readme: update vps section

init: remove autohostlist touch, not needed anymore
2025-05-08 03:20:49 +05:00 · 2025-05-06 09:58:03 +03:00 · 2025-05-06 09:51:53 +03:00 · 2025-05-04 22:02:36 +03:00 · 2025-05-04 22:01:00 +03:00 · 2025-05-04 21:47:26 +03:00
201 changed files with 14015 additions and 7074 deletions
--- a/.gitattributes
+++ b/.gitattributes
@ -1,5 +1,3 @@
 * text=auto eol=lf
-binaries/win64/readme.txt eol=crlf
-binaries/win32/readme.txt eol=crlf
 *.cmd eol=crlf
 *.bat eol=crlf
--- a/.github/ISSUE_TEMPLATE/config.yml
+++ b/.github/ISSUE_TEMPLATE/config.yml
@ -0,0 +1 @@
+blank_issues_enabled: false
--- a/.github/ISSUE_TEMPLATE/issue-warning.md
+++ b/.github/ISSUE_TEMPLATE/issue-warning.md
@ -0,0 +1,19 @@
+---
+name: bugs
+about: do not write lame questions
+title: ''
+labels: ''
+assignees: ''
+
+---
+
+1. Здесь не место для вопросов, касающихся компьютерной грамотности и навыков использования ОС
+2. Здесь не место для вопросов "у меня не работает" без технических подробностей
+3. Здесь не место для вопросов "как мне открыть ютуб", "что писать в ...", "перестало открываться".
+4. Здесь не место для обсуждения сборок
+5. Вирусов здесь нет. У вас либо чья-то сборка, либо ваш антивирус давно пора отправить на покой. Антивирусы в основном жалуются на upx и windivert, которые убраны НЕ будут. upx - это паковщик для сокращения требуемого места на openwrt, windivert - замена iptables для windows, потенциальный инструмент хакера или компонент зловредной программы, но сам по себе вирусом не является. Не согласны - удаляйте софт. За агрессивные наезды "почему автор распространяет вирусы" молча схватите бан.
+
+Все означенное обсуждать в дискуссиях или на форумах.
+При нарушении будет закрываться или конвертироваться в дискуссии.
+Issue только для обсуждения проблем самого софта. Неработа стратегии или ваше неумение настроить - это ваша проблема, а не проблема софта.
+Однокнопочные решения дают только сборщики, поэтому "открытие сайта" не является функцией программы, и нет смысла жаловаться, что он не открывается. Но можно это обсудить в дискуссиях. Не захламляйте issues !
--- a/.github/workflows/build.yml
+++ b/.github/workflows/build.yml
@ -0,0 +1,488 @@
+name: build
+run-name: ${{ startsWith(github.ref, 'refs/tags/v') && format('Release {0}', github.ref_name) || null }}
+
+on:
+  workflow_dispatch:
+  push:
+    tags:
+      - v[0-9]+*
+    # branches:
+    #   - master
+    # paths:
+    #   - 'ip2net/**'
+    #   - 'mdig/**'
+    #   - 'nfq/**'
+    #   - 'tpws/**'
+
+jobs:
+  build-linux:
+    name: Linux ${{ matrix.arch }}
+    runs-on: ubuntu-latest
+    strategy:
+      fail-fast: false
+      matrix:
+        include:
+          - arch: arm64
+            tool: aarch64-unknown-linux-musl
+          - arch: arm
+            tool: arm-unknown-linux-musleabi
+          # - arch: armhf
+          #   tool: arm-unknown-linux-musleabihf
+          # - arch: armv7
+          #   tool: armv7-unknown-linux-musleabi
+          # - arch: armv7hf
+          #   tool: armv7-unknown-linux-musleabihf
+          # - arch: mips64el
+          #   tool: mips64el-unknown-linux-musl
+          - arch: mips64
+            tool: mips64-unknown-linux-musl
+          # - arch: mipsel
+          #   tool: mipsel-unknown-linux-musl
+          - arch: mipselsf
+            tool: mipsel-unknown-linux-muslsf
+          # - arch: mips
+          #   tool: mips-unknown-linux-musl
+          - arch: mipssf
+            tool: mips-unknown-linux-muslsf
+          # - arch: ppc64
+          #   tool: powerpc64-unknown-linux-musl
+          - arch: ppc
+            tool: powerpc-unknown-linux-musl
+          - arch: x86
+            tool: i586-unknown-linux-musl
+          - arch: x86_64
+            tool: x86_64-unknown-linux-musl
+          - arch: lexra
+            tool: mips-linux
+            dir: rsdk-4.6.4-5281-EB-3.10-0.9.33-m32ub-20141001
+            env:
+              CFLAGS: '-march=5281'
+              LDFLAGS: '-lgcc_eh'
+            repo: 'bol-van/build'
+    steps:
+      - name: Checkout
+        uses: actions/checkout@v4
+        with:
+          path: zapret
+
+      - name: Set up build tools
+        env:
+          ARCH: ${{ matrix.arch }}
+          TOOL: ${{ matrix.tool }}
+          REPO: ${{ matrix.arch == 'lexra' && matrix.repo || 'spvkgn/musl-cross' }}
+          DIR: ${{ matrix.arch == 'lexra' && matrix.dir || matrix.tool }}
+        run: |
+          if [[ "$ARCH" == lexra ]]; then
+            sudo dpkg --add-architecture i386
+            sudo apt update -qq
+            sudo apt install -y libcap-dev libc6:i386 zlib1g:i386
+            URL=https://github.com/$REPO/raw/refs/heads/master/$DIR.txz
+          else
+            sudo apt update -qq
+            sudo apt install -y libcap-dev
+            URL=https://github.com/$REPO/releases/download/latest/$TOOL.tar.xz
+          fi
+          mkdir -p $HOME/tools
+          wget -qO- $URL | tar -C $HOME/tools -xJ || exit 1
+          [[ -d "$HOME/tools/$DIR/bin" ]] && echo "$HOME/tools/$DIR/bin" >> $GITHUB_PATH
+
+      - name: Build
+        env:
+          ARCH: ${{ matrix.arch }}
+          TARGET: ${{ matrix.tool }}
+          CFLAGS: ${{ matrix.env.CFLAGS != '' && matrix.env.CFLAGS || null }}
+          LDFLAGS: ${{ matrix.env.LDFLAGS != '' && matrix.env.LDFLAGS || null }}
+          GH_TOKEN: ${{ secrets.GITHUB_TOKEN }}
+        run: |
+          DEPS_DIR=$GITHUB_WORKSPACE/deps
+          export CC="$TARGET-gcc"
+          export LD=$TARGET-ld
+          export AR=$TARGET-ar
+          export NM=$TARGET-nm
+          export STRIP=$TARGET-strip
+          export PKG_CONFIG_PATH=$DEPS_DIR/lib/pkgconfig
+          export STAGING_DIR=$RUNNER_TEMP
+
+          # netfilter libs
+          wget -qO- https://www.netfilter.org/pub/libnfnetlink/libnfnetlink-1.0.2.tar.bz2 | tar -xj
+          wget -qO- https://www.netfilter.org/pub/libmnl/libmnl-1.0.5.tar.bz2 | tar -xj
+          wget -qO- https://www.netfilter.org/pub/libnetfilter_queue/libnetfilter_queue-1.0.5.tar.bz2 | tar -xj
+
+          for i in libmnl libnfnetlink libnetfilter_queue ; do
+            (
+              cd $i-*
+              CFLAGS="-Os -flto=auto $CFLAGS" \
+              ./configure --prefix= --host=$TARGET --enable-static --disable-shared --disable-dependency-tracking
+              make install -j$(nproc) DESTDIR=$DEPS_DIR
+            )
+            sed -i "s|^prefix=.*|prefix=$DEPS_DIR|g" $DEPS_DIR/lib/pkgconfig/$i.pc
+          done
+
+          # zlib
+          gh api repos/madler/zlib/releases/latest --jq '.tag_name' |\
+            xargs -I{} wget -qO- https://github.com/madler/zlib/archive/refs/tags/{}.tar.gz | tar -xz
+          (
+            cd zlib-*
+            CFLAGS="-Os -flto=auto $CFLAGS" \
+            ./configure --prefix= --static
+            make install -j$(nproc) DESTDIR=$DEPS_DIR
+          )
+
+          # headers
+          # wget https://git.alpinelinux.org/aports/plain/main/bsd-compat-headers/queue.h && \
+          # wget https://git.kernel.org/pub/scm/libs/libcap/libcap.git/plain/libcap/include/sys/capability.h && \
+          install -Dm644 -t $DEPS_DIR/include/sys /usr/include/x86_64-linux-gnu/sys/queue.h /usr/include/sys/capability.h
+
+          # zapret
+          CFLAGS="-DZAPRET_GH_VER=${{ github.ref_name }} -DZAPRET_GH_HASH=${{ github.sha }} -static-libgcc -static -I$DEPS_DIR/include $CFLAGS" \
+          LDFLAGS="-L$DEPS_DIR/lib $LDFLAGS" \
+          make -C zapret -j$(nproc)
+          tar -C zapret/binaries/my -cJf zapret-linux-$ARCH.tar.xz .
+
+      - name: Upload artifacts
+        uses: actions/upload-artifact@v4
+        with:
+          name: zapret-linux-${{ matrix.arch }}
+          path: zapret-*.tar.xz
+          if-no-files-found: error
+
+  build-macos:
+    name: macOS
+    runs-on: macos-latest
+    steps:
+      - name: Checkout
+        uses: actions/checkout@v4
+
+      - name: Build zapret
+        run: |
+          export CFLAGS="-DZAPRET_GH_VER=${{ github.ref_name }} -DZAPRET_GH_HASH=${{ github.sha }}"
+          make mac -j$(sysctl -n hw.logicalcpu)
+          tar -C binaries/my -cJf zapret-mac-x64.tar.xz .
+
+      - name: Upload artifacts
+        uses: actions/upload-artifact@v4
+        with:
+          name: zapret-mac-x64
+          path: zapret-*.tar.xz
+          if-no-files-found: error
+
+  build-freebsd:
+    name: FreeBSD ${{ matrix.arch }}
+    runs-on: ubuntu-latest
+    strategy:
+      matrix:
+        include:
+          - target: x86_64
+            arch: x86_64
+          # - target: i386
+          #   arch: x86
+    container:
+      image: empterdose/freebsd-cross-build:11.4
+    steps:
+      - name: Checkout
+        uses: actions/checkout@v4
+
+      - name: Install packages
+        run: apk add tar xz
+
+      - name: Build zapret
+        env:
+          TARGET: ${{ matrix.target }}
+          ARCH: ${{ matrix.arch }}
+        run: |
+          export CFLAGS="-DZAPRET_GH_VER=${{ github.ref_name }} -DZAPRET_GH_HASH=${{ github.sha }}"
+          settarget $TARGET-freebsd11 make bsd -j$(nproc)
+          tar -C binaries/my -cJf zapret-freebsd-$ARCH.tar.xz .
+
+      - name: Upload artifacts
+        uses: actions/upload-artifact@v4
+        with:
+          name: zapret-freebsd-${{ matrix.arch }}
+          path: zapret-*.tar.xz
+          if-no-files-found: error
+
+  build-windows:
+    name: Windows ${{ matrix.arch }}
+    runs-on: windows-latest
+    strategy:
+      fail-fast: false
+      matrix:
+        arch: [ x86_64, x86 ]
+    steps:
+      - name: Checkout
+        uses: actions/checkout@v4
+        with:
+          path: zapret
+
+      - name: Set up MinGW
+        uses: msys2/setup-msys2@v2
+        with:
+          msystem: ${{ matrix.arch == 'x86_64' && 'MINGW64' || 'MINGW32' }}
+          install: >-
+            ${{ matrix.arch == 'x86_64' && 'mingw-w64-x86_64-toolchain' || 'mingw-w64-i686-toolchain' }}
+
+      - name: Build ip2net, mdig
+        shell: msys2 {0}
+        run: |
+          export CFLAGS="-DZAPRET_GH_VER=${{ github.ref_name }} -DZAPRET_GH_HASH=${{ github.sha }}"
+          mkdir -p output
+          cd zapret
+          mingw32-make -C ip2net win
+          mingw32-make -C mdig win
+          cp -a {ip2net/ip2net,mdig/mdig}.exe ../output
+
+      - name: Restore psmisc from cache
+        id: cache-restore-psmisc
+        uses: actions/cache/restore@v4
+        with:
+          path: ${{ github.workspace }}/psmisc
+          key: psmisc-${{ matrix.arch }}
+
+      - name: Set up Cygwin
+        env:
+          PACKAGES: ${{ steps.cache-restore-psmisc.outputs.cache-hit != 'true' && 'cygport gettext-devel libiconv-devel libncurses-devel' || null }}
+        uses: cygwin/cygwin-install-action@v4
+        with:
+          platform: ${{ matrix.arch }}
+          site: ${{ matrix.arch == 'x86_64' && 'http://ctm.crouchingtigerhiddenfruitbat.org/pub/cygwin/circa/64bit/2024/01/30/231215' || null }}
+          check-sig: ${{ matrix.arch == 'x86_64' && 'false' || null }}
+          packages: >-
+            gcc-core
+            make
+            zlib-devel
+            zip
+            unzip
+            wget
+            ${{ env.PACKAGES }}
+
+      - name: Build psmisc
+        if: steps.cache-restore-psmisc.outputs.cache-hit != 'true'
+        env:
+          URL: https://mirrors.kernel.org/sourceware/cygwin/x86_64/release/psmisc
+        shell: C:\cygwin\bin\bash.exe -eo pipefail '{0}'
+        run: >-
+          export MAKEFLAGS=-j$(nproc) &&
+          mkdir -p psmisc && cd psmisc &&
+          wget -qO- ${URL} | grep -Po 'href=\"\Kpsmisc-(\d+\.)+\d+.+src\.tar\.xz(?=\")' | xargs -I{} wget -O- ${URL}/{} | tar -xJ &&
+          cd psmisc-*.src &&
+          echo CYGCONF_ARGS+=\" --disable-dependency-tracking --disable-nls\" >> psmisc.cygport &&
+          cygport psmisc.cygport prep compile install
+
+      - name: Save psmisc to cache
+        if: steps.cache-restore-psmisc.outputs.cache-hit != 'true'
+        uses: actions/cache/save@v4
+        with:
+          path: ${{ github.workspace }}/psmisc
+          key: psmisc-${{ matrix.arch }}
+
+      - name: Build winws
+        env:
+          TARGET: ${{ matrix.arch == 'x86_64' && 'cygwin' || 'cygwin32' }}
+        shell: C:\cygwin\bin\bash.exe -eo pipefail '{0}'
+        run: >-
+          export MAKEFLAGS=-j$(nproc) &&
+          export CFLAGS="-DZAPRET_GH_VER=${{ github.ref_name }} -DZAPRET_GH_HASH=${{ github.sha }}" &&
+          cd zapret &&
+          make -C nfq ${TARGET} &&
+          cp -a nfq/winws.exe ../output
+
+      - name: Create zip
+        env:
+          BITS: ${{ matrix.arch == 'x86_64' && '64' || '32' }}
+          DIR: ${{ matrix.arch == 'x86_64' && 'x64' || 'x86' }}
+        shell: C:\cygwin\bin\bash.exe -e '{0}'
+        run: >-
+          cp -a -t output psmisc/psmisc-*.src/psmisc-*/inst/usr/bin/killall.exe /usr/bin/cygwin1.dll &&
+          wget -O WinDivert.zip https://github.com/basil00/WinDivert/releases/download/v2.2.2/WinDivert-2.2.2-A.zip &&
+          unzip -j WinDivert.zip "*/${DIR}/WinDivert.dll" "*/${DIR}/WinDivert${BITS}.sys" -d output &&
+          zip zapret-win-${{ matrix.arch }}.zip -j output/*
+
+      - name: Upload artifacts
+        uses: actions/upload-artifact@v4
+        with:
+          name: zapret-win-${{ matrix.arch }}
+          path: zapret-*.zip
+          if-no-files-found: error
+
+  build-android:
+    name: Android ${{ matrix.abi }}
+    runs-on: ubuntu-latest
+    strategy:
+      matrix:
+        include:
+          - abi: armeabi-v7a
+            target: armv7a-linux-androideabi
+          - abi: arm64-v8a
+            target: aarch64-linux-android
+          - abi: x86
+            target: i686-linux-android
+          - abi: x86_64
+            target: x86_64-linux-android
+    steps:
+      - name: Checkout
+        uses: actions/checkout@v4
+        with:
+          path: zapret
+
+      - name: Build
+        env:
+          ABI: ${{ matrix.abi }}
+          API: 21
+          TARGET: ${{ matrix.target }}
+          GH_TOKEN: ${{ github.token }}
+        run: |
+          DEPS_DIR=$GITHUB_WORKSPACE/deps
+          export TOOLCHAIN=$ANDROID_NDK_HOME/toolchains/llvm/prebuilt/linux-x86_64
+          export CC="$TOOLCHAIN/bin/clang --target=$TARGET$API"
+          export AR=$TOOLCHAIN/bin/llvm-ar
+          export AS=$CC
+          export LD=$TOOLCHAIN/bin/ld
+          export RANLIB=$TOOLCHAIN/bin/llvm-ranlib
+          export STRIP=$TOOLCHAIN/bin/llvm-strip
+          export PKG_CONFIG_PATH=$DEPS_DIR/lib/pkgconfig
+
+          # netfilter libs
+          wget -qO- https://www.netfilter.org/pub/libnfnetlink/libnfnetlink-1.0.2.tar.bz2 | tar -xj
+          wget -qO- https://www.netfilter.org/pub/libmnl/libmnl-1.0.5.tar.bz2 | tar -xj
+          wget -qO- https://www.netfilter.org/pub/libnetfilter_queue/libnetfilter_queue-1.0.5.tar.bz2 | tar -xj
+          patch -p1 -d libnetfilter_queue-* -i ../zapret/.github/workflows/libnetfilter_queue-android.patch
+
+          for i in libmnl libnfnetlink libnetfilter_queue ; do
+            (
+              cd $i-*
+              CFLAGS="-Os -flto=auto -Wno-implicit-function-declaration" \
+              ./configure --prefix= --host=$TARGET --enable-static --disable-shared --disable-dependency-tracking
+              make install -j$(nproc) DESTDIR=$DEPS_DIR
+            )
+            sed -i "s|^prefix=.*|prefix=$DEPS_DIR|g" $DEPS_DIR/lib/pkgconfig/$i.pc
+          done
+
+          # zapret
+          CFLAGS="-DZAPRET_GH_VER=${{ github.ref_name }} -DZAPRET_GH_HASH=${{ github.sha }} -I$DEPS_DIR/include" \
+          LDFLAGS="-L$DEPS_DIR/lib" \
+          make -C zapret android -j$(nproc)
+
+          # strip unwanted ELF sections to prevent warnings on old Android versions
+          gh api repos/termux/termux-elf-cleaner/releases/latest --jq '.tag_name' |\
+            xargs -I{} wget -O elf-cleaner https://github.com/termux/termux-elf-cleaner/releases/download/{}/termux-elf-cleaner
+          chmod +x elf-cleaner
+          ./elf-cleaner --api-level $API zapret/binaries/my/*
+          zip zapret-android-$ABI.zip -j zapret/binaries/my/*
+
+      - name: Upload artifacts
+        uses: actions/upload-artifact@v4
+        with:
+          name: zapret-android-${{ matrix.abi }}
+          path: zapret-*.zip
+          if-no-files-found: error
+
+  release:
+    if: github.event_name == 'push' && startsWith(github.ref, 'refs/tags/v')
+    needs: [ build-linux, build-windows, build-macos, build-freebsd, build-android ]
+    permissions:
+      contents: write
+    runs-on: ubuntu-latest
+    env:
+      repo_dir: zapret-${{ github.ref_name }}
+    steps:
+      - name: Checkout
+        uses: actions/checkout@v4
+        with:
+          path: ${{ env.repo_dir }}
+
+      - name: Download artifacts
+        uses: actions/download-artifact@v4
+        id: bins
+        with:
+          path: ${{ env.repo_dir }}/binaries
+          pattern: zapret-*
+
+      - name: Install upx
+        uses: crazy-max/ghaction-upx@v3
+        with:
+          install-only: true
+          version: v4.2.4
+
+      - name: Prepare binaries
+        shell: bash
+        run: |
+          cd ${{ steps.bins.outputs.download-path }}
+          run_upx() {
+            upx --best --lzma $@ || true
+          }
+          run_dir() {
+            for f in $dir/* ; do
+              # extract binaries
+              case $f in
+                *.tar.xz )
+                  tar -C $dir -xvf $f && rm $f
+                  if [[ $dir == *-linux-x86_64 ]]; then
+                    tar -C $dir -czvf $dir/tpws_wsl.tgz tpws
+                    run_upx $dir/*
+                  elif [[ $dir =~ linux ]] && [[ $dir != *-linux-mips64 ]] && [[ $dir != *-linux-lexra ]]; then
+                    run_upx $dir/*
+                  fi
+                  ;;
+                *.zip )
+                  unzip $f -d $dir && rm $f
+                  if [[ $dir =~ win ]]; then
+                    chmod -x $dir/*
+                    run_upx --force $dir/cygwin1.dll
+                  fi
+                  ;;
+              esac
+            done
+            mv $dir $1
+          }
+          for dir in * ; do
+            if [ -d $dir ]; then
+              echo "Processing $dir"
+              case $dir in
+                *-android-arm64-v8a )   run_dir android-aarch64 ;;
+                *-android-armeabi-v7a ) run_dir android-arm ;;
+                *-android-x86 )         run_dir android-x86 ;;
+                *-android-x86_64 )      run_dir android-x86_64 ;;
+                *-freebsd-x86_64 )      run_dir freebsd-x64 ;;
+                *-linux-arm )           run_dir arm ;;
+                *-linux-arm64 )         run_dir aarch64 ;;
+                *-linux-mips64 )        run_dir mips64r2-msb ;;
+                *-linux-mipselsf )      run_dir mips32r1-lsb ;;
+                *-linux-mipssf )        run_dir mips32r1-msb ;;
+                *-linux-ppc )           run_dir ppc ;;
+                *-linux-x86 )           run_dir x86 ;;
+                *-linux-x86_64 )        run_dir x86_64 ;;
+                *-linux-lexra )         run_dir lexra ;;
+                *-mac-x64 )             run_dir mac64 ;;
+                *-win-x86 )             run_dir win32 ;;
+                *-win-x86_64 )          run_dir win64 ;;
+              esac
+            fi
+          done
+          ls -lhR
+
+      - name: Create release bundles
+        run: |
+          rm -rf ${{ env.repo_dir }}/.git*
+          find ${{ env.repo_dir }}/binaries -type f -exec sha256sum {} \; >sha256sum.txt
+          tar --owner=0 --group=0 -czf ${{ env.repo_dir }}.tar.gz ${{ env.repo_dir }}
+          zip -qr ${{ env.repo_dir }}.zip ${{ env.repo_dir }}
+          (
+            cd ${{ env.repo_dir }}
+            rm -rf binaries/{android*,freebsd*,mac*,win*,x86_64/tpws_wsl.tgz} \
+                   init.d/{openrc,macos,pfsense,runit,s6,systemd} \
+                   tpws nfq ip2net mdig docs files/huawei Makefile
+          )
+          tar --owner=0 --group=0 -czf ${{ env.repo_dir }}-openwrt-embedded.tar.gz ${{ env.repo_dir }}
+
+      - name: Upload release assets
+        uses: softprops/action-gh-release@v2
+        with:
+          fail_on_unmatched_files: true
+          prerelease: false
+          draft: false
+          body: |
+            ### zapret ${{ github.ref_name }}
+          files: |
+            zapret*.tar.gz
+            zapret*.zip
+            sha256sum.txt
--- a/.github/workflows/libnetfilter_queue-android.patch
+++ b/.github/workflows/libnetfilter_queue-android.patch
@ -0,0 +1,41 @@
+--- a/src/extra/pktbuff.c
+++ b/src/extra/pktbuff.c
+@@ -14,7 +14,7 @@
+ #include <string.h> /* for memcpy */
+ #include <stdbool.h>
+ 
+-#include <netinet/if_ether.h>
+#include <linux/if_ether.h>
+ #include <netinet/ip.h>
+ #include <netinet/tcp.h>
+ 
+--- a/src/nlmsg.c
+++ b/src/nlmsg.c
+@@ -21,7 +21,7 @@
+ 
+ #include <linux/netfilter/nfnetlink_queue.h>
+ 
+-#include <libnetfilter_queue/libnetfilter_queue.h>
+// #include <libnetfilter_queue/libnetfilter_queue.h>
+ 
+ #include "internal.h"
+ 
+--- a/src/extra/tcp.c
+++ b/src/extra/tcp.c
+@@ -139,12 +139,16 @@ void nfq_tcp_compute_checksum_ipv6(struc
+  *  (union is compatible to any of its members)
+  *  This means this part of the code is -fstrict-aliasing safe now.
+  */
+#ifndef __ANDROID__
+ union tcp_word_hdr {
+ 	struct tcphdr hdr;
+ 	uint32_t  words[5];
+ };
+#endif
+ 
+#ifndef tcp_flag_word
+ #define tcp_flag_word(tp) ( ((union tcp_word_hdr *)(tp))->words[3])
+#endif
+ 
+ /**
+  * nfq_pkt_snprintf_tcp_hdr - print tcp header into one buffer in a humnan
--- a/.gitignore
+++ b/.gitignore
@ -1,10 +1,12 @@
 /config
 ip2net/ip2net
 mdig/mdig
+nfq/dvtws
 nfq/nfqws
+nfq/winws.exe
+nfq/WinDivert*
 tpws/tpws
 binaries/my/
-init.d/**/custom
 ipset/zapret-ip*.txt
 ipset/zapret-ip*.gz
 ipset/zapret-hosts*.txt
--- a/26
+++ b/26
@ -15,6 +15,32 @@ all:	clean
 		done \
 	done

