Легко обойди блокировку сайтов на Линукс, Виндовс, Мак ОС, Андроид
обход блокировки сайтов

Самые простые способы обхода блокировки сайта

Узнай самые простые способы обхода блокировки сайта. Обход блокировки сайтов на линукс, Виндовс, Мак ОС, Андроид

Шифрование трафика в Linux

Что нам понадобится, чтобы все работало, и желательно — комфортно? Само собой, iptables, куда же без него. Еще iproute2, он и позволит нам насоздавать кучу таблиц. IPSet потребуется для того, чтобы не городить огород из множества правил iptables.

Что есть что

  • iptables — утилита командной строки. Базовое средство управления работой файрвола для ядер Linux.
  • iproute2 — набор утилит для управления параметрами сетевых устройств в ядре Linux.
  • IPSet — инструмент для работы со списками IP-адресов и сетевых портов в сетевом фильтре. Формирует список в специальном формате для передачи файрволу.
  • stunnel — инструмент организации шифрованных соединений для клиентов или серверов, которые не поддерживают TLS или SSL. Stunnel перехватывает незашифрованные данные, которые должны были отправиться в сеть, и шифрует их. Программа работает как в Unix-системах, так и в Windows. В качестве шифрования использует OpenSSL для реализации базового протокола TLS и SSL.
  • OpenVPN — VPN-сервер с поддержкой шифрования библиотекой OpenSSL. Клиентские части доступны практически на всех платформах. Умеет работать через прокси типа Socks, HTTP, через NAT и сетевые фильтры.

Про все эти утилиты можно отыскать много информации в интернете, причем с примерами настроек в самых разных вариантах. Мы станем использовать iptables для маркировки пакетов. У нас будут два варианта настройки. Первый — когда машина, на которой выполняется обход, сама подключена к VPN. Второй вариант — когда в сети находится узел (виртуалка, Raspberry Pi или любой другой хост с Linux), играющий роль маршрутизатора. Далее мы разберем эти варианты чуть подробнее.

Коротко о двух вариантах

Клиент и сервер будут устанавливать зашифрованный канал связи по 443-му порту (stunnel) и передавать внутри OpenVPN по 995-му порту. Снаружи это должно выглядеть как обычный HTTPS.

И вот тут можно реализовать две схемы подключения.

Вариант 1. На клиентской машине iptables будет маркировать пакеты неким флагом, если адреса в пакетах и списках IPSet совпадут, и передавать их для маршрутизации.

Далее помеченные флагом пакеты будут отправлены по заранее созданной таблице маршрутизации, остальные пойдут по маршруту, заданному по умолчанию. С помощью консоли или небольшого скрипта мы поправим этот список адресов. В зависимости от ситуации списков может быть несколько.

Вариант 2. В качестве клиента выступит хост в локальной сети (виртуалка, Raspberry Pi или какое-нибудь другое устройство). Он будет указан в качестве основного шлюза на компьютерах, с которых нужен доступ к ресурсам через VPN. Получив запрос для IP-адреса из списка, шлюз включит NAT и отправит такой трафик в VPN. Остальной трафик будет маршрутизироваться до шлюза по умолчанию без NAT.

Для Linux-систем мы можем оставить шлюз по умолчанию и установить у себя IPSet и iproute2, а потом настроить их аналогично настройкам «промежуточного» хоста-маршрутизатора. В этом случае на уровне клиента будет отбираться трафик по тому же списку IPSet. То есть то, что в списке, будет отправляться на промежуточный хост-маршрутизатор и далее в VPN. Остальное будет маршрутизироваться по умолчанию.

Реализация

Предположим, что где-то далеко в облаке у нас уже есть VPS-сервер с Ubuntu или Debian. В других дистрибутивах отличия будут, скорее всего, только в установке необходимых пакетов. Этот хост в нашей конфигурации будет использоваться в качестве сервера VPN. Рекомендаций, какой VPS лучше использовать, в интернетах полным-полно — на разный бюджет, с разными конфигурациями и условиями.

Устанавливаем на сервере OpenVPN, stunnel, git:

1 sudo apt install openvpn stunnel4 git

Далее воспользуемся готовым скриптом для настройки сервера OpenVPN. Можно, конечно, настроить все вручную, и я советую поступить именно так. Информацию о том, как правильно сконфигурировать OpenVPN, нетрудно отыскать в Сети. Но если нужно получить результат очень быстро и вам не хочеться возиться, то вот быстрое решение.

123 git clonehttps://github.com/Nyr/openvpn-install.gitcd openvpn-installsudo./openvpn-install.sh

Получаем скрипт установки и запускаем его. Он поможет вам создать пользовательские ключи и сертификаты, если нужно — изменить адресацию сети. Все очень доступно и понятно. На выходе для каждого пользователя мы получим один файл, внутри которого будет конфигурационный ключ и сертификаты (сервера и пользователя). Передаем этот файл на клиент.

Открываем конфигурационный файл сервера OpenVPN и правим его. Выбираем нужный порт — тот, который на сервере будет свободен для подключения. Порт лучше использовать более-менее неприметный (я выбрал 995-й, обычно почтовые порты оставляют открытыми), чтобы клиент мог гарантированно подключиться к VPN-серверу.

Вот как будет выглядеть наш конфиг:

12345678910111213141516171819202122232425262728 port443proto tcpdev tun0sndbuf0rcvbuf0ca ca.crtcert server.crtkey server.keydh dh.pemauth SHA512tls-auth ta.key0topology subnetserver10.8.0.0255.255.255.0ifconfig-pool-persist ipp.txtpush»redirect-gateway def1 bypass-dhcp»push»dhcp-option DNS 208.67.222.222″push»dhcp-option DNS 208.67.220.220″push»route 10.8.0.0 255.255.255.0″route192.168.31.0255.255.255.0keepalive10120cipher AES-256-CBCuser nobodygroup nogrouppersist-keypersist-tunstatus openvpn-status.logverb3crl-verify crl.pem

Следующим шагом настроим stunnel:

12345678 sudo nano/etc/stunnel/stunnel.conf output=/var/log/stunnel.log[openvpn]client=noaccept=443connect=localhost:443cert=/etc/stunnel/stunnelsrv.pems

Тут все просто:

  • описываем, куда будут сохраняться логи;
  • указываем название сервиса в произвольной форме;
  • выбираем, в каком режиме работает устройство: сервера или клиента. В данном случае client = no указывает на режим сервера;
  • accept = 443 указывает порт, к которому будем подключаться снаружи (443-й порт выбран не просто так — в 99% случаев он всегда открыт, проще прикинуться обычным HTTPS, и нас не заметят даже при DPI).

Генерируем ключи и сертификаты для stunnel:

1 sudo openssl req-nodes-new-days365-newkey rsa:1024-x509-keyout stunnelsrv.pem-out stunnel.pem

На этом этапе важно помнить, что у нас на стороне сервера работают OpenVPN на порте 995 proto tcp, dev tun0 и stunnel на порте 443. Все остальные настройки — стандартные.

Переходим к клиенту:

1 sudo apt install iproute2 ipset stunnel4 git openvpn

Все, что нужно, поставили, теперь настраиваем stunnel на стороне клиента:

12345678 output=/var/log/stunnel.log [openvpn]client=yesaccept=127.0.0.1:995connect=IP:443 cert=/etc/stunnel/stunnel.pem

Здесь мы указываем, куда выводить логи, режим клиента включен. С помощью директивы accept мы говорим, на какой адрес и порт передавать соединение и куда, собственно, подключаться клиенту stunnel (опция connect). Ну и какой сертификат использовать.

Передаем файл клиента OpenVPN с сервера. Проверяем настройки: используется порт 995, proto tcp, dev tun0. Очень важный момент: нам нужно объявить маршрут до нашего VPS через шлюз по умолчанию. Иначе получится, что stunnel установит соединение, потом подключится VPN и попытается все перенаправить в туннель, но stunnel уже не сможет работать, так как хост и порт будут недоступны. Также отключаем перенаправление всего трафика в VPN, проверяем адрес подключения и порт. Адрес VPN-сервера в конфиге будет 127.0.0.1 — то есть localhost. Подразумевается, что stunnel уже пробросил нужный порт клиента. Должно получиться примерно следующее:

1234567891011121314151617181920 clientdev tunproto tcpsndbuf0rcvbuf0remote127.0.0.1995resolv-retry infinitenobindpersist-keypersist-tunremote-cert-tls serverauth SHA512cipher AES-256-CBCsetenv opt block-outside-dnskey-direction1#redirect-gateway def1pull-filter ignore redirect-gatewayroute IP255.255.255.255net_gateway—добавляемвконфигOpenVPNклиента.IP—этобелыйIP-адресVPN-сервера.#ip route add table obhod default dev tun0verb3

Итак, на сервере и клиенте установлены и настроены OpenVPN и stunnel. Безопасное соединение установлено. Дальше будем рассматривать каждый вариант по очереди.

