remove upstart support. add hostlist support to init scripts

6 years ago · 84228dd6ef
5 changed files with 81 additions and 163 deletions
--- a/init.d/debian7/zapret
+++ b/init.d/debian7/zapret
@ -18,6 +18,9 @@ ISP=mns
 #ISP=tiera
 #ISP=athome
 # Its possible not to use ipset. Use hostlist with tpws instead.
 #ISP=hostlist
 # If ISP is unlisted then uncomment "custom"
 # Find out what works for your ISP and modify "# PLACEHOLDER" parts of this script
 #ISP=custom
@ -26,21 +29,31 @@ ISP=mns
 SLAVE_ETH=eth0
-IPSET_CR=/opt/zapret/ipset/create_ipset.sh
+ZAPRET_BASE=/opt/zapret
 IPSET_CR=$ZAPRET_BASE/ipset/create_ipset.sh
 NAME=zapret
 DESC=anti-zapret
 QNUM=200
 TPPORT=1188
 ROUTE_TABLE_NUM=100
-NFQWS=/opt/zapret/nfq/nfqws
+NFQWS=$ZAPRET_BASE/nfq/nfqws
-TPWS=/opt/zapret/tpws/tpws
+TPWS=$ZAPRET_BASE/tpws/tpws
 TPWS_USER=tpws
 TPWS_HOSTLIST=$ZAPRET_BASE/ipset/zapret-hosts.txt
 PIDFILE=/var/run/$NAME.pid
 set -e
 prepare_tpws()
 {
 	adduser --disabled-login --no-create-home --system --quiet $TPWS_USER
 	sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1
 }
 case "$1" in
  start)
 	echo "Creating ipset"
@ -48,6 +61,15 @@ case "$1" in
 	echo "Adding iptables rule"
 	case "${ISP}" in
 	    hostlist)
 		prepare_tpws
 		iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null ||
 		 iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -j DNAT --to 127.0.0.1:$TPPORT
 		iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null ||
 		 iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -j DNAT --to 127.0.0.1:$TPPORT
 		DAEMON=$TPWS
 		DAEMON_OPTS="--port=$TPPORT --hostlist=$TPWS_HOSTLIST --hostcase --split-http-req=method --user=$TPWS_USER --bind-addr=127.0.0.1"
 		;;
 	    mns)
 		iptables -t raw -C PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass 2>/dev/null ||
 		 iptables -t raw -I PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass
@ -67,8 +89,7 @@ case "$1" in
 		DAEMON_OPTS="--qnum=$QNUM --hostspell=HOST"
 		;;
 	    domru)
-		adduser --disabled-login --no-create-home --system --quiet $TPWS_USER
+		prepare_tpws
 		sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1
 		iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null ||
 		 iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
 		iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null ||
@ -82,8 +103,7 @@ case "$1" in
 		DAEMON_OPTS="--port=$TPPORT --hostcase --split-http-req=host --user=$TPWS_USER --bind-addr=127.0.0.1"
 		;;
 	    tiera)
-		adduser --disabled-login --no-create-home --system --quiet $TPWS_USER
+		prepare_tpws
 		sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1
 		iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null ||
 		 iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
 		iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null ||
@ -92,8 +112,7 @@ case "$1" in
 		DAEMON_OPTS="--port=$TPPORT --split-http-req=host --user=$TPWS_USER --bind-addr=127.0.0.1"
 		;;