+systemd: clean
+	@mkdir -p "$(TGT)"; \
+	for dir in $(DIRS); do \
+		find "$$dir" -type f  \( -name "*.c" -o -name "*.h" -o -name "*akefile" \) -exec chmod -x {} \; ; \
+		$(MAKE) -C "$$dir" systemd || exit; \
+		for exe in "$$dir/"*; do \
+			if [ -f "$$exe" ] && [ -x "$$exe" ]; then \
+				mv -f "$$exe" "${TGT}" ; \
+				ln -fs "../${TGT}/$$(basename "$$exe")" "$$exe" ; \
+			fi \
+		done \
+	done
+
+android: clean
+	@mkdir -p "$(TGT)"; \
+	for dir in $(DIRS); do \
+		find "$$dir" -type f  \( -name "*.c" -o -name "*.h" -o -name "*akefile" \) -exec chmod -x {} \; ; \
+		$(MAKE) -C "$$dir" android || exit; \
+		for exe in "$$dir/"*; do \
+			if [ -f "$$exe" ] && [ -x "$$exe" ]; then \
+				mv -f "$$exe" "${TGT}" ; \
+				ln -fs "../${TGT}/$$(basename "$$exe")" "$$exe" ; \
+			fi \
+		done \
+	done
+
 bsd:	clean
 	@mkdir -p "$(TGT)"; \
 	for dir in $(DIRS); do \
--- a/binaries/aarch64/ip2net
+++ b/binaries/aarch64/ip2net
--- a/binaries/aarch64/mdig
+++ b/binaries/aarch64/mdig
--- a/binaries/aarch64/nfqws
+++ b/binaries/aarch64/nfqws
--- a/binaries/aarch64/tpws
+++ b/binaries/aarch64/tpws
--- a/binaries/arm/ip2net
+++ b/binaries/arm/ip2net
--- a/binaries/arm/mdig
+++ b/binaries/arm/mdig
--- a/binaries/arm/nfqws
+++ b/binaries/arm/nfqws
--- a/binaries/arm/tpws
+++ b/binaries/arm/tpws
--- a/binaries/freebsd-x64/dvtws
+++ b/binaries/freebsd-x64/dvtws
--- a/binaries/freebsd-x64/ip2net
+++ b/binaries/freebsd-x64/ip2net
--- a/binaries/freebsd-x64/mdig
+++ b/binaries/freebsd-x64/mdig
--- a/binaries/freebsd-x64/tpws
+++ b/binaries/freebsd-x64/tpws
--- a/binaries/mac64/ip2net
+++ b/binaries/mac64/ip2net
--- a/binaries/mac64/mdig
+++ b/binaries/mac64/mdig
--- a/binaries/mac64/tpws
+++ b/binaries/mac64/tpws
--- a/binaries/mips32r1-lsb/ip2net
+++ b/binaries/mips32r1-lsb/ip2net
--- a/binaries/mips32r1-lsb/mdig
+++ b/binaries/mips32r1-lsb/mdig
--- a/binaries/mips32r1-lsb/nfqws
+++ b/binaries/mips32r1-lsb/nfqws
--- a/binaries/mips32r1-lsb/tpws
+++ b/binaries/mips32r1-lsb/tpws
--- a/binaries/mips32r1-msb/ip2net
+++ b/binaries/mips32r1-msb/ip2net
--- a/binaries/mips32r1-msb/mdig
+++ b/binaries/mips32r1-msb/mdig
--- a/binaries/mips32r1-msb/nfqws
+++ b/binaries/mips32r1-msb/nfqws
--- a/binaries/mips32r1-msb/tpws
+++ b/binaries/mips32r1-msb/tpws
--- a/binaries/mips64r2-msb/ip2net
+++ b/binaries/mips64r2-msb/ip2net
--- a/binaries/mips64r2-msb/mdig
+++ b/binaries/mips64r2-msb/mdig
--- a/binaries/mips64r2-msb/nfqws
+++ b/binaries/mips64r2-msb/nfqws
--- a/binaries/mips64r2-msb/tpws
+++ b/binaries/mips64r2-msb/tpws
--- a/binaries/ppc/ip2net
+++ b/binaries/ppc/ip2net
--- a/binaries/ppc/mdig
+++ b/binaries/ppc/mdig
--- a/binaries/ppc/nfqws
+++ b/binaries/ppc/nfqws
--- a/binaries/ppc/tpws
+++ b/binaries/ppc/tpws
--- a/binaries/win32/WinDivert.dll
+++ b/binaries/win32/WinDivert.dll
--- a/binaries/win32/WinDivert32.sys
+++ b/binaries/win32/WinDivert32.sys
--- a/binaries/win32/cygwin1.dll
+++ b/binaries/win32/cygwin1.dll
--- a/binaries/win32/ip2net.exe
+++ b/binaries/win32/ip2net.exe
--- a/binaries/win32/killall.exe
+++ b/binaries/win32/killall.exe
--- a/binaries/win32/mdig.exe
+++ b/binaries/win32/mdig.exe
--- a/binaries/win32/readme.txt
+++ b/binaries/win32/readme.txt
@ -1,8 +0,0 @@
-From this folder winws can be started only standalone.
-To run from cygwin shell delete, rename or move cygwin1.dll.
-Cygwin refuses to start winws if a copy of cygwin1.dll is present !
-
-How to get win7 and winws compatible version of cygwin :
-
-curl -O https://www.cygwin.com/setup-x86_64.exe
-setup-x86_64.exe --allow-unsupported-windows --no-verify --site http://ctm.crouchingtigerhiddenfruitbat.org/pub/cygwin/circa/64bit/2024/01/30/231215
--- a/binaries/win32/winws.exe
+++ b/binaries/win32/winws.exe
--- a/binaries/win64/WinDivert.dll
+++ b/binaries/win64/WinDivert.dll
--- a/binaries/win64/WinDivert64.sys
+++ b/binaries/win64/WinDivert64.sys
--- a/binaries/win64/cygwin1.dll
+++ b/binaries/win64/cygwin1.dll
--- a/binaries/win64/ip2net.exe
+++ b/binaries/win64/ip2net.exe
--- a/binaries/win64/mdig.exe
+++ b/binaries/win64/mdig.exe
--- a/binaries/win64/readme.txt
+++ b/binaries/win64/readme.txt
@ -1,8 +0,0 @@
-From this folder winws can be started only standalone.
-To run from cygwin shell delete, rename or move cygwin1.dll.
-Cygwin refuses to start winws if a copy of cygwin1.dll is present !
-
-How to get win7 and winws compatible version of cygwin :
-
-curl -O https://www.cygwin.com/setup-x86_64.exe
-setup-x86_64.exe --allow-unsupported-windows --no-verify --site http://ctm.crouchingtigerhiddenfruitbat.org/pub/cygwin/circa/64bit/2024/01/30/231215
--- a/binaries/win64/winws.exe
+++ b/binaries/win64/winws.exe
--- a/binaries/x86/ip2net
+++ b/binaries/x86/ip2net
--- a/binaries/x86/mdig
+++ b/binaries/x86/mdig
--- a/binaries/x86/nfqws
+++ b/binaries/x86/nfqws
--- a/binaries/x86/tpws
+++ b/binaries/x86/tpws
--- a/binaries/x86_64/ip2net
+++ b/binaries/x86_64/ip2net
--- a/binaries/x86_64/mdig
+++ b/binaries/x86_64/mdig
--- a/binaries/x86_64/nfqws
+++ b/binaries/x86_64/nfqws
--- a/binaries/x86_64/tpws
+++ b/binaries/x86_64/tpws
--- a/binaries/x86_64/tpws_wsl.tgz
+++ b/binaries/x86_64/tpws_wsl.tgz
--- a/blockcheck.sh
+++ b/blockcheck.sh
@ -23,6 +23,7 @@ CURL=${CURL:-curl}
 . "$ZAPRET_BASE/common/fwtype.sh"
 . "$ZAPRET_BASE/common/virt.sh"

+DOMAINS_DEFAULT=${DOMAINS_DEFAULT:-rutracker.org}
 QNUM=${QNUM:-59780}
 SOCKS_PORT=${SOCKS_PORT:-1993}
 TPWS_UID=${TPWS_UID:-1}
@ -35,9 +36,9 @@ MDIG=${MDIG:-${ZAPRET_BASE}/mdig/mdig}
 DESYNC_MARK=0x10000000
 IPFW_RULE_NUM=${IPFW_RULE_NUM:-1}
 IPFW_DIVERT_PORT=${IPFW_DIVERT_PORT:-59780}
-DOMAINS=${DOMAINS:-rutracker.org}
 CURL_MAX_TIME=${CURL_MAX_TIME:-2}
 CURL_MAX_TIME_QUIC=${CURL_MAX_TIME_QUIC:-$CURL_MAX_TIME}
+CURL_MAX_TIME_DOH=${CURL_MAX_TIME_DOH:-2}
 MIN_TTL=${MIN_TTL:-1}
 MAX_TTL=${MAX_TTL:-12}
 USER_AGENT=${USER_AGENT:-Mozilla}
@ -45,9 +46,9 @@ HTTP_PORT=${HTTP_PORT:-80}
 HTTPS_PORT=${HTTPS_PORT:-443}
 QUIC_PORT=${QUIC_PORT:-443}
 UNBLOCKED_DOM=${UNBLOCKED_DOM:-iana.org}
-[ "$CURL_VERBOSE" = 1 ] && CURL_CMD=1
+PARALLEL_OUT=/tmp/zapret_parallel

-HDRTEMP=/tmp/zapret-hdr.txt
+HDRTEMP=/tmp/zapret-hdr

 NFT_TABLE=blockcheck

@ -78,9 +79,11 @@ exitp()
 {
 	local A

-	echo
-	echo press enter to continue
-	read A
+	[ "$BATCH" = 1 ] || {
+		echo
+		echo press enter to continue
+		read A
+	}
 	exit $1
 }

@ -213,7 +216,7 @@ doh_resolve()
 	# $1 - ip version 4/6
 	# $2 - hostname
 	# $3 - doh server URL. use $DOH_SERVER if empty
-	$MDIG --family=$1 --dns-make-query=$2 | curl -s --data-binary @- -H "Content-Type: application/dns-message" "${3:-$DOH_SERVER}" | $MDIG --dns-parse-query
+	$MDIG --family=$1 --dns-make-query=$2 | $CURL --max-time $CURL_MAX_TIME_DOH -s --data-binary @- -H "Content-Type: application/dns-message" "${3:-$DOH_SERVER}" | $MDIG --dns-parse-query
 }
 doh_find_working()
 {
@ -338,12 +341,19 @@ netcat_test()
 	}
 }

+tpws_can_fix_seg()
+{
+	# fix-seg requires kernel 4.6+
+	"$TPWS" --port 1 --dry-run --fix-seg >/dev/null 2>/dev/null
+}
+
 check_system()
 {
 	echo \* checking system