Вариант 1: клиент VPN на машине пользователя

Первым делом создадим список IP-адресов, который будем использовать далее:

1 sudo ipset-Nvpn iphash

Добавим в него один адрес для тестов:

1 sudo ipset-Avpn8.8.8.8

Теперь нам необходимо маркировать пакеты с адресами назначения, которые совпадают со списком.

1 sudo iptables-OUTOUT-tmangle-mset—match-set vpn dst-jMARK—set-mark(1или0x1)

В результате наших действий iptables при совпадении в адресе назначения и адресе из списка IPSet начнет маркировать такой трафик. Дальше создадим новую таблицу маршрутизации, для этого пропишем ее в файле /etc/iproute2/rt_tables с очередностью выше, чем default (253):

1 252     vpn

Теперь надо создать правило и маршрут для маркированных пакетов.

12 sudo ip rule add table vpn prio1000fwmark(1или0x1)sudo ip route add table vpn dev tun0 default

Не забываем включить rp_filter для обеспечения асимметричной маршрутизации и разрешаем переброс пакетов между интерфейсами, на случай если кому-то нужно будет предоставить доступ к закрытым ресурсам в локальной сети.

123 sudo sysctl net.ipv4.tcp_fwmark_accept=1sudo sysctl net.ipv4.conf.all.rp_filter=2sudo net.ipv4.ip_forward=1

Теперь включим NAT для трафика, который направляется в VPN.

1 sudo iptables-tnat-IPOSTROUTING-otun0-jMASQUERADE

Если нужно предоставить доступ из локальной сети через свой VPN, правило iptables нужно немного подправить, а именно перенести в другую цепочку.

1 sudo iptables-IPREROUTING-tmangle-mset—match-set tovpn dst-jMARK—set-mark0x1

В итоге у нас получается, что все адреса из списка IPSet VPN идут через безопасное соединение, остальные направляются через маршрут по умолчанию.

Вариант 2: клиент VPN на маршрутизаторе

Теперь рассмотрим случай, когда VPN-соединение у нас выполняет не клиентская машина, а некий узел в сети и все настроено на нем аналогично примеру выше. Тогда нам нужно либо указать этот узел в качестве шлюза по умолчанию, либо установить на клиентской машине IPSet и iproute2 и правильно ее настроить.

В этом случае сработают локальные IPSet и iproute2 и направят на промежуточный сервер-маршрутизатор пакет, а тот сверит адрес назначения со своим списком IPSet и, если обнаружит совпадение, отправит пакет в VPN, если совпадения не найдет — перешлет на шлюз по умолчанию.

Неудобство такого приема состоит в том, что нужно дважды вносить IP-адреса в списки. Сначала на сервере-маршрутизаторе, а второй раз — в свой локальный список IPSet. Зато это позволяет более гибко пользоваться маршрутизацией.

Стоит также отметить еще один вариант, о котором не говорилось выше. Можно установить на сервер-маршрутизатор VPN-клиент и stunnel, а потом убрать из конфига строку pull-filter ignore redirect-gateway. Тогда весь полученный трафик будет завернут в VPN-туннель. Останется лишь локально вести IPSet для направления нужного трафика через разные шлюзы.

IPSet

Списки IPSet очень удобно использовать, если нужно быстро разрешить либо запретить входящие или исходящие соединения на сервер. Так, например, многие реализуют географическую фильтрацию: проще один раз занести все в списки и одним правилом запретить весь входящий трафик отовсюду, кроме этого списка. Например:

1 sudo iptables-AINPUT-mset—match-set!RU src-jDROP

Это правило заблокирует все входящие соединения, кроме адресов из списка ipset RU.

IPSet, как видите, удобный инструмент, который значительно сокращает таблицу правил iptables. В частности, хорошо бывает объединять в отдельные списки сети серверов, адреса админов, остальных пользователей и так далее. А потом уже разом запрещать доступ одним и разрешать другим.

Автоматизация после сбоев/перезагрузок

Чтобы не потерять все настроенные нами параметры, добавим в crontab периодическое сохранение правил IPSet и iptables.

12345 sudo crontab-e # Каждую первую минуту каждого часа, то есть раз в час1****/bin/bash root ipset save>/opt/ipset.rules1****iptables-save root>/opt/firewall.rules

И в /etc/rc.local добавим восстановление:

12 ipset restore

А теперь напишем скрипт, который будет обходить правила iprule и iproute и в случае, если чего-то не хватает, допишет недостающее. Скрипт можно сделать демоном, чтобы он постоянно висел в памяти и мониторил состояние системы, а можно запускать только при старте ОС. В целом второго варианта вполне достаточно.

Исходный код скрипта check вы найдете в архиве по ссылке в конце статьи, а общий его смысл такой: проверяем таблицу маршрутизации и, если маршрута нет, добавляем его. Потом ту же проверку выполняем с правилом таблицы. Затем смотрим правило iptables, которое маркирует пакеты.

Напоследок напишем скрипт, который позволит нам более удобно добавлять IP-адреса в списки IPSet, чтобы каждый раз не ломиться в консоль. Этот скрипт выглядит так:

1234567891011121314 #!/bin/bash test=$(zenity—entry—title=»Добавление адреса в ipset списки «—text=»Введите адрес ip или домена»)initip=$(dig+short»$test»-u1.1.1.1) if[!-n»$initip»];thenzenity—password—title=»Введите пароль администратора»|sudo-Sipset-exist-Avpn»$test»echo»$test»>>/opt/iptovpn.txtelsezenity—password—title=»Введите пароль администратора»|sudo-Sipset-exist-Avpn»$initip»echo»$initip»>>/opt/iptovpn.txtfi sudo ipset save>/opt/ipset.rules

При запуске мы вводим имя домена или сразу IP-адрес. Скрипт переварит и то и другое, после чего и запихает IP в список IPSet.

Также в архиве вы найдете скрипт add_in_file, который читает файл со списком доменов, получает IP и складывает в списки IPSet.

Способ 1 – браузер Mozilla и расширение Frigate.

  • Ставим расширение Frigate – скачать Frigate
  • Жмем кнопку “Добавить в Firefox”

frigate__firefox__1

  • Соглашаемся с установкой

frigate__firefox__2

  • После этого в вашем браузере появится следующая иконка. Нажав на нее левой кнопкой мыши, вы сможете включить или выключить расширение. Нажав на значок правой кнопкой мыши, вы сможете зайти в настройки.

Способ 2 – браузер Chrome и расширение Chrome Data Saver

  • Устанавливаем Chrome Data Saver – скачать Chrome Data Saver
  • Жмем кнопку ” Установить”

datasaver__1

  • Соглашаемся с установкой

datasaver__2

После этого в вашем браузере появится следующий значок. Если он синий – все ок. Если серый – жмем на него и выбираем “Включить режим экономии трафика”

Способ 3 – браузер Opera и режим Turbo

В данном браузере существует режим Opera Turbo. Основное его предназначение – ускорение загрузки веб-страниц при медленном интернете. Данные сжимаются на серверах Opera и затем передаются в браузер, а некоторые элементы (например, мультимедиа) могут не загружаться совсем.

  • Нажимаем на значок “Opera” в левом верхнем углу. Выбираем режим “Opera Turbo”

turbo__opera__mac__1

Способ 4 -Яндекс.Браузер и Яндекс.Турбо

В Яндекс.Браузер существует режим Яндекс.Турбо, аналогичный режиму Opera Turbo в браузере Opera. С его помощью также можно зайти на заблокированный ресурс.

  • Открываем “Настройки”, затем выбираем пункт “Дополнения”

turbo__yandex__mac__1

  • Нажимаем “Вкл” для включения режима Турбо

turbo__yandex__mac__2

Обход блокировки сайта в Windows

Способ 1 – браузер Mozilla и расширение Frigate.