 	    athome)
-		adduser --disabled-login --no-create-home --system --quiet $TPWS_USER
+		prepare_tpws
 		sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1
 		iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null ||
 		 iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
 		iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT 2>/dev/null ||
@ -122,6 +141,11 @@ case "$1" in
 	echo "Deleting iptables rule"
 	case "${ISP}" in
 	    hostlist)
 		iptables -t nat -D PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -j DNAT --to 127.0.0.1:$TPPORT
 		iptables -t nat -D OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -j DNAT --to 127.0.0.1:$TPPORT
 		DAEMON=$TPWS
 		;;
 	    mns|rt)
 		iptables -t raw -D PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass
 		DAEMON=$NFQWS
--- a/init.d/openwrt/firewall.user.hostlist
+++ b/init.d/openwrt/firewall.user.hostlist
@ -0,0 +1,20 @@
 TPPORT=1188
 TPWS_USER=daemon
 . /lib/functions/network.sh
 network_find_wan wan_iface
 for ext_iface in $wan_iface; do
    network_get_device DEVICE $ext_iface
    # DNAT for local traffic
    iptables -t nat -C OUTPUT -p tcp --dport 80 -o $DEVICE -m owner ! --uid-owner $TPWS_USER -j DNAT --to 127.0.0.1:$TPPORT ||
     iptables -t nat -I OUTPUT -p tcp --dport 80 -o $DEVICE -m owner ! --uid-owner $TPWS_USER -j DNAT --to 127.0.0.1:$TPPORT
 done
 network_get_device DEVICE lan
 sysctl -w net.ipv4.conf.$DEVICE.route_localnet=1
 iptables -t nat -C prerouting_lan_rule -p tcp --dport 80 -j DNAT --to 127.0.0.1:$TPPORT ||
 iptables -t nat -I prerouting_lan_rule -p tcp --dport 80 -j DNAT --to 127.0.0.1:$TPPORT
--- a/init.d/openwrt/zapret
+++ b/init.d/openwrt/zapret
@ -9,6 +9,9 @@ ISP=mns
 #ISP=tiera
 #ISP=athome
 # Its possible not to use ipset. Use hostlist with tpws instead.
 #ISP=hostlist
 # If ISP is unlisted then uncomment "custom"
 # Find out what works for your ISP and modify "# PLACEHOLDER" parts of this script
 #ISP=custom
@ -19,13 +22,17 @@ START=18
 # !!!!! in openwrt you need to add firewall rules manually to /etc/firewall.user
 ZAPRET_BASE=/opt/zapret
 QNUM=200
 TPPORT=1188
 ROUTE_TABLE_NUM=100
-NFQWS=/opt/zapret/nfq/nfqws
+NFQWS=$ZAPRET_BASE/nfq/nfqws
-TPWS=/opt/zapret/tpws/tpws
+TPWS=$ZAPRET_BASE/tpws/tpws
-IPSET_CR=/opt/zapret/ipset/create_ipset.sh
+IPSET_CR=$ZAPRET_BASE/ipset/create_ipset.sh
 TPWS_USER=daemon
 TPWS_HOSTLIST=$ZAPRET_BASE/ipset/zapret-hosts.txt
 # must execute /etc/firewall.user on every firewall reload
@ -49,6 +56,10 @@ set_firewall_user_reload() {
 get_daemon() {
 	case "${ISP}" in
 	    hostlist)
 		DAEMON_OPTS="--port=$TPPORT --hostcase --split-http-req=method --hostlist=$TPWS_HOSTLIST --bind-addr=127.0.0.1 --user=$TPWS_USER"
 		DAEMON=$TPWS
 		;;
 	    mns)
 		DAEMON_OPTS="--qnum=$QNUM --wsize=3"
 		DAEMON=$NFQWS
--- a/init.d/ubuntu12/zapret.conf
+++ b/init.d/ubuntu12/zapret.conf
@ -1,138 +0,0 @@
 description	"zapret"
 start on runlevel [2345]
 stop on runlevel [!2345]
