remove upstart support. add hostlist support to init scripts

6 years ago · 84228dd6ef
5 changed files with 81 additions and 163 deletions
--- a/init.d/debian7/zapret
+++ b/init.d/debian7/zapret
@ -18,6 +18,9 @@ ISP=mns
 #ISP=tiera
 #ISP=athome

+# Its possible not to use ipset. Use hostlist with tpws instead.
+#ISP=hostlist
+
 # If ISP is unlisted then uncomment "custom"
 # Find out what works for your ISP and modify "# PLACEHOLDER" parts of this script
 #ISP=custom
@ -26,21 +29,31 @@ ISP=mns
 SLAVE_ETH=eth0


-IPSET_CR=/opt/zapret/ipset/create_ipset.sh
+ZAPRET_BASE=/opt/zapret
+
+IPSET_CR=$ZAPRET_BASE/ipset/create_ipset.sh
 NAME=zapret
 DESC=anti-zapret

 QNUM=200
 TPPORT=1188
 ROUTE_TABLE_NUM=100
-NFQWS=/opt/zapret/nfq/nfqws
-TPWS=/opt/zapret/tpws/tpws
+NFQWS=$ZAPRET_BASE/nfq/nfqws
+TPWS=$ZAPRET_BASE/tpws/tpws
 TPWS_USER=tpws
+TPWS_HOSTLIST=$ZAPRET_BASE/ipset/zapret-hosts.txt

 PIDFILE=/var/run/$NAME.pid

 set -e

+
+prepare_tpws()
+{
+	adduser --disabled-login --no-create-home --system --quiet $TPWS_USER
+	sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1
+}
+
 case "$1" in
  start)
 	echo "Creating ipset"
@ -48,6 +61,15 @@ case "$1" in

 	echo "Adding iptables rule"
 	case "${ISP}" in
+	    hostlist)
+		prepare_tpws
+		iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null ||
+		 iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -j DNAT --to 127.0.0.1:$TPPORT
+		iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null ||
+		 iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -j DNAT --to 127.0.0.1:$TPPORT
+		DAEMON=$TPWS
+		DAEMON_OPTS="--port=$TPPORT --hostlist=$TPWS_HOSTLIST --hostcase --split-http-req=method --user=$TPWS_USER --bind-addr=127.0.0.1"
+		;;
 	    mns)
 		iptables -t raw -C PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass 2>/dev/null ||
 		 iptables -t raw -I PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass
@ -67,8 +89,7 @@ case "$1" in
 		DAEMON_OPTS="--qnum=$QNUM --hostspell=HOST"
 		;;
 	    domru)
-		adduser --disabled-login --no-create-home --system --quiet $TPWS_USER
-		sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1
+		prepare_tpws
 		iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null ||
 		 iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
 		iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null ||
@ -82,8 +103,7 @@ case "$1" in
 		DAEMON_OPTS="--port=$TPPORT --hostcase --split-http-req=host --user=$TPWS_USER --bind-addr=127.0.0.1"
 		;;
 	    tiera)
-		adduser --disabled-login --no-create-home --system --quiet $TPWS_USER
-		sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1
+		prepare_tpws
 		iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null ||
 		 iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
 		iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null ||
@ -92,8 +112,7 @@ case "$1" in
 		DAEMON_OPTS="--port=$TPPORT --split-http-req=host --user=$TPWS_USER --bind-addr=127.0.0.1"
 		;;
 	    athome)
-		adduser --disabled-login --no-create-home --system --quiet $TPWS_USER
-		sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1
+		prepare_tpws
 		iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null ||
 		 iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
 		iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null ||
@ -122,6 +141,11 @@ case "$1" in
 	echo "Deleting iptables rule"