  • Устанавливаем браузер Mozilla (если еще не установлен) – скачать браузер  Mozilla
  • Ставим расширение Frigate – скачать Frigate
  • Жмем кнопку “Добавить в Firefox”

frigate__firefox__1

  • Соглашаемся с установкой

frigate__firefox__2

  • После этого в вашем браузере появится следующая иконка. Нажав на нее левой кнопкой мыши, вы сможете включить или выключить расширение. Нажав на значок правой кнопкой мыши, вы сможете зайти в настройки.

Способ 2 – браузер Chrome и расширение Chrome Data Saver

  • Устанавливаем браузер Chrome (если еще не установлен) – скачать Chrome
  • Устанавливаем Chrome Data Saver – скачать Chrome Data Saver
  • Жмем кнопку ” Установить”

datasaver__1

  • Соглашаемся с установкой

datasaver__2

После этого в вашем браузере появится следующий значок. Если он синий – все ок. Если серый – жмем на него и выбираем “Включить режим экономии трафика”

Способ 3 – браузер Opera и режим Turbo

В данном браузере существует режим Opera Turbo. Основное его предназначение – ускорение загрузки веб-страниц при медленном интернете. Данные сжимаются на серверах Opera и затем передаются в браузер, а некоторые элементы (например, мультимедиа) могут не загружаться совсем.

  • Нажимаем на значок “Opera” в левом верхнем углу браузера и выбираем режим “Opera Turbo”. Заходим на нужную заблокированную страничку.

turbo__opera__win__1

Способ 4 -Яндекс.Браузер и Яндекс.Турбо

В Яндекс.Браузер существует режим Яндекс.Турбо, аналогичный режиму Opera Turbo в браузере Opera. С его помощью также можно зайти на заблокированный ресурс.

  • Жмем кнопку “Меню” в правом верхнем углу. Отмечаем пункт “Всегда включен” в настройках “Турбо”.

turbo__yandex__win__1

Обход блокировки сайта в Mac OS X

Способ 1 – браузер Mozilla и расширение Frigate.

  • Устанавливаем браузер Mozilla (если еще не установлен) – скачать браузер  Mozilla
  • Ставим расширение Frigate – скачать Frigate
  • Жмем кнопку “Добавить в Firefox”

frigate__firefox__1

  • Соглашаемся с установкой

frigate__firefox__2

  • После этого в вашем браузере появится следующая иконка. Нажав на нее левой кнопкой мыши, вы сможете включить или выключить расширение. Нажав на значок правой кнопкой мыши, вы сможете зайти в настройки.

Способ 2 – браузер Chrome и расширение Chrome Data Saver

  • Устанавливаем браузер Chrome (если еще не установлен) – скачать Chrome
  • Устанавливаем Chrome Data Saver – скачать Chrome Data Saver
  • Жмем кнопку ” Установить”

datasaver__1

  • Соглашаемся с установкой

datasaver__2

После этого в вашем браузере появится следующий значок. Если он синий – все ок. Если серый – жмем на него и выбираем “Включить режим экономии трафика”

Способ 3 – браузер Opera и режим Turbo

В данном браузере существует режим Opera Turbo. Основное его предназначение – ускорение загрузки веб-страниц при медленном интернете. Данные сжимаются на серверах Opera и затем передаются в браузер, а некоторые элементы (например, мультимедиа) могут не загружаться совсем. Поэтому, данный метод не рекомендую.

  • Нажимаем на значок “Opera” в левом верхнем углу. Выбираем режим “Opera Turbo”

turbo__opera__mac__1

Способ 4 -Яндекс.Браузер и Яндекс.Турбо

В Яндекс.Браузер существует режим Яндекс.Турбо, аналогичный режиму Opera Turbo в браузере Opera. С его помощью также можно зайти на заблокированный ресурс.

  • Открываем “Настройки”, затем выбираем пункт “Дополнения”

turbo__yandex__mac__1

  • Нажимаем “Вкл” для включения режима Турбо

turbo__yandex__mac__2

Обход блокировки сайта в Android

Способ 1 – браузер Chrome и расширение Chrome Data Saver

  • Устанавливаем мобильный браузер Chrome (если еще не установлен) – скачать Chrome
  • Заходим в настройки браузера

datasaver__and__1

  • В разделе “Дополнительно” выбираем экономия трафика

datasaver__and__2

  • Нажимаем “Вкл”

datasaver__and__3

Теперь весь ваш трафик будет сжиматься на серверах Google и вы сможете зайти на заблокированный ресурс.

Способ 2 -Яндекс.Браузер и Яндекс.Турбо

  • Устанавливаем мобильный Яндекс.Браузер (если еще не установлен) – скачать мобильный Яндекс.Браузер
  • Заходим в меню, выбираем “Настройки”

turbo__yandex__and__1

  • Нажимаем на “Режим Турбо”

turbo__yandex__and__2

  • Включаем “Режим Турбо”

turbo__yandex__and__3

Обход блокировки сайта в iOS

Браузер Chrome и расширение Chrome Data Saver

Это, пожалуй, самый простой способ обхода блокировки на iOS.

  • Открываем меню браузера Chrome и заходим в “Настройки”

datasaver__ios__1

  • В разделе “Дополнительно” выбираем “Контроль трафика”

datasaver__ios__2

  • Нажимаем на “Экономия трафика”

datasaver__ios__3

  • Нажимаем на “Вкл”

datasaver__ios__4

Способ 1: скачиваем торренты и ходим на заблокированные сайты через Tor на Linux

1. Устанавливаем пакет tor из репозитория вашего дистрибутива:
Для Debian, Ubuntu:
sudo apt install tor tor-geoipdb
ALT Linux:
su —
apt-get install tor
Rosa Fresh:
sudo urpmi tor
Fedora:
dnf install tor
CentOS, Rosa Server:
yum install tor
Archlinux, Manjaro:
sudo pacman -Syu tor
OpenSUSE:
sudo zypper in tor
Обратите внимание, что это исключительно консольная утилита tor, это не браузер Tor на основе Firefox.

2. Включаем сервис Tor (подразумевается, что у вас современный дистрибутив с systemd):
sudo systemctl start tor
Для добавления в автозагрузку, чтобы автоматически запускался вместе с ОС (в Debian, Ubuntu он автоматически туда добавляется при установке пакета, если правильно помню):
sudo systemctl enable tor
Узнать текущий статус, запущен ли Tor на Linux и добавлен ли в автозагрузку, можно командой
sudo systemctl status tor

3. Теперь Tor предоставляет нам локальный прокси-сервер, а многие программмы, в т.ч. браузеры и торрентокачалки, умеют работать через Тор, следовательно, можно завернуть их трафик в него.

Тип прокси: SOCKS5 Хост: localhost или 127.0.0.1 (заметьте, в /etc/hosts у вас прописано, что localhost — это алиас 127.0.0.1) Порт: 9050Вносим настройки в торрентокачалку, например, у одного из авторов статей это заработало со свободным торрент-клиентом Deluge: 

Теперь мы можем скачивать торренты через Tor в Linux (или FreeBSD), если оператор (Мегафон, Yota, МТС, Билайн) блокирует торренты и иные ограничения. Также можно настроить браузер для работы через Tor, например, чтобы попасть на сайт торрент-трекера, указав в нем аналогичные настройки прокси:

С помощью специальных расширений, например FoxyProxy для Chromium и FoxyProxy для Firefox можно настроить так, чтобы через прокси Тора шли запросы только к определенным сайтам, а ко всем остальным трафик шел напрямую. Это позволит и скорость интернета сохранить, и получить доступ к заблокированным сайтам, внеся их в список FoxyProxy для работы через прокси.

В файл настройки /etc/tor/torrc допишите такие строки:
ExcludeExitNodes {UA}, {RU}, {BY}, {KZ}, {TM}, {CN}
(если вы из Украины и хотите обойти украинские запреты, то {UA} уберите)
При запуске Тор автоматически выбирает выходную (откуда в конечном итоге выходит трафик во внешний мир) ноду, то есть точку, через которую в конечном итоге будет выходить ваш трафик, пройдя до нее цепочку других анонимизированных точек. Мы указали, что НЕ нужно использовать выходную ноду, расположенную в России, Беларуси, Украине, Казахстане, Туркменистане и Китае (список стран составлен на скорую руку от балды), потому что блокировки сайтов именно в этих странах мы можем пытаться обойти. Если нам нужно только качать торренты, то можно попробовать вместо этой строки наоборот указать, что использовать экзит-ноды только из России:
ExitNodes {RU}
Последнюю строку с указанием стран можно вообще опустить и не писать.
После внесения изменений нужно перезапустить tor:
sudo systemctl restart tor

Чтобы убедиться, что мы работаем через Тор, заходим на сайт https://check.torproject.org/ и видим зеленую галку, если через Тор,и красный крест, если нет.

