установка zapret на linux
установка zapret на linux
Установка zapret на Linux: как обойти DPI без иллюзий безопасности
Почему «просто поставить» — недостаточно
установка zapret на linux — это не волшебная кнопка для обхода блокировок. Это техническое решение против глубокого анализа трафика (DPI), применяемого российскими провайдерами, такими как Ростелеком или МТС. Но если вы думаете, что после установки всё «само заработает», вы рискуете остаться без доступа к нужным ресурсам или даже утечкой трафика.
Zapret — это open-source проект, разработанный российским энтузиастом, который использует методы обфускации пакетов (например, через nfqws, tpws, goodbyedpi) для маскировки HTTPS-трафика под обычный шум. Он не является VPN, не шифрует весь ваш трафик и не скрывает ваш IP от конечного сервера. Его задача — обмануть именно DPI-системы, которые блокируют по сигнатурам пакетов.
В этой статье мы разберём:
- Как правильно установить и настроить zapret на дистрибутивах Ubuntu, Debian и Arch;
- Почему он не заменяет полноценный VPN;
- Какие реальные риски остаются даже после его запуска;
- И главное — чего вам не говорят в других гайдах.
Чего вам НЕ говорят в других гайдах
Большинство инструкций по установке zapret на linux сводятся к трём командам: git clone, make, ./install. Выполнил — и «всё работает». На деле же:
- Zapret не защищает от логирования провайдером
Даже если вы обошли блокировку YouTube, ваш провайдер всё равно видит: - IP-адреса, к которым вы обращаетесь;
- объём передаваемых данных;
- время сессий.
Шифрование TLS не скрывает доменные имена полностью (SNI может быть виден без ESNI/Encrypted Client Hello). А значит, при запросе от Роскомнадзора вас легко идентифицируют.
- Бесплатные альтернативы zapret — ловушка
Многие предлагают использовать «легковесные прокси» или браузерные расширения вместо zapret. Большинство из них: - собирают историю посещений;
- внедряют рекламу;
- работают как MITM-прокси, перехватывая ваши cookie и токены.
Пример: Hola VPN в 2015 году превратил пользователей в платный ботнет. Подобные схемы до сих пор живы.
- Утечки WebRTC и DNS — вне зоны ответственности zapret
Zapret работает на уровне ядра Linux (через netfilter и NFQUEUE). Он не контролирует: - DNS-запросы, уходящие напрямую к провайдерскому резолверу;
- WebRTC-утечки в браузерах, раскрывающие ваш реальный IP.
Если вы используете Firefox или Chrome без дополнительной настройки — ваш IP может «просочиться» даже при активном zapret.
-
Обновления ядра могут сломать работу
Zapret зависит от модулей ядра и iptables/nftables. После обновления ядра (особенно в rolling-release дистрибутивах вроде Arch) скрипты могут перестать работать, а правила — исчезнуть. Без мониторинга вы этого не заметите. -
Законодательные риски
В России использование средств для обхода блокировок не запрещено напрямую, но: - распространение таких инструментов может попадать под ст. 13.41 КоАП;
- при использовании в корпоративной сети — нарушение внутренних регламентов;
- при коммерческом использовании — возможны претензии от правообладателей.
Техническая возможность ≠ правовая безопасность.
Установка zapret на Linux: пошагово и без воды
Важно: zapret требует root-доступа и работает только на машинах с ядром Linux ≥ 4.9. Не поддерживается на macOS, Windows WSL1 или Android без root.
Шаг 1. Подготовка системы
sudo apt update && sudo apt install -y git build-essential libnetfilter-queue-dev \
libpcap-dev net-tools iptables curl
Для Arch Linux:
sudo pacman -S --needed base-devel git libnetfilter_queue libpcap iptables
Шаг 2. Клонирование и сборка
cd /opt
sudo git clone https://github.com/bol-van/zapret.git
cd zapret
sudo ./makeall.sh
Скрипт автоматически определит архитектуру и соберёт нужные бинарники (nfqws, tpws, goodbyedpi).
Шаг 3. Выбор режима работы
Zapret предлагает несколько методов обхода DPI:
| Метод | Принцип работы | Плюсы | Минусы |
|---|---|---|---|
auto |
Автоопределение (обычно nfqws) |
Универсальность | Может выбрать неоптимальный |
nfqws |
Обфускация через NFQUEUE + TLS фрагментация | Высокая совместимость | Требует root, нагрузка на CPU |
tpws |
Прокси на пользовательском уровне | Не требует правил iptables | Медленнее, не для всего трафика |
goodbyedpi |
Эмуляция поведения Windows-стека | Обходит старые DPI | Менее эффективен против новых |
Рекомендуется начать с nfqws.
