Как осуществить отброс DPI-пакетов в iptables?

Question

[firexonix]

Следую инструкциям в этом посте, чтобы отбрасывать пакеты от пчелайновского DPI на компьютере
Остановился на таком варианте:

sudo iptables -A INPUT -p tcp --sport 80 -m string --algo bm --string "http://blackhole.beeline.ru/?url" -j DROP

Заглушка при загрузке, естественно, пропала, но ответ от сервера, после долгой загрузки, все равно не приходит. Вот заголовок ответа curl от тестового сайта:

* Rebuilt URL to: http://grani.ru/
* Hostname was NOT found in DNS cache
*   Trying 50.57.205.156...
* Connected to grani.ru (50.57.205.156) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.38.0
> Host: grani.ru
> Accept: */*
> 
* Empty reply from server
* Connection #0 to host grani.ru left intact
(END)

Что я делаю не так?

Answer 1

[Влад Животнев]

В статье про ростелеком, а у вас билайн. Какой такой инструкции вы следуете?
У билайна весь трафик до заблокированных IP уходит в фильтрующие прокси-серверы, которые вам сами и отвечают. Никаких "запросов от сервера" (кстати, за каким чертом вы ответ запросом называете?) там нет - ваш запрос за пределы сети билайна на выходит.

Comments

[firexonix]

Поправил, спасибо
Я в курсе, что речь идет о Ростелекоме, хотелось попытаться :)

Answer 2

[ValdikSS]

У Билайна, вроде бы, DPI не пассивно подключен, поэтому реальный ответ от сервера не посылается.
Посмотрите трафик сами или куда-нибудь загрузите .pcap-файл при попытке зайти на заблокированный вебсайт.

Comments

[firexonix]

Загрузил логи по трем сайтам.
Любопытно, что два из них идут с заглушкой билайна, а биткоин - просто напросто "повисает'

[Влад Животнев]

firexonix: bitcoin по https потому-что работает. Его по ip/порту забанили.