipv4 --filter-tcp=443 'параметры для https ipv4' --new > --filter-l3=ipv6 --filter-udp=443 'параметры для quic ipv6' --new diff --git a/docs/quick_start_windows.md b/docs/quick_start_windows.md index 1b7f8a47..93b77c3d 100644 --- a/docs/quick_start_windows.md +++ b/docs/quick_start_windows.md @@ -117,7 +117,7 @@ > Если кратко по мультистратегии, то обычно параметры конструируются так : > ``` > --filter-udp=443 'параметры для quic' --new - > --filter-tcp=80,443 'обьединенные параметры для http и https' + > --filter-tcp=80,443 'объединенные параметры для http и https' > ``` > > Или так : @@ -127,7 +127,7 @@ > --filter-tcp=443 'параметры для https' > ``` > - > Если стратегии отличаются по версии ip протокола, и вы не можете их обьединить, фильтр пишется так : + > Если стратегии отличаются по версии ip протокола, и вы не можете их объединить, фильтр пишется так : > ``` > --filter-l3=ipv4 --filter-udp=443 "параметры для quic ipv4" --new > --filter-l3=ipv4 --filter-tcp=80 'параметры для http ipv4' --new @@ -199,7 +199,7 @@ когда ничего лучше нет. Хорошая стратегия может сильно ломать из-за плохо подобранных ограничителей для фейков - ttl, fooling. > [!CAUTION] -> Это минимальная инструкция, чтобы соориентироваться с чего начать. Однако, это - не панацея. +> Это минимальная инструкция, чтобы сориентироваться с чего начать. Однако, это - не панацея. > В некоторых случаях вы не обойдетесь без знаний и основного "талмуда". Подробности и полное техническое описание расписаны в [readme.md](./readme.md) diff --git a/docs/readme.md b/docs/readme.md index 932c4939..3661fc8a 100644 --- a/docs/readme.md +++ b/docs/readme.md @@ -153,7 +153,7 @@ DPI. Все больше становится внереестровых бло * Если блокировка осуществляется по IP. * Если соединение проходит через фильтр, способный реконструировать TCP соединение, и который следует всем стандартам. Например, нас заворачивают на squid. Соединение идет через полноценный стек tcpip операционной системы. - Проект нацелен на обман DPI, который всилу ограниченности ресурсов и большого трафика вынужден интерпретировать его лишь ограниченно. + Проект нацелен на обман DPI, который в силу ограниченности ресурсов и большого трафика вынужден интерпретировать его лишь ограниченно. Обмануть полноценный стек ОС и полноценные серверные приложения не получится. ## nfqws @@ -176,7 +176,7 @@ dvtws, собираемый из тех же исходников (см. [док --bind-fix4 ; пытаться решить проблему неверного выбора исходящего интерфейса для сгенерированных ipv4 пакетов --bind-fix6 ; пытаться решить проблему неверного выбора исходящего интерфейса для сгенерированных ipv6 пакетов --ctrack-timeouts=S:E:F[:U] ; таймауты внутреннего conntrack в состояниях SYN, ESTABLISHED, FIN, таймаут udp. по умолчанию 60:300:60:60 ---ctrack-disable=[0|1] ; 1 или остутствие аргумента отключает conntrack +--ctrack-disable=[0|1] ; 1 или отсутствие аргумента отключает conntrack --ipcache-lifetime= ; время жизни записей кэша IP в секундах. 0 - без ограничений. --ipcache-hostname=[0|1] ; 1 или отсутствие аргумента включают кэширование имен хостов для применения в стратегиях нулевой фазы --wsize=[:] ; менять tcp window size на указанный размер в SYN,ACK. если не задан scale_factor, то он не меняется (устарело !) diff --git a/docs/redsocks.txt b/docs/redsocks.txt index 48bfaff3..3bc4692a 100644 --- a/docs/redsocks.txt +++ b/docs/redsocks.txt @@ -1,6 +1,6 @@ Данный мануал пишется не как копипастная инструкция, а как помощь уже соображающему. Если вы не знаете основ сетей, linux, openwrt, а пытаетесь что-то скопипастить отсюда без малейшего -понимания смысла, то маловероятно, что