 	case "${ISP}" in
+	    hostlist)
+		iptables -t nat -D PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -j DNAT --to 127.0.0.1:$TPPORT
+		iptables -t nat -D OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -j DNAT --to 127.0.0.1:$TPPORT
+		DAEMON=$TPWS
+		;;
 	    mns|rt)
 		iptables -t raw -D PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass
 		DAEMON=$NFQWS
--- a/init.d/openwrt/firewall.user.hostlist
+++ b/init.d/openwrt/firewall.user.hostlist
@ -0,0 +1,20 @@
+TPPORT=1188
+TPWS_USER=daemon
+
+. /lib/functions/network.sh
+
+network_find_wan wan_iface
+
+for ext_iface in $wan_iface; do
+    network_get_device DEVICE $ext_iface
+    # DNAT for local traffic
+
+    iptables -t nat -C OUTPUT -p tcp --dport 80 -o $DEVICE -m owner ! --uid-owner $TPWS_USER -j DNAT --to 127.0.0.1:$TPPORT ||
+     iptables -t nat -I OUTPUT -p tcp --dport 80 -o $DEVICE -m owner ! --uid-owner $TPWS_USER -j DNAT --to 127.0.0.1:$TPPORT
+
+done
+
+network_get_device DEVICE lan
+sysctl -w net.ipv4.conf.$DEVICE.route_localnet=1
+iptables -t nat -C prerouting_lan_rule -p tcp --dport 80 -j DNAT --to 127.0.0.1:$TPPORT ||
+ iptables -t nat -I prerouting_lan_rule -p tcp --dport 80 -j DNAT --to 127.0.0.1:$TPPORT
--- a/init.d/openwrt/zapret
+++ b/init.d/openwrt/zapret
@ -9,6 +9,9 @@ ISP=mns
 #ISP=tiera
 #ISP=athome

+# Its possible not to use ipset. Use hostlist with tpws instead.
+#ISP=hostlist
+
 # If ISP is unlisted then uncomment "custom"
 # Find out what works for your ISP and modify "# PLACEHOLDER" parts of this script
 #ISP=custom
@ -19,13 +22,17 @@ START=18

 # !!!!! in openwrt you need to add firewall rules manually to /etc/firewall.user

+
+ZAPRET_BASE=/opt/zapret
+
 QNUM=200
 TPPORT=1188
 ROUTE_TABLE_NUM=100
-NFQWS=/opt/zapret/nfq/nfqws
-TPWS=/opt/zapret/tpws/tpws
-IPSET_CR=/opt/zapret/ipset/create_ipset.sh
+NFQWS=$ZAPRET_BASE/nfq/nfqws
+TPWS=$ZAPRET_BASE/tpws/tpws
+IPSET_CR=$ZAPRET_BASE/ipset/create_ipset.sh
 TPWS_USER=daemon
+TPWS_HOSTLIST=$ZAPRET_BASE/ipset/zapret-hosts.txt