Шаг 4. Запуск
sudo ./install_bin.sh nfqws
Этот скрипт:
- создаёт правила iptables для перенаправления трафика в NFQUEUE;
- запускает демон nfqws;
- добавляет автозагрузку через systemd.
Проверить статус:
systemctl status zapret
Шаг 5. Тестирование
- Откройте сайт, заблокированный в вашем регионе (например, ранее блокировавшийся Telegram или YouTube).
- Перейдите на ipleak.net — убедитесь, что нет утечек IPv6 или WebRTC.
- Проверьте DNS: должен использоваться ваш локальный или настроенный DNS (например, 1.1.1.1 через
systemd-resolved).
Если сайты не открываются — проверьте:
- не блокирует ли фаервол (UFW, firewalld);
- не отключён ли IPv6 (иногда DPI работает только по IPv4);
- не перезаписаны ли правила iptables другим сервисом (например, Docker).
Zapret vs. VPN: почему это не одно и то же
Многие путают zapret с полноценным VPN. Это принципиально разные инструменты.
| Критерий | Zapret | Коммерческий VPN (с no-log) |
|---|---|---|
| Шифрование трафика | Нет (только обфускация) | Да (AES-256-GCM, ChaCha20) |
| Скрытие IP | Нет | Да |
| Защита от MITM | Нет | Да (при правильной реализации) |
| Управление DNS | Нет | Да (через split tunneling) |
| Kill Switch | Нет | Есть (в большинстве клиентов) |
| Юрисдикция | Локальный хост | Зависит от провайдера (часто Panama, Switzerland) |
| Реальная скорость | Потери 5–15% | Потери 10–40% (зависит от сервера) |
| Цена | Бесплатно | От 300 ₽/мес (~$3.5) |
Zapret — это локальный обход DPI, а не анонимность. Если вам нужно скрыть активность от провайдера или государства — нужен именно VPN с политикой no-log и аудитом.
Когда zapret действительно полезен
Сценарий 1. Домашний интернет с DPI
Вы используете Ростелеком, и YouTube периодически «тормозит» или не грузится. Zapret обходит сигнатуры блокировки без изменения маршрута трафика.
Сценарий 2. Ограничения в университетской сети
Многие вузы блокируют торрент-трекеры и мессенджеры через DPI. Zapret позволяет получить доступ, не нарушая правила использования (технически — вы не используете внешние прокси).
Сценарий 3. Тестирование сетевой инфраструктуры
Администраторы используют zapret для проверки устойчивости своих DPI-систем к обфускации.
Сценарий 4. Комбинация с WireGuard
Вы можете запустить zapret до отправки трафика в WireGuard-туннель. Это защищает от DPI, который блокирует сами VPN-соединения (как это делали в Иране или Китае).
Технические нюансы: MTU, фрагментация и handshake
Zapret использует фрагментацию TLS-заголовков на уровне TCP. Это вызывает проблемы с MTU:
- Стандартный MTU = 1500 байт.
- После фрагментации пакеты могут превышать этот размер → фрагментируются на IP-уровне.
- Некоторые провайдеры отбрасывают фрагментированные пакеты.
Решение: понизить MTU на интерфейсе:
sudo ip link set dev eth0 mtu 1400
Также учтите:
- nfqws добавляет ~8–12 мс задержки;
- при высокой нагрузке (>100 Мбит/с) возможны потери пакетов;
- не работает с QUIC (HTTP/3), так как тот использует UDP.
Как не остаться с утечкой: чек-лист после установки
- Отключите IPv6 (если не используете):
bash sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1 - Настройте DNS через DoH/DoT:
Используйтеsystemd-resolvedс Cloudflare или AdGuard. - Заблокируйте WebRTC в браузере:
В Firefox:about:config→media.peerconnection.enabled = false. - Проверьте утечки каждые 2 недели:
browserleaks.com → WebRTC, DNS, IP. - Добавьте мониторинг zapret:
Создайте простой скрипт, проверяющий статус systemd и перезапускающий сервис при падении.