у вас что-то заработает. Не тратье свое время напрасно. +понимания смысла, то маловероятно, что у вас что-то заработает. Не тратьте свое время напрасно. Цель - донести принципы как это настраивается вообще, а не указать какую буковку где вписать. @@ -147,7 +147,7 @@ nfset является частью таблицы nftable и принадлеж Чтобы использовать эти nfset-ы в своих правилах, необходимо синхронизироваться с их созданием и вносить свои цепочки в nftable "zapret". Для этого существуют хуки - скрипты, вызываемые из zapret на определенных стадиях инициализации фаервола. -Раскоментируейте в /opt/zapret/config строчку +Раскомментируйте в /opt/zapret/config строчку INIT_FW_POST_UP_HOOK="/etc/firewall.zapret.hook.post_up" Создайте файл /etc/firewall.zapret.hook.post_up и присвойте ему chmod 755. diff --git a/docs/windows.md b/docs/windows.md index 486aded4..8e65b6dc 100644 --- a/docs/windows.md +++ b/docs/windows.md @@ -97,7 +97,7 @@ autottl и autohostlist. При включении autohostlist так же пе Фильтрация windivert производится в ядре. Это несравнимо легче по ресурсам, чем перенаправлять пакеты в пространство user mode, чтобы winws принимал решение. Поэтому пользуйтесь по максимуму возможностями windivert. Например, если вам нужно дурить wireguard на все порты, вам придется перенаправить все порты на winws. Или же написать windivert фильтр, который отсечет wireguard по содержимому пакета. -Разница в нагрузке на процессор колоссальна. В первом случае - до 100% одного ядра cpu в зависимости от обьема исходящего udp трафика (привет, торрент и uTP), во втором - близко к 0. +Разница в нагрузке на процессор колоссальна. В первом случае - до 100% одного ядра cpu в зависимости от объема исходящего udp трафика (привет, торрент и uTP), во втором - близко к 0. Кроме нагрузки на процессор еще можете порезать себе скорость, тк одно ядро не будет справляться с обработкой вашего гигабитного интернета. А на старых ноутах еще и получите самолетный вой системы охлаждения, приводящий к ее износу. Можно запускать несколько процессов **winws** с разными стратегиями. Однако, не следует делать пересекающиеся фильтры. @@ -120,14 +120,14 @@ winws включается. Это нужно, чтобы можно было п NLM абстрагирует типы сетевых адаптеров. Он работает как с wifi, так и с ethernet и любыми другими. Поэтому это более универсальный метод, чем **SSID** фильтр. Однако, есть и неприятная сторона. В windows 7 вы легко могли ткнуть на иконку сети и выбрать тип : private или public. -Там же вы могли посмотреть список сетей и обьединить их. Чтобы, допустим, вы могли подключаться по кабелю и wifi +Там же вы могли посмотреть список сетей и объединить их. Чтобы, допустим, вы могли подключаться по кабелю и wifi к одному роутеру, и система эти подключения воспринимала как одну сеть. В следующих версиях windows они эти возможности сильно порезали. Похоже нет встроенных средств полноценно управлять network locations в win10/11. Кое-что есть в **powershell**. Можно поковыряться напрямую в реестре здесь : `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList` Нужно менять ProfileGUID в `Signatures\Unmanaged`. Имена можно поменять в Profiles. -Есть кое-какие сторонние утилиты. Кое-что находится, позволяющее посмотреть и удалить network profiles, но не обьединить. +Есть кое-какие сторонние утилиты. Кое-что находится, позволяющее посмотреть и удалить network profiles, но не объединить. Факт, что в ms они это сильно испортили. Движок network list все тот же, и он способен на все то, что было в win7. Можно не бороться с этой проблемой, а просто указывать через запятую те названия сетей или GUIDы, которые