 	UNAME=$(uname)
 	SUBSYS=
+	FIX_SEG=
 	local s

 	# can be passed FWTYPE=iptables to override default nftables preference
@ -351,6 +361,14 @@ check_system()
 		Linux)
 			PKTWS="$NFQWS"
 			PKTWSD=nfqws
+			if [ -x "$TPWS" ] ; then
+				if tpws_can_fix_seg ; then
+					echo tpws supports --fix-seg on this system
+					FIX_SEG='--fix-seg'
+				else
+					echo tpws does not support --fix-seg on this system
+				fi
+			fi
 			linux_fwtype
 			[ "$FWTYPE" = iptables -o "$FWTYPE" = nftables ] || {
 				echo firewall type $FWTYPE not supported in $UNAME
@ -561,7 +579,7 @@ curl_supports_tls13()
 	[ $? = 2 ] && return 1
 	# curl can have tlsv1.3 key present but ssl library without TLS 1.3 support
 	# this is online test because there's no other way to trigger library incompatibility case
-	$CURL --tlsv1.3 --max-time $CURL_MAX_TIME -Is -o /dev/null https://iana.org 2>/dev/null
+	$CURL --tlsv1.3 --max-time 1 -Is -o /dev/null https://iana.org 2>/dev/null
 	r=$?
 	[ $r != 4 -a $r != 35 ]
 }
@ -652,28 +670,28 @@ curl_test_http()
 	# $3 - subst ip
 	# $4 - "detail" - detail info

-	local code loc
-	curl_probe $1 $2 $HTTP_PORT "$3" -SsD "$HDRTEMP" -A "$USER_AGENT" --max-time $CURL_MAX_TIME $CURL_OPT "http://$2" -o /dev/null 2>&1 || {
+	local code loc hdrt="${HDRTEMP}_${!:-$$}.txt"
+	curl_probe $1 $2 $HTTP_PORT "$3" -SsD "$hdrt" -A "$USER_AGENT" --max-time $CURL_MAX_TIME $CURL_OPT "http://$2" -o /dev/null 2>&1 || {
 		code=$?
-		rm -f "$HDRTEMP"
+		rm -f "$hdrt"
 		return $code
 	}
 	if [ "$4" = "detail" ] ; then
-		head -n 1 "$HDRTEMP"
-		grep "^[lL]ocation:" "$HDRTEMP"
+		head -n 1 "$hdrt"
+		grep "^[lL]ocation:" "$hdrt"
 	else
-		code=$(hdrfile_http_code "$HDRTEMP")
+		code=$(hdrfile_http_code "$hdrt")
 		[ "$code" = 301 -o "$code" = 302 -o "$code" = 307 -o "$code" = 308 ] && {
-			loc=$(hdrfile_location "$HDRTEMP")
+			loc=$(hdrfile_location "$hdrt")
 			echo "$loc" | grep -qE "^https?://.*$2(/|$)" ||
 			echo "$loc" | grep -vqE '^https?://' || {
 				echo suspicious redirection $code to : $loc
-				rm -f "$HDRTEMP"
+				rm -f "$hdrt"
 				return 254
 			}
 		}
 	fi
-	rm -f "$HDRTEMP"
+	rm -f "$hdrt"
 	[ "$code" = 400 ] && {
 		# this can often happen if the server receives fake packets it should not receive
 		echo http code $code. likely the server receives fakes.
@ -717,6 +735,11 @@ ipt_aux_scheme()

 	# to avoid possible INVALID state drop
 	[ "$2" = tcp ] && IPT_ADD_DEL $1 INPUT -p $2 --sport $3 ! --syn -j ACCEPT
+
+	local icmp_filter="-p icmp -m icmp --icmp-type"
+	[ "$IPV" = 6 ] && icmp_filter="-p icmpv6 -m icmp6 --icmpv6-type"
+	IPT_ADD_DEL $1 INPUT $icmp_filter time-exceeded -m connmark --mark $DESYNC_MARK/$DESYNC_MARK -j DROP 
+
 	# for strategies with incoming packets involved (autottl)
 	IPT_ADD_DEL $1 OUTPUT -p $2 --dport $3 -m conntrack --ctstate INVALID -j ACCEPT
 	if [ "$IPV" = 6 -a -n "$IP6_DEFRAG_DISABLE" ]; then
@ -748,6 +771,7 @@ ipt_scheme()
 	$IPTABLES -t mangle -A blockcheck_output -p $1 ! --dport $2 -j RETURN

 	for ip in $3; do
+		$IPTABLES -t mangle -A blockcheck_output -d $ip -j CONNMARK --or-mark $DESYNC_MARK
 		$IPTABLES -t mangle -A blockcheck_output -d $ip -j NFQUEUE --queue-num $QNUM
 	done

@ -765,12 +789,20 @@ nft_scheme()

 	nft add table inet $NFT_TABLE
 	nft "add chain inet $NFT_TABLE postnat { type filter hook output priority 102; }"
-	nft "add rule inet $NFT_TABLE postnat meta nfproto ipv${IPV} $1 dport $2 mark and $DESYNC_MARK != $DESYNC_MARK ip${ipver} daddr {$iplist} queue num $QNUM"
+	nft "add rule inet $NFT_TABLE postnat meta nfproto ipv${IPV} $1 dport $2 mark and $DESYNC_MARK == 0 ip${ipver} daddr {$iplist} ct mark set ct mark or $DESYNC_MARK queue num $QNUM"
 	# for strategies with incoming packets involved (autottl)
 	nft "add chain inet $NFT_TABLE prenat { type filter hook prerouting priority -102; }"
 	# enable everything generated by nfqws (works only in OUTPUT, not in FORWARD)
 	nft "add chain inet $NFT_TABLE predefrag { type filter hook output priority -402; }"
 	nft "add rule inet $NFT_TABLE predefrag meta nfproto ipv${IPV} mark and $DESYNC_MARK !=0 notrack"
+	[ "$IPV" = 4 ] && {
+		nft "add rule inet $NFT_TABLE prenat icmp type time-exceeded ct mark and $DESYNC_MARK != 0 drop"
+		nft "add rule inet $NFT_TABLE prenat icmp type time-exceeded ct state invalid drop"
+	}
+	[ "$IPV" = 6 ] && {
+		nft "add rule inet $NFT_TABLE prenat icmpv6 type time-exceeded ct mark and $DESYNC_MARK != 0 drop"
+		nft "add rule inet $NFT_TABLE prenat icmpv6 type time-exceeded ct state invalid drop"
+	}
 }

 pktws_ipt_prepare()
@ -792,7 +824,7 @@ pktws_ipt_prepare()
 			# disable PF to avoid interferences
 			pf_is_avail && pfctl -qd
 			for ip in $3; do
-				IPFW_ADD divert $IPFW_DIVERT_PORT $1 from me to $ip $2 proto ip${IPV} out not diverted not sockarg
+				IPFW_ADD divert $IPFW_DIVERT_PORT $1 from me to $ip $2 proto ip${IPV} out not diverted
 			done
 			;;
 		opf)
@ -867,7 +899,7 @@ pktws_ipt_prepare_tcp()
 			;;
 		ipfw)
 			for ip in $2; do
-				IPFW_ADD divert $IPFW_DIVERT_PORT tcp from $ip $1 to me proto ip${IPV} tcpflags syn,ack in not diverted not sockarg
+				IPFW_ADD divert $IPFW_DIVERT_PORT tcp from $ip $1 to me proto ip${IPV} tcpflags syn,ack in not diverted
 			done
 			;;
 	esac
@ -965,18 +997,38 @@ curl_test()
 	# $2 - domain
 	# $3 - subst ip
 	# $4 - param of test function
-	local code=0 n=0
+	local code=0 n=0 p pids

-	while [ $n -lt $REPEATS ]; do
-		n=$(($n+1))
-		[ $REPEATS -gt 1 ] && printf "[attempt $n] "
-		if $1 "$IPV" $2 $3 "$4" ; then
-			[ $REPEATS -gt 1 ] && echo 'AVAILABLE'
-		else
-			code=$?
-			[ "$SCANLEVEL" = quick ] && break
-		fi
-	done
+	if [ "$PARALLEL" = 1 ]; then
+		rm -f "${PARALLEL_OUT}"*
+		for n in $(seq -s ' ' 1 $REPEATS); do
+			$1 "$IPV" $2 $3 "$4" >"${PARALLEL_OUT}_$n" &
+			pids="${pids:+$pids }$!"
+		done
+		n=1
+		for p in $pids; do
+			[ $REPEATS -gt 1 ] && printf "[attempt $n] "
+			if wait $p; then
+				[ $REPEATS -gt 1 ] && echo 'AVAILABLE'
+			else
+				code=$?
+				cat "${PARALLEL_OUT}_$n"
+			fi
+			n=$(($n+1))
+		done
+		rm -f "${PARALLEL_OUT}"*
+	else
+		while [ $n -lt $REPEATS ]; do
+			n=$(($n+1))
+			[ $REPEATS -gt 1 ] && printf "[attempt $n] "
+			if $1 "$IPV" $2 $3 "$4" ; then
+				[ $REPEATS -gt 1 ] && echo 'AVAILABLE'
+			else
+				code=$?
+				[ "$SCANLEVEL" = quick ] && break
+			fi
+		done
+	fi
 	[ "$4" = detail ] || {
 		if [ $code = 254 ]; then
 			echo "UNAVAILABLE"
@ -994,7 +1046,6 @@ ws_curl_test()
 	# $2 - test function
 	# $3 - domain
 	# $4,$5,$6, ... - ws params
-
 	local code ws_start=$1 testf=$2 dom=$3
 	shift
 	shift
@ -1013,6 +1064,14 @@ tpws_curl_test()
 	echo - checking tpws $3 $4 $5 $6 $7 $8 $9${TPWS_EXTRA:+ $TPWS_EXTRA}${TPWS_EXTRA_1:+ "$TPWS_EXTRA_1"}${TPWS_EXTRA_2:+ "$TPWS_EXTRA_2"}${TPWS_EXTRA_3:+ "$TPWS_EXTRA_3"}${TPWS_EXTRA_4:+ "$TPWS_EXTRA_4"}${TPWS_EXTRA_5:+ "$TPWS_EXTRA_5"}${TPWS_EXTRA_6:+ "$TPWS_EXTRA_6"}${TPWS_EXTRA_7:+ "$TPWS_EXTRA_7"}${TPWS_EXTRA_8:+ "$TPWS_EXTRA_8"}${TPWS_EXTRA_9:+ "$TPWS_EXTRA_9"}
 	local ALL_PROXY="socks5://127.0.0.1:$SOCKS_PORT"
 	ws_curl_test tpws_start "$@"${TPWS_EXTRA:+ $TPWS_EXTRA}${TPWS_EXTRA_1:+ "$TPWS_EXTRA_1"}${TPWS_EXTRA_2:+ "$TPWS_EXTRA_2"}${TPWS_EXTRA_3:+ "$TPWS_EXTRA_3"}${TPWS_EXTRA_4:+ "$TPWS_EXTRA_4"}${TPWS_EXTRA_5:+ "$TPWS_EXTRA_5"}${TPWS_EXTRA_6:+ "$TPWS_EXTRA_6"}${TPWS_EXTRA_7:+ "$TPWS_EXTRA_7"}${TPWS_EXTRA_8:+ "$TPWS_EXTRA_8"}${TPWS_EXTRA_9:+ "$TPWS_EXTRA_9"}
+	local testf=$1 dom=$2 strategy code=$?
+	[ "$code" = 0 ] && {
+		shift; shift;
+		strategy="$@"
+		strategy_append_extra_tpws
+		report_append "ipv${IPV} $dom $testf : tpws ${WF:+$WF }$strategy"
+	}
+	return $code
 }
 pktws_curl_test()
 {
@ -1021,7 +1080,25 @@ pktws_curl_test()
 	# $3,$4,$5, ... - nfqws/dvtws params
 	echo - checking $PKTWSD ${WF:+$WF }$3 $4 $5 $6 $7 $8 $9${PKTWS_EXTRA:+ $PKTWS_EXTRA}${PKTWS_EXTRA_1:+ "$PKTWS_EXTRA_1"}${PKTWS_EXTRA_2:+ "$PKTWS_EXTRA_2"}${PKTWS_EXTRA_3:+ "$PKTWS_EXTRA_3"}${PKTWS_EXTRA_4:+ "$PKTWS_EXTRA_4"}${PKTWS_EXTRA_5:+ "$PKTWS_EXTRA_5"}${PKTWS_EXTRA_6:+ "$PKTWS_EXTRA_6"}${PKTWS_EXTRA_7:+ "$PKTWS_EXTRA_7"}${PKTWS_EXTRA_8:+ "$PKTWS_EXTRA_8"}${PKTWS_EXTRA_9:+ "$PKTWS_EXTRA_9"}
 	ws_curl_test pktws_start "$@"${PKTWS_EXTRA:+ $PKTWS_EXTRA}${PKTWS_EXTRA_1:+ "$PKTWS_EXTRA_1"}${PKTWS_EXTRA_2:+ "$PKTWS_EXTRA_2"}${PKTWS_EXTRA_3:+ "$PKTWS_EXTRA_3"}${PKTWS_EXTRA_4:+ "$PKTWS_EXTRA_4"}${PKTWS_EXTRA_5:+ "$PKTWS_EXTRA_5"}${PKTWS_EXTRA_6:+ "$PKTWS_EXTRA_6"}${PKTWS_EXTRA_7:+ "$PKTWS_EXTRA_7"}${PKTWS_EXTRA_8:+ "$PKTWS_EXTRA_8"}${PKTWS_EXTRA_9:+ "$PKTWS_EXTRA_9"}
+	local testf=$1 dom=$2 strategy code=$?
+	[ "$code" = 0 ] && {
+		shift; shift;
+		strategy="$@"
+		strategy_append_extra_pktws
+		report_append "ipv${IPV} $dom $testf : $PKTWSD ${WF:+$WF }$strategy"
+	}
+	return $code
 }
+
+strategy_append_extra_pktws()
+{
+	strategy="${strategy:+$strategy${PKTWS_EXTRA:+ $PKTWS_EXTRA}${PKTWS_EXTRA_1:+ "$PKTWS_EXTRA_1"}${PKTWS_EXTRA_2:+ "$PKTWS_EXTRA_2"}${PKTWS_EXTRA_3:+ "$PKTWS_EXTRA_3"}${PKTWS_EXTRA_4:+ "$PKTWS_EXTRA_4"}${PKTWS_EXTRA_5:+ "$PKTWS_EXTRA_5"}${PKTWS_EXTRA_6:+ "$PKTWS_EXTRA_6"}${PKTWS_EXTRA_7:+ "$PKTWS_EXTRA_7"}${PKTWS_EXTRA_8:+ "$PKTWS_EXTRA_8"}${PKTWS_EXTRA_9:+ "$PKTWS_EXTRA_9"}}"
+}
+strategy_append_extra_tpws()
+{
+	strategy="${strategy:+$strategy${TPWS_EXTRA:+ $TPWS_EXTRA}${TPWS_EXTRA_1:+ "$TPWS_EXTRA_1"}${TPWS_EXTRA_2:+ "$TPWS_EXTRA_2"}${TPWS_EXTRA_3:+ "$TPWS_EXTRA_3"}${TPWS_EXTRA_4:+ "$TPWS_EXTRA_4"}${TPWS_EXTRA_5:+ "$TPWS_EXTRA_5"}${TPWS_EXTRA_6:+ "$TPWS_EXTRA_6"}${TPWS_EXTRA_7:+ "$TPWS_EXTRA_7"}${TPWS_EXTRA_8:+ "$TPWS_EXTRA_8"}${TPWS_EXTRA_9:+ "$TPWS_EXTRA_9"}}"
+}
+
 xxxws_curl_test_update()
 {
 	# $1 - xxx_curl_test function
@ -1073,7 +1150,7 @@ report_strategy()
 		strategy="$(echo "$strategy" | xargs)"
 		echo "!!!!! $1: working strategy found for ipv${IPV} $2 : $3 $strategy !!!!!"
 		echo
-		report_append "ipv${IPV} $2 $1 : $3 ${WF:+$WF }$strategy"
+#		report_append "ipv${IPV} $2 $1 : $3 ${WF:+$WF }$strategy"
 		return 0
 	else
 		echo "$1: $3 strategy for ipv${IPV} $2 not found"
@ -1086,14 +1163,21 @@ test_has_split()
 {
 	contains "$1" split || contains "$1" disorder
 }
+test_has_fakedsplit()
+{
+	contains "$1" fakedsplit || contains "$1" fakeddisorder
+}
 test_has_fake()
 {
-	contains "$1" fake
+	[ "$1" = fake ] || starts_with "$1" fake,
 }
 warn_fool()
 {
 	case "$1" in
-		md5sig) echo 'WARNING ! although md5sig fooling worked it will not work on all sites. it typically works only on linux servers.' ;;
+		md5sig) echo 'WARNING ! although md5sig fooling worked it will not work on all sites. it typically works only on linux servers.'
+			[ "$2" = "fakedsplit" -o "$2" = "fakeddisorder" ] && \
+				echo "WARNING ! fakedsplit/fakeddisorder with md5sig fooling and low split position causes MTU overflow with multi-segment TLS (kyber)"
+			;;
 		datanoack) echo 'WARNING ! although datanoack fooling worked it may break NAT and may only work with external IP. Additionally it may require nftables to work correctly.' ;;
 	esac
 }
@ -1105,25 +1189,40 @@ pktws_curl_test_update_vary()
 	# $4 - desync mode
 	# $5,$6,... - strategy

-	local testf=$1 sec=$2 domain=$3 desync=$4 zerofake split fake
+	local testf=$1 sec=$2 domain=$3 desync=$4 proto zerofake= tlsmod= splits= pos fake ret=1
 	
 	shift; shift; shift; shift
 	
-	zerofake=http
-	[ "$sec" = 0 ] || zerofake=tls
-	zerofake="--dpi-desync-fake-$zerofake=0x00000000"
-	
-	for fake in '' $zerofake ; do
-		for split in '' '--dpi-desync-split-pos=1' ; do
-			pktws_curl_test_update $testf $domain --dpi-desync=$desync "$@" $fake $split && return 0
-			# split-pos=1 is meaningful for DPIs searching for 16 03 in TLS. no reason to apply to http
-			[ "$sec" = 1 ] || break
-			test_has_split $desync || break
-		done
-		test_has_fake $desync || break
+	proto=http
+	[ "$sec" = 0 ] || proto=tls
+	test_has_fake $desync && {
+		zerofake="--dpi-desync-fake-$proto=0x00000000"
+		[ "$sec" = 0 ] || tlsmod="--dpi-desync-fake-tls-mod=rnd,dupsid,rndsni,padencap"
+	}
+	if test_has_fakedsplit $desync ; then
+		splits="method+2 midsld"
+		[ "$sec" = 0 ] || splits="1 midsld"
+	elif test_has_split $desync ; then
+		splits="method+2 midsld"
+		[ "$sec" = 0 ] || splits="1 midsld 1,midsld"
+	fi
+	for fake in '' $zerofake $tlsmod ; do
+		if [ -n "$splits" ]; then
+			for pos in $splits ; do
+				pktws_curl_test_update $testf $domain --dpi-desync=$desync "$@" --dpi-desync-split-pos=$pos $fake && {
+					[ "$SCANLEVEL" = force ] || return 0
+					ret=0
+				}
+			done
+		else
+			pktws_curl_test_update $testf $domain --dpi-desync=$desync "$@" $fake && {
+				[ "$SCANLEVEL" = force ] || return 0
+				ret=0
+			}
+		fi
 	done