Способ 2: скачиваем торренты и ходим на заблокированные сайты, имея удаленный сервер с доступом по SSH

Виртуальный сервер можно арендовать в 1cloud, т.к. там в выключенном состоянии оплата только за дисковое пространство, что позволит существенно сэкономить, если выключать сервер на время неиспользования.

Как качать файлы с Rutracker в обход блокировки на Linux

Существует много Torrent-трекеров в сети Интернет. Скачивание фильмов и любой печатной продукции является пиратством. Многие известные ранее сайты заблокированы.Некоторыми  можно пользоваться в обход запрету. Известный ранее сайт https://rutracker в данный момент блокируется. Есть способ обойти этот запрет. Данный способ опишу для браузера Оpera. Возможно есть обход и для других браузеров я не проверяла.

Если вы перейдете по ссылке выше, то ваш браузер скорее всего вам покажет, что сайта не существует.

Браузер его не открывает, это связано с тем, что Torrent-трекеры в нашей стране (Российской Федерации) нарушают авторские права, поэтому обычно они заблокированы. Есть один довольно легкий способ обойти блокировку.

Для обхода блокировки открываем браузер Opera. В верхней панели задач.

Нажимаем «Файл».

Далее «Загрузить расширения».

Открывается новая вкладка браузера. В поиске дополнений печатаем слово «Рутрекер».

Нажимаем «Доступ к Рутрекеру».

Напротив Доступ к Рутрекеру нажмите Добавить в Opera

Таким образом мы установили новое расширение в браузере. Это расширение позволяет браузеру увидеть наш сайт. Все ваши расширения находятся в верхней части браузера после адресной строки.

Проверяем работает ли расширение. Нажимаем на значок расширения.

Если плагин не активен, включите его. Если всё сделали как описано, при переходе по ссылке https://rutracker сайт откроется. Описанные выше действия подходят для любой операционной системы.

Скачиваем программу торрент-трекер на Linux

Есть два способа скачивания торрентов, через торрент или по magnet-ссылке. Не скажу какой способ лучше, везде свои нюансы. Прежде чем скачать свой первый файл необходимо скачать и установить программу для скачивания торрентов. Так как у меня операционная система Linux Ubuntu 16.04. Я покажу какой программой пользуюсь. Это программа Transmission.

Для того чтобы установить программу Transmission, найдите на панели задач Linux — Менеджер приложений Ubuntu.

Нажимаем на значок и открываются приложения.

Нас интересует категория «Интернет». Выбираем эту категорию.

Далее нажимаем «Передача файлов».

Среди всех программ нас интересует Transmission. У меня эта программа уже установлена, но у вас, если этой программы еще нет, при нажатии появится значок с надписью «Установить». Нам осталось лишь нажать и установить программу. Установка программы не вызовет у вас затруднения.

Значок установленной программы Transmission должен закрепиться на Панели задач (панель задач может быть внизу экрана или по бокам в зависимости от ваших настроек).

Но если у вас по какой-то причине значка не оказалось на панели, то вы легко можете найти программу сами.

Для этого: нажмите на “Поиск на компьютере” (выделен на скриншоте) и там вводим первые буквы названия нужной программы «Tr» или можно напечатать название программы целиком. Вам высветится нужная программа и вы просто перетаскиваете ее на панель задач.

Мы установили программу, которая поможет нам скачать наш первый файл через торрент. Осталось только зарегистрироваться на сайте Рутрекер. Регистрация достаточно банальна. Поэтому мы не будем останавливаться на этом и перейдем сразу к следующему шагу. Запомните, вы можете скачать торрент и без регистрации по magnet-ссылке.

Скачивание нужных файлов с Рутрекера

После регистрации выбираем понравившийся вам файл, для этого внимательно смотрим на главную страницу сайта. Она состоит из разделов.

Основные разделы:

  • Товары, услуги, игры и развлечения;
  • Новости;
  • Обход блокировок;
  • Вопросы по форуму и трекеру;
  • Кино, Видео и ТВ;
  • Сериалы; Документалистика и юмор;
  • Спорт; Книги и журналы;
  • Обучение иностранным языкам;
  • Обучающее видео;
  • Аудиокниги;
  • Авто и мото;
  • Музыка;
  • Популярная музыка;
  • Джазовая и Блюзовая музыка;
  • Рок-музыка;
  • Электронная музыка;
  • Hi-Res форматы, оцифровки;
  • Музыкальное видео;
  • Игры;
  • Программы и дизайн;
  • Мобильные устройства;
  • Apple;
  • Разное;
  • Обсуждение, встречи, общение.

Каждый сам выбирает какой раздел ему ближе. На нашем примере покажем как скачать художественный фильм. В принципе процесс скачивания файлов однотипен.

Если вы хотите скачать что-то конкретное, то вводим в строку поиска название, например, меня интересует фильм «Маяк». На скриншоте показан процесс. Мы ввели слово «маяк» в строку поиска и нам показали все файлы, где фигурирует данное слово.

Таким образом можно найти много интересного, например, если вы ищете конкретную книгу, то можно мимоходом накачать кучу другой литературы схожей тематики. Но в данном случае нас интересует конкретный фильм. Чтобы найти его, то просто пишем год выпуска к названию в строке поиска: «маяк 2019» и нам в большинстве случаях высветится именно этот фильм.

Так как наши компьютеры не резиновые, то надо смотреть на размер файла. Обычно я скачиваю фильмы размером от 1,5 гб до 2 гб, это фильмы приемлемого качества и не занимают много места. К тому же несколько фильмов подобного размера можно записать на DVD-диск. Если вы собрались записывать фильмы на болванку, то убедитесь, что формат фильма будет читать ваш DVD-плеер. Формат avi читает большинство плееров.

Посмотрите достаточно ли сидов стоит на раздаче.

Если сидов нет или мало, то файл будет скачиваться или слишком медленно, или не скачается вообще. Добавлю, что чем старея раздача и не популярней фильм, тем меньше будет людей на раздаче. И наоборот новинки в стадии показа раздают очень много людей.

Сиды — это те пользователи, которые делятся своим файлом, для того чтобы другие могли его скачать.

Мы выбрали подходящую нам раздачу.

Нажимаем «скачать torrent».

Ваш торрент попадает в папку для загрузки, которая стоит по умолчанию.

Теперь включаем программу Transmission.

Нажимаем кнопку «Открыть». Нам открывается наша папка куда загрузился интересующий нас торрент, выбираем его.

Откроются параметры торрента, следует нажать «Открыть».

Стоит добавить, что если в торренте есть какие-то файлы, которые вы не хотите загружать, например файл субтитров, то именно на этом шаге вы отменяете это, нажав на галочку.

Начнется закачка фильма. На скриншоте видно, что в программе несколько раздач, одни раздачи стоят, так как нет сидов, которые раздавали бы. Но так как мы скачиваем фильм «Маяк», а он достаточно свежий, то сидов достаточно. И если интернет у вас хороший, то скачается довольно быстро.

Стоит отметить, что если сидов нет сейчас, то не факт, что не будет вообще, ваш файл скачается позднее. Иногда это время растягивается. Но в любом случае как только люди начнут раздавать закачка пойдет. Вы сами можете раздавать скачанные файлы как сид.

Но имейте в виду если у вас лимит на Интернет, то лучше этого не делать, так как это съест весь ваш трафик и введет вас в денежный минус. Чтобы этого не произошло просто удалите торрент с программы. Для этого щелкните правой кнопкой мыши на торренте и выберете удалить. Удаляйте ваши торренты, только после того, как файл полностью скачается.

Чтобы найти скачанный файл:

Нажмите на торрент правой кнопкой мыши

Далее «Открыть папку», в таком случае вас вынесет в ту папку, в которую скачался ваш фильм (или другой файл).

Обход DPI на Windows, Linux и MacOS

Первый способ обойти DPI — воспользоваться утилитой GoodbyeDPI, доступной по адресу github.com/ValdikSS/GoodbyeDPI .

