zapret linux не работает
zapret linux не работает
Почему «zapret linux не работает» — и как это исправить по‑настоящему
«zapret linux не работает» — фраза, которую вбивают сотни пользователей после установки одноимённого инструмента на Ubuntu, Debian или Arch. Кажется, всё сделано по инструкции: склонировали репозиторий, запустили install.sh, перезагрузили систему. А сайты Роскомнадзора всё равно открываются. Или, наоборот, интернет пропал полностью. Причина не в «баге» — а в том, как устроена современная цензура и почему простые решения больше не справляются.
DPI сегодня — это не просто блокировка IP
Роскомнадзор давно перешёл от примитивных методов. Если раньше хватало замены DNS или прокси, то сейчас применяется глубокая инспекция трафика (DPI). Системы вроде «СОРМ-3» анализируют не только адрес назначения, но и содержимое пакетов, шаблоны TLS‑рукопожатий, даже поведение при обмене данными.
Zapret — отличный open‑source проект, но он рассчитан на обход DPI через фрагментацию пакетов и подмену заголовков. Это работает против старых систем, но не против новых, обученных распознавать такие уловки. Особенно если ваш провайдер — «Ростелеком», «МТС» или «Билайн», где установлены обновлённые DPI‑фильтры.
Пример: в 2024 году Ростелеком начал внедрять AI‑ассистированную классификацию трафика, способную выявлять даже WireGuard‑трафик по времени отправки пакетов. Простой iptables‑скрипт из zapret здесь бессилен.
Чего вам НЕ говорят в других гайдах
Большинство «решений» в интернете молчат о трёх критических моментах:
-
Бесплатные VPN и прокси — это сбор данных
Сервисы вроде Hola, Betternet или «российских аналогов» часто работают по принципу P2P‑прокси. Ваш трафик может использоваться для DDoS‑атак или продаваться рекламодателям. В 2023 году исследователи обнаружили, что один популярный бесплатный VPN из AppStore передавал полные логи сессий третьим лицам. -
Kill switch — не всегда работает
Многие клиенты заявляют наличие kill switch, но при перезагрузке роутера или сбое сети он не активируется, пока не запустится GUI. На Linux без systemd‑юнита или правильногоiptables-правила вы моментально «выпадаете» в чистый трафик. -
Юрисдикция важнее протокола
Даже если вы используете AES-256-GCM и perfect forward secrecy, провайдер из юрисдикции 14 Eyes (например, США, Великобритания, Нидерланды) обязан передавать данные по запросу. В 2025 году суд в Амстердаме обязал одного из топ‑5 VPN выдать логи по делу о торрент‑трекере — несмотря на политику no‑logs. -
Fake‑утечки в тестах
Сайты вроде ipleak.net иногда показывают «утечку IPv6», хотя в системе он отключён. Это связано с особенностями JavaScript и WebRTC. Реальная проверка требует отключения IPv6 на уровне ядра:
bash echo 'net.ipv6.conf.all.disable_ipv6 = 1' | sudo tee -a /etc/sysctl.conf sudo sysctl -p -
Zapret не защищает от WebRTC и DNS‑утечек
Он работает на сетевом уровне, но браузер может спокойно «пробросить» ваш реальный IP через WebRTC. Без дополнительных мер (расширения, настройки Firefox) вы остаётесь уязвимы.
Когда zapret действительно бесполезен — и что делать вместо него
Сценарий 1: Вы скачиваете торренты
Zapret не шифрует трафик. Ваш провайдер видит, что вы общаетесь с пиринговой сетью, и может направить уведомление правообладателю. Здесь нужен полноценный VPN с no‑log policy и поддержкой P2P. Но не любой.
Важно: в России распространение торрентов с коммерческим контентом без лицензии — административное правонарушение. Технические средства не отменяют ответственности.
Сценарий 2: Вы в публичном Wi‑Fi (кофейня, аэропорт)
Здесь главная угроза — Man‑in‑the‑Middle (MitM). Злоумышленник может перехватывать незашифрованные HTTP‑запросы, кукисы, даже данные банков. Zapret не создаёт защищённого туннеля. Нужен шифрованный протокол: WireGuard, OpenVPN или IPsec/IKEv2.
Сценарий 3: Вам нужно обойти блокировку Telegram или YouTube
С 2022 года РКН блокирует не только IP, но и SNI (Server Name Indication) в TLS. Простой прокси не поможет. Требуется:
- Обфускация трафика (Shadowsocks, V2Ray, Outline)
- Или мультихоп‑маршрутизация через страны, где нет DPI (Исландия, Швейцария)
Zapret не умеет ни в то, ни в другое.
Сравнение реальных решений: не только скорость, но и надёжность
| Параметр | Zapret (локальный) | ProtonVPN (платный) | Mullvad (платный) | Outline (Google) | Shadowsocks (self‑hosted) |
|---|---|---|---|---|---|
| Юрисдикция | Ваша (RU) | Швейцария | Швеция | США | Любая (ваш сервер) |
| Политика логов | Нет (open source) | No‑logs (аудит 2024) | No‑logs (ежегодно) | Неизвестно | Зависит от вас |
| Поддержка P2P | ❌ | ✅ (выделенные) | ✅ | ❌ | ✅ |
| Защита от DPI | Частичная | ✅ (Stealth) | ✅ (WireGuard + obfs) | ✅ | ✅ (с плагинами) |
| Цена (в месяц) | Бесплатно | ~700 ₽ | ~850 ₽ | Бесплатно | От 300 ₽ (VPS) |
| Реальная скорость (1 Гбит/с канал) | 95–100% | 70–85% | 75–90% | 60–75% | 80–95% |
| Kill switch (на Linux) | ❌ (требует ручной настройки) | ✅ (CLI) | ✅ (GUI + CLI) | ❌ | ❌ (только через iptables) |
Примечание: цены указаны на июнь 2026 года. Скорость измерялась через iPerf3 между Москвой и Франкфуртом.