Сравнение решений для обхода блокировок в RU (2026)
| Сервис / Инструмент | Тип | Юрисдикция | Логи? | Протоколы | Цена (в месяц) | Скорость (на 100 Мбит/с) | Аудит? |
|---|---|---|---|---|---|---|---|
| Zapret (self-hosted) | DPI bypass | RU (ваш ПК) | Нет | TLS obfuscation | Бесплатно | 85–95 Мбит/с | Нет (open-source) |
| ProtonVPN | VPN | CH | No-log | OpenVPN, WireGuard | Бесплатно/790 ₽ | 60–80 Мбит/с | Да (Securitum, 2024) |
| Mullvad | VPN | SE | No-log | WireGuard, OpenVPN | 850 ₽ | 70–90 Мбит/с | Да (Cure53, 2025) |
| Tor Browser | Анонимайзер | Глобальный | Нет | Onion routing | Бесплатно | 5–20 Мбит/с | Частично |
| Shadowsocks (самостоятельно) | Прокси | Любая | Зависит от сервера | SOCKS5 + шифрование | От $5 VPS | 50–90 Мбит/с | Нет |
Вывод: zapret — лучший выбор, если цель только обход DPI, а не анонимность. Для торрентов, журналистов или защиты в публичных Wi-Fi — нужен полноценный VPN.
Вывод
установка zapret на linux — это мощный, но узкоспециализированный инструмент. Он отлично справляется с обходом блокировок, основанных на анализе сигнатур пакетов, но не даёт ни приватности, ни анонимности. Не верьте гайдам, которые называют его «аналогом VPN» — это технически неверно и опасно для вашей безопасности.
Используйте zapret, если:
- вы в РФ и сталкиваетесь с нестабильной работой YouTube, Telegram или других ресурсов;
- не хотите платить за VPN;
- готовы самостоятельно настраивать DNS и браузер.
Но помните: без дополнительных мер (отключение WebRTC, настройка DNS, мониторинг) вы останетесь уязвимы. И самое главное — никакой инструмент не отменяет ответственности за контент, который вы потребляете или распространяете.
VPN замедляет интернет на сколько реально?
Зависит от протокола и сервера. WireGuard обычно снижает скорость на 10–15%, OpenVPN — на 20–40%. При подключении к удалённому серверу (например, США из Москвы) пинг может вырасти с 20 мс до 180 мс. Zapret, в свою очередь, снижает скорость всего на 5–10%, так как не шифрует трафик.
Меня найдёт спецслужба при использовании VPN?
Если VPN ведёт логи и находится в юрисдикции 14 Eyes (США, Великобритания и др.), то да — по запросу суда данные могут быть переданы. Но если вы используете провайдера с no-log политикой и аудитом (например, Mullvad), шанс минимальный. Однако: если вы авторизованы в аккаунтах (Google, соцсети), ваша личность уже известна — VPN скрывает только IP.
WireGuard или OpenVPN — что безопаснее?
Оба безопасны при правильной настройке. WireGuard использует современные криптопримитивы (ChaCha20, Poly1305, Curve25519) и поддерживает perfect forward secrecy. OpenVPN гибче (поддержка TLS 1.3, множество шифров), но сложнее в конфигурации. WireGuard быстрее и проще для аудита — его код всего ~4000 строк.
Можно ли использовать zapret вместе с VPN?
Да, и это часто рекомендуется. Особенно если ваш провайдер блокирует VPN-трафик (например, по порту 1194 или 51820). Запустите zapret локально, а затем направьте весь трафик в WireGuard-туннель. Так DPI не распознает VPN, а вы получаете и обход блокировок, и шифрование.
Бесплатные VPN в App Store безопасны?
Подавляющее большинство — нет. Исследования (например, от Mozilla в 2024 году) показали, что 75% бесплатных VPN для Android/iOS: — собирают данные о местоположении и устройствах; — имеют утечки DNS; — не используют шифрование или используют слабое (DES, RC4). Лучше использовать open-source решения (например, official WireGuard app) с собственным сервером.
Как проверить, работает ли zapret?
1. Откройте терминал и выполните: sudo systemctl status zapret — должен быть active (running).
2. Перейдите на сайт, который ранее был заблокирован.
3. Используйте ipleak.net — убедитесь, что IP не меняется (zapret не меняет IP!).
4. Проверьте, нет ли ошибок в логах: journalctl -u zapret -f.
Appreciate the write-up. Nice focus on practical details and risk control. Adding screenshots of the key steps could help beginners. Worth bookmarking.