 # must execute /etc/firewall.user on every firewall reload
@ -49,6 +56,10 @@ set_firewall_user_reload() {

 get_daemon() {
 	case "${ISP}" in
+	    hostlist)
+		DAEMON_OPTS="--port=$TPPORT --hostcase --split-http-req=method --hostlist=$TPWS_HOSTLIST --bind-addr=127.0.0.1 --user=$TPWS_USER"
+		DAEMON=$TPWS
+		;;
 	    mns)
 		DAEMON_OPTS="--qnum=$QNUM --wsize=3"
 		DAEMON=$NFQWS
--- a/init.d/ubuntu12/zapret.conf
+++ b/init.d/ubuntu12/zapret.conf
@ -1,138 +0,0 @@
-description	"zapret"
-
-start on runlevel [2345]
-stop on runlevel [!2345]
-
-# CHOOSE ISP HERE. UNCOMMENT ONLY ONE LINE.
-env ISP=mns
-#env ISP=rt
-#env ISP=beeline
-#env ISP=domru
-#env ISP=tiera
-#env ISP=athome
-
-# If ISP is unlisted then uncomment "custom"
-# Find out what works for your ISP and modify "# PLACEHOLDER" parts of this script
-#env ISP=custom
-
-# CHOSE NETWORK INTERFACE BEHIND NAT
-env SLAVE_ETH=eth1
-
-
-env QNUM=200
-env TPPORT=1188
-env ROUTE_TABLE_NUM=100
-env NFQWS=/opt/zapret/nfq/nfqws
-env TPWS=/opt/zapret/tpws/tpws
-env TPWS_USER=tpws
-
-pre-start script
-	/opt/zapret/ipset/create_ipset.sh
-
-	case "${ISP}" in
-	    mns|rt)
-		iptables -t raw -C PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass ||
-		 iptables -t raw -I PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass
-		;;
-	    beeline)
-		iptables -t mangle -C POSTROUTING -p tcp --dport 80 -m set --match-set zapret dst -j NFQUEUE --queue-num $QNUM --queue-bypass ||
-		 iptables -t mangle -I POSTROUTING -p tcp --dport 80 -m set --match-set zapret dst -j NFQUEUE --queue-num $QNUM --queue-bypass
-		;;
-	    domru)
-		adduser --disabled-login --no-create-home --system --quiet $TPWS_USER
-		sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1
-		iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT ||
-		 iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
-		iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT ||
-		 iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
-		# BLOCK SPOOFED DNS FROM DOMRU
-		iptables -t raw -C PREROUTING -p udp --sport 53 -m string --hex-string "|05030311|" --algo bm -j DROP --from 40 --to 300 ||
-		 iptables -t raw -I PREROUTING -p udp --sport 53 -m string --hex-string "|05030311|" --algo bm -j DROP --from 40 --to 300
-		iptables -t raw -C PREROUTING -p udp --sport 53 -m string --hex-string "|2a022698a00200010000000000030017|" --algo bm -j DROP --from 40 --to 300 ||
-		 iptables -t raw -I PREROUTING -p udp --sport 53 -m string --hex-string "|2a022698a00200010000000000030017|" --algo bm -j DROP --from 40 --to 300
- 		;;
-	    tiera|athome)
-		adduser --disabled-login --no-create-home --system --quiet $TPWS_USER
-		sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1
-		iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT ||
-		 iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
-		iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT ||
-		 iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
-		;;
-	    custom)
-		# PLACEHOLDER
-		echo !!! NEED ATTENTION !!!
-		echo \(optional\) Prepare environment for running daemon
-		echo Configure iptables for required actions
-		echo Study how other sections work
-		;;
-	esac
-end script
-
-script
-	case "${ISP}" in
-	    mns)
-		NFEXE=$NFQWS
-		NFARG="--qnum $QNUM --wsize=3"
-		;;
-	    rt)
-		NFEXE=$NFQWS
-		NFARG="--qnum $QNUM --wsize=20"
-		;;
-	    beeline)
-		NFEXE=$NFQWS
-		NFARG="--qnum $QNUM --hostspell=HOST"
-		;;
-	    domru)
-		NFEXE=$TPWS
-		NFARG="--port=$TPPORT --hostcase --split-http-req=host --user=$TPWS_USER --bind-addr=127.0.0.1"
-		;;
-	    tiera)
-		NFEXE=$TPWS
-		NFARG="--port=$TPPORT --split-http-req=host --user=$TPWS_USER --bind-addr=127.0.0.1"
-		;;
-	    athome)
-		NFEXE=$TPWS
-		NFARG="--port=$TPPORT --split-http-req=method --user=$TPWS_USER --bind-addr=127.0.0.1"
-		;;
-	    custom)
-		# PLACEHOLDER
-		echo !!! NEED ATTENTION !!!
-		echo Select which daemon and what options work for you
-		echo Study how other sections work
-		NFEXE=/bin/sleep
-		NFARG=20
-		;;
-	esac
-	$NFEXE $NFARG
-	[ -n "$NFEXE" ] && $NFEXE $NFARG
-end script
-
-pre-stop script
-	case "${ISP}" in
-	    mns|rt)
-		iptables -t raw -D PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass
-		;;
-	    beeline)
-		iptables -t mangle -D POSTROUTING -p tcp --dport 80 -m set --match-set zapret dst -j NFQUEUE --queue-num $QNUM --queue-bypass
-		;;
-	    domru)
-		sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=0
-		iptables -t nat -D PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
-		iptables -t nat -D OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
-		iptables -t raw -D PREROUTING -p udp --sport 53 -m string --hex-string "|05030311|" --algo bm -j DROP --from 40 --to 300
-		iptables -t raw -D PREROUTING -p udp --sport 53 -m string --hex-string "|2a022698a00200010000000000030017|" --algo bm -j DROP --from 40 --to 300
-		;;
-	    tiera|athome)
-		sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=0
-		iptables -t nat -D PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
-		iptables -t nat -D OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
-		;;
-	    custom)
-		# PLACEHOLDER
-		echo !!! NEED ATTENTION !!!
-		echo Clear firewall rules here. Remove iptables changes made previously.
-		echo Study how other sections work
-		;;
-	esac
-end script
--- a/readme.txt
+++ b/readme.txt
@ -255,9 +255,13 @@ Debian 7 изначально содержит ядро 3.2. Оно не уме
 Там же выбрать параметр SLAVE_ETH, соответствующий названию внутреннего сетевого интерфейса.
 Включить автостарт : chkconfig zapret on
 (опционально) Вручную первый раз получить новый список ip адресов : /opt/zapret/ipset/get_antizapret.sh
-Зашедулить задание обновления листа :
+Зашедулить задание обновления листа (кроме hostlist) :
 crontab -e
- Создать строчку  "0 12 * * */2 /opt/zapret/ipset/get_antizapret.sh". Это значит в 12:00 каждые 2 дня обновлять список.
+ Создать строчку  "0 12 * * */2 /opt/zapret/ipset/get_antizapret.sh"
+Зашедулить задание обновления листа (только для hostlist):
+ crontab -e
+ Создать строчку  "0 12 * * */2 /opt/zapret/ipset/get_hostlist.sh"
+Это значит в 12:00 каждые 2 дня обновлять список.
 Запустить службу : service zapret start
 Попробовать зайти куда-нибудь : http://ej.ru, http://kinozal.tv, http://grani.ru.
 Если не работает, то остановить службу zapret, добавить правило в iptables вручную,
@ -270,15 +274,6 @@ Debian 7 изначально содержит ядро 3.2. Оно не уме
 Попробуйте снять дамп в wireshark или "tcpdump -vvv -X host <ip>", посмотрите действительно ли первый
 сегмент TCP уходит коротким и меняется ли регистр "Host:".