Это консольный инструмент, чтобы его запустить, нужно открыть командную строку от имени администратора, перейти в расположение исполняемого файла и выполнить команду:

goodbyedpi.exe -1 -a

Вместо -1 можно использовать ключи -2, -3 и -4, более подробную информацию ищите на странице разработчика.

GoodbyeDPI

GoodbyeDPI доступна только для Windows.

Второй более удобный вариант предполагает использование утилиты GreenTunnel с графическим интерфейсом.

GreenTunnel

Программа лишена настроек, вам нужно только ее установить, запустить и нажать одну единственною кнопку старта. Утилита кроссплатформенна, есть версии для Windows, Linux Debian и MacOS, актуальную версию берем со странички разработчика github.com/SadeghHayeri/GreenTunnel .

Обход DPI на Android

Пользователям Андроидов для обхода DPI можем посоветовать приложение DPITunnel, работающее по принципу локального HTTP-прокси и модифицирующего пакеты одним из перечисленных в начале статьи способов.

DPITunnel

На рутированных гаджетах автор приложения рекомендует установить в настройках использование DPITunnel прокси глобально, на устройствах с root в настройках Wi-Fi или APN нужно выставить прокси с адресом 127.0.0.1 и портом, указанным в настройках приложения.

DPITunnel

По умолчанию это 8080. В текущей версии не исключено падение сервиса после его неудачного завершения. В этом случае автор рекомендует выбрать другой порт в настройках приложения, также можно попробовать сбросить настройки DPITunnel из раздела управления приложениями. В Google Play приложение пока что не опубликовано, скачать его можно в виде установочного APK-файла на страничке разработчика github.com/zhenyolka/DPITunnel .

Прозрачный обход блокировок и доступ к сети Tor

Для начала нам нужен или роутер, или сервер, работающий в качестве прозрачного моста, пропускающего через себя весь трафик. Это может быть и существующий сервер, это может быть и коробочка с Raspberry Pi. Могут подойти и обычные компактные роутеры с Linux, если на них в принципе можно поставить необходимые пакеты.

Если подходящий роутер у вас уже есть, то настраивать отдельно мост не нужно и можно сразу перейти к настройке Tor.

Если же установка Tor на ваш роутер представляет проблему, то вам понадобится любой компьютер с двумя сетевыми интерфейсами и Debian Linux на борту. Его вы в конечном счёте подключите в разрыв сети между роутером, который смотрит во внешний мир, и вашей локальной сетью.

Если не до серверов и роутеров, то возможно получить все то же самое в рамках отдельного компьютера.

Настроим мост

Настройка моста в Debian проблемы не представляет. Вам понадобится программа brctl, которая есть в пакете bridge-utils:

apt install bridge-utilsПостоянная конфигурация для моста задаётся в /etc/network/interfaces. Если вы делаете мост из интерфейсов eth0 и eth1, то конфигурация будет выглядеть так:

# Отметим интерфейсы как настраиваемые вручную iface eth0 inet manual iface eth1 inet manual # Мост поднимается автоматически после перезагрузки auto br0 # Мост с получением IP по DHCP iface br0 inet dhcp bridge_ports eth0 eth1 # Мост со статическим IP iface br0 inet static bridge_ports eth0 eth1 address 192.168.1.2 netmask 255.255.255.0 gateway 192.168.1.1Вам нужно выбрать какую-то одну конфигурацию для моста: с динамическим IP или статическим.

Обратите внимание что на этом этапе не обязательно включать сервер в разрыв сети. Можно обойтись и одним подключенным интерфейсом.

Попросим систему применить новые настройки:

service networking reloadТеперь можно проверить существование моста командой brctl show:

# brctl show bridge name bridge id STP enabled interfaces br0 8000.0011cc4433ff no eth0 eth1Посмотреть выданный IP адрес, и проверить вообще факт выдачи какого-то IP по DHCP или статически, можно командой ip:

# ip —family inet addr show dev br0 scope global 4: br0: <broadcast,multicast,up,lower_up>mtu 1500 qdisc noqueue state UP inet 192.168.1.2/24 brd 192.168.1.255 scope global br0Если с IP адресами всё в порядке, то уже можно попробовать включить сервер в разрыв сети…

В конце концов все устройства в вашей сети, будучи включены через сервер, должны иметь полный доступ к глобальной сети будто никакого сервера между ними и внешним роутером нет. То же касается работы DHCP и прочего. Всё это стоит проверить до перехода к настройке Tor.

Если что-то работает не так же, как раньше, или вообще не работает, стоит сначала решить проблемы, лишь потом переходить к настройке собственно Tor.

</broadcast,multicast,up,lower_up>

Настроим демон Tor

Установка Tor выполняется обычно. Установим также базу данных привязки к странам:

apt install tor tor-geoipdbВ конец файла конфигурации /etc/tor/torrc нужно дописать директивы для включения функции прокси-сервера:

VirtualAddrNetworkIPv4 10.0.0.0/8 AutomapHostsOnResolve 1 TransPort 0.0.0.0:9040 DNSPort 0.0.0.0:5300Перезапустим Tor и проверим что DNS в нашей конфигурации работает на каком-нибудь известном сайте:

# service tor restart # dig +short facebookcorewwwi.onion @localhost -p 5300 10.11.127.156Последняя команда должна вывести IP из подсети 10.0.0.0/8.

При перезапуске Tor по делу ругается на использование публичного IP для TransPort и DNSPort, которые в самом деле могут быть доступны посторонним. Исправим это недоразумение, разрешив только соединения из локальной сети (в моём случае это 192.168.1.0/24):

iptables -A INPUT -s 192.168.1.0/24 -p tcp —dport 9040 -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -p udp —dport 5300 -j ACCEPT iptables -A INPUT -p tcp —dport 9040 -j DROP iptables -A INPUT -p udp —dport 5300 -j DROPПоследние два правила можно пропустить если у вас для цепочки INPUT по умолчанию стоит правило DROP.

Настроим доступ для всей локальной сети

Чтобы все устройства в сети смогли зайти на сайты в Tor нам нужно переадресовать все запросы к выделенной сети 10.0.0.0/8 на порт встроенного прокси-сервера Tor:

iptables -t nat -A PREROUTING -p tcp -d 10.0.0.0/8 -j REDIRECT —to-port 9040 iptables -t nat -A OUTPUT -p tcp -d 10.0.0.0/8 -j REDIRECT —to-port 9040Два правила для цепочек PREROUTING и OUTPUT мы добавляем чтобы схем работала не только с устройств в сети, но и с самого сервера. Если не требуется чтобы эта схема работала с самого сервера, то добавления правила в цепочку OUTPUT можно пропустить.

Переадресация DNS запросов к зоне .onion

Эту проблему можно было бы решить либо заменой DNS сервера на свой в DHCP ответах клиентам, либо, если у вас в сети не принято использовать локальный DNS сервер, перехватом всего DNS трафика. Во втором случае не нужно будет ровным счетом ничего настраивать, но все ваши клиенты, и вы в том числе, потеряете возможность делать произвольные запросы к произвольным серверам. Это очевидное неудобство.

Мы же будем переадресовать лишь DNS запросы, упоминающие домен .onion, на порт встроенного DNS сервера, оставляя все остальные запросы в покое:

iptables -t nat -A PREROUTING -p udp —dport 53 -m string \ —hex-string «|056f6e696f6e00|» —algo bm -j REDIRECT —to-ports 5300 iptables -t nat -A OUTPUT -p udp —dport 53 -m string \ —hex-string «|056f6e696f6e00|» —algo bm -j REDIRECT —to-ports 5300Магическая строка 056f6e696f6e00 связана с особенностями передачи точки в DNS запросах: она передаётся в виде длины следующей после неё строки. Потому в начале нашей магической строки стоит 0x05 для пяти символов в слове onion. В конце строки стоит нулевой байт 0x00 потому что корневой домен (точка) имеет нулевую длину.

Такой подход позволяет ваши пользователям (и вам самим) пользоваться какими им удобно DNS серверами, а также запрашивать информацию у любых DNS серверов без посредников. Вместе с тем никакие запросы в зоне .onion не будут попадать в открытый интернет.

Теперь попробуйте достучаться до какого-нибудь популярного сайта в сети Tor с любого устройства в локальной сети. Например, так:

$ curl -I facebookcorewwwi.onion HTTP/1.1 301 Moved Permanently Location: https://facebookcorewwwi.onion/Теперь вы можете прочитать эту же страницу через Tor.