 # CHOOSE ISP HERE. UNCOMMENT ONLY ONE LINE.
 env ISP=mns
 #env ISP=rt
 #env ISP=beeline
 #env ISP=domru
 #env ISP=tiera
 #env ISP=athome
 # If ISP is unlisted then uncomment "custom"
 # Find out what works for your ISP and modify "# PLACEHOLDER" parts of this script
 #env ISP=custom
 # CHOSE NETWORK INTERFACE BEHIND NAT
 env SLAVE_ETH=eth1
 env QNUM=200
 env TPPORT=1188
 env ROUTE_TABLE_NUM=100
 env NFQWS=/opt/zapret/nfq/nfqws
 env TPWS=/opt/zapret/tpws/tpws
 env TPWS_USER=tpws
 pre-start script
 	/opt/zapret/ipset/create_ipset.sh
 	case "${ISP}" in
 	    mns|rt)
 		iptables -t raw -C PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass ||
 		 iptables -t raw -I PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass
 		;;
 	    beeline)
 		iptables -t mangle -C POSTROUTING -p tcp --dport 80 -m set --match-set zapret dst -j NFQUEUE --queue-num $QNUM --queue-bypass ||
 		 iptables -t mangle -I POSTROUTING -p tcp --dport 80 -m set --match-set zapret dst -j NFQUEUE --queue-num $QNUM --queue-bypass
 		;;
 	    domru)
 		adduser --disabled-login --no-create-home --system --quiet $TPWS_USER
 		sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1
 		iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT ||
 		 iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
 		iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT ||
 		 iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
 		# BLOCK SPOOFED DNS FROM DOMRU
 		iptables -t raw -C PREROUTING -p udp --sport 53 -m string --hex-string "|05030311|" --algo bm -j DROP --from 40 --to 300 ||
 		 iptables -t raw -I PREROUTING -p udp --sport 53 -m string --hex-string "|05030311|" --algo bm -j DROP --from 40 --to 300
 		iptables -t raw -C PREROUTING -p udp --sport 53 -m string --hex-string "|2a022698a00200010000000000030017|" --algo bm -j DROP --from 40 --to 300 ||
 		 iptables -t raw -I PREROUTING -p udp --sport 53 -m string --hex-string "|2a022698a00200010000000000030017|" --algo bm -j DROP --from 40 --to 300
 		;;
 	    tiera|athome)
 		adduser --disabled-login --no-create-home --system --quiet $TPWS_USER
 		sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=1
 		iptables -t nat -C PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT ||
 		 iptables -t nat -I PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
 		iptables -t nat -C OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT ||
 		 iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
 		;;
 	    custom)
 		# PLACEHOLDER
 		echo !!! NEED ATTENTION !!!
 		echo \(optional\) Prepare environment for running daemon
 		echo Configure iptables for required actions
 		echo Study how other sections work
 		;;
 	esac
 end script
 script
 	case "${ISP}" in
 	    mns)
 		NFEXE=$NFQWS
 		NFARG="--qnum $QNUM --wsize=3"
 		;;
 	    rt)
 		NFEXE=$NFQWS
 		NFARG="--qnum $QNUM --wsize=20"
 		;;
 	    beeline)
 		NFEXE=$NFQWS
 		NFARG="--qnum $QNUM --hostspell=HOST"
 		;;
 	    domru)
 		NFEXE=$TPWS
 		NFARG="--port=$TPPORT --hostcase --split-http-req=host --user=$TPWS_USER --bind-addr=127.0.0.1"
 		;;
 	    tiera)
 		NFEXE=$TPWS
 		NFARG="--port=$TPPORT --split-http-req=host --user=$TPWS_USER --bind-addr=127.0.0.1"
 		;;
 	    athome)
 		NFEXE=$TPWS
 		NFARG="--port=$TPPORT --split-http-req=method --user=$TPWS_USER --bind-addr=127.0.0.1"
 		;;
 	    custom)
 		# PLACEHOLDER
 		echo !!! NEED ATTENTION !!!
 		echo Select which daemon and what options work for you
 		echo Study how other sections work
 		NFEXE=/bin/sleep
 		NFARG=20
 		;;
 	esac
 	$NFEXE $NFARG
 	[ -n "$NFEXE" ] && $NFEXE $NFARG
 end script
 pre-stop script
 	case "${ISP}" in
 	    mns|rt)
 		iptables -t raw -D PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass
 		;;
 	    beeline)
 		iptables -t mangle -D POSTROUTING -p tcp --dport 80 -m set --match-set zapret dst -j NFQUEUE --queue-num $QNUM --queue-bypass
 		;;
 	    domru)
 		sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=0
 		iptables -t nat -D PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
 		iptables -t nat -D OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
 		iptables -t raw -D PREROUTING -p udp --sport 53 -m string --hex-string "|05030311|" --algo bm -j DROP --from 40 --to 300
 		iptables -t raw -D PREROUTING -p udp --sport 53 -m string --hex-string "|2a022698a00200010000000000030017|" --algo bm -j DROP --from 40 --to 300
 		;;
 	    tiera|athome)
 		sysctl -w net.ipv4.conf.$SLAVE_ETH.route_localnet=0
 		iptables -t nat -D PREROUTING -p tcp --dport 80 -i $SLAVE_ETH -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
 		iptables -t nat -D OUTPUT -p tcp --dport 80 -m owner ! --uid-owner $TPWS_USER -m set --match-set zapret dst -j DNAT --to 127.0.0.1:$TPPORT
 		;;
 	    custom)
 		# PLACEHOLDER
 		echo !!! NEED ATTENTION !!!