выбрала система. Или если у вас только wifi, то использовать `--ssid-filter`. Там хотя бы есть гарантия, что **SSID** соответствуют реальности, @@ -137,7 +137,7 @@ network locations в win10/11. Кое-что есть в **powershell**. Для русского языка это 866. Пути с пробелами нужно брать в кавычки. При использовании опции @ кодировка в файле должна быть **UTF-8** без **BOM mark**. -Существует неочевидный момент, каcаемый запуска **winws** из cygwin shell\`а. Если в директории, где находится winws, находится +Существует неочевидный момент, касаемый запуска **winws** из cygwin shell\`а. Если в директории, где находится winws, находится копия `cygwin1.dll`, **winws** не запустится. Если нужен запуск под cygwin, то следует удалить или переместить `cygwin1.dll` из `binaries/windows-x86_64`. Это нужно для работы blockcheck. Из cygwin шелла можно посылать winws сигналы через `kill` точно так же, как в `*nix`. @@ -165,7 +165,7 @@ network locations в win10/11. Кое-что есть в **powershell**. Требования к подписи драйверов windows изменились в 2021 году. Официальные бесплатные обновления windows 7 закончились в 2020. После этого несколько лет продолжали идти платные обновления по программе **ESU**. -Именно в этих **ESU** обновлениях находится обновление ядра windows 7, позволяющиее загрузить драйвер +Именно в этих **ESU** обновлениях находится обновление ядра windows 7, позволяющее загрузить драйвер _windivert 2.2.2-A_, который идет в поставке zapret. Поэтому варианты следующие : diff --git a/docs/wireguard_iproute_openwrt.txt b/docs/wireguard_iproute_openwrt.txt index f9d610a5..ce90a3b8 100644 --- a/docs/wireguard_iproute_openwrt.txt +++ b/docs/wireguard_iproute_openwrt.txt @@ -104,11 +104,11 @@ Endpoint должен быть прописан хотя бы на одном п менять ip и быть за nat. Endpoint пира настраивается динамически после успешной фазы проверки ключа. -Включаем маршрутизцию : +Включаем маршрутизацию : # echo net.ipv4.ip_forward = 1 >>/etc/sysctl.conf # sysctl -p -Интерфейс конфигурится стандартно для дебианоподобных систем : +Интерфейс конфигурируется стандартно для дебианоподобных систем : --/etc/network/interfaces.d/wgvps------------- auto wgvps @@ -203,7 +203,7 @@ config rule Что тут было сделано : *) Настроен интерфейс wireguard. Указан собственный приватный ключ. -*) Настроен пир-партнер с указанием его публичнго ключа и endpoint (ip:port нашего сервера) +*) Настроен пир-партнер с указанием его публичного ключа и endpoint (ip:port нашего сервера) такая настройка заставит периодически долбиться на сервер по указанному ip route_allowed_ip '0' запрещает автоматическое создание маршрута allowed_ips '0.0.0.0/0' разрешает пакеты с любым адресом источника. @@ -275,7 +275,7 @@ for ext_iface in $wan_iface; do ipt OUTPUT -t mangle -o $DEVICE -m set --match-set ipban dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800 done -network_get_device DEVICE lan +network_get_device DEVICE lan ipt PREROUTING -t mangle -i $DEVICE -p tcp --dport 443 -m set --match-set zapret dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800 ipt PREROUTING -t mangle -i $DEVICE -m set --match-set ipban dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800 ------------------------------------------------ @@ -429,8 +429,8 @@ for ext_iface in $wan_iface; do ipt OUTPUT -t mangle -o $DEVICE -m set --match-set ipban dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800 ipt OUTPUT -t mangle -o $DEVICE -j MARK --set-mark 0x1000/0x1000 done - -network_get_device DEVICE lan + +network_get_device DEVICE lan ipt PREROUTING -t mangle -i $DEVICE -p tcp --dport 443 -m set --match-set