-ubuntu 12,14
------------
-
-Имеется готовый конфиг для upstart : zapret.conf. Его нужно скопировать в /etc/init и настроить по аналогии с debian.
-Запуск службы : "start zapret"
-Останов службы : "stop zapret"
-Просмотр сообщений : cat /var/log/upstart/zapret.log
-Ubuntu 12 так же, как и debian 7, оснащено ядром 3.2. См замечание в разделе "debian 7".
-
 ubuntu 16,debian 8
 ------------------

@ -293,6 +288,8 @@ start : sytemctl start zapret
 stop : systemctl stop zapret
 status, output messages : systemctl status zapret

+После изменения /etc/init.d/zapret : systemctl daemon-reload
+
 Другие linux системы
 --------------------

@ -347,9 +344,13 @@ ipset можно выкинуть, если не будем пользовать
 В зависимости от вашего провайдера внести нужные записи в /etc/firewall.user.
 /etc/init.d/firewall restart
 Посмотреть через iptables -L или через luci вкладку "firewall" появились ли нужные правила.
-Зашедулить задание обновления листа :
+Зашедулить задание обновления листа (кроме hostlist):
+ crontab -e
+ Создать строчку  "0 12 * * */2 /opt/zapret/ipset/get_antizapret.sh"
+Зашедулить задание обновления листа (только для hostlist):
 crontab -e
- Создать строчку  "0 12 * * */2 /opt/zapret/ipset/get_antizapret.sh". Это значит в 12:00 каждые 2 дня обновлять список.
+ Создать строчку  "0 12 * * */2 /opt/zapret/ipset/get_hostlist.sh"
+Это значит в 12:00 каждые 2 дня обновлять список.

 ЭКОНОМИЯ МЕСТА : если его мало, то можно оставить в директории zapret лишь подкаталог ipset.
 Далее нужно создать подкаталоги с реально используемыми бинариками (ip2net, mdig, tpws, nfq)