 		echo Clear firewall rules here. Remove iptables changes made previously.
 		echo Study how other sections work
 		;;
 	esac
 end script
--- a/readme.txt
+++ b/readme.txt
@ -255,9 +255,13 @@ Debian 7 изначально содержит ядро 3.2. Оно не уме
 Там же выбрать параметр SLAVE_ETH, соответствующий названию внутреннего сетевого интерфейса.
 Включить автостарт : chkconfig zapret on
 (опционально) Вручную первый раз получить новый список ip адресов : /opt/zapret/ipset/get_antizapret.sh
-Зашедулить задание обновления листа :
+Зашедулить задание обновления листа (кроме hostlist) :
 crontab -e
- Создать строчку  "0 12 * * */2 /opt/zapret/ipset/get_antizapret.sh". Это значит в 12:00 каждые 2 дня обновлять список.
+ Создать строчку  "0 12 * * */2 /opt/zapret/ipset/get_antizapret.sh"
 Зашедулить задание обновления листа (только для hostlist):
 crontab -e
 Создать строчку  "0 12 * * */2 /opt/zapret/ipset/get_hostlist.sh"
 Это значит в 12:00 каждые 2 дня обновлять список.
 Запустить службу : service zapret start
 Попробовать зайти куда-нибудь : http://ej.ru, http://kinozal.tv, http://grani.ru.
 Если не работает, то остановить службу zapret, добавить правило в iptables вручную,
@ -270,15 +274,6 @@ Debian 7 изначально содержит ядро 3.2. Оно не уме
 Попробуйте снять дамп в wireshark или "tcpdump -vvv -X host <ip>", посмотрите действительно ли первый
 сегмент TCP уходит коротким и меняется ли регистр "Host:".
 ubuntu 12,14
 ------------
 Имеется готовый конфиг для upstart : zapret.conf. Его нужно скопировать в /etc/init и настроить по аналогии с debian.
 Запуск службы : "start zapret"
 Останов службы : "stop zapret"
 Просмотр сообщений : cat /var/log/upstart/zapret.log
 Ubuntu 12 так же, как и debian 7, оснащено ядром 3.2. См замечание в разделе "debian 7".
 ubuntu 16,debian 8
 ------------------
@ -293,6 +288,8 @@ start : sytemctl start zapret
 stop : systemctl stop zapret
 status, output messages : systemctl status zapret
 После изменения /etc/init.d/zapret : systemctl daemon-reload
 Другие linux системы
 --------------------
@ -347,9 +344,13 @@ ipset можно выкинуть, если не будем пользовать
 В зависимости от вашего провайдера внести нужные записи в /etc/firewall.user.
 /etc/init.d/firewall restart
 Посмотреть через iptables -L или через luci вкладку "firewall" появились ли нужные правила.
-Зашедулить задание обновления листа :
+Зашедулить задание обновления листа (кроме hostlist):
 crontab -e
 Создать строчку  "0 12 * * */2 /opt/zapret/ipset/get_antizapret.sh"
 Зашедулить задание обновления листа (только для hostlist):
 crontab -e
- Создать строчку  "0 12 * * */2 /opt/zapret/ipset/get_antizapret.sh". Это значит в 12:00 каждые 2 дня обновлять список.
+ Создать строчку  "0 12 * * */2 /opt/zapret/ipset/get_hostlist.sh"
 Это значит в 12:00 каждые 2 дня обновлять список.
 ЭКОНОМИЯ МЕСТА : если его мало, то можно оставить в директории zapret лишь подкаталог ipset.
 Далее нужно создать подкаталоги с реально используемыми бинариками (ip2net, mdig, tpws, nfq)