zapret dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800 ipt PREROUTING -t mangle -i $DEVICE -m set --match-set ipban dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800 From 16ac0587a4c7d823be4d947d2bbebdbf445d770c Mon Sep 17 00:00:00 2001 From: bol-van Date: Thu, 8 Jan 2026 18:06:33 +0300 Subject: [PATCH 02/10] tpws: memleak fix --- tpws/pools.c | 7 ++----- 1 file changed, 2 insertions(+), 5 deletions(-) diff --git a/tpws/pools.c b/tpws/pools.c index 80063ebe..63ccaf0f 100644 --- a/tpws/pools.c +++ b/tpws/pools.c @@ -98,6 +98,7 @@ hostfail_pool *HostFailPoolFind(hostfail_pool *p,const char *s) } void HostFailPoolDel(hostfail_pool **p, hostfail_pool *elem) { + free(elem->str); HASH_DEL(*p, elem); free(elem); } @@ -108,11 +109,7 @@ void HostFailPoolPurge(hostfail_pool **pp) HASH_ITER(hh, *pp, elem, tmp) { if (now >= elem->expire) - { - free(elem->str); - HASH_DEL(*pp, elem); - free(elem); - } + HostFailPoolDel(pp, elem); } } static time_t host_fail_purge_prev=0; From 91c747b4e17734c014c5d43539035572c5d7f56c Mon Sep 17 00:00:00 2001 From: bol-van Date: Fri, 9 Jan 2026 11:43:17 +0300 Subject: [PATCH 03/10] mdig: --eagain, --eagain-delay --- docs/changes.txt | 5 +++++ mdig/mdig.c | 50 +++++++++++++++++++++++++++++++++++++++--------- 2 files changed, 46 insertions(+), 9 deletions(-) diff --git a/docs/changes.txt b/docs/changes.txt index 26ef4d94..ba7515f4 100644 --- a/docs/changes.txt +++ b/docs/changes.txt @@ -586,3 +586,8 @@ nfqws: backport from nfqws2 nl80211 ssid discovery fix for newer kernels ipset: remove zapret-info based scripts because it's gone blockcheck: fix tpws test regression + +73.7 + +nfqws,tpws: memleak fix +mdig: --eagain, --eagain-delay diff --git a/mdig/mdig.c b/mdig/mdig.c index 847f2831..d5f327a2 100644 --- a/mdig/mdig.c +++ b/mdig/mdig.c @@ -30,7 +30,8 @@ #endif #include -#define RESOLVER_EAGAIN_ATTEMPTS 2 +#define RESOLVER_EAGAIN_ATTEMPTS 10 +#define RESOLVER_EAGAIN_DELAY 500 static void trimstr(char *s) { @@ -97,7 +98,7 @@ static struct { char verbose; char family; - int threads; + int threads, eagain, eagain_delay; time_t start_time; pthread_mutex_t flock; pthread_mutex_t slock; // stats lock @@ -193,11 +194,12 @@ static void *t_resolver(void *arg) int i, r; char dom[256]; bool is_ok; - struct addrinfo hints; - struct addrinfo *result; + struct addrinfo hints, *result; + struct timespec ts_eagain = { .tv_sec = glob.eagain_delay/1000, .tv_nsec=glob.eagain_delay%1000*1000000 }; VLOG("started"); + memset(&hints, 0, sizeof(struct addrinfo)); hints.ai_family = (glob.family == FAMILY4) ? AF_INET : (glob.family == FAMILY6) ? AF_INET6 : AF_UNSPEC; hints.ai_socktype = SOCK_DGRAM; @@ -244,12 +246,16 @@ static void *t_resolver(void *arg) else if (dom_valid(dom)) { VLOG("resolving %s", dom); - for (i = 0; i < RESOLVER_EAGAIN_ATTEMPTS; i++) + for (i = 0; i < glob.eagain; i++) { if ((r = getaddrinfo(dom, NULL, &hints, &result))) { VLOG("failed to resolve %s : result %d (%s)", dom, r, eai_str(r)); - if (r == EAI_AGAIN) continue; // temporary failure. should retry + if (r == EAI_AGAIN) + { + nanosleep(&ts_eagain, NULL); + continue; // temporary failure. should retry + } } else { @@ -447,14 +453,18 @@ int dns_parse_query() static void exithelp(void) { printf( - " --threads=\n" " --family=<4|6|46>\t\t; ipv4, ipv6, ipv4+ipv6\n" + " --threads=\n" + " --eagain=\t; how many times to retry if EAGAIN received. default %u\n" + " --eagain-delay=\t\t; time in msec to wait between EAGAIN attempts. default %u\n" " --verbose\t\t\t; print query progress to stderr\n" " --stats=N\t\t\t; print resolve stats to stderr every N domains\n" " --log-resolved=\t\t; log successfully resolved domains to a file\n" " --log-failed=\t\t; log failed domains to a file\n" " --dns-make-query=\t; output to stdout binary blob with DNS query. use --family to specify ip version.