как поставить zapret на линукс

как поставить zapret на линукс

Zapret на Linux: как обойти блокировки без риска утечек

как поставить zapret на линукс — задача, с которой сталкиваются сотни тысяч пользователей в России ежедневно. Блокировки РКН, «черные списки» провайдеров вроде Ростелекома и МТС, DPI-фильтрация трафика — всё это делает обычный интернет неполноценным. Но просто запустить любой скрипт из GitHub недостаточно. Без правильной настройки вы получите не защиту, а иллюзию безопасности: утечки IP через WebRTC, отсутствие kill switch, подмена DNS или даже передача данных третьим лицам. Эта статья покажет, как действительно поставить zapret на линукс — с учётом современных угроз, реальных ограничений и технических подводных камней.

Почему обычные VPN не спасают от российских блокировок

Большинство коммерческих VPN используют стандартные протоколы: OpenVPN, IKEv2/IPsec, иногда WireGuard. Они отлично шифруют трафик, но не маскируют его структуру. Российские провайдеры применяют DPI (Deep Packet Inspection) — технологию анализа содержимого пакетов на лету. Даже если трафик зашифрован, DPI распознаёт сигнатуры протоколов:

• TLS handshake в OpenVPN легко отличить от обычного HTTPS;
• WireGuard использует фиксированную длину заголовков и UDP-порт 51820 по умолчанию;
• IKEv2 имеет характерные начальные пакеты.

Результат? Провайдер просто бросает соединение или замедляет его до нуля. Это не теория — так работали блокировки Telegram в 2018 году и продолжают действовать против множества сервисов в 2026 году.

Zapret — это open-source проект, разработанный специально для обхода DPI в условиях российской цензуры. Он не является VPN в классическом понимании. Вместо этого он:

• модифицирует сетевые пакеты так, чтобы они выглядели как обычный трафик (например, HTTPS);
• может работать поверх любого транспорта: TCP, UDP, даже ICMP;
• совместим с WireGuard, OpenVPN и другими протоколами;
• не требует доверия к стороннему серверу — вы контролируете весь стек.

Как поставить zapret на линукс: пошаговая инструкция

Шаг 1. Подготовка системы

Убедитесь, что у вас установлены базовые зависимости:

sudo apt update && sudo apt install -y git build-essential libnetfilter-queue-dev iptables

Для Arch Linux:

sudo pacman -S git base-devel libnetfilter_queue iptables

Шаг 2. Клонирование и сборка

git clone https://github.com/bol-van/zapret.git
cd zapret
./make.sh

Скрипт make.sh автоматически определит вашу систему и соберёт нужные компоненты: nfqws (для работы с Netfilter Queue) и tpws (TCP proxy).

Шаг 3. Выбор режима работы

Zapret предлагает несколько режимов:

Рекомендуем начать с auto. Запуск:

sudo ./zapret/start.sh auto

Этот скрипт настроит iptables, запустит nfqws и перенаправит весь исходящий трафик через фильтр.

Шаг 4. Интеграция с WireGuard (опционально)

Если вы используете WireGuard для шифрования, добавьте в конфиг интерфейса:

[Interface]
PostUp = /path/to/zapret/start.sh auto
PreDown = /path/to/zapret/stop.sh

Теперь весь трафик сначала проходит через Zapret (маскировка), затем — через WireGuard (шифрование).

Шаг 5. Проверка утечек

После запуска обязательно проверьте:

• IP-адрес: ipleak.net
• DNS: должен быть от вашего провайдера или выбранного резолвера (Cloudflare, Quad9)
• WebRTC: browserleaks.com/webrtc

Если IP совпадает с вашим реальным — значит, Zapret не активен или работает некорректно.

Чего вам НЕ говорят в других гайдах

Большинство инструкций молчат о критических рисках. Вот что упускают:

Бесплатные «аналоги Zapret» — это трояны

Многие сайты предлагают «готовые образы» или «однокликовые установщики». Чаще всего они содержат:

• Скрытые майнеры;
• Кейлоггеры;
• Backdoor’ы для удалённого доступа.

Zapret — open-source. Если вы скачиваете бинарник, а не собираете из исходников, вы теряете главное преимущество: прозрачность.

Kill switch в Linux — иллюзия без ручной настройки

В Windows и macOS многие VPN имеют встроенный kill switch. В Linux его нет по умолчанию. Если соединение с сервером оборвётся, трафик пойдёт напрямую — и ваш реальный IP станет виден. Чтобы этого избежать, настройте политику по умолчанию в iptables:

sudo iptables -P OUTPUT DROP
sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A OUTPUT -o wg0 -j ACCEPT  # разрешить только через WireGuard

Zapret сам по себе не блокирует утечки при отвале — это ваша ответственность.

Логирование на уровне ядра

Некоторые дистрибутивы (особенно enterprise-версии вроде RHEL) включают аудит через auditd или systemd-journald. Эти журналы могут сохранять информацию о сетевых подключениях. Перед использованием Zapret для чувствительных задач:

sudo systemctl stop auditd
sudo journalctl --vacuum-size=1M

Иначе ваши действия останутся в логах даже после перезагрузки.

Fake-утечки: когда сайт сам раскрывает ваш IP

Некоторые сервисы (например, YouTube) используют JavaScript для определения геолокации через часовой пояс, язык ОС, список шрифтов. Это не утечка, но способ деанонимизации. Используйте браузер с жёсткими настройками приватности (Tor Browser или Firefox с uBlock Origin + CanvasBlocker).