Отладка и решение возможных проблем

Если хочется убедиться что никакие DNS запросы к .onion не идут дальше сервера, то их отсутствие можно проверить так:

ngrep -q -d br0 -q -W byline onion udp port 53В норме эта команда, выполненная на сервере, должна показать полное отсутствие пакетов — то есть не выводить ничего, чтобы вы не делали.

Если Firefox не видит .onion

Начиная с версии 45.0 в Firefox по умолчанию блокируются запросы к .onion для защиты от случайной деанонимизации, предусмотренной RFC 7686.

Если вам это мешает, а перспектива случайной деанонимизации вас не волнует (ведь мы уже не пускаем DNS запросы к .onion в открытый интернет), отключить эту настройку можно в about:config по ключу network.dns.blockDotOnion.

Мобильный Safari и .onion

Программы под iOS, включая Safari и Chrome, в принципе игнорирует .onion при работе по такой схеме. Как исправить эту проблему в рамках такой схемы мне неизвестно.

Провайдер подменяет IP в DNS

Некоторые провайдеры из экономических соображений, вместо блокировки сайтов по IP или через DPI, лишь подменяют IP для DNS запросов по списку запрещенных сайтов.

Простейшим решением этой проблемы будет переход на сервера Google Public DNS. Если это не помогает, а значит ваш провайдер перенаправляет вообще весь DNS трафик на свой сервер, то можно перейти на использование Tor DNS, в свою очередь переадресовав весь трафик на него:

iptables -t nat -A PREROUTING -p udp —dport 53 -j REDIRECT —to-ports 5300 iptables -t nat -A OUTPUT -p udp —dport 53 -j REDIRECT —to-ports 5300

В моей сети используются IP из 10.0.0.0/8

Нет проблем! Во всех директивах выше используйте какую-то другую подсеть из предназначенных для этого, исключая зарезервированные. Серьезно, обратите внимание на резервированные.

Кроме того, не обязательно использовать сразу весь диапазон — можно ограничиться и подсетью. Например, подойдет 10.192.0.0/10.

Обход блокировок через Tor

Для выхода на заблокированные сайты через Tor прежде всего нужно убедиться что вы не меняете шило на мыло, используя выходные узлы подверженные тем же ограниченияем что и вы в силу географического нахождения. Это можно сделать указав в torrc выходные узлы в каких странах нельзя использовать.

ExcludeExitNodes {RU}, {UA}, {BY}К счастью, и благодаря особенностям работы сети, ответственные ведомства сейчас рекомендуют (?) или использовать DPI, или блокировать сразу по IP. Это работает нам на руку потому что нам не нужно в реальном времени следить за тем, какое доменное имя какого заблокированного сайта резолвится сейчас в какой IP — за нас это уже сделано создателями реестра. Понятно что иногда вы можете всё-таки наткнуться на блокировку если, например, сайт поменял IP, а в реестре его ещё нет.

Если мы работаем только с IP адресами заблокированных сайтов, то для переадресации через Tor запросов к множеству IP лучше использовать программу ipset из одноименного пакета. Создадим таблицу в которой будут храниться все адреса:

ipset -exist create blacklist hash:ipТеперь мы можем добавить переадресацию для всех IP из списка на порт прокси-сервера Tor:

iptables -t nat -A PREROUTING -p tcp -m multiport —dports 80,443 \ -m set —match-set blacklist dst -j REDIRECT —to-port 9040 iptables -t nat -A OUTPUT -p tcp -m multiport —dports 80,443 \ -m set —match-set blacklist dst -j REDIRECT —to-port 9040В этих правилах мы намеренно указываем только порты под HTTP и HTTPS: вы можете захотеть проверить работу какого-то сайта по другим каналам. Или же, не дай бог, зайти по SSH на какой-то IP из списка.

Проверим переадресацию

Проверим что наша схема с переадресацией в принципе работает. Для этого добавим в черный список IP сайта для проверки настройки Tor.

ipset add blacklist $(dig +short check.torproject.org)Теперь зайдите на сам проверочный сайт check.torproject.org и убедитесь что вас поздравляют с успешной настройкой.

Если это не так, то проверьте ещё раз что вы задали все правила для iptables. Это можно сделать такой командой:

iptables-save -t natВсего у вас должно быть шесть правил в двух цепочках PREROUTING и OUTPUT.

Открываем заблокированные сайты через Tor

Получить список заблокированных адресов можно через API, любезно предоставленное проектом РосКомСвобода. Получим текущий список IP адресов и добавим их в таблицу для разблокировки, предварительно очистив ранее добавленные IP адреса:

ipset flush blacklist curl reestr.rublacklist.net/api/ips | grep -Eo ‘[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}’ | xargs -n1 ipset add blacklistЭта операция занимает существенное время, потому ждём спокойно. При этом сам список много памяти не займет — 30 тысяч IP адресов занимают лишь порядка 500 кб.

Проверяем доступность на первом попавшемся запрещенном сайте из списка. Например, на LinkedIn.

Обновляем реестр

Реестр не стоит на месте и список заблокированных сайтов пополняется. Потому вам нужно время от времени выгружать актуальный список IP и добавлять его в ipset. Лучше всего это делать не выгружая весь список целиком каждый раз, а выкачивая только изменения, например, отсюда c GitHub.

#!/bin/bashset-emkdir-p /var/local/blacklist cd /var/local/blacklist git pull -q|| git clone https://github.com/zapret-info/z-i.git . ipset flush blacklist tail +2 dump.csv | cut-f1-d\; | grep-Eo'[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}’ | tee /var/local/blacklist/blacklist.txt | xargs -n1 ipset add blacklistВозможно удалять и добавлять только изменившиеся в списке IP, для чего вам может git whatchangedпригодится .

Если вам подходит скрипт выше, то ему самое место в /etc/cron.daily/blacklist-update. Не забудьте дать этому файлу права на выполнение.

chmod +x /etc/cron.daily/blacklist-update

Сохраняем настройки

Естественно вы захотите сохранить где-то все настройки iptables чтобы не вводить их заново при каждой перезагрузке. Если вы этого уже не делаете как-то ещё, то вам поможет пакет…

apt install iptables-persistentПри первой установке будет предложено сохранить все текущие правила. Если вы их измените и захотите чтобы после перезагрузки изменения остались, то вам необходимо сохранить их повторно:

dpkg-reconfigure iptables-persistentК сожалению, такого же удобного пакета для ipset пока нет, но эта проблема решается скриптом /etc/network/if-pre-up.d/ipset:

#!/bin/sh ipset -exist create blacklist hash:ip cat /var/local/blacklist/blacklist.txt | xargs -n1 ipset add -exist blacklistОбязательно нужно дать и этому скрипту права на выполнение:

chmod +x /etc/network/if-pre-up.d/ipsetПри следующей перезагрузке этот скрипт выполнится и восстановит список заблокированных IP.

Если забыть о серверах…

Окей, скажите вы, ну а что если я хочу получить все тот же удобный доступ к .onion, но без серверов — локально, на одном компьютере?

Нет проблем! В этом случае все даже проще. Хватить добавить эти три строчки в torrc:

AutomapHostsOnResolve 1 TransPort 9040 DNSPort 5300Затем эти два правила для iptables:

iptables -t nat -A OUTPUT -p tcp -d 127.192.0.0/10 -j REDIRECT —to-port 9040 iptables -t nat -A OUTPUT -p udp —dport 53 -m string \ —hex-string «|056f6e696f6e00|» —algo bm -j REDIRECT —to-ports 5300И можно проверять. Доступ к заблокированным сайтам настраивается по инструкции выше.

Ложка дёгтя

Несмотря на простоту и удобство этот подход наследует часть недостатков сети Tor.

На запрещенные сайты в сети вы заходите от имени выходных узлов, что даёт администраторам выходных узлов принципиальную возможность наблюдать ваш трафик и ваши пароли, если для доступа к целевому сайту не используется шифрование (должны быть https в начале адреса или зеленый замочек в адресной строке).

Можно было бы понадеяться что администраторы таких узлов не будут следить за вами из соображений их собственного крепкого ночного сна, но…

Если вы заходите на какой-то сайт по незащещённому соединению, через Tor ли напрямую, нужно всегда иметь ввиду что ваши логины и пароли в принципе могут оказаться в папке с литерами на столке у человека в погонах.