\n" - " --dns-parse-query\t\t; read from stdin binary DNS answer blob and parse it to ipv4/ipv6 addresses\n" + " --dns-parse-query\t\t; read from stdin binary DNS answer blob and parse it to ipv4/ipv6 addresses\n", + RESOLVER_EAGAIN_ATTEMPTS, + RESOLVER_EAGAIN_DELAY ); exit(1); } @@ -469,6 +479,8 @@ static void exithelp(void) enum opt_indices { IDX_HELP, + IDX_EAGAIN, + IDX_EAGAIN_DELAY, IDX_THREADS, IDX_FAMILY, IDX_VERBOSE, @@ -483,6 +495,8 @@ enum opt_indices { static const struct option long_options[] = { [IDX_HELP] = {"help", no_argument, 0, 0}, [IDX_THREADS] = {"threads", required_argument, 0, 0}, + [IDX_EAGAIN] = {"eagain", required_argument, 0, 0}, + [IDX_EAGAIN_DELAY] = {"eagain-delay", required_argument, 0, 0}, [IDX_FAMILY] = {"family", required_argument, 0, 0}, [IDX_VERBOSE] = {"verbose", no_argument, 0, 0}, [IDX_STATS] = {"stats", required_argument, 0, 0}, @@ -503,6 +517,8 @@ int main(int argc, char **argv) *fn1 = *fn2 = *dom = 0; glob.family = FAMILY4; glob.threads = 1; + glob.eagain = RESOLVER_EAGAIN_ATTEMPTS; + glob.eagain_delay = RESOLVER_EAGAIN_DELAY; while ((v = getopt_long_only(argc, argv, "", long_options, &option_index)) != -1) { if (v) exithelp(); @@ -513,13 +529,29 @@ int main(int argc, char **argv) exithelp(); break; case IDX_THREADS: - glob.threads = optarg ? atoi(optarg) : 0; + glob.threads = atoi(optarg); if (glob.threads <= 0 || glob.threads > 100) { fprintf(stderr, "thread number must be within 1..100\n"); return 1; } break; + case IDX_EAGAIN: + glob.eagain = atoi(optarg); + if (glob.eagain <= 0 || glob.eagain > 1000) + { + fprintf(stderr, "eagain must be within 1..1000\n"); + return 1; + } + break; + case IDX_EAGAIN_DELAY: + glob.eagain_delay = atoi(optarg); + if (glob.eagain_delay < 0 || glob.eagain_delay > 100000) + { + fprintf(stderr, "eagain-delay must be within 0..100000\n"); + return 1; + } + break; case IDX_FAMILY: if (!strcmp(optarg, "4")) glob.family = FAMILY4; From 0cdbf089cd3cb975d33fe287a6163ae457d7a5c2 Mon Sep 17 00:00:00 2001 From: bol-van Date: Sat, 10 Jan 2026 18:54:56 +0300 Subject: [PATCH 04/10] AI inspired fixes --- common/installer.sh | 5 ----- common/ipt.sh | 2 +- 2 files changed, 1 insertion(+), 6 deletions(-) diff --git a/common/installer.sh b/common/installer.sh index 68d2eaa4..36aed86e 100644 --- a/common/installer.sh +++ b/common/installer.sh @@ -522,11 +522,6 @@ install_openwrt_firewall() { echo \* installing firewall script $1 - [ -n "MODE" ] || { - echo should specify MODE in $ZAPRET_CONFIG - exitp 7 - } - echo "linking : $FW_SCRIPT_SRC => $OPENWRT_FW_INCLUDE" ln -fs "$FW_SCRIPT_SRC" "$OPENWRT_FW_INCLUDE" diff --git a/common/ipt.sh b/common/ipt.sh index 3e4be7d4..9c0e80b3 100644 --- a/common/ipt.sh +++ b/common/ipt.sh @@ -43,7 +43,7 @@ ipt6_add_del() } ipt6a_add_del() { - on_off_function ipt6 ipt6a_del "$@" + on_off_function ipt6a ipt6_del "$@" } is_ipt_flow_offload_avail() From a775aa7aaa4903a8c0870f9c16918e9d19d83772 Mon Sep 17 00:00:00 2001 From: bol-van Date: Sat, 10 Jan 2026 19:23:42 +0300 Subject: [PATCH 05/10] AI inspired fixes --- nfq/protocol.c | 26 +++++++++----------------- 1 file changed, 9 insertions(+), 17 deletions(-) diff --git a/nfq/protocol.c b/nfq/protocol.c index 7708de27..6137d1a9 100644 --- a/nfq/protocol.c +++ b/nfq/protocol.c @@ -615,24 +615,18 @@ bool IsQUICCryptoHello(const uint8_t *data, size_t len, size_t *hello_offset, si