-	return 1
+	return $ret
 }

 pktws_check_domain_http_bypass_()
@ -1132,121 +1231,143 @@ pktws_check_domain_http_bypass_()
 	# $2 - encrypted test : 0 = plain, 1 - encrypted with server reply risk, 2 - encrypted without server reply risk
 	# $3 - domain

-	local tests='fake' ret ok ttls s f e desync pos fooling frag sec="$2" delta hostcase
+	local ok ttls s f f2 e desync pos fooling frag sec="$2" delta splits
+	local need_split need_disorder need_fakedsplit need_fakeddisorder need_fake need_wssize
+	local splits_http='method+2 midsld method+2,midsld'
+	local splits_tls='2 1 sniext+1 sniext+4 host+1 midsld 1,midsld 1,sniext+1,host+1,midsld-2,midsld,midsld+2,endhost-1'

 	[ "$sec" = 0 ] && {
-		for s in '--hostcase' '--hostspell=hoSt' '--hostnospace' '--domcase'; do
+		for s in '--hostcase' '--hostspell=hoSt' '--hostnospace' '--domcase' '--methodeol'; do
 			pktws_curl_test_update $1 $3 $s
 		done
 	}

-	s="--dpi-desync=split2"
-	ok=0
-	pktws_curl_test_update $1 $3 $s
-	ret=$?
-	[ "$ret" = 0 ] && {
-		[ "$SCANLEVEL" = quick ] && return
-		ok=1
-	}
-	[ "$ret" != 0 -o "$SCANLEVEL" = force ] && {
-		if [ "$sec" = 0 ]; then
-			pktws_curl_test_update $1 $3 $s --hostcase && {
-				[ "$SCANLEVEL" = quick ] && return
-				ok=1
-			}
-			for pos in method host; do
-				for hostcase in '' '--hostcase'; do
-					pktws_curl_test_update $1 $3 $s --dpi-desync-split-http-req=$pos $hostcase && {
-						[ "$SCANLEVEL" = quick ] && return
-						ok=1
-					}
-				done
-			done
-		else
-			for pos in sni sniext; do
-				pktws_curl_test_update $1 $3 $s --dpi-desync-split-tls=$pos && {
-					[ "$SCANLEVEL" = quick ] && return
-					ok=1
-				}
-			done
-		fi
-		for pos in 1 3 4 5 10 50; do
-			s="--dpi-desync=split2 --dpi-desync-split-pos=$pos"
-			if pktws_curl_test_update $1 $3 $s; then
-				[ "$SCANLEVEL" = quick ] && return
-				ok=1
-				[ "$SCANLEVEL" = force ] || break
-			elif [ "$sec" = 0 ]; then
-				pktws_curl_test_update $1 $3 $s --hostcase && [ "$SCANLEVEL" = quick ] && return
-			fi
-		done
-	}
-	[ "$ok" = 1 -a "$SCANLEVEL" != force ] || tests="$tests split fake,split2 fake,split"
-
-	pktws_curl_test_update $1 $3 --dpi-desync=disorder2
-	ret=$?
-	[ "$ret" = 0 -a "$SCANLEVEL" = quick ] && return
-	[ "$ret" != 0 -o "$SCANLEVEL" = force ] && {
-	    pktws_curl_test_update $1 $3 --dpi-desync=disorder2 --dpi-desync-split-pos=1
-	    ret=$?
-	    [ "$ret" = 0 -a "$SCANLEVEL" = quick ] && return
-	}
-	[ "$ret" != 0 -o "$SCANLEVEL" = force ] && tests="$tests disorder fake,disorder2 fake,disorder"
-
 	ttls=$(seq -s ' ' $MIN_TTL $MAX_TTL)
+	need_wssize=1
 	for e in '' '--wssize 1:6'; do
+		need_split=
+		need_disorder=
+
 		[ -n "$e" ] && {
 			pktws_curl_test_update $1 $3 $e && [ "$SCANLEVEL" = quick ] && return
-			for desync in split2 disorder2; do
-				pktws_curl_test_update_vary $1 $2 $3 $desync $e && [ "$SCANLEVEL" = quick ] && return
-			done
 		}
-		for desync in $tests; do
+
+		for desync in multisplit multidisorder; do
+			ok=0
+			splits="$splits_http"
+			[ "$sec" = 0 ] || splits="$splits_tls"
+			for pos in $splits; do
+				pktws_curl_test_update $1 $3 --dpi-desync=$desync --dpi-desync-split-pos=$pos $e && {
+					[ "$SCANLEVEL" = quick ] && return
+					ok=1
+					need_wssize=0
+					[ "$SCANLEVEL" = force ] || break
+				}
+			done
+			[ "$ok" = 1 -a "$SCANLEVEL" != force ] || {
+				case $desync in
+					multisplit)
+						need_split=1
+						;;
+					multidisorder)
+						need_disorder=1
+						;;
+				esac
+			}
+		done
+
+		need_fakedsplit=1
+		need_fakeddisorder=1
+		need_fake=1
+		for desync in fake ${need_split:+fakedsplit fake,multisplit fake,fakedsplit} ${need_disorder:+fakeddisorder fake,multidisorder fake,fakeddisorder}; do
+			[ "$need_fake" = 0 ] && test_has_fake "$desync" && continue
+			[ "$need_fakedsplit" = 0 ] && contains "$desync" fakedsplit && continue
+			[ "$need_fakeddisorder" = 0 ] && contains "$desync" fakeddisorder && continue
+			ok=0
 			for ttl in $ttls; do
 				pktws_curl_test_update_vary $1 $2 $3 $desync --dpi-desync-ttl=$ttl $e && {
 					[ "$SCANLEVEL" = quick ] && return
+					ok=1
+					need_wssize=0
 					break
 				}
 			done
+			# only skip tests if TTL succeeded. do not skip if TTL failed but fooling succeeded
+			[ $ok = 1 -a "$SCANLEVEL" != force ] && {
+				[ "$desync" = fake ] && need_fake=0
+				[ "$desync" = fakedsplit ] && need_fakedsplit=0
+				[ "$desync" = fakeddisorder ] && need_fakeddisorder=0
+			}
 			f=
 			[ "$UNAME" = "OpenBSD" ] || f="badsum"
 			f="$f badseq datanoack md5sig"
 			[ "$IPV" = 6 ] && f="$f hopbyhop hopbyhop2"
 			for fooling in $f; do
 				pktws_curl_test_update_vary $1 $2 $3 $desync --dpi-desync-fooling=$fooling $e && {
-					warn_fool $fooling
+					warn_fool $fooling $desync
 					[ "$SCANLEVEL" = quick ] && return
+					need_wssize=0
 				}
 			done
 		done
+
 		[ "$IPV" = 6 ] && {
-			f="hopbyhop hopbyhop,split2 hopbyhop,disorder2 destopt destopt,split2 destopt,disorder2"
-			[ -n "$IP6_DEFRAG_DISABLE" ] && f="$f ipfrag1 ipfrag1,split2 ipfrag1,disorder2"
+			f="hopbyhop ${need_split:+hopbyhop,multisplit} ${need_disorder:+hopbyhop,multidisorder} destopt ${need_split:+destopt,multisplit} ${need_disorder:+destopt,multidisorder}"
+			[ -n "$IP6_DEFRAG_DISABLE" ] && f="$f ipfrag1 ${need_split:+ ipfrag1,multisplit} ${need_disorder:+ ipfrag1,multidisorder}"
 			for desync in $f; do
-				pktws_curl_test_update_vary $1 $2 $3 $desync $e && [ "$SCANLEVEL" = quick ] && return
+				pktws_curl_test_update_vary $1 $2 $3 $desync $e && {
+					[ "$SCANLEVEL" = quick ] && return
+					need_wssize=0
+				}
 			done
 		}

-		for desync in split2 disorder2; do
-			s="--dpi-desync=$desync"
+		[ "$need_split" = 1 ] && {
+			# relative markers can be anywhere, even in subsequent packets. first packet can be MTU-full.
+			# make additional split pos "10" to guarantee enough space for seqovl and likely to be before midsld,sniext,...
+			# method is always expected in the beginning of the first packet
+			f="method+2 method+2,midsld"
+			[ "$sec" = 0 ] || f="10 10,sniext+1 10,sniext+4 10,midsld"
+			for pos in $f; do
+				pktws_curl_test_update $1 $3 --dpi-desync=multisplit --dpi-desync-split-pos=$pos --dpi-desync-split-seqovl=1 $e && {
+					[ "$SCANLEVEL" = quick ] && return
+					need_wssize=0
+				}
+			done
+			[ "$sec" != 0 ] && pktws_curl_test_update $1 $3 --dpi-desync=multisplit --dpi-desync-split-pos=2 --dpi-desync-split-seqovl=336 --dpi-desync-split-seqovl-pattern="$ZAPRET_BASE/files/fake/tls_clienthello_iana_org.bin" $e && {
+				[ "$SCANLEVEL" = quick ] && return
+				need_wssize=0
+			}
+		}
+		[ "$need_disorder" = 1 ] && {
 			if [ "$sec" = 0 ]; then
-				for pos in method host; do
-					pktws_curl_test_update $1 $3 $s --dpi-desync-split-seqovl=1 --dpi-desync-split-http-req=$pos $e && [ "$SCANLEVEL" = quick ] && return
+				for pos in 'method+1 method+2' 'midsld-1 midsld' 'method+1 method+2,midsld'; do
+					f="$(extract_arg 1 $pos)"
+					f2="$(extract_arg 2 $pos)"
+					pktws_curl_test_update $1 $3 --dpi-desync=multidisorder --dpi-desync-split-pos=$f2 --dpi-desync-split-seqovl=$f $e && {
+						[ "$SCANLEVEL" = quick ] && return
+						need_wssize=0
+					}
 				done
 			else
-				for pos in sni sniext; do
-					pktws_curl_test_update $1 $3 $s --dpi-desync-split-seqovl=1 --dpi-desync-split-tls=$pos $e && [ "$SCANLEVEL" = quick ] && return
+				for pos in '1 2' 'sniext sniext+1' 'sniext+3 sniext+4' 'midsld-1 midsld' '1 2,midsld'; do
+					f=$(extract_arg 1 $pos)
+					f2=$(extract_arg 2 $pos)
+					pktws_curl_test_update $1 $3 --dpi-desync=multidisorder --dpi-desync-split-pos=$f2 --dpi-desync-split-seqovl=$f $e && {
+						[ "$SCANLEVEL" = quick ] && return
+						need_wssize=0
+					}
 				done
 			fi
-			for pos in 2 3 4 5 10 50; do
-				pktws_curl_test_update $1 $3 $s --dpi-desync-split-seqovl=$(($pos - 1)) --dpi-desync-split-pos=$pos $e && [ "$SCANLEVEL" = quick ] && return
-			done
-			[ "$sec" != 0 -a $desync = split2 ] && {
-				pktws_curl_test_update $1 $3 $s --dpi-desync-split-seqovl=336 --dpi-desync-split-seqovl-pattern="$ZAPRET_BASE/files/fake/tls_clienthello_iana_org.bin" $e && [ "$SCANLEVEL" = quick ] && return
-			}
-		done
+		}

-		for desync in $tests; do
+		need_fakedsplit=1
+		need_fakeddisorder=1
+		need_fake=1
+		for desync in fake ${need_split:+fakedsplit fake,multisplit fake,fakedsplit} ${need_disorder:+fakeddisorder fake,multidisorder fake,fakeddisorder}; do
+			[ "$need_fake" = 0 ] && test_has_fake "$desync" && continue
+			[ "$need_fakedsplit" = 0 ] && contains "$desync" fakedsplit && continue
+			[ "$need_fakeddisorder" = 0 ] && contains "$desync" fakeddisorder && continue
 			ok=0
 			for delta in 1 2 3 4 5; do
 				pktws_curl_test_update_vary $1 $2 $3 $desync --dpi-desync-ttl=1 --dpi-desync-autottl=$delta $e && ok=1
@ -1256,18 +1377,25 @@ pktws_check_domain_http_bypass_()
 				echo "WARNING ! although autottl worked it requires testing on multiple domains to find out reliable delta"
 				echo "WARNING ! if a reliable delta cannot be found it's a good idea not to use autottl"
 				[ "$SCANLEVEL" = quick ] && return
+				need_wssize=0
+				[ "$SCANLEVEL" = force ] || {
+					[ "$desync" = fake ] && need_fake=0
+					[ "$desync" = fakedsplit ] && need_fakedsplit=0
+					[ "$desync" = fakeddisorder ] && need_fakeddisorder=0
+				}
 			}			
 		done

 		s="http_iana_org.bin"
 		[ "$sec" = 0 ] || s="tls_clienthello_iana_org.bin"
-		for desync in syndata syndata,split2 syndata,disorder2 ; do
+		for desync in syndata ${need_split:+syndata,multisplit} ${need_disorder:+syndata,multidisorder} ; do
 			pktws_curl_test_update_vary $1 $2 $3 $desync $e && [ "$SCANLEVEL" = quick ] && return
 			pktws_curl_test_update_vary $1 $2 $3 $desync --dpi-desync-fake-syndata="$ZAPRET_BASE/files/fake/$s" $e && [ "$SCANLEVEL" = quick ] && return
 		done

 		# do not do wssize test for http and TLS 1.3. it's useless
 		[ "$sec" = 1 ] || break
+		[ "$SCANLEVEL" = force -o "$need_wssize" = 1 ] || break
 	done
 }
 pktws_check_domain_http_bypass()
@ -1278,7 +1406,7 @@ pktws_check_domain_http_bypass()

 	local strategy
 	pktws_check_domain_http_bypass_ "$@"
-	strategy="${strategy:+$strategy${PKTWS_EXTRA:+ $PKTWS_EXTRA}${PKTWS_EXTRA_1:+ "$PKTWS_EXTRA_1"}${PKTWS_EXTRA_2:+ "$PKTWS_EXTRA_2"}${PKTWS_EXTRA_3:+ "$PKTWS_EXTRA_3"}${PKTWS_EXTRA_4:+ "$PKTWS_EXTRA_4"}${PKTWS_EXTRA_5:+ "$PKTWS_EXTRA_5"}${PKTWS_EXTRA_6:+ "$PKTWS_EXTRA_6"}${PKTWS_EXTRA_7:+ "$PKTWS_EXTRA_7"}${PKTWS_EXTRA_8:+ "$PKTWS_EXTRA_8"}${PKTWS_EXTRA_9:+ "$PKTWS_EXTRA_9"}}"
+	strategy_append_extra_pktws
 	report_strategy $1 $3 $PKTWSD
 }

@ -1323,7 +1451,7 @@ pktws_check_domain_http3_bypass()

 	local strategy
 	pktws_check_domain_http3_bypass_ "$@"
-	strategy="${strategy:+$strategy $PKTWS_EXTRA $PKTWS_EXTRA_1 $PKTWS_EXTRA_2 $PKTWS_EXTRA_3 $PKTWS_EXTRA_4 $PKTWS_EXTRA_5 $PKTWS_EXTRA_6 $PKTWS_EXTRA_7 $PKTWS_EXTRA_8 $PKTWS_EXTRA_9}"
+	strategy_append_extra_pktws
 	report_strategy $1 $2 $PKTWSD
 }
 warn_mss()
@ -1331,6 +1459,11 @@ warn_mss()
 	[ -n "$1" ] && echo 'WARNING ! although mss worked it may not work on all sites and will likely cause significant slowdown. it may only be required for TLS1.2, not TLS1.3'
 	return 0
 }
+fix_seg()
+{
+	# $1 - split-pos
+	[ -n "$FIX_SEG" ] && contains "$1" , && echo "$FIX_SEG"
+}

 tpws_check_domain_http_bypass_()
 {
@ -1338,50 +1471,58 @@ tpws_check_domain_http_bypass_()
 	# $2 - encrypted test : 0 = plain, 1 - encrypted with server reply risk, 2 - encrypted without server reply risk
 	# $3 - domain