Обход блокировки сайта при помощи прокси сервера?

Этот способ имеет общее основание с первым, но тут всё более гибко. Вы ищете в интернете списки бесплатных прокси серверов — их много. Единственная проблема может быть в медленной скорости или полной не работоспособности многих ip адресов.

Набираем в Яндексе фразу «Список бесплатных прокси» и начинаем тестировать. Мне сразу попался сайт proxy-besplatno.com на котором выложен целый список прокси с рейтингом пользователей:

как обойти блокировку сайтов прокси сервером

Чем хорош этот способ? Тем, что IP адрес прокси сервера прописывается прямо в браузере, и никакой админ не может это заблокировать. Открываем Firefox, идём в Правка — Настройки — Дополнительно — Сеть — Настроить и в появившемся окне вписываем IP адрес и порт:

блокировку сайта

Пробуем обойти блокировку сайта ОЧЕНЬ МЕДЛЕННО, но сайт открывается!

блокировку сайта обойти

Как и в первом случае, не стоит вводить важные пароли, если они вам действительно дороги. Но как и в первом случае, часто в этом нет необходимости. Ну а если вам нужен скоростной, защищённый прокси, то скорее всего вам будет нужно его купить где нибудь. Иногда лучше заплатить пару долларов в месяц и пользоваться интернетом анонимно и безопасно, и на большой скорости!

Как обойти блокировку используя I2P сети?

В этом случае всё намного сложнее, но и намного безопасней. I2P сети специально создавались для того, чтобы обойти блокировку сайтов и оставаться полностью анонимными. Технология и архитектура I2P-сети реализована таким образом, что любой ее участник имеет информацию в виде ID номеров (открытых ключей) только соседних компьютеров.

Вся информация, которая идет через каждого участника — это зашифрованные байты части информации. По своей сути, сеть I2P является децентрализованной, то есть в ней нет главного управляющего сервера или DNS-сервера.

А всё это значит, что можно не только обойти блокировку сайтов, но и при этом оставаться анонимным на 100%. Как подключить протокол I2P в Ubuntu Linux? Добавим нужный репозиторий и скачаем необходимые пакеты:

<текстареа wrap=»soft» class=»urvanov-syntax-highlighter-plain print-no» data-settings=»dblclick» readonly=»» style=»-moz-tab-size:4; -o-tab-size:4; -webkit-tab-size:4; tab-size:4; font-size: 18px !important; line-height: 18px !important;»> sudo apt-add-repository ppa:i2p-maintainers/i2p

1 sudo apt-add-repository ppa:i2p-maintainers/i2p

<текстареа wrap=»soft» class=»urvanov-syntax-highlighter-plain print-no» data-settings=»dblclick» readonly=»» style=»-moz-tab-size:4; -o-tab-size:4; -webkit-tab-size:4; tab-size:4; font-size: 18px !important; line-height: 18px !important;»> sudo apt-get update

1 sudo apt-get update

<текстареа wrap=»soft» class=»urvanov-syntax-highlighter-plain print-no» data-settings=»dblclick» readonly=»» style=»-moz-tab-size:4; -o-tab-size:4; -webkit-tab-size:4; tab-size:4; font-size: 18px !important; line-height: 18px !important;»> sudo apt-get install i2p

1 sudo apt-get install i2p

После этого запускаем сервис:

<текстареа wrap=»soft» class=»urvanov-syntax-highlighter-plain print-no» data-settings=»dblclick» readonly=»» style=»-moz-tab-size:4; -o-tab-size:4; -webkit-tab-size:4; tab-size:4; font-size: 18px !important; line-height: 18px !important;»> sudo i2prouter start

1 sudo i2prouter start

Остановить сервис можно командой:

<текстареа wrap=»soft» class=»urvanov-syntax-highlighter-plain print-no» data-settings=»dblclick» readonly=»» style=»-moz-tab-size:4; -o-tab-size:4; -webkit-tab-size:4; tab-size:4; font-size: 18px !important; line-height: 18px !important;»> sudo i2prouter stop

1 sudo i2prouter stop

После этого идём в настройки браузера Firefox, как это было в случае настройки прокси: Правка — Настройки — Дополнительно — Сеть — Настроить и в появившемся окне вписываем IP адрес и порт: 127.0.0.1 и порт 4444

как обойти блокировку сайтов при помощи i2p

Открываем наш тестовый сайт и о, чудо, он открылся!

открытие заблокированного сайта

Открылось всё не очень быстро. Но всё это можно отрегулировать. Для этого открываем другой браузер (на этом браузере с нашими настройками панель управления не откроется) и вводим адрес: _http://127.0.0.1:7657/home и получаем панель управления I2P:

консоль маршрутизатора I2P

Заходим по этому адресу _http://localhost:7657/config и настраиваем скорость нашего соединения.

Так же можно зайти по этому адресу _http://localhost:7657/susidns/subscriptions.jsp и добавляем дополнительные подписки:

<текстареа wrap=»soft» class=»urvanov-syntax-highlighter-plain print-no» data-settings=»dblclick» readonly=»» style=»-moz-tab-size:4; -o-tab-size:4; -webkit-tab-size:4; tab-size:4; font-size: 18px !important; line-height: 18px !important;»> _http://inr.i2p/export/alive-hosts.txt

1 _http://inr.i2p/export/alive-hosts.txt

Вообще в панели управления очень много разных настроек и вы можете сами поэкспериментировать с ними. Если вы захотите переконфигурировать саму службу I2P, то введите в терминале команду:

<текстареа wrap=»soft» class=»urvanov-syntax-highlighter-plain print-no» data-settings=»dblclick» readonly=»» style=»-moz-tab-size:4; -o-tab-size:4; -webkit-tab-size:4; tab-size:4; font-size: 18px !important; line-height: 18px !important;»> sudo dpkg-reconfigure i2p

1 sudo dpkg-reconfigure i2p

Можно настроить некоторые параметры сервиса I2P:

Настраивается пакет i2p

Всё бы хорошо, но служба отказалась работать с протоколом HTTPS, а это странно. Может я что-то не до настроил? Если у вас будет желание с этим разобраться и у вас получится запустить в сети i2p протокол https, то напишите пожалуйста в комментариях, я добавлю решение в статью.

Кстати, вот пара сайтов, которые находятся в этой сети: www.i2p2.i2p и hiddenchan.i2p и не доступны в обычном интернете — эти сайт должны открываться точно. Но на этом способы ещё далеко не заканчиваются.

Как обойти блокировку при помощи TOR?

TOR — это такой прокси-сервер, который вы устанавливаете на своей машине. Этот прокси сервер обеспечивает подключение к серверам Tor, периодически образуя цепочку сквозь сеть Tor, которая использует криптографию многоуровневым способом. Выглядит это так:

как обойти блокировку сайтов с tor

Если просто, то прежде чем подключиться к какому-то сайту, вы сначала подключаетесь к компьютеру Васи, от него к компьютеру Джона, от него к компьютеру Стива, и потом только к нужному сайту. Ваши следы теряются и крайнего уже не найти.

И так как пользователи, которые у себя тоже установили TOR, живут в разных концах мира, то вы легко можете обойти блокировку сайтов. Как установить у себя на компьютере TOR?

Самое простое — это установить дополнение к браузеру. В Firefox есть дополнение Tor-Proxy.NET Toolbar, но оно не работало с последней версией браузера (18), поэтому я установил другое дополнение — FoxTor.

Это отдельный сервис, который использует технологию TOR, а в будущем обещает подключить и сети JonDo с I2P. Есть два тарифных плана: бесплатный и платный:

блокировка сайтов обойти tor

В принципе, и бесплатного тарифного плана многим будет достаточно. Я установил данное дополнение и попробовал открыть наш тестовый сайт: всё открылось.

блокировка сайтов обойти как

В панели браузера появится значок дополнения, при нажатии на который появляется контрольная панель. Тут можно отключит TOR или произвести дополнительные настройки.

Но можно обойтись и без дополнений в браузере, а установить TOR прямо в систему. Открываем терминал и устанавливаем:

<текстареа wrap=»soft» class=»urvanov-syntax-highlighter-plain print-no» data-settings=»dblclick» readonly=»» style=»-moz-tab-size:4; -o-tab-size:4; -webkit-tab-size:4; tab-size:4; font-size: 18px !important; line-height: 18px !important;»> sudo apt-get install vidalia tor

1 sudo apt-get install vidalia tor

На выходе получаем вот такую программу vidalia, которая служит для настройки и запуска прокси сервера TOR:

Подключение к tor

Во время настройки этой программы появилось окно, что эта версия TOR устарела и мне предложили перейти по адресу torproject.org и скачать последнюю версию TOR для Linux.