uint8_t QUICDraftVersion(uint32_t version) { /* IETF Draft versions */ - if ((version >> 8) == 0xff0000) { + if ((version >> 8) == 0xff0000) return (uint8_t)version; - } /* Facebook mvfst, based on draft -22. */ - if (version == 0xfaceb001) { + if (version == 0xfaceb001) return 22; - } /* Facebook mvfst, based on draft -27. */ - if (version == 0xfaceb002 || version == 0xfaceb00e) { + if (version == 0xfaceb002 || version == 0xfaceb00e) return 27; - } /* GQUIC Q050, T050 and T051: they are not really based on any drafts, * but we must return a sensible value */ - if (version == 0x51303530 || - version == 0x54303530 || - version == 0x54303531) { + if (version == 0x51303530 || version == 0x54303530 || version == 0x54303531) return 27; - } /* https://tools.ietf.org/html/draft-ietf-quic-transport-32#section-15 "Versions that follow the pattern 0x?a?a?a?a are reserved for use in forcing version negotiation to be exercised" @@ -640,19 +634,17 @@ uint8_t QUICDraftVersion(uint32_t version) used to select a proper salt (which depends on the version itself), but we don't have a real version here! Let's hope that we need to handle only latest drafts... */ - if ((version & 0x0F0F0F0F) == 0x0a0a0a0a) { + if ((version & 0x0F0F0F0F) == 0x0a0a0a0a) return 29; - } /* QUIC (final?) constants for v1 are defined in draft-33, but draft-34 is the final draft version */ - if (version == 0x00000001) { + if (version == 0x00000001) return 34; - } /* QUIC Version 2 */ /* TODO: for the time being use 100 as a number for V2 and let see how v2 drafts evolve */ - if (version == 0x709A50C4) { + if ((version == 0x709A50C4) || (version == 0x6b3343cf)) return 100; - } + return 0; } @@ -662,7 +654,7 @@ static bool is_quic_draft_max(uint32_t draft_version, uint8_t max_version) } static bool is_quic_v2(uint32_t version) { - return version == 0x6b3343cf; + return (version == 0x709A50C4) || (version == 0x6b3343cf); } static bool quic_hkdf_expand_label(const uint8_t *secret, uint8_t secret_len, const char *label, uint8_t *out, size_t out_len) From 2d19ab82d8acfe10afe497ab11d697ae1dd51f96 Mon Sep 17 00:00:00 2001 From: bol-van Date: Mon, 12 Jan 2026 10:46:25 +0300 Subject: [PATCH 06/10] update docs --- docs/readme.md | 6 ++++++ 1 file changed, 6 insertions(+) diff --git a/docs/readme.md b/docs/readme.md index 3661fc8a..ad01423f 100644 --- a/docs/readme.md +++ b/docs/readme.md @@ -4,6 +4,12 @@ zapret является свободным и open source. Всякий, кто понуждает вас скачивать zapret только с его ресурса, требует удалить ссылки, видео, файлы, обосновывая эти требования авторскими правами, сам нарушает [лицензию](./LICENSE.txt). Однако, это не исключает [добровольные пожертвования](#поддержать-разработчика). +# zapret2 + +Эта версия zapret более не развивается и находится в режиме EOL (End-Of-Life). Никаких новых функций больше не будет. Только багфиксы. + +[Актуальная версия - zapret 2](#https://github.com/bol-van/zapret2) + # Multilanguage README [![en](https://img.shields.io/badge/lang-en-red.svg)](./readme.en.md) From a3ba4baa02d1afc0c1c92f92aeaead46220a263c Mon Sep 17 00:00:00 2001 From: bol-van Date: Mon, 12 Jan 2026 10:46:58 +0300 Subject: [PATCH 07/10] update docs --- docs/readme.