From e906d20ffbed62ac2df72b2ef07cf1d038ff06c0 Mon Sep 17 00:00:00 2001 From: bolvan Date: Sun, 19 May 2019 10:33:12 +0300 Subject: [PATCH] readme : when it won't work notice --- docs/readme.eng.txt | 10 ++++++++++ docs/readme.txt | 16 ++++++++++++++++ 2 files changed, 26 insertions(+) diff --git a/docs/readme.eng.txt b/docs/readme.eng.txt index 65ec194..14dc48a 100644 --- a/docs/readme.eng.txt +++ b/docs/readme.eng.txt @@ -109,6 +109,16 @@ In the PREROUTING DNAT chain, it is possible to any global address or to the lin the packet came from. NFQUEUE works without changes. +When it will not work +---------------------- + +* If blocking is done by IP. +* If a connection passes through a filter capable of reconstructing a TCP connection, and which +follows all standards. For example, we are routed to squid. Connection goes through the full OS tcpip stack, +fragmentation disappears immediately as a means of circumvention. Squid is correct, it will find everything +as it should, it is useless to deceive him. +BUT. Only small providers can afford using squid, since it is very resource intensive. +Large companies usually use DPI, which is designed for much greater bandwidth. nfqws ----- diff --git a/docs/readme.txt b/docs/readme.txt index 46a0824..06967de 100644 --- a/docs/readme.txt +++ b/docs/readme.txt @@ -114,6 +114,22 @@ DNAT на localhost (::1) возможен только в цепочке OUTPUT откуда пришел пакет. NFQUEUE работает без изменений. +Когда это работать не будет +--------------------------- + +* Если блокировка осуществляется по IP. +* Если соединение проходит через фильтр, способный реконструировать TCP соедиинение, и который +следует всем стандартам. Например, нас заворачивают на squid. Соединение идет через полноценный стек tcpip +операционной системы, фрагментация отпадает сразу как средство обхода. Squid правильный, он все найдет +как надо, обманывать его бесполезно. +НО. Заворачивать на squid могут позволить себе лишь небольшие провайдеры, поскольку это очень ресурсоемко. +Большие компании обычно используют DPI, который расчитан на гораздо большую пропускную способность. +Может применяться комбинированный подход, когда на DPI заворачивают только IP из "плохого" списка, +и дальше уже DPI решает пропускать или нет. Так можно снизить нагрузку на DPI в десятки, если не сотни раз, +а следовательно не покупать очень дорогие решения, обойдясь чем-то существенно более дешевым. +Мелкие провайдеры могут покупать услугу фильтрации у вышестоящих, чтобы самим не морочиться, и +они уже будут применять DPI. + nfqws -----