скачать tor для linux

Скачиваем и распаковываем скачанный архив, а затем запускаем файл start-tor-browser из распакованной папки. Запускается уже знакомая нам программа vidalia, происходит подключение к серверу TOR.

А затем автоматически запускается специальная версия браузера Firefox 10, который уже настроен для работы через прокси сервер. Вводим адрес нашего контрольного сайта и проверяем:

tor браузер

Как видите, всё работает и при этом достаточно шустро. И самое главное, работает протокол HTTPS, поддерживающий шифрование. Теперь достаточно безопасно для того, чтобы вводить пароли. Мне понравилось это решение, так как эта программа не требует установки на компьютер и её можно запускать даже с флешки.

Вот таким способом можно обойти блокировку сайтов, на которых требуется авторизация. Но это не последний способ, который можно использовать для того, чтобы обойти блокировку сайтов.

Как обойти блокировку при помощи анонимайзера?

Что такое анонимайзер? По сути это прокси сервер с web интерфейсом. Любой web мастер имеющий место на хостинге может создать свой анонимайзер.

На этом сайте я тоже установил бесплатный движок такого анонимайзера — glype.com.Так как мой хостинг находится в Нидерландах, то весь трафик идёт через эту страну, Мегафон тут бессилен!

обойти блокировку сайтов

Вот этот несчастный, плачущий ресурс, который из-за какого-то Nazi не могут читать русские люди! По крайней мере те, кто знает английский…
Но при пользовании анонимайзерами стоит помнить:

Использование анонимайзера не только не обеспечивает конфиденциальности передаваемых данных между пользователем и целевым веб-сервером, но и является дополнительным звеном возможности утечки персональной информации. Не рекомендуется при работе через анонимайзер использовать сколько-нибудь значимые учётные записи, так как они могут быть легко скомпрометированы на сервере-анонимайзере.

Вы можете читать информацию, скачивать файлы, но вводить пароли от почты или тем более кредитных карт НЕЛЬЗЯ! ЭТО ОПАСНО!

Но чаще всего простым пользователям этого и не нужно. Максимум, что они могут потерять — это пароль от «Одноклассников». Ведь на работе в офисах администраторы чаще всего блокируют именно социальные сети, чтобы люди работали, а не сидели в сетях.

И проблема в том, что админы тоже не дураки и про анонимайзеры они знают, а поэтому блокируют и их. Но не все конечно, а самые известные. Поэтому знать мало кому известный анонимайзер или даже иметь свой — единственный способ для многих пообщаться на обеде с «Одноклассниками». Но это только первый, самый простой способ обойти блокировку сайтов.

Как обойти блокировку с Opera Turbo?

Это ещё один простой, но достаточно надёжный способ обойти блокировку сайтов. У браузера Opera есть встроенная функция — TURBO. Она предназначена для экономии трафика, так как сжимает его, пропуская через свои сервера. При этом обрабатывается только простой трафик, а шифрованный не проходит никакой обработки. В итоге мы имеем защищённое соединение, которое идёт через сервера компании Opera.

Включить функцию очень просто, нужно в левом углу нижней панели нажать кнопку «opera turbo».

как обойти блокировку сайта с Opera Turbo

Всё, теперь мы можем зайти на тестовый заблокированный сайт и даже вводить спокойно пароли, если это необходимо. Посмотрим, что думают посещаемые нами сайты? А они думают, что мы живём в Европе!

обойти блокировку с opera

Этот метод хорош тем, что обойти блокировку сайтов таким образом можно и на смартфоне, установив на нём Opera Mini — там по умолчанию стоит этот режим. При этом скорость соединения в режиме Opera Turbo сильно не снижается, так как трафик дополнительно ещё и сжимается.

Обход блокировок Роскомнадзора при помощи ipv6 и 3proxy в черновиках Tutorial

Самым дешёвый тариф, который я нашёл, на Free-www.ru тариф s-kvm mini за 65 рублей в месяц + 1 рубль за ipv6. Если есть дешевле — подскажите. Ведь Земноводное требует экономить!
По привычке я выбрал шаблон с CentOS7.
После заказа и оплаты Вам на почту упадут доступы к серверу. Подключаемся ssh клиентом (например, putty)
Сразу проверьте доступность ipv6 адресов
ping6 -c1 google.com
Если узел ответил, то продолжаем.

Устанавливаем 3proxy

yum install -y git gcc git clone https://github.com/z3APA3A/3proxy/ cd 3proxy make -f Makefile.Linux make -f Makefile.Linux install cp scripts/rc.d/proxy.sh /etc/init.d/3proxy sed -i ‘s:/usr/local/etc/3proxy/bin/3proxy:/usr/local/bin/3proxy:g’ /etc/init.d/3proxy chmod +x /etc/init.d/3proxy mkdir /var/log/3proxy/ systemctl enable 3proxy
Пишем конфиг файл /usr/local/etc/3proxy/3proxy.cfg
/usr/local/etc/3proxy/3proxy.cfg#!/usr/local/bin/3proxy
nserver [2001:4860:4860::8844]
nserver 8.8.8.8
nscache 65536
nscache6 65536
timeouts 1 5 30 60 180 1800 15 60
daemon
#Для отладки включите логи, раскомментировав строки ниже.
# После верните # чтобы не засирать диск.
#log /var/log/3proxy/log D
#archiver gz /bin/gzip %F
#rotate 30
#Здесь прописываем Ваши адреса для выхода (выданные хостером)
external 192.0.2.35
external 2001:db8:55::9
#и для входа
internal 192.0.2.35
#Прописываем пользователей для авторизации в формате логин:Шифрование:пароль
#в нашем случае логин1=tg шифрования_нет=CL пароль_текстом=tgtest1
#тоже самое с пользователем testuser
users tg:CL:tgtest1 testuser:CL:TesT
#Настраиваем подключение к http прокси только для логинов tg,testuser
# -64 = если у домена есть адрес ipv6, то идём по нему.
#Если есть только ipv4, то используем его. Сделал этот профиль для браузера.
# -p41000 — номер порта, на котором надо слушать
auth strong
allow tg,testuser * * * *
deny *
proxy -64 -p41000
#Настраиваем socks5. Сделал только для Телеграма
# -6 — Использовать только ipv6. Если его нет, то ipv4 не будет использоваться
flush
auth strong
allow tg * * * *
deny *
socks -6 -p42555
Более детально с возможностями 3proxy можете ознакомится на официальном сайте на русском языке
Вы можете при желании настроить несколько блоков под разные задачи. Например, запустив несколько socks с Ipv4 или ipv6 на разных портах.

Запускаем прокси
systemctl start 3proxy
Не забудьте в фаерволе открыть порты, указанные вами в конфиге

Базовая защита сервера

Разумеется, чтобы Ваш сервер не взломали, то надо предусмотреть хотя бы минимальные меры. Например, настроить фаервол, установить fail2ban, создать пользователя с рут правами, а самому root запретить авторизоваться по ssh и т.д.
О мерах защиты много опубликованного материала.
Что я сделал для себя. Не является окончательным вариантомЯ не люблю firewalld и поэтому его отключаю и ставлю любимый iptables-services. Так же ставим fail2ban
yum install -y epel-release yum install -y iptables-services fail2ban systemctl stop firewalld systemctl disable firewalld systemctl enable iptables service iptables save systemctl start iptables
Открываем в фаерволе наши порт, указанные в конфиге 3proxy
iptables -I INPUT -p tcp -m multiport —dports 41000,42555 -m comment —comment «proxy» -j ACCEPT service iptables save
Правим настройки fail2ban /etc/fail2ban/jail.conf
#Находим этот блок и вставляем ip адреса. Это белый список, которые банить нельзя
ignoreip = 127.0.0.1/8 198.51.100.0/24 203.0.113.30 203.0.113.155/31
Сразу после записи JAILS вставляем следующее
# JAILS
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
logpath = /var/log/secure
maxretry = 3
Всё. Запускаем
systemctl enable fail2ban
systemctl start fail2ban

Не забудьте выключить SELinux.

 

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: