readme: nfqws synack : more precise nat info

2025-01-06 08:20:34 +05:00 · 2021-04-07 13:13:42 +03:00 · 2021-04-07 13:13:42 +03:00 · 609c25ded8
commit 609c25ded8
parent 268b1faeef
2 changed files with 3 additions and 2 deletions
--- a/docs/readme.eng.txt
+++ b/docs/readme.eng.txt
@ -254,7 +254,7 @@ Can be useful for ISPs with more than one DPI.
 SYNACK MODE
 In geneva docs it's called "TCP turnaround". Attempt to make the DPI believe the roles of client and server are reversed.
-!!! This mode breaks NAT operation and can be used only from devices with external IP address !
+!!! This mode breaks NAT operation and can be used only if there's no NAT between the attacker's device and the DPI !
 In linux it's required to remove standard firewall rule dropping INVALID packets in the OUTPUT chain,
 for example : -A OUTPUT -m state --state INVALID -j DROP
 In openwrt it's possible to disable the rule for both FORWARD and OUTPUT chains in /etc/config/firewall :
--- a/docs/readme.txt
+++ b/docs/readme.txt
@ -313,7 +313,8 @@ mark нужен, чтобы сгенерированный поддельный
 РЕЖИМ SYNACK
 В документации по geneva это называется "TCB turnaround". Попытка ввести DPI в заблуждение относительно
 ролей клиента и сервера.
-!!! Поскольку режим нарушает работу NAT, техника может сработать только с устройства с внешним IP адресом.
+!!! Поскольку режим нарушает работу NAT, техника может сработать только если между атакующим устройством
 и DPI нет NAT. Атака не сработает через NAT роутер, но может сработать с него.
 Для реализации атаки в linux обязательно требуется отключить стандартное правило firewall,
 дропающее инвалидные пакеты в цепочке OUTPUT. Например : -A OUTPUT -m state --state INVALID -j DROP
 В openwrt можно отключить drop INVALID в OUTPUT и FORWARD через опцию в /etc/config/firewall :