TCP Conntrack matching + TCP ports filtering

[Waujito]

Данный PR добавляет возможность фильтрации TCP-портов и сопоставления TCP-пакетов по порядку в соединении, вместо сопоставления по TLS. Идея состоит в том, чтобы обходить блокировки различных протоколов в сетях Cloudflare в России. Один из примеров, который я уже обнаружил, - протоколы онлайн-игр. Эти протоколы не блокируются целенаправленно ТСПУ, но поскольку РКН стремится заблокировать большую часть Cloudflare ECH, они случайно затронули даже безвредные протоколы, такие как протокол Minecraft: mc.hypixel.net использует Cloudflare, но Minecraft работает по собственному протоколу на порту 25565. В настоящее время ТСПУ блокирует весь трафик Cloudflare, который не может распознать, например, любые протоколы, кроме TLS.

Возможное решение этой проблемы:

sudo ./build/youtubeUnblock --use-conntrack --tls=disabled --tcp-match-connpackets=4 --tcp-dport-filter=25565 --frag-sni-pos=1 --fake-sni=1 --faking-strategy=tcp_check,timestamp

Также не забудьте добавить правило для порта 25565 в список правил фаервола:

sudo iptables -t mangle -A YOUTUBEUNBLOCK -p tcp --dport 25565 -m connbytes --connbytes-dir original --connbytes-mode packets --connbytes 0:19 -j NFQUEUE --queue-num 537 --queue-bypass