-	local s mss s2 s3 pos sec="$2"
+	local s mss s2 s3 oobdis pos sec="$2"
+	local splits_tls='2 1 sniext+1 sniext+4 host+1 midsld 1,midsld 1,sniext+1,host+1,midsld,endhost-1'
+	local splits_http='method+2 midsld method+2,midsld'
+
+	# simulteneous oob and disorder works properly only in linux. other systems retransmit oob byte without URG tcp flag and poison tcp stream.
+	[ "$UNAME" = Linux ] && oobdis='--oob --disorder'
 	if [ "$sec" = 0 ]; then
-		for s in '--hostcase' '--hostspell=hoSt' '--hostdot' '--hosttab' '--hostnospace' '--domcase' \
-			'--hostpad=1024' '--hostpad=2048' '--hostpad=4096' '--hostpad=8192' '--hostpad=16384' ; do
+		for s in '--hostcase' '--hostspell=hoSt' '--hostdot' '--hosttab' '--hostnospace' '--domcase' ; do
 			tpws_curl_test_update $1 $3 $s && [ "$SCANLEVEL" = quick ] && return
 		done
-		for s2 in '' '--oob' '--disorder' '--oob --disorder'; do
-			for s in '--split-http-req=method' '--split-http-req=method --hostcase' '--split-http-req=host' '--split-http-req=host --hostcase' ; do
-				tpws_curl_test_update $1 $3 $s $s2 && [ "$SCANLEVEL" = quick ] && return
+		for s in 1024 2048 4096 8192 16384 ; do
+			tpws_curl_test_update $1 $3 --hostpad=$s && [ "$SCANLEVEL" != force ] && {
+				[ "$SCANLEVEL" = quick ] && return
+				break
+			}
+		done
+		for s2 in '' '--hostcase' '--oob' '--disorder' ${oobdis:+"$oobdis"}; do
+			for s in $splits_http ; do
+				tpws_curl_test_update $1 $3 --split-pos=$s $(fix_seg $s) $s2 && [ "$SCANLEVEL" != force ] && {
+					[ "$SCANLEVEL" = quick ] && return
+					break
+				}
 			done
 		done
 		for s in  '--methodspace' '--unixeol' '--methodeol'; do
 			tpws_curl_test_update $1 $3 $s && [ "$SCANLEVEL" = quick ] && return
 		done
 	else
+		local need_mss=1
 		for mss in '' 88; do
 			s3=${mss:+--mss=$mss}
-			for s2 in '' '--oob' '--disorder' '--oob --disorder'; do
-				for pos in sni sniext; do
-					s="--split-tls=$pos"
-					tpws_curl_test_update $1 $3 $s $s2 $s3 && warn_mss $s3 && [ "$SCANLEVEL" != force ] && {
-						[ "$SCANLEVEL" = quick ] && return
-						break
-					}
-				done
-				for pos in 1 2 3 4 5 10 50; do
-					s="--split-pos=$pos"
-					tpws_curl_test_update $1 $3 $s $s2 $s3 && warn_mss $s3 && [ "$SCANLEVEL" != force ] && {
+			for s2 in '' '--oob' '--disorder' ${oobdis:+"$oobdis"}; do
+				for pos in $splits_tls; do
+					tpws_curl_test_update $1 $3 --split-pos=$pos $(fix_seg $pos) $s2 $s3 && warn_mss $s3 && [ "$SCANLEVEL" != force ] && {
 						[ "$SCANLEVEL" = quick ] && return
+						need_mss=0
 						break
 					}
 				done
 			done
-			for s2 in '--tlsrec=sni' '--tlsrec=sni --split-tls=sni' '--tlsrec=sni --split-tls=sni --oob' \
-					'--tlsrec=sni --split-tls=sni --disorder' '--tlsrec=sni --split-tls=sni --oob --disorder' \
-					'--tlsrec=sni --split-pos=1' '--tlsrec=sni --split-pos=1 --oob' '--tlsrec=sni --split-pos=1 --disorder' \
-					'--tlsrec=sni --split-pos=1 --oob --disorder'; do
-				tpws_curl_test_update $1 $3 $s2 $s3 && warn_mss $s3 && [ "$SCANLEVEL" != force ] && {
-					[ "$SCANLEVEL" = quick ] && return
-					break
-				}
+			for s in '' '--oob' '--disorder' ${oobdis:+"$oobdis"}; do
+				for s2 in '--tlsrec=midsld' '--tlsrec=sniext+1 --split-pos=midsld' '--tlsrec=sniext+4 --split-pos=midsld' "--tlsrec=sniext+1 --split-pos=1,midsld $FIX_SEG" "--tlsrec=sniext+4 --split-pos=1,midsld $FIX_SEG" ; do
+					tpws_curl_test_update $1 $3 $s2 $s $s3 && warn_mss $s3 && [ "$SCANLEVEL" != force ] && {
+						[ "$SCANLEVEL" = quick ] && return
+						need_mss=0
+						break
+					}
+				done
 			done
 			# only linux supports mss
 			[ "$UNAME" = Linux -a "$sec" = 1 ] || break
+			[ "$SCANLEVEL" = force -o "$need_mss" = 1 ] || break
 		done
 	fi
 }
@ -1393,7 +1534,7 @@ tpws_check_domain_http_bypass()

 	local strategy
 	tpws_check_domain_http_bypass_ "$@"
-	strategy="${strategy:+$strategy${TPWS_EXTRA:+ $TPWS_EXTRA}${TPWS_EXTRA_1:+ "$TPWS_EXTRA_1"}${TPWS_EXTRA_2:+ "$TPWS_EXTRA_2"}${TPWS_EXTRA_3:+ "$TPWS_EXTRA_3"}${TPWS_EXTRA_4:+ "$TPWS_EXTRA_4"}${TPWS_EXTRA_5:+ "$TPWS_EXTRA_5"}${TPWS_EXTRA_6:+ "$TPWS_EXTRA_6"}${TPWS_EXTRA_7:+ "$TPWS_EXTRA_7"}${TPWS_EXTRA_8:+ "$TPWS_EXTRA_8"}${TPWS_EXTRA_9:+ "$TPWS_EXTRA_9"}}"
+	strategy_append_extra_tpws
 	report_strategy $1 $3 tpws
 }

@ -1474,7 +1615,7 @@ check_domain_http_tcp()

 	check_domain_prolog $1 $2 $4 || return

-	check_dpi_ip_block $1 $4
+	[ "$SKIP_IPBLOCK" = 1 ] || check_dpi_ip_block $1 $4

 	[ "$SKIP_TPWS" = 1 ] || {
 		echo
@ -1520,22 +1661,22 @@ check_domain_http_udp()
 check_domain_http()
 {
 	# $1 - domain
-	check_domain_http_tcp curl_test_http 80 0 $1
+	check_domain_http_tcp curl_test_http $HTTP_PORT 0 $1
 }
 check_domain_https_tls12()
 {
 	# $1 - domain
-	check_domain_http_tcp curl_test_https_tls12 443 1 $1
+	check_domain_http_tcp curl_test_https_tls12 $HTTPS_PORT 1 $1
 }
 check_domain_https_tls13()
 {
 	# $1 - domain
-	check_domain_http_tcp curl_test_https_tls13 443 2 $1
+	check_domain_http_tcp curl_test_https_tls13 $HTTPS_PORT 2 $1
 }
 check_domain_http3()
 {
 	# $1 - domain
-	check_domain_http_udp curl_test_http3 443 $1
+	check_domain_http_udp curl_test_http3 $QUIC_PORT $1
 }

 configure_ip_version()
@ -1630,87 +1771,119 @@ ask_params()
 		exitp 1
 	}

-
-	echo "specify domain(s) to test. multiple domains are space separated."
-	printf "domain(s) (default: $DOMAINS) : "
 	local dom
-	read dom
-	[ -n "$dom" ] && DOMAINS="$dom"
+	[ -n "$DOMAINS" ] || {
+		DOMAINS="$DOMAINS_DEFAULT"
+		[ "$BATCH" = 1 ] || {
+			echo "specify domain(s) to test. multiple domains are space separated."
+			printf "domain(s) (default: $DOMAINS) : "
+			read dom
+			[ -n "$dom" ] && DOMAINS="$dom"
+		}
+	}

 	local IPVS_def=4
-	# yandex public dns
-	pingtest 6 2a02:6b8::feed:0ff && IPVS_def=46
-	printf "ip protocol version(s) - 4, 6 or 46 for both (default: $IPVS_def) : "
-	read IPVS
-	[ -n "$IPVS" ] || IPVS=$IPVS_def
-	[ "$IPVS" = 4 -o "$IPVS" = 6 -o "$IPVS" = 46 ] || {
-		echo 'invalid ip version(s). should be 4, 6 or 46.'
-		exitp 1
+	[ -n "$IPVS" ] || {
+		# yandex public dns
+		pingtest 6 2a02:6b8::feed:0ff && IPVS_def=46
+		[ "$BATCH" = 1 ] || {
+			printf "ip protocol version(s) - 4, 6 or 46 for both (default: $IPVS_def) : "
+			read IPVS
+		}
+		[ -n "$IPVS" ] || IPVS=$IPVS_def
+		[ "$IPVS" = 4 -o "$IPVS" = 6 -o "$IPVS" = 46 ] || {
+			echo 'invalid ip version(s). should be 4, 6 or 46.'
+			exitp 1
+		}
 	}
 	[ "$IPVS" = 46 ] && IPVS="4 6"

 	configure_curl_opt

-	ENABLE_HTTP=1
-	echo
-	ask_yes_no_var ENABLE_HTTP "check http"
-
-	ENABLE_HTTPS_TLS12=1
-	echo
-	ask_yes_no_var ENABLE_HTTPS_TLS12 "check https tls 1.2"
-
-	ENABLE_HTTPS_TLS13=0
-	echo
-	if [ -n "$TLS13" ]; then
-		echo "TLS 1.3 uses encrypted ServerHello. DPI cannot check domain name in server response."
-		echo "This can allow more bypass strategies to work."
-		echo "What works for TLS 1.2 will also work for TLS 1.3 but not vice versa."
-		echo "Most sites nowadays support TLS 1.3 but not all. If you can't find a strategy for TLS 1.2 use this test."
-		echo "TLS 1.3 only strategy is better than nothing."
-		ask_yes_no_var ENABLE_HTTPS_TLS13 "check https tls 1.3"
-	else
-		echo "installed curl version does not support TLS 1.3 . tests disabled."
-	fi
-
-	ENABLE_HTTP3=0
-	echo
-	if [ -n "$HTTP3" ]; then
-		echo "make sure target domain(s) support QUIC or result will be negative in any case"
-		ENABLE_HTTP3=1
-		ask_yes_no_var ENABLE_HTTP3 "check http3 QUIC"
-	else
-		echo "installed curl version does not support http3 QUIC. tests disabled."
-	fi
-
-	IGNORE_CA=0
-	CURL_OPT=
-	[ $ENABLE_HTTPS_TLS13 = 1 -o $ENABLE_HTTPS_TLS12 = 1 ] && {
-		echo
-		echo "on limited systems like openwrt CA certificates might not be installed to preserve space"
-		echo "in such a case curl cannot verify server certificate and you should either install ca-bundle or disable verification"
-		echo "however disabling verification will break https check if ISP does MitM attack and substitutes server certificate"
-		ask_yes_no_var IGNORE_CA "do not verify server certificate"
-		[ "$IGNORE_CA" = 1 ] && CURL_OPT=-k
+	[ -n "$ENABLE_HTTP" ] || {
+		ENABLE_HTTP=1
+		[ "$BATCH" = 1 ] || {
+			echo
+			ask_yes_no_var ENABLE_HTTP "check http"
+		}
 	}

-	echo
-	echo "sometimes ISPs use multiple DPIs or load balancing. bypass strategies may work unstable."
-	printf "how many times to repeat each test (default: 1) : "
-	read REPEATS
-	REPEATS=$((0+${REPEATS:-1}))
-	[ "$REPEATS" = 0 ] && {
-		echo invalid repeat count
-		exitp 1
+	[ -n "$ENABLE_HTTPS_TLS12" ] || {
+		ENABLE_HTTPS_TLS12=1
+		[ "$BATCH" = 1 ] || {
+			echo
+			ask_yes_no_var ENABLE_HTTPS_TLS12 "check https tls 1.2"
+		}
 	}

-	echo
-	echo quick    - scan as fast as possible to reveal any working strategy
-	echo standard - do investigation what works on your DPI
-	echo force    - scan maximum despite of result
-	SCANLEVEL=${SCANLEVEL:-standard}
-	ask_list SCANLEVEL "quick standard force" "$SCANLEVEL"
-	# disable tpws checks by default in quick mode
-	[ "$SCANLEVEL" = quick -a -z "$SKIP_TPWS" -a "$UNAME" != Darwin ] && SKIP_TPWS=1
+	[ -n "$ENABLE_HTTPS_TLS13" ] || {
+		ENABLE_HTTPS_TLS13=0
+		if [ -n "$TLS13" ]; then
+			[ "$BATCH" = 1 ] || {
+				echo
+				echo "TLS 1.3 uses encrypted ServerHello. DPI cannot check domain name in server response."
+				echo "This can allow more bypass strategies to work."
+				echo "What works for TLS 1.2 will also work for TLS 1.3 but not vice versa."
+				echo "Most sites nowadays support TLS 1.3 but not all. If you can't find a strategy for TLS 1.2 use this test."
+				echo "TLS 1.3 only strategy is better than nothing."
+				ask_yes_no_var ENABLE_HTTPS_TLS13 "check https tls 1.3"
+			}
+		else
+			echo
+			echo "installed curl version does not support TLS 1.3 . tests disabled."
+		fi
+	}
+
+	[ -n "$ENABLE_HTTP3" ] || {
+		ENABLE_HTTP3=0
+		if [ -n "$HTTP3" ]; then
+			ENABLE_HTTP3=1
+			[ "$BATCH" = 1 ] || {
+				echo
+				echo "make sure target domain(s) support QUIC or result will be negative in any case"
+				ask_yes_no_var ENABLE_HTTP3 "check http3 QUIC"
+			}
+		else
+			echo
+			echo "installed curl version does not support http3 QUIC. tests disabled."
+		fi
+	}
+
+	[ -n "$REPEATS" ] || {
+		[ "$BATCH" = 1 ] || {
+			echo
+			echo "sometimes ISPs use multiple DPIs or load balancing. bypass strategies may work unstable."
+			printf "how many times to repeat each test (default: 1) : "
+			read REPEATS
+		}
+		REPEATS=$((0+${REPEATS:-1}))
+		[ "$REPEATS" = 0 ] && {
+			echo invalid repeat count
+			exitp 1
+		}
+	}
+	[ -z "$PARALLEL" -a $REPEATS -gt 1 ] && {
+		PARALLEL=0
+		[ "$BATCH" = 1 ] || {
+			echo
+			echo "parallel scan can greatly increase speed but may also trigger DDoS protection and cause false result"
+			ask_yes_no_var PARALLEL "enable parallel scan"
+		}
+	}
+	PARALLEL=${PARALLEL:-0}
+
+	[ -n "$SCANLEVEL" ] || {
+		SCANLEVEL=standard
+		[ "$BATCH" = 1 ] || {
+			echo
+			echo quick    - scan as fast as possible to reveal any working strategy
+			echo standard - do investigation what works on your DPI
+			echo force    - scan maximum despite of result
+			ask_list SCANLEVEL "quick standard force" "$SCANLEVEL"
+			# disable tpws checks by default in quick mode
+			[ "$SCANLEVEL" = quick -a -z "$SKIP_TPWS" -a "$UNAME" != Darwin ] && SKIP_TPWS=1
+		}
+	}

 	echo

@ -1915,14 +2088,15 @@ check_dns()
 unprepare_all()
 {
 	# make sure we are not in a middle state that impacts connectivity
-	rm -f "$HDRTEMP"
-	[ -n "$IPV" ] && {
-		pktws_ipt_unprepare_tcp 80
-		pktws_ipt_unprepare_tcp 443
-		pktws_ipt_unprepare_udp 443
-	}
 	ws_kill
+	wait
+	[ -n "$IPV" ] && {
+		pktws_ipt_unprepare_tcp $HTTP_PORT
+		pktws_ipt_unprepare_tcp $HTTPS_PORT
+		pktws_ipt_unprepare_udp $QUIC_PORT
+	}
 	cleanup
+	rm -f "${HDRTEMP}"* "${PARALLEL_OUT}"*
 }
 sigint()
 {
@ -1968,10 +2142,10 @@ for dom in $DOMAINS; do
 	for IPV in $IPVS; do
 		configure_ip_version
 		[ "$ENABLE_HTTP" = 1 ] && {
-			check_domain_port_block $dom $HTTP_PORT
+			[ "$SKIP_IPBLOCK" = 1 ] || check_domain_port_block $dom $HTTP_PORT
 			check_domain_http $dom
 		}
-		[ "$ENABLE_HTTPS_TLS12" = 1 -o "$ENABLE_HTTPS_TLS13" = 1 ] && check_domain_port_block $dom $HTTPS_PORT
+		[ "$ENABLE_HTTPS_TLS12" = 1 -o "$ENABLE_HTTPS_TLS13" = 1 ] && [ "$SKIP_IPBLOCK" != 1 ] && check_domain_port_block $dom $HTTPS_PORT
 		[ "$ENABLE_HTTPS_TLS12" = 1 ] && check_domain_https_tls12 $dom
 		[ "$ENABLE_HTTPS_TLS13" = 1 ] && check_domain_https_tls13 $dom
 		[ "$ENABLE_HTTP3" = 1 ] && check_domain_http3 $dom
--- a/common/base.sh
+++ b/common/base.sh
@ -60,11 +60,22 @@ starts_with()
 	esac
 	return 1
 }
+extract_arg()
+{
+	# $1 - arg number
+	# $2,$3,... - args
+        local n=$1
+        while [ -n "$1" ]; do
+                shift
+                [ $n -eq 1 ] && { echo "$1"; return 0; }
+                n=$(($n-1))
+        done
+        return 1
+}
 find_str_in_list()
 {
 	# $1 - string
 	# $2 - space separated values
-
 	local v
 	[ -n "$1" ] && {
 		for v in $2; do
@ -230,7 +241,7 @@ fix_sbin_path()
 # it can calculate floating point expr
 calc()
 {
-	awk "BEGIN { print $*}";
+	LC_ALL=C awk "BEGIN { print $*}";
 }

 fsleep_setup()
@ -307,18 +318,27 @@ setup_md5()
 	exists $MD5 || MD5=md5
 }

+setup_random()
+{
+	[ -n "$RCUT" ] && return
+	RCUT="cut -c 1-17"
+	# some shells can operate with 32 bit signed int
+	[ $((0x100000000)) = 0 ] && RCUT="cut -c 1-9"
+}
+
 random()
 {
 	# $1 - min, $2 - max
 	local r rs
 	setup_md5
+	setup_random
 	if [ -c /dev/urandom ]; then
 		read rs </dev/urandom
 	else
 		rs="$RANDOM$RANDOM$(date)"
 	fi
 	# shells use signed int64
-	r=1$(echo $rs | $MD5 | sed 's/[^0-9]//g' | cut -c 1-17)
+	r=1$(echo $rs | $MD5 | sed 's/[^0-9]//g' | $RCUT)
 	echo $(( ($r % ($2-$1+1)) + $1 ))
 }

@ -385,14 +405,14 @@ std_ports()
 has_bad_ws_options()
 {
 	# $1 - nfqws/tpws opts
-	# ПРИМЕЧАНИЕ ДЛЯ РАСПРОСТРАНИТЕЛЕЙ КОПИПАСТЫ
-	# ЭТОТ КОД СДЕЛАН СПЕЦИАЛЬНО ДЛЯ ВАС, ЧТОБЫ ВЫ НЕ ПОСТИЛИ В СЕТЬ ПЛОХИЕ РЕЦЕПТЫ
-	# ЕСЛИ ВАМ ХОЧЕТСЯ ЕГО УДАЛИТЬ И НАПИСАТЬ ИНСТРУКЦИЮ КАК ЕГО УДАЛЯТЬ, ВЫ ДЕЛАЕТЕ ХРЕНОВУЮ УСЛУГУ. НАПИШИТЕ ЛУЧШЕ custom script.
-	# custom script - ЭТО ФАЙЛИК, КОТОРЫЙ ДОСТАТОЧНО СКОПИРОВАТЬ В НУЖНУЮ ДИРЕКТОРИЮ, ЧТОБЫ ОН СДЕЛАЛ ТОЖЕ САМОЕ, НО ЭФФЕКТИВНО.
-	# ФИЛЬТРАЦИЯ ПО IPSET В ЯДРЕ НЕСРАВНИМО ЭФФЕКТИВНЕЕ, ЧЕМ ПЕРЕКИДЫВАТЬ ВСЕ ПАКЕТЫ В nfqws И ТАМ ФИЛЬТРОВАТЬ
-	# --ipset СУЩЕСТВУЕТ ТОЛЬКО ДЛЯ ВИНДЫ И LINUX СИСТЕМ БЕЗ ipset (НАПРИМЕР, Android).
-	# И ТОЛЬКО ПО ЭТОЙ ПРИЧИНЕ ОНО НЕ ВЫКИНУТО ПОЛНОСТЬЮ ИЗ LINUX ВЕРСИИ
-	contains "$1" "--ipset"
+
+	# kernel or user mode ipset usage should be wise
+	# if all traffic is already intercepted it would be OK to use ip-based specialized profiles
+	# but if all traffic is intercepted only to filter a group of ip its BAD. kernel ipset should be used.
+	# I cannot insert brain to copy-pasters, I know they will misuse. But it's their problem.
+	# zapret is not made for newbies
+	#contains "$1" "--ipset"
+	return 1
 }
 check_bad_ws_options()
 {
@ -400,6 +420,7 @@ check_bad_ws_options()
 	# $2 - nfqws/tpws options
 	if [ "$1" = 1 ] && has_bad_ws_options "$2"; then
 		echo "!!! REFUSING TO USE BAD OPTIONS : $2"
+		help_bad_ws_options
 		return 1
 	else
 		return 0
@ -408,8 +429,7 @@ check_bad_ws_options()
 help_bad_ws_options()
 {
 	echo "WARNING ! you have specified --ipset option"
-	echo "WARNING ! it would work but on $UNAME it's not the best option"
+	echo "WARNING ! it would work but on ${UNAME:-$(uname)} it's not the best option"
 	echo "WARNING ! you should use kernel mode sets. they are much more efficient."
 	echo "WARNING ! to use ipsets you have to write your own custom script"
-	echo "WARNING ! installer will stop here to prevent distribution of easy to use but bad copy-paste solutions"
 }
--- a/common/custom.sh
+++ b/common/custom.sh
@ -3,6 +3,8 @@ custom_runner()
 	# $1 - function name
 	# $2+ - params