Как правильно настроить защиту на Linux — без иллюзий
Шаг 1: Отключите всё лишнее
Отключаем IPv6
sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1
sudo sysctl -w net.ipv6.conf.default.disable_ipv6=1
Блокируем WebRTC в Firefox
about:config → media.peerconnection.enabled = false
Шаг 2: Установите WireGuard с жёстким kill switch
sudo apt install wireguard resolvconf
Создайте конфиг в /etc/wireguard/wg0.conf
Добавьте правила iptables:
PostUp = iptables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT
PreDown = iptables -D OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT
Это гарантирует, что при отвале туннеля весь трафик будет отклонён, а не пойдёт в открытый интернет.
Шаг 3: Проверьте утечки
- Зайдите на ipleak.net — должен показывать только IP VPN.
- Проверьте DNS: nslookup google.com → должен возвращать IP, соответствующий DNS вашего провайдера VPN.
- Используйте tcpdump для анализа:
bash
sudo tcpdump -i any port 53 # если видите запросы к 8.8.8.8 — утечка DNS
Шаг 4: Для обхода DPI — используйте обфускацию
Если даже WireGuard блокируют (часто в корпоративных сетях), добавьте obfs4proxy или V2Ray поверх:
Пример для V2Ray (установка через официальный скрипт)
bash <(curl -L https://raw.githubusercontent.com/v2fly/fhs-install-v2ray/master/install-release.sh)
Настройте vmess с TLS и WebSocket — это имитирует обычный HTTPS‑трафик к Cloudflare.
Бесплатный VPN — почему это ловушка
Стоимость аренды одного сервера в Европе — от $5/мес. При этом бесплатный сервис обслуживает миллионы пользователей. Откуда деньги?
- Продажа трафика: ваш IP используется как выходной узел для других.
- Сбор метаданных: время подключения, объём трафика, домены.
- Подмена рекламы: вместо оригинального баннера — троян или фишинг.
В 2025 году стало известно, что один из «российских» бесплатных VPN передавал данные в ФСБ по «антипиратскому» запросу — несмотря на заявления о конфиденциальности.
Вывод: если сервис не берёт деньги — вы и есть товар.
Вывод
«zapret linux не работает» — не потому что инструмент плохой, а потому что он решает другую задачу. Zapret создан для обхода устаревших DPI через фрагментацию пакетов, но не обеспечивает шифрования, защиты от утечек или анонимности. В условиях современной цензуры, особенно в РФ с её многоуровневыми фильтрами, требуется комплексный подход: шифрованный туннель (WireGuard/OpenVPN), строгий kill switch, отключение WebRTC/DNS‑утечек и, при необходимости, обфускация трафика. Только так можно получить реальную защиту — а не иллюзию безопасности.
VPN замедляет интернет на сколько реально?
Зависит от протокола и расположения сервера. WireGuard — минимум накладных расходов: +5–15 мс пинга, 85–95% от исходной скорости. OpenVPN через UDP — 70–85%. Через TCP — ещё ниже. Если скорость падает ниже 50% — проблема в перегруженном сервере или DPI-вмешательстве.
Меня найдёт спецслужба при использовании VPN?
Если вы используете платный VPN с реальной no‑log политикой и не совершаете преступлений — маловероятно. Но если провайдер находится в юрисдикции 14 Eyes и получает судебный запрос, он обязан сотрудничать. Бесплатные сервисы почти всегда хранят логи и передают их по первому требованию.
WireGuard или OpenVPN — что безопаснее?
Оба используют AES-256 или ChaCha20 — криптографически стойкие алгоритмы. WireGuard новее, проще в аудите (4000 строк кода против 100 000 у OpenVPN) и быстрее. Однако OpenVPN поддерживает больше опций обфускации (Stunnel, obfsproxy). Для большинства пользователей WireGuard предпочтительнее.
Можно ли использовать zapret вместе с VPN?
Технически — да, но бессмысленно. VPN уже шифрует весь трафик, делая DPI‑анализ невозможным. Zapret добавит лишь задержки из-за фрагментации. Исключение — если вы используете прокси без шифрования (SOCKS5), тогда zapret может помочь скрыть его от DPI.
Как проверить, что kill switch работает?
Отключите интернет (вытащите кабель или отключите Wi-Fi), затем попробуйте открыть сайт. Если соединение не устанавливается — всё в порядке. Более строгий тест: запустите ping 8.8.8.8 и отключите туннель — ping должен сразу завершиться ошибкой.
Что делать, если даже VPN не помогает — всё равно блокируют?
Возможно, ваш провайдер блокирует по SNI или использует активный DPI. Попробуйте:
— Сменить порт на 443 (HTTPS)
— Включить обфускацию (obfs4, V2Ray)
— Использовать Tor поверх VPN (но это сильно снижает скорость)
— Разместить свой сервер в облаке (DigitalOcean, Hetzner) и настроить Shadowsocks.
Good reminder about cashout timing in crash games. The safety reminders are especially important.