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/docs/readme.md b/docs/readme.md index ad01423f..272b1ebf 100644 --- a/docs/readme.md +++ b/docs/readme.md @@ -8,7 +8,7 @@ zapret является свободным и open source. Эта версия zapret более не развивается и находится в режиме EOL (End-Of-Life). Никаких новых функций больше не будет. Только багфиксы. -[Актуальная версия - zapret 2](#https://github.com/bol-van/zapret2) +[Актуальная версия - zapret 2](https://github.com/bol-van/zapret2) # Multilanguage README From c8cb9faf27cb984c9f36b87de00458ec1bcf0224 Mon Sep 17 00:00:00 2001 From: bol-van Date: Mon, 12 Jan 2026 16:51:24 +0300 Subject: [PATCH 08/10] AI inspired fix --- nfq/protocol.c | 1 + 1 file changed, 1 insertion(+) diff --git a/nfq/protocol.c b/nfq/protocol.c index 6137d1a9..7b1ab6ee 100644 --- a/nfq/protocol.c +++ b/nfq/protocol.c @@ -803,6 +803,7 @@ bool QUICDecryptInitial(const uint8_t *data, size_t data_len, uint8_t *clean, si if ((pn_offset + tvb_get_size(data[pn_offset])) >= data_len) return false; pn_offset += tvb_get_varint(data + pn_offset, &token_len); pn_offset += token_len; + if (pn_offset >= data_len) return false; if ((pn_offset + tvb_get_size(data[pn_offset])) >= data_len) return false; pn_offset += tvb_get_varint(data + pn_offset, &payload_len); if (payload_len<20 || (pn_offset + payload_len)>data_len) return false; From 75d2f1195d4beb69eaa614afb117a43e82998518 Mon Sep 17 00:00:00 2001 From: bol-van Date: Mon, 12 Jan 2026 20:37:37 +0300 Subject: [PATCH 09/10] AI inspired fixes --- common/dialog.sh | 5 ++--- common/installer.sh | 2 +- install_easy.sh | 2 +- 3 files changed, 4 insertions(+), 5 deletions(-) diff --git a/common/dialog.sh b/common/dialog.sh index 0cb3890c..44f78c41 100644 --- a/common/dialog.sh +++ b/common/dialog.sh @@ -37,8 +37,7 @@ ask_list() local M_DEFAULT eval M_DEFAULT="\$$1" local M_ALL=$M_DEFAULT - local M="" - local m + local M="" m [ -n "$3" ] && { find_str_in_list "$M_DEFAULT" "$2" || M_DEFAULT="$3" ;} @@ -54,5 +53,5 @@ ask_list() echo selected : $M eval $1="\"$M\"" - [ "$M" != "$M_OLD" ] + [ "$M" != "$M_DEFAULT" ] } diff --git a/common/installer.sh b/common/installer.sh index 36aed86e..453a70ad 100644 --- a/common/installer.sh +++ b/common/installer.sh @@ -256,7 +256,7 @@ check_system() get_free_space_mb() { - df -m $PWD | awk '/[0-9]%/{print $(NF-2)}' + df -m "$1" | awk '/[0-9]%/{print $(NF-2)}' } get_ram_kb() { diff --git a/install_easy.sh b/install_easy.sh index 216cce0c..f35e977a 100755 --- a/install_easy.sh +++ b/install_easy.sh @@ -323,7 +323,7 @@ ask_config_tmpdir() echo /tmp in openwrt is tmpfs. on low RAM systems there may be not enough RAM to store downloaded files echo default tmpfs has size of 50% RAM echo "RAM : $(get_ram_mb) Mb" - echo "DISK : $(get_free_space_mb) Mb" + echo "DISK : $(get_free_space_mb "$EXEDIR/tmp") Mb" echo select temp file location [ -z "$TMPDIR" ] && TMPDIR=/tmp ask_list TMPDIR "/tmp $EXEDIR/tmp" && { From 76764ad6b0ee7d3991c97e7b8c24d53189d25c28 Mon Sep 17 00:00:00 2001 From: bol-van Date: Tue, 13 Jan 2026 17:58:41 +0300 Subject: [PATCH 10/10] nfqws: fix breaking tcp if ts fooling is enabled but no timestamps present --- docs/changes.txt | 4 ++++ nfq/darkmagic.c | 2 +- 2 files changed, 5 insertions(+), 1 deletion(-) diff --git a/docs/changes.txt b/docs/changes.txt index ba7515f4..a12d0650 100644 --- a/docs/changes.txt +++ b/docs/changes.txt @@ -591,3 +591,7 @@ blockcheck: fix tpws test regression nfqws,tpws: memleak fix mdig: --eagain, --eagain-delay + +73.8 + +nfqws: fix breaking tcp if ts fooling is enabled but no timestamps present diff --git a/nfq/darkmagic.c b/nfq/darkmagic.c index b45b3233..1acded44 100644 --- a/nfq/darkmagic.c +++ b/nfq/darkmagic.c @@ -192,7 +192,7 @@ static uint16_t tcpopt_len(bool sack, bool mss, uint32_t fooling, const uint32_t if (sack) t+=2; if (mss) t+=4; if (fooling & FOOL_MD5SIG) t+=18; - if ((fooling & FOOL_TS) || timestamps) t+=10; + if (timestamps) t+=10; if (scale_factor!=SCALE_NONE) t+=3; return (t+3)&~3; }