+	[ "$DISABLE_CUSTOM" = 1 ] && return 0
+
 	local n script FUNC=$1

 	shift
--- a/common/installer.sh
+++ b/common/installer.sh
@ -1,4 +1,4 @@
-readonly GET_LIST_PREFIX=/ipset/get_
+GET_LIST_PREFIX=/ipset/get_

 SYSTEMD_DIR=/lib/systemd
 [ -d "$SYSTEMD_DIR" ] || SYSTEMD_DIR=/usr/lib/systemd
@ -140,7 +140,7 @@ echo_var()
 	eval v="\$$1"
 	if find_str_in_list $1 "$EDITVAR_NEWLINE_VARS"; then
 		echo "$1=\""
-		echo "$v\"" | sed "s/$EDITVAR_NEWLINE_DELIMETER /$EDITVAR_NEWLINE_DELIMETER\n/g"
+		echo "$v\"" | tr '\n' ' ' | tr -d '\r' | sed -e 's/^ *//' -e 's/ *$//' -e "s/$EDITVAR_NEWLINE_DELIMETER /$EDITVAR_NEWLINE_DELIMETER\n/g"
 	else
 		if contains "$v" " "; then
 			echo $1=\"$v\"
@ -170,6 +170,7 @@ list_vars()
 		echo_var $1
 		shift
 	done
+	echo
 }

 openrc_test()
@ -190,6 +191,7 @@ check_system()

 	get_fwtype
 	OPENWRT_FW3=
+	OPENWRT_FW4=

 	local info
 	UNAME=$(uname)
@ -201,27 +203,35 @@ check_system()
 		# some distros include systemctl without systemd
 		if [ -d "$SYSTEMD_DIR" ] && [ -x "$SYSTEMCTL" ] && [ "$INIT" = "systemd" ]; then
 			SYSTEM=systemd
-		elif [ -f "/etc/openwrt_release" ] && exists opkg && exists uci && [ "$INIT" = "procd" ] ; then
-		{
+		elif [ -f "/etc/openwrt_release" ] && exists opkg || exists apk && exists uci && [ "$INIT" = "procd" ] ; then
 			SYSTEM=openwrt
+			OPENWRT_PACKAGER=opkg
+			OPENWRT_PACKAGER_INSTALL="opkg install"
+			OPENWRT_PACKAGER_UPDATE="opkg update"
+			exists apk && {
+				OPENWRT_PACKAGER=apk
+				OPENWRT_PACKAGER_INSTALL="apk add"
+				OPENWRT_PACKAGER_UPDATE=
+			}
+			info="package manager $OPENWRT_PACKAGER\n"
 			if openwrt_fw3 ; then
 				OPENWRT_FW3=1
-				info="openwrt firewall uses fw3"
+				info="${info}firewall fw3"
 				if is_ipt_flow_offload_avail; then
 					info="$info. hardware flow offloading requires iptables."
 				else
 					info="$info. flow offloading unavailable."
 				fi
 			elif openwrt_fw4; then
-				info="openwrt firewall uses fw4. flow offloading requires nftables."
+				OPENWRT_FW4=1
+				info="${info}firewall fw4. flow offloading requires nftables."
 			fi
-		}
 		elif openrc_test; then
 			SYSTEM=openrc
 		else
 			echo system is not either systemd, openrc or openwrt based
 			echo easy installer can set up config settings but can\'t configure auto start
-			echo you have to do it manually. check readme.txt for manual setup info.
+			echo you have to do it manually. check readme.md for manual setup info.
 			if [ -n "$1" ] || ask_yes_no N "do you want to continue"; then
 			    SYSTEM=linux
 			else
@ -232,11 +242,11 @@ check_system()
 	elif [ "$UNAME" = "Darwin" ]; then
 		SYSTEM=macos
 	else
-		echo easy installer only supports Linux and MacOS. check readme.txt for supported systems and manual setup info.
+		echo easy installer only supports Linux and MacOS. check readme.md for supported systems and manual setup info.
 		exitp 5
 	fi
 	echo system is based on $SYSTEM
-	[ -n "$info" ] && echo $info
+	[ -n "$info" ] && printf "${info}\n"
 }

 get_free_space_mb()
@ -420,14 +430,21 @@ check_kmod()
 }
 check_package_exists_openwrt()
 {
-	[ -n "$(opkg list $1)" ]
+	[ -n "$($OPENWRT_PACKAGER list $1)" ]
 }
 check_package_openwrt()
 {
-	[ -n "$(opkg list-installed $1)" ] && return 0
-	local what="$(opkg whatprovides $1 | tail -n +2 | head -n 1)"
-	[ -n "$what" ] || return 1
-	[ -n "$(opkg list-installed $what)" ]
+	case $OPENWRT_PACKAGER in
+		opkg)
+			[ -n "$(opkg list-installed $1)" ] && return 0
+			local what="$(opkg whatprovides $1 | tail -n +2 | head -n 1)"
+			[ -n "$what" ] || return 1
+			[ -n "$(opkg list-installed $what)" ]
+			;;
+		apk)
+			apk info -e $1
+			;;
+	esac
 }
 check_packages_openwrt()
 {
@ -516,9 +533,8 @@ restart_openwrt_firewall()

 	local FW=fw4
 	[ -n "$OPENWRT_FW3" ] && FW=fw3
-	$FW -q restart || {
+	exists $FW && $FW -q restart || {
 		echo could not restart firewall $FW
-		exitp 30
 	}
 }
 remove_openwrt_firewall()
@ -601,11 +617,17 @@ write_config_var()
 	replace_var_def $1 "$M" "$ZAPRET_CONFIG"
 }

+no_prereq_exit()
+{
+	echo could not install prerequisites
+	exitp 6
+}
 check_prerequisites_linux()
 {
 	echo \* checking prerequisites

 	local s cmd PKGS UTILS req="curl curl"
+	local APTGET DNF YUM PACMAN ZYPPER EOPKG APK
 	case "$FWTYPE" in
 		iptables)
 			req="$req iptables iptables ip6tables iptables ipset ipset"
@ -634,6 +656,7 @@ check_prerequisites_linux()
 		echo packages required : $PKGS

 		APTGET=$(whichq apt-get)
+		DNF=$(whichq dnf)
 		YUM=$(whichq yum)
 		PACMAN=$(whichq pacman)
 		ZYPPER=$(whichq zypper)
@ -641,39 +664,23 @@ check_prerequisites_linux()
 		APK=$(whichq apk)
 		if [ -x "$APTGET" ] ; then
 			"$APTGET" update
-			"$APTGET" install -y --no-install-recommends $PKGS dnsutils || {
-				echo could not install prerequisites
-				exitp 6
-			}
+			"$APTGET" install -y --no-install-recommends $PKGS dnsutils || no_prereq_exit
+		elif [ -x "$DNF" ] ; then
+			"$DNF" -y install $PKGS || no_prereq_exit
 		elif [ -x "$YUM" ] ; then
-			"$YUM" -y install $PKGS || {
-				echo could not install prerequisites
-				exitp 6
-			}
+			"$YUM" -y install $PKGS || no_prereq_exit
 		elif [ -x "$PACMAN" ] ; then
 			"$PACMAN" -Syy
-			"$PACMAN" --noconfirm -S $PKGS || {
-				echo could not install prerequisites
-				exitp 6
-			}
+			"$PACMAN" --noconfirm -S $PKGS || no_prereq_exit
 		elif [ -x "$ZYPPER" ] ; then
-			"$ZYPPER" --non-interactive install $PKGS || {
-				echo could not install prerequisites
-				exitp 6
-			}
+			"$ZYPPER" --non-interactive install $PKGS || no_prereq_exit
 		elif [ -x "$EOPKG" ] ; then
-			"$EOPKG" -y install $PKGS || {
-				echo could not install prerequisites
-				exitp 6
-			}
+			"$EOPKG" -y install $PKGS || no_prereq_exit
 		elif [ -x "$APK" ] ; then
 			"$APK" update
 			# for alpine
 			[ "$FWTYPE" = iptables ] && [ -n "$($APK list ip6tables)" ] && PKGS="$PKGS ip6tables"
-			"$APK" add $PKGS || {
-				echo could not install prerequisites
-				exitp 6
-			}
+			"$APK" add $PKGS || no_prereq_exit
 		else
 			echo supported package manager not found
 			echo you must manually install : $UTILS
@ -682,16 +689,59 @@ check_prerequisites_linux()
 	fi
 }

+removable_pkgs_openwrt()
+{
+	local pkg PKGS2
+	[ -n "$OPENWRT_FW4" ] && PKGS2="$PKGS2 iptables-zz-legacy iptables ip6tables-zz-legacy ip6tables"
+	[ -n "$OPENWRT_FW3" ] && PKGS2="$PKGS2 nftables-json nftables-nojson nftables"
+	PKGS=
+	for pkg in $PKGS2; do
+		check_package_exists_openwrt $pkg && PKGS="${PKGS:+$PKGS }$pkg"
+	done
+	PKGS="ipset iptables-mod-extra iptables-mod-nfqueue iptables-mod-filter iptables-mod-ipopt iptables-mod-conntrack-extra ip6tables-mod-nat ip6tables-extra kmod-nft-queue gzip coreutils-sort coreutils-sleep curl $PKGS"
+}
+
+openwrt_fix_broken_apk_uninstall_scripts()
+{
+	# at least in early snapshots with apk removing gnu gzip, sort, ... does not restore links to busybox
+	# system may become unusable
+	exists sort || { echo fixing missing sort; ln -fs /bin/busybox /usr/bin/sort; }
+	exists gzip || { echo fixing missing gzip; ln -fs /bin/busybox /bin/gzip; }
+	exists sleep || { echo fixing missing sleep; ln -fs /bin/busybox /bin/sleep; }
+}
+
+remove_extra_pkgs_openwrt()
+{
+	local PKGS
+	echo \* remove dependencies
+	removable_pkgs_openwrt
+	echo these packages may have been installed by install_easy.sh : $PKGS
+	ask_yes_no N "do you want to remove them" && {
+		case $OPENWRT_PACKAGER in
+			opkg)
+				opkg remove --autoremove $PKGS
+				;;
+			apk)
+				apk del $PKGS
+				openwrt_fix_broken_apk_uninstall_scripts
+				;;
+		esac
+	}
+}
+
 check_prerequisites_openwrt()
 {
 	echo \* checking prerequisites

-	local PKGS="curl" UPD=0
+	local PKGS="curl" UPD=0 local pkg_iptables

 	case "$FWTYPE" in
 		iptables)
-			PKGS="$PKGS ipset iptables iptables-mod-extra iptables-mod-nfqueue iptables-mod-filter iptables-mod-ipopt iptables-mod-conntrack-extra"
-			[ "$DISABLE_IPV6" != "1" ] && PKGS="$PKGS ip6tables ip6tables-mod-nat ip6tables-extra"
+			pkg_iptables=iptables
+			check_package_exists_openwrt iptables-zz-legacy && pkg_iptables=iptables-zz-legacy
+			PKGS="$PKGS ipset $pkg_iptables iptables-mod-extra iptables-mod-nfqueue iptables-mod-filter iptables-mod-ipopt iptables-mod-conntrack-extra"
+			check_package_exists_openwrt ip6tables-zz-legacy && pkg_iptables=ip6tables-zz-legacy
+			[ "$DISABLE_IPV6" = 1 ] || PKGS="$PKGS $pkg_iptables ip6tables-mod-nat ip6tables-extra"
 			;;
 		nftables)
 			PKGS="$PKGS nftables kmod-nft-nat kmod-nft-offload kmod-nft-queue"
@ -703,9 +753,9 @@ check_prerequisites_openwrt()
 	else
 		echo \* installing prerequisites

-		opkg update
+		$OPENWRT_PACKAGER_UPDATE
 		UPD=1
-		opkg install $PKGS || {
+		$OPENWRT_PACKAGER_INSTALL $PKGS || {
 			echo could not install prerequisites
 			exitp 6
 		}
@ -718,10 +768,10 @@ check_prerequisites_openwrt()
 		echo installer can install GNU gzip but it requires about 100 Kb space
 		if ask_yes_no N "do you want to install GNU gzip"; then
 			[ "$UPD" = "0" ] && {
-				opkg update
+				$OPENWRT_PACKAGER_UPDATE
 				UPD=1
 			}
-			opkg install --force-overwrite gzip
+			$OPENWRT_PACKAGER_INSTALL --force-overwrite gzip
 		fi
 	}
 	is_linked_to_busybox sort && {
@ -731,10 +781,10 @@ check_prerequisites_openwrt()
 		echo installer can install GNU sort but it requires about 100 Kb space
 		if ask_yes_no N "do you want to install GNU sort"; then
 			[ "$UPD" = "0" ] && {
-				opkg update
+				$OPENWRT_PACKAGER_UPDATE
 				UPD=1
 			}
-			opkg install --force-overwrite coreutils-sort
+			$OPENWRT_PACKAGER_INSTALL --force-overwrite coreutils-sort
 		fi
 	}
 	[ "$FSLEEP" = 0 ] && is_linked_to_busybox sleep && {
@ -743,10 +793,10 @@ check_prerequisites_openwrt()
 		echo if you want to speed up blockcheck install coreutils-sleep. it requires about 40 Kb space
 		if ask_yes_no N "do you want to install COREUTILS sleep"; then
 			[ "$UPD" = "0" ] && {
-				opkg update
+				$OPENWRT_PACKAGER_UPDATE
 				UPD=1
 			}
-			opkg install --force-overwrite coreutils-sleep
+			$OPENWRT_PACKAGER_INSTALL --force-overwrite coreutils-sleep
 			fsleep_setup
 		fi
 	}
@ -779,3 +829,37 @@ select_fwtype()
 	echo select firewall type :
 	ask_list FWTYPE "iptables nftables" "$FWTYPE" && write_config_var FWTYPE
 }
+
+dry_run_tpws_()
+{
+	local TPWS="$ZAPRET_BASE/tpws/tpws"
+	echo verifying tpws options
+	"$TPWS" --dry-run "$@"
+}
+dry_run_nfqws_()
+{
+	local NFQWS="$ZAPRET_BASE/nfq/nfqws"
+	echo verifying nfqws options
+	"$NFQWS" --dry-run "$@"
+}
+dry_run_tpws()
+{
+	[ "$TPWS_ENABLE" = 1 ] || return 0
+	local opt="$TPWS_OPT" port=${TPPORT_SOCKS:-988}
+	filter_apply_hostlist_target opt
+	dry_run_tpws_ --port=$port $opt
+}
+dry_run_tpws_socks()
+{
+	[ "$TPWS_SOCKS_ENABLE" = 1 ] || return 0
+	local opt="$TPWS_SOCKS_OPT" port=${TPPORT:-987}
+	filter_apply_hostlist_target opt
+	dry_run_tpws_ --port=$port --socks $opt
+}
+dry_run_nfqws()
+{
+	[ "$NFQWS_ENABLE" = 1 ] || return 0
+	local opt="$NFQWS_OPT" qn=${QNUM:-200}
+	filter_apply_hostlist_target opt
+	dry_run_nfqws_ --qnum=$qn $opt
+}
--- a/common/ipt.sh
+++ b/common/ipt.sh
@ -1,5 +1,9 @@
 std_ports
-readonly ipt_connbytes="-m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes"
+ipt_connbytes="-m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes"
+IPSET_EXCLUDE="-m set ! --match-set nozapret"
+IPSET_EXCLUDE6="-m set ! --match-set nozapret6"
+IPBAN_EXCLUDE="-m set ! --match-set ipban"
+IPBAN_EXCLUDE6="-m set ! --match-set ipban6"

 ipt()
 {
@ -132,7 +136,7 @@ _fw_tpws4()

 		ipt_print_op $1 "$2" "tpws (port $3)"

-		rule="$2 $IPSET_EXCLUDE dst -j DNAT --to $TPWS_LOCALHOST4:$3"
+		rule="$2 $IPSET_EXCLUDE dst $IPBAN_EXCLUDE dst -j DNAT --to $TPWS_LOCALHOST4:$3"
 		for i in $4 ; do
 			ipt_add_del $1 PREROUTING -t nat -i $i $rule
 	 	done
@ -160,7 +164,7 @@ _fw_tpws6()

 		ipt_print_op $1 "$2" "tpws (port $3)" 6

-		rule="$2 $IPSET_EXCLUDE6 dst"
+		rule="$2 $IPSET_EXCLUDE6 dst $IPBAN_EXCLUDE6 dst"
 		for i in $4 ; do
 			_dnat6_target $i DNAT6
 			[ -n "$DNAT6" -a "$DNAT6" != "-" ] && ipt6_add_del $1 PREROUTING -t nat -i $i $rule -j DNAT --to [$DNAT6]:$3
@ -349,27 +353,37 @@ ipt_do_nfqws_in_out()
 	}
 }