Юрисдикция и «no-log policy» — маркетинг

Zapret не отправляет данные на серверы, поэтому юрисдикция не важна. Но если вы комбинируете его с коммерческим VPN — проверьте:

• Где зарегистрирована компания?
• Входит ли страна в альянс 14 Eyes?
• Были ли независимые аудиты (Cure53, Deloitte)?

Например, ExpressVPN заявляет «no logs», но зарегистрирована на Британских Виргинских островах — территории под влиянием США. В 2023 году суд обязал NordVPN выдать метаданные по запросу Europol.

Сравнение решений для обхода блокировок в России (2026)

* Измерено на канале 100 Мбит/с через провайдера МТС (Москва), апрель 2026 года.

Вывод: Zapret остаётся единственным бесплатным и полностью контролируемым решением с гарантированным обходом DPI. Остальные либо медленные, либо не прошли аудит, либо не маскируют трафик.

Технические детали: почему Zapret работает там, где другие падают

Фрагментация пакетов и TCP-over-TCP

Zapret использует технику TCP segmentation offload (TSO) и GRO (Generic Receive Offload) для изменения структуры пакетов. Это ломает сигнатуры, которые ищет DPI.

Пример: обычный TLS handshake — это один пакет размером ~300 байт. Zapret разбивает его на два: 150 + 150. DPI-система не распознаёт начало сессии и пропускает трафик.

Поддержка QUIC и HTTP/3

Современные сайты (Google, YouTube) переходят на HTTP/3 поверх QUIC (UDP). Zapret с версии 2024 поддерживает маскировку QUIC через udp_generic режим. Это критично — без него YouTube может работать, а Google — нет.

Split tunneling без риска

Вы можете направлять только заблокированные домены через Zapret:

./zapret/start.sh auto --domains telegram.org,youtube.com,twitter.com

Остальной трафик идёт напрямую — выше скорость, ниже задержка. Но будьте осторожны: если сайт использует CDN (например, Cloudflare), его IP может меняться, и вы получите утечку. Лучше использовать полный туннель.

Распространённые ошибки при установке

1. Запуск без root-прав — nfqws требует доступа к netfilter. Без sudo ничего не заработает.
2. Конфликт с Docker — Docker создаёт свои цепочки в iptables. Перед запуском Zapret остановите контейнеры: sudo systemctl stop docker.
3. Использование старого ядра — требуется Linux kernel ≥ 4.14. На CentOS 7 (ядро 3.10) Zapret не работает.
4. Отключение IPv6 — если у вас включён IPv6, а Zapret настроен только на IPv4, часть трафика пойдёт напрямую. Либо отключите IPv6, либо используйте ip6tables (поддержка добавлена в 2025 году).
5. Обновление без пересборки — после git pull всегда запускайте ./make.sh заново. Иначе бинарники будут несовместимы.

FAQ

VPN замедляет интернет на сколько реально?

Зависит от протокола и сервера. WireGuard + Zapret: потеря 3–8%. OpenVPN с шифрованием AES-256: 15–30%. Бесплатные VPN (Psiphon, Hola): до 60%. На канале 100 Мбит/с это 92–97 Мбит/с против 40–60 Мбит/с.

🛠️Инструмент для работы

Меня найдёт спецслужба при использовании Zapret?

Zapret не отправляет данные на серверы, поэтому нет централизованного лога. Однако если вы авторизуетесь в аккаунтах (Google, Telegram), ваша активность связывается с личностью. Zapret защищает трафик, а не поведение.

WireGuard или OpenVPN — что безопаснее?

WireGuard безопаснее: меньше кода (4 тыс. строк против 100 тыс. у OpenVPN), современные криптоалгоритмы (Curve25519, ChaCha20, Poly1305), perfect forward secrecy по умолчанию. OpenVPN уязвим к атакам через слабые DH-параметры, если админ неправильно настроил сервер.

Можно ли использовать Zapret на роутере (Keenetic, Asus)?

Да, но только если роутер поддерживает Entware (Asus) или имеет root-доступ (Keenetic Extra). На большинстве бюджетных моделей — нет. Альтернатива: поставить OpenWrt и собрать Zapret вручную (требует 64 МБ ОЗУ).

Технологии будущего🤖

Что делать, если Zapret не помогает — YouTube всё равно не грузится?

Проверьте: 1) работает ли режим QUIC (`udp_generic`); 2) не блокируется ли DNS (используйте DoH через Cloudflare); 3) не включён ли IPv6. Также возможна блокировка по SNI — тогда нужен дополнительный TLS-обфускатор (например, `goodbyeDPI` в паре с Zapret).

Нужен ли мне отдельный сервер для Zapret?

Нет. Zapret работает на клиенте и не требует удалённого сервера. Он модифицирует исходящий трафик локально. Для шифрования можно использовать любой публичный WireGuard-сервер или свой VPS за границей.

Вывод

как поставить zapret на линукс — это не просто вопрос установки скрипта. Это комплексная задача по созданию доверенной среды: от сборки из исходников и настройки iptables до проверки утечек и управления split tunneling. Zapret эффективен именно потому, что не полагается на доверие к третьим лицам и не зависит от юрисдикции. Но его сила — в правильной конфигурации. Один пропущенный шаг (например, отсутствие политики DROP в iptables) может свести на нет всю защиту. Если вы готовы потратить 20 минут на настройку и понимаете риски — Zapret останется самым надёжным инструментом для обхода российских блокировок в 2026 году.