-zapret_do_firewall_standard_rules_ipt()
+zapret_do_firewall_standard_tpws_rules_ipt()
 {
 	# $1 - 1 - add, 0 - del

 	local f4 f6

-	[ "$TPWS_ENABLE" = 1 -a -n "$TPWS_PORTS" ] &&
-	{
+	[ "$TPWS_ENABLE" = 1 -a -n "$TPWS_PORTS" ] && {
 		f4="-p tcp -m multiport --dports $TPWS_PORTS_IPT"
 		f6=$f4
 		filter_apply_ipset_target f4 f6
 		fw_tpws $1 "$f4" "$f6" $TPPORT
 	}
-	[ "$NFQWS_ENABLE" = 1 ] &&
-	{
+}
+zapret_do_firewall_standard_nfqws_rules_ipt()
+{
+	# $1 - 1 - add, 0 - del
+
+	[ "$NFQWS_ENABLE" = 1 ] && {
 		ipt_do_nfqws_in_out $1 tcp "$NFQWS_PORTS_TCP_IPT" "$NFQWS_TCP_PKT_OUT" "$NFQWS_TCP_PKT_IN"
 		ipt_do_nfqws_in_out $1 tcp "$NFQWS_PORTS_TCP_KEEPALIVE_IPT" keepalive "$NFQWS_TCP_PKT_IN"
 		ipt_do_nfqws_in_out $1 udp "$NFQWS_PORTS_UDP_IPT" "$NFQWS_UDP_PKT_OUT" "$NFQWS_UDP_PKT_IN"
 		ipt_do_nfqws_in_out $1 udp "$NFQWS_PORTS_UDP_KEEPALIVE_IPT" keepalive "$NFQWS_UDP_PKT_IN"
 	}
 }
+zapret_do_firewall_standard_rules_ipt()
+{
+	# $1 - 1 - add, 0 - del
+
+	zapret_do_firewall_standard_tpws_rules_ipt $1
+	zapret_do_firewall_standard_nfqws_rules_ipt $1
+}

 zapret_do_firewall_rules_ipt()
 {
@ -377,6 +391,27 @@ zapret_do_firewall_rules_ipt()

 	zapret_do_firewall_standard_rules_ipt $1
 	custom_runner zapret_custom_firewall $1
+	zapret_do_icmp_filter $1
+}
+
+zapret_do_icmp_filter()
+{
+	# $1 - 1 - add, 0 - del
+
+	local FW_EXTRA_PRE= FW_EXTRA_POST=
+
+	[ "$FILTER_TTL_EXPIRED_ICMP" = 1 ] && {
+		[ "$DISABLE_IPV4" = 1 ] || {
+			ipt_add_del $1 POSTROUTING -t mangle -m mark --mark $DESYNC_MARK/$DESYNC_MARK -j CONNMARK --or-mark $DESYNC_MARK
+			ipt_add_del $1 INPUT -p icmp -m icmp --icmp-type time-exceeded -m connmark --mark $DESYNC_MARK/$DESYNC_MARK -j DROP
+			ipt_add_del $1 FORWARD -p icmp -m icmp --icmp-type time-exceeded -m connmark --mark $DESYNC_MARK/$DESYNC_MARK -j DROP
+		}
+		[ "$DISABLE_IPV6" = 1 ] || {
+			ipt6_add_del $1 POSTROUTING -t mangle -m mark --mark $DESYNC_MARK/$DESYNC_MARK -j CONNMARK --or-mark $DESYNC_MARK
+			ipt6_add_del $1 INPUT -p icmpv6 -m icmp6 --icmpv6-type time-exceeded -m connmark --mark $DESYNC_MARK/$DESYNC_MARK -j DROP
+			ipt6_add_del $1 FORWARD -p icmpv6 -m icmp6 --icmpv6-type time-exceeded -m connmark --mark $DESYNC_MARK/$DESYNC_MARK -j DROP
+		}
+	}
 }

 zapret_do_firewall_ipt()
--- a/common/linux_daemons.sh
+++ b/common/linux_daemons.sh
@ -0,0 +1,55 @@
+standard_mode_tpws_socks()
+{
+	# $1 - 1 - run, 0 - stop
+	local opt
+	[ "$TPWS_SOCKS_ENABLE" = 1 ] && {
+		opt="--port=$TPPORT_SOCKS $TPWS_SOCKS_OPT"
+		filter_apply_hostlist_target opt
+		do_tpws_socks $1 2 "$opt"
+	}
+}
+standard_mode_tpws()
+{
+	# $1 - 1 - run, 0 - stop
+	local opt
+	[ "$TPWS_ENABLE" = 1 ] && check_bad_ws_options $1 "$TPWS_OPT" && {
+		opt="--port=$TPPORT $TPWS_OPT"
+		filter_apply_hostlist_target opt
+		do_tpws $1 1 "$opt"
+	}
+}
+standard_mode_nfqws()
+{
+	# $1 - 1 - run, 0 - stop
+	local opt
+	[ "$NFQWS_ENABLE" = 1 ] && check_bad_ws_options $1 "$NFQWS_OPT" && {
+		opt="--qnum=$QNUM $NFQWS_OPT"
+		filter_apply_hostlist_target opt
+		do_nfqws $1 3 "$opt"
+	}
+}
+standard_mode_daemons()
+{
+	# $1 - 1 - run, 0 - stop
+
+	standard_mode_tpws_socks $1
+	standard_mode_tpws $1
+	standard_mode_nfqws $1
+}
+zapret_do_daemons()
+{
+	# $1 - 1 - run, 0 - stop
+
+	standard_mode_daemons $1
+	custom_runner zapret_custom_daemons $1
+
+	return 0
+}
+zapret_run_daemons()
+{
+	zapret_do_daemons 1 "$@"
+}
+zapret_stop_daemons()
+{
+	zapret_do_daemons 0 "$@"
+}
--- a/common/linux_iphelper.sh
+++ b/common/linux_iphelper.sh
@ -4,6 +4,8 @@
 # PREROUTING - can't DNAT to ::1. can DNAT to link local of -i interface or to any global addr
 # not a good idea to expose tpws to the world (bind to ::)

+# max wait time for the link local ipv6 on the LAN interface
+LINKLOCAL_WAIT_SEC=${LINKLOCAL_WAIT_SEC:-5}

 get_ipv6_linklocal()
 {
@ -109,6 +111,14 @@ unprepare_route_localnet()
 	set_route_localnet 0 "$@"
 }

+get_uevent_devtype()
+{
+	local DEVTYPE INTERFACE IFINDEX OF_NAME OF_FULLNAME OF_COMPATIBLE_N
+	[ -f "/sys/class/net/$1/uevent" ] && {
+		. "/sys/class/net/$1/uevent"
+		echo -n $DEVTYPE
+	}
+}
 resolve_lower_devices()
 {
 	# $1 - bridge interface name
@ -125,3 +135,13 @@ resolve_lower_devices()
 		}
 	}
 }
+
+default_route_interfaces6()
+{
+	sed -nre 's/^00000000000000000000000000000000 00 [0-9a-f]{32} [0-9a-f]{2} [0-9a-f]{32} [0-9a-f]{8} [0-9a-f]{8} [0-9a-f]{8} [0-9a-f]{8} +(.*)$/\1/p' /proc/net/ipv6_route | grep -v '^lo$' | sort -u | xargs
+}
+
+default_route_interfaces4()
+{
+	sed -nre 's/^([^\t]+)\t00000000\t[0-9A-F]{8}\t[0-9A-F]{4}\t[0-9]+\t[0-9]+\t[0-9]+\t00000000.*$/\1/p' /proc/net/route | sort -u | xargs
+}
--- a/common/list.sh
+++ b/common/list.sh
@ -1,5 +1,5 @@
-readonly HOSTLIST_MARKER="<HOSTLIST>"
-readonly HOSTLIST_NOAUTO_MARKER="<HOSTLIST_NOAUTO>"
+HOSTLIST_MARKER="<HOSTLIST>"
+HOSTLIST_NOAUTO_MARKER="<HOSTLIST_NOAUTO>"

 find_hostlists()
 {
--- a/common/nft.sh
+++ b/common/nft.sh
@ -1,5 +1,5 @@
 [ -n "$ZAPRET_NFT_TABLE" ] || ZAPRET_NFT_TABLE=zapret
-readonly nft_connbytes="ct original packets"
+nft_connbytes="ct original packets"

 # required for : nft -f -
 create_dev_stdin
@ -106,7 +106,7 @@ cat << EOF | nft -f -
 	flush chain inet $ZAPRET_NFT_TABLE predefrag_nfqws
 	add rule inet $ZAPRET_NFT_TABLE predefrag mark and $DESYNC_MARK !=0 jump predefrag_nfqws comment "nfqws generated : avoid drop by INVALID conntrack state"
 	add rule inet $ZAPRET_NFT_TABLE predefrag_nfqws mark and $DESYNC_MARK_POSTNAT !=0 notrack comment "postnat traffic"
-	add rule inet $ZAPRET_NFT_TABLE predefrag_nfqws ip frag-off != 0 notrack comment "ipfrag"
+	add rule inet $ZAPRET_NFT_TABLE predefrag_nfqws ip frag-off & 0x1fff != 0 notrack comment "ipfrag"
 	add rule inet $ZAPRET_NFT_TABLE predefrag_nfqws exthdr frag exists notrack comment "ipfrag"
 	add rule inet $ZAPRET_NFT_TABLE predefrag_nfqws tcp flags ! syn,rst,ack notrack comment "datanoack"
 	add set inet $ZAPRET_NFT_TABLE lanif { type ifname; }
@ -119,6 +119,20 @@ EOF
 		nft_flush_chain predefrag_nfqws
 		nft_add_rule predefrag_nfqws notrack comment \"do not track nfqws generated packets to avoid nat tampering and defragmentation\"
 	}
+	[ "$FILTER_TTL_EXPIRED_ICMP" = 1 ] && {
+		if is_postnat; then
+			# can be caused by untracked nfqws-generated packets
+			nft_add_rule prerouting icmp type time-exceeded ct state invalid drop
+		else
+			nft_add_rule postrouting_hook mark and $DESYNC_MARK != 0 ct mark set ct mark or $DESYNC_MARK comment \"nfqws related : prevent ttl expired socket errors\"
+		fi
+		[ "$DISABLE_IPV4" = "1" ] || {
+			nft_add_rule prerouting icmp type time-exceeded ct mark and $DESYNC_MARK != 0 drop comment \"nfqws related : prevent ttl expired socket errors\"
+		}
+		[ "$DISABLE_IPV6" = "1" ] || {
+			nft_add_rule prerouting icmpv6 type time-exceeded ct mark and $DESYNC_MARK != 0 drop comment \"nfqws related : prevent ttl expired socket errors\"
+		}
+	}
 }
 nft_del_chains()
 {
@ -263,28 +277,6 @@ nft_add_flow_offload_exemption()
 	[ "$DISABLE_IPV6" = "1" -o -z "$2" ] || nft_add_rule flow_offload oifname @wanif6 $2 ip6 daddr != @nozapret6 return comment \"$3\"
 }

-nft_hw_offload_supported()
-{
-	# $1,$2,... - interface names
-	local devices res=1
-	make_quoted_comma_list devices "$@"
-	[ -n "$devices" ] && devices="devices={$devices};"
-	nft add table ${ZAPRET_NFT_TABLE}_test && nft add flowtable ${ZAPRET_NFT_TABLE}_test ft "{ flags offload; $devices }" 2>/dev/null && res=0
-	nft delete table ${ZAPRET_NFT_TABLE}_test 2>/dev/null
-	return $res
-}
-
-nft_hw_offload_find_supported()
-{
-	# $1,$2,... - interface names
-	local supported_list
-	while [ -n "$1" ]; do
-		nft_hw_offload_supported "$1" && append_separator_list supported_list ' ' '' "$1"
-		shift
-	done
-	echo $supported_list
-}
-
 nft_apply_flow_offloading()
 {
 	# ft can be absent
@ -342,7 +334,7 @@ nft_fill_ifsets()
 	# $5 - space separated wan physical interface names (optional)
 	# $6 - space separated wan6 physical interface names (optional)

-	local script i j ALLDEVS devs
+	local script i j ALLDEVS devs b

 	# if large sets exist nft works very ineffectively
 	# looks like it analyzes the whole table blob to find required data pieces
@ -370,17 +362,18 @@ flush set inet $ZAPRET_NFT_TABLE lanif"
 			nft_create_or_update_flowtable 'offload' 2>/dev/null
 			# then add elements. some of them can cause error because unsupported
 			for i in $ALLDEVS; do
-				if nft_hw_offload_supported $i; then
-					nft_create_or_update_flowtable 'offload' $i
-				else
-					# bridge members must be added instead of the bridge itself
-					# some members may not support hw offload. example : lan1 lan2 lan3 support, wlan0 wlan1 - not
-					devs=$(resolve_lower_devices $i)
-					for j in $devs; do
-						# do not display error if addition failed
-						nft_create_or_update_flowtable 'offload' $j 2>/dev/null
-					done
-				fi
+				# bridge members must be added instead of the bridge itself
+				# some members may not support hw offload. example : lan1 lan2 lan3 support, wlan0 wlan1 - not
+				b=
+				devs=$(resolve_lower_devices $i)
+				for j in $devs; do
+					# do not display error if addition failed
+					nft_create_or_update_flowtable 'offload' $j && b=1 2>/dev/null
+				done
+				[ -n "$b" ] || {
+					# no lower devices added ? try to add interface itself
+					nft_create_or_update_flowtable 'offload' $i 2>/dev/null
+				}
 			done
 			;;
 	esac
@ -411,8 +404,8 @@ _nft_fw_tpws4()
 	[ "$DISABLE_IPV4" = "1" -o -z "$1" ] || {
 		local filter="$1" port="$2"
 		nft_print_op "$filter" "tpws (port $2)" 4
-		nft_insert_rule dnat_output skuid != $WS_USER ${3:+oifname @wanif }$filter ip daddr != @nozapret $FW_EXTRA_POST dnat ip to $TPWS_LOCALHOST4:$port
-		nft_insert_rule dnat_pre iifname @lanif $filter ip daddr != @nozapret $FW_EXTRA_POST dnat ip to $TPWS_LOCALHOST4:$port
+		nft_insert_rule dnat_output skuid != $WS_USER ${3:+oifname @wanif }$filter ip daddr != @nozapret ip daddr != @ipban $FW_EXTRA_POST dnat ip to $TPWS_LOCALHOST4:$port
+		nft_insert_rule dnat_pre iifname @lanif $filter ip daddr != @nozapret ip daddr != @ipban $FW_EXTRA_POST dnat ip to $TPWS_LOCALHOST4:$port
 		prepare_route_localnet
 	}
 }
@ -426,9 +419,9 @@ _nft_fw_tpws6()
 	[ "$DISABLE_IPV6" = "1" -o -z "$1" ] || {
 		local filter="$1" port="$2" DNAT6 i
 		nft_print_op "$filter" "tpws (port $port)" 6
-		nft_insert_rule dnat_output skuid != $WS_USER ${4:+oifname @wanif6 }$filter ip6 daddr != @nozapret6 $FW_EXTRA_POST dnat ip6 to [::1]:$port
+		nft_insert_rule dnat_output skuid != $WS_USER ${4:+oifname @wanif6 }$filter ip6 daddr != @nozapret6 ip6 daddr != @ipban6 $FW_EXTRA_POST dnat ip6 to [::1]:$port
 		[ -n "$3" ] && {
-			nft_insert_rule dnat_pre $filter ip6 daddr != @nozapret6 $FW_EXTRA_POST dnat ip6 to iifname map @link_local:$port
+			nft_insert_rule dnat_pre $filter ip6 daddr != @nozapret6 ip6 daddr != @ipban6 $FW_EXTRA_POST dnat ip6 to iifname map @link_local:$port
 			for i in $3; do
 				_dnat6_target $i DNAT6
 				# can be multiple tpws processes on different ports
@ -477,7 +470,7 @@ _nft_fw_nfqws_post4()
 		nft_print_op "$filter" "nfqws postrouting (qnum $port)" 4
 		rule="${3:+oifname @wanif }$filter ip daddr != @nozapret"
 		is_postnat && setmark="meta mark set meta mark or $DESYNC_MARK_POSTNAT"
-		nft_insert_rule $chain $rule $setmark $FW_EXTRA_POST queue num $port bypass
+		nft_insert_rule $chain $rule $setmark $CONNMARKER $FW_EXTRA_POST queue num $port bypass
 		nft_add_nfqws_flow_exempt_rule "$rule"
 	}
 }
@ -492,7 +485,7 @@ _nft_fw_nfqws_post6()
 		nft_print_op "$filter" "nfqws postrouting (qnum $port)" 6
 		rule="${3:+oifname @wanif6 }$filter ip6 daddr != @nozapret6"
 		is_postnat && setmark="meta mark set meta mark or $DESYNC_MARK_POSTNAT"
-		nft_insert_rule $chain $rule $setmark $FW_EXTRA_POST queue num $port bypass
+		nft_insert_rule $chain $rule $setmark $CONNMARKER $FW_EXTRA_POST queue num $port bypass
 		nft_add_nfqws_flow_exempt_rule "$rule"
 	}
 }
@ -516,7 +509,7 @@ _nft_fw_nfqws_pre4()
 		local filter="$1" port="$2" rule
 		nft_print_op "$filter" "nfqws prerouting (qnum $port)" 4
 		rule="${3:+iifname @wanif }$filter ip saddr != @nozapret"
-		nft_insert_rule $(get_prechain) $rule $FW_EXTRA_POST queue num $port bypass
+		nft_insert_rule $(get_prechain) $rule $CONNMARKER $FW_EXTRA_POST queue num $port bypass
 	}
 }
 _nft_fw_nfqws_pre6()
@ -529,7 +522,7 @@ _nft_fw_nfqws_pre6()
 		local filter="$1" port="$2" rule
 		nft_print_op "$filter" "nfqws prerouting (qnum $port)" 6
 		rule="${3:+iifname @wanif6 }$filter ip6 saddr != @nozapret6"
-		nft_insert_rule $(get_prechain) $rule $FW_EXTRA_POST queue num $port bypass
+		nft_insert_rule $(get_prechain) $rule $CONNMARKER $FW_EXTRA_POST queue num $port bypass
 	}
 }
 nft_fw_nfqws_pre()
@ -640,25 +633,31 @@ nft_apply_nfqws_in_out()
 	}
 }

-zapret_apply_firewall_standard_rules_nft()
+zapret_apply_firewall_standard_tpws_rules_nft()
 {
 	local f4 f6

-	[ "$TPWS_ENABLE" = 1 -a -n "$TPWS_PORTS" ] &&
-	{
+	[ "$TPWS_ENABLE" = 1 -a -n "$TPWS_PORTS" ] && {
 		f4="tcp dport {$TPWS_PORTS}"
 		f6=$f4
 		nft_filter_apply_ipset_target f4 f6
 		nft_fw_tpws "$f4" "$f6" $TPPORT
 	}
-	[ "$NFQWS_ENABLE" = 1 ] &&
-	{
+}
+zapret_apply_firewall_standard_nfqws_rules_nft()
+{
+	[ "$NFQWS_ENABLE" = 1 ] && {
 		nft_apply_nfqws_in_out tcp "$NFQWS_PORTS_TCP" "$NFQWS_TCP_PKT_OUT" "$NFQWS_TCP_PKT_IN"
 		nft_apply_nfqws_in_out tcp "$NFQWS_PORTS_TCP_KEEPALIVE" keepalive "$NFQWS_TCP_PKT_IN"
 		nft_apply_nfqws_in_out udp "$NFQWS_PORTS_UDP" "$NFQWS_UDP_PKT_OUT" "$NFQWS_UDP_PKT_IN"
 		nft_apply_nfqws_in_out udp "$NFQWS_PORTS_UDP_KEEPALIVE" keepalive "$NFQWS_UDP_PKT_IN"
 	}
 }
+zapret_apply_firewall_standard_rules_nft()
+{
+	zapret_apply_firewall_standard_tpws_rules_nft
+	zapret_apply_firewall_standard_nfqws_rules_nft
+}

 zapret_apply_firewall_rules_nft()
 {
@ -701,3 +700,7 @@ zapret_do_firewall_nft()

 	return 0
 }
+
+# ctmark is not available in POSTNAT mode
+CONNMARKER=
+[ "$FILTER_TTL_EXPIRED_ICMP" = 1 ] && is_postnat && CONNMARKER="ct mark set ct mark or $DESYNC_MARK"
--- a/config.default
+++ b/config.default
@ -55,7 +55,7 @@ TPPORT_SOCKS=987
 # <HOSTLIST_NOAUTO> appends ipset/zapret-hosts-auto.txt as normal list
 TPWS_SOCKS_OPT="
 --filter-tcp=80 --methodeol <HOSTLIST> --new
--filter-tcp=443 --split-tls=sni --disorder <HOSTLIST>
+--filter-tcp=443 --split-pos=1,midsld --disorder <HOSTLIST>
 "

 TPWS_ENABLE=0
@ -65,7 +65,7 @@ TPWS_PORTS=80,443
 # <HOSTLIST_NOAUTO> appends ipset/zapret-hosts-auto.txt as normal list
 TPWS_OPT="
 --filter-tcp=80 --methodeol <HOSTLIST> --new
--filter-tcp=443 --split-tls=sni --disorder <HOSTLIST>
+--filter-tcp=443 --split-pos=1,midsld --disorder <HOSTLIST>
 "

 NFQWS_ENABLE=0
@ -89,15 +89,15 @@ NFQWS_UDP_PKT_IN=0
 # hostlist markers are replaced to empty string if MODE_FILTER does not satisfy
 # <HOSTLIST_NOAUTO> appends ipset/zapret-hosts-auto.txt as normal list
 NFQWS_OPT="
--filter-tcp=80 --dpi-desync=fake,split2 --dpi-desync-fooling=md5sig <HOSTLIST> --new
--filter-tcp=443 --dpi-desync=fake,disorder2 --dpi-desync-fooling=md5sig <HOSTLIST> --new
+--filter-tcp=80 --dpi-desync=fake,multisplit --dpi-desync-split-pos=method+2 --dpi-desync-fooling=md5sig <HOSTLIST> --new
+--filter-tcp=443 --dpi-desync=fake,multidisorder --dpi-desync-split-pos=1,midsld --dpi-desync-fooling=badseq,md5sig <HOSTLIST> --new
 --filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=6 <HOSTLIST_NOAUTO>
 "

 # none,ipset,hostlist,autohostlist
 MODE_FILTER=none

-# openwrt only : donttouch,none,software,hardware
+# donttouch,none,software,hardware
 FLOWOFFLOAD=donttouch

 # openwrt: specify networks to be treated as LAN. default is "lan"
@ -129,6 +129,11 @@ INIT_APPLY_FW=1
 # do not work with ipv6
 DISABLE_IPV6=1

+# drop icmp time exceeded messages for nfqws tampered connections
+# in POSTNAT mode this can interfere with default mtr/traceroute in tcp or udp mode. use source port not redirected to nfqws
+# set to 0 if you are not expecting connection breakage due to icmp in response to TCP SYN or UDP
+FILTER_TTL_EXPIRED_ICMP=1
+
 # select which init script will be used to get ip or host list
 # possible values : get_user.sh get_antizapret.sh get_combined.sh get_reestr.sh get_hostlist.sh
 # comment if not required
--- a/docs/LICENSE.txt
+++ b/docs/LICENSE.txt
@ -1,6 +1,6 @@
 MIT License

-Copyright (c) 2016-2021 bol-van
+Copyright (c) 2016-2024 bol-van

 Permission is hereby granted, free of charge, to any person obtaining a copy
 of this software and associated documentation files (the "Software"), to deal
--- a/docs/bsd.eng.md
+++ b/docs/bsd.eng.md
@ -100,7 +100,7 @@ Later you will add ipfw commands to `/etc/rc.firewall.my` to be reapplied after
 You can also run zapret daemons from there. Start them with `--daemon` options, for example
 ```
 pkill ^dvtws$
-/opt/zapret/nfq/dvtws --port=989 --daemon --dpi-desync=split2
+/opt/zapret/nfq/dvtws --port=989 --daemon --dpi-desync=multisplit --dpi-desync-split-pos=2
 ```

 To restart firewall and daemons run : `/etc/rc.d/ipfw restart`
@ -157,7 +157,7 @@ ipfw delete 100
 ipfw add 100 divert 989 tcp from any to any 80,443 out not diverted not sockarg xmit em0
 # required for autottl mode only
 ipfw add 100 divert 989 tcp from any 80,443 to any tcpflags syn,ack in not diverted not sockarg recv em0
-/opt/zapret/nfq/dvtws --port=989 --dpi-desync=split2
+/opt/zapret/nfq/dvtws --port=989 --dpi-desync=multisplit --dpi-desync-split-pos=2
 ```

 Process only table zapret with the exception of table nozapret:
@ -167,7 +167,7 @@ ipfw add 100 allow tcp from me to table\(nozapret\) 80,443
 ipfw add 100 divert 989 tcp from any to table\(zapret\) 80,443 out not diverted not sockarg xmit em0
 # required for autottl mode only
 ipfw add 100 divert 989 tcp from table\(zapret\) 80,443 to any tcpflags syn,ack in not diverted not sockarg recv em0
-/opt/zapret/nfq/dvtws --port=989 --dpi-desync=split2
+/opt/zapret/nfq/dvtws --port=989 --dpi-desync=multisplit --dpi-desync-split-pos=2
 ```

 Reinjection loop avoidance. FreeBSD artificially ignores sockarg for ipv6 in
@ -217,8 +217,9 @@ ipfrag2 desync mode.

 There's autostart script example in `init.d/pfsense`. It should be placed to
 `/usr/local/etc/rc.d` and edited. Write your ipfw rules and daemon start
-commands. Because git is absent the most convinient way to copy files is ssh.
-curl is present by default.
+commands.
+curl is present by default. You can use it to download `tar.gz` release directly from github.
+Or you can copy files using sftp.

 Copy zip with zapret files to `/opt` and unpack there as it's done in other
 systems. In this case run `dvtws` as `/opt/zapret/nfq/dvtws`. Or just copy
@ -227,9 +228,6 @@ present. It's possible to renew lists.

 If you dont like poverty of default repos its possible to enable FreeBSD repo.
 Change `no` to `yes` in `/usr/local/etc/pkg/repos/FreeBSD.conf` and `/usr/local/etc/pkg/repos/pfSense.conf`.
-Then it becomes possible to install all the required software including git to download
-zapret from github directly.
-

 `/usr/local/etc/rc.d/zapret.sh` (chmod 755)
 ```
@ -247,7 +245,7 @@ sysctl net.inet6.ip6.pfil.inbound=ipfw,pf
 ipfw delete 100
 ipfw add 100 divert 989 tcp from any to any 80,443 out not diverted not sockarg xmit em0
 pkill ^dvtws$
-dvtws --daemon --port 989 --dpi-desync=split2
+dvtws --daemon --port 989 --dpi-desync=multisplit --dpi-desync-split-pos=2

 # required for newer pfsense versions (2.6.0 tested) to return ipfw to functional state
 pfctl -d ; pfctl -e
@ -282,7 +280,7 @@ Autostart `/usr/local/etc/rc.d/zapret.sh`:
 ```
 pfctl -a zapret -f /etc/zapret.anchor
 pkill ^tpws$
-tpws --daemon --port=988 --enable-pf --bind-addr=127.0.0.1 --bind-iface6=em1 --bind-linklocal=force --split-http-req=method --split-pos=2
+tpws --daemon --port=988 --enable-pf --bind-addr=127.0.0.1 --bind-iface6=em1 --bind-linklocal=force --split-pos=2
 ```

 After reboot check that anchor is created and referred from the main ruleset:
@ -344,7 +342,7 @@ pass out quick on em0 proto tcp to   port {80,443} divert-packet port 989
 Then:
 ```
 pfctl -f /etc/pf.conf
-./dvtws --port=989 --dpi-desync=split2
+./dvtws --port=989 --dpi-desync=multisplit --dpi-desync-split-pos=2
 ```

 `dwtws` only for table zapret with the exception of table nozapret :
@ -377,7 +375,7 @@ pass out quick on em0 inet6 proto tcp to   <zapret6-user> port {80,443} divert-p
 Then:
 ```
 pfctl -f /etc/pf.conf
-./dvtws --port=989 --dpi-desync=split2
+./dvtws --port=989 --dpi-desync=multisplit --dpi-desync-split-pos=2
 ```

 divert-packet automatically adds the reverse rule. By default also incoming
--- a/docs/bsd.md
+++ b/docs/bsd.md
@ -0,0 +1,725 @@
+# Настройка BSD-подобных систем
+
+* [Поддерживаемые версии](#поддерживаемые-версии)
+* [Особенности BSD систем](#особенности-bsd-систем)
+    * [Отсутствие nfqueue](#отсутствие-nfqueue)
+    * [Типы Firewall](#типы-firewall)
+    * [Сборка](#сборка)
+    * [Divert сокеты](#divert-сокеты)
+    * [Lookup Tables](#lookup-tables)
+    * [Загрузка ip таблиц из файла](#загрузка-ip-таблиц-из-файла)
+    * [Отсутствие splice](#отсутствие-splice)
+    * [mdig и ip2net](#mdig-и-ip2net)
+* [FreeBSD](#freebsd)
+    * [Подгрузка ipdivert](#подгрузка-ipdivert)
+    * [Авто-восстановление правил ipfw и работа в фоне](#авто-восстановление-правил-ipfw-и-работа-в-фоне)
+    * [tpws в прозрачном режиме](#tpws-в-прозрачном-режиме)
+    * [Запуск dvtws](#запуск-dvtws)
+    * [PF в FreeBSD](#pf-в-freebsd)
+    * [pfsense](#pfsense)
+* [OpenBSD](#openbsd)
+    * [tpws bind на ipv4](#tpws-bind-на-ipv4)
+    * [tpws для проходящего трафика](#tpws-для-проходящего-трафика)
+    * [Запуск dvtws](#запуск-dvtws)
+    * [Проблемы с badsum](#проблемы-с-badsum)
+    * [Особенность отправки fake пакетов](#особенность-отправки-fake-пакетов)
+    * [Перезагрузка PF таблиц](#перезагрузка-pf-таблиц)
+* [MacOS](#macos)
+    * [Введение](#введение)
+    * [dvtws бесполезен](#dvtws-бесполезен)
+    * [tpws](#tpws)
+    * [Проблема link-local адреса](#проблема-link-local-адреса)
+    * [Сборка](#сборка)
+    * [Простая установка](#простая-установка)
+    * [Вариант Custom](#вариант-custom)
+
+
+## Поддерживаемые версии
+**FreeBSD** 11.x+ , **OpenBSD** 6.x+, частично **MacOS Sierra** +
+
+> [!CAUTION]
+> На более старых может собираться, может не собираться, может работать или не
+> работать. На **FreeBSD** 10 собирается и работает `dvtws`. С `tpws` есть
+> проблемы из-за слишком старой версии компилятора clang. Вероятно, будет
+> работать, если обновить компилятор. Возможна прикрутка к последним версиям
+> pfsense без веб интерфейса в ручном режиме через консоль.
+
+
+## Особенности BSD систем
+
+### Отсутствие nfqueue
+В **BSD** нет `nfqueue`. Похожий механизм - divert sockets. Из каталога
+[`nfq/`](../nfq/) под **BSD** собирается `dvtws` вместо `nfqws`. Он разделяет с
+`nfqws` большую часть кода и почти совпадает по параметрам командной строки.
+
+### Типы Firewall
+**FreeBSD** содержит 3 фаервола : **IPFilter**, **ipfw** и **Packet Filter (PF
+в дальнейшем)**. **OpenBSD** содержит только **PF**.
+
+### Сборка
+Под **FreeBSD** `tpws` и `dvtws` собираются через `make`.
+
+Под **OpenBSD**:
+```sh
+make bsd
+```
+
+Под **MacOS**:
+```sh
+make mac
+```
+
+**FreeBSD** make распознает BSDmakefile, **OpenBSD** и **MacOS** - нет. Поэтому
+там используется отдельный target в Makefile. Сборка всех исходников:
+```sh
+make -C /opt/zapret
+```
+
+### Divert сокеты
+Divert сокет это внутренний тип сокета ядра **BSD**. Он не привязывается ни к
+какому сетевому адресу, не участвует в обмене данными через сеть и
+идентифицируется по номеру порта `1..65535`. Аналогия с номером очереди
+`NFQUEUE`. На divert сокеты заворачивается трафик посредством правил ipfw или
+PF. Если в фаерволе есть правило divert, но на divert порту никто не слушает,
+то пакеты дропаются. Это поведение аналогично правилам `NFQUEUE` без параметра
+`--queue-bypass`. На **FreeBSD** divert сокеты могут быть только ipv4, хотя на
+них принимаются и ipv4, и ipv6 фреймы. На **OpenBSD** divert сокеты создаются
+отдельно для ipv4 и ipv6 и работают только с одной версией `ip` каждый. На
+**MacOS** похоже, что divert сокеты из ядра вырезаны. См подробнее раздел про
+**MacOS**. Отсылка в divert сокет работает аналогично отсылке через raw socket
+на linux. Передается полностью IP фрейм, начиная с ip загловка. Эти особенности
+учитываются в `dvtws`.
+
+### Lookup Tables
+Скрипты [`ipset/*.sh`](../ipset/) при наличии ipfw работают с ipfw lookup
+tables. Это прямой аналог ipset. lookup tables не разделены на v4 и v6. Они
+могут содержать v4 и v6 адреса и подсети одновременно. Если ipfw отсутствует,
+то действие зависит от переменной `LISTS_RELOAD` в config. Если она задана, то
+выполняется команда из `LISTS_RELOAD`. В противном случае не делается ничего.
+Если `LISTS_RELOAD=-`, то заполнение таблиц отключается даже при наличии ipfw.
+
+### Загрузка ip таблиц из файла
+PF может загружать ip таблицы из файла. Чтобы использовать эту возможность
+следует отключить сжатие gzip для листов через параметр файла config:
+`GZIP_LISTS=0`.
+
+### Отсутствие splice
+**BSD** не содержит системного вызова splice. `tpws` работает через переброску
+данных в user mode в оба конца. Это медленнее, но не критически. Управление
+асинхронными сокетами в `tpws` основано на linux-specific механизме epoll. В
+**BSD** для его эмуляции используется epoll-shim - прослойка для эмуляции epoll
+на базе kqueue.
+
+### mdig и ip2net
+mdig и ip2net полностью работоспособны в **BSD**. В них нет ничего
+системо-зависимого.
+
+
+## FreeBSD
+
+### Подгрузка ipdivert
+Divert сокеты требуют специального модуля ядра - `ipdivert`.
+
+- Поместите следующие строки в `/boot/loader.conf` (создать, если отсутствует):
+```
+ipdivert_load="YES"
+net.inet.ip.fw.default_to_accept=1
+```
+
+`/etc/rc.conf`:
+```
+firewall_enable="YES"
+firewall_script="/etc/rc.firewall.my"
+```
+
+`/etc/rc.firewall.my`:
+```sh
+$ ipfw -q -f flush
+```
+
+### Авто-восстановление правил ipfw и работа в фоне
+В `/etc/rc.firewall.my` можно дописывать правила ipfw, чтобы они
+восстанавливались после перезагрузки. Оттуда же можно запускать и демоны
+zapret, добавив в параметры `--daemon`. Например так:
+```sh
+$ pkill ^dvtws$
+$ /opt/zapret/nfq/dvtws --port=989 --daemon --dpi-desync=multisplit --dpi-desync-split-pos=2
+```
+
+Для перезапуска фаервола и демонов достаточно будет сделать:
+```sh
+$ /etc/rc.d/ipfw restart
+```
+
+### tpws в прозрачном режиме
+Краткая инструкция по запуску `tpws` в прозрачном режиме.
+
+> [!NOTE]  
+> Предполагается, что интерфейс LAN называется `em1`, WAN - `em0`.
+
+#### Весь трафик
+```sh
+$ ipfw delete 100
+$ ipfw add 100 fwd 127.0.0.1,988 tcp from me to any 80,443 proto ip4 xmit em0 not uid daemon
+$ ipfw add 100 fwd ::1,988 tcp from me to any 80,443 proto ip6 xmit em0 not uid daemon
+$ ipfw add 100 fwd 127.0.0.1,988 tcp from any to any 80,443 proto ip4 recv em1
+$ ipfw add 100 fwd ::1,988 tcp from any to any 80,443 proto ip6 recv em1
+$ /opt/zapret/tpws/tpws --port=988 --user=daemon --bind-addr=::1 --bind-addr=127.0.0.1
+```
+
+#### Трафик только на таблицу zapret, за исключением таблицы nozapret
+
+```sh
+$ ipfw delete 100
+$ ipfw add 100 allow tcp from me to table\(nozapret\) 80,443
+$ ipfw add 100 fwd 127.0.0.1,988 tcp from me to table\(zapret\) 80,443 proto ip4 xmit em0 not uid daemon
+$ ipfw add 100 fwd ::1,988 tcp from me to table\(zapret\) 80,443 proto ip6 xmit em0 not uid daemon
+$ ipfw add 100 allow tcp from any to table\(nozapret\) 80,443 recv em1
+$ ipfw add 100 fwd 127.0.0.1,988 tcp from any to any 80,443 proto ip4 recv em1
+$ ipfw add 100 fwd ::1,988 tcp from any to any 80,443 proto ip6 recv em1
+$ /opt/zapret/tpws/tpws --port=988 --user=daemon --bind-addr=::1 --bind-addr=127.0.0.1
+```
+
+> [!NOTE]  
+> Таблицы zapret, nozapret, ipban создаются скриптами из ipset по аналогии с
+> Linux. Обновление скриптов можно забить в cron под root:
+> ```sh
+> $ crontab -e
+> ```
+>
+> ```
+> <...>
+> 0 12 */2 * * /opt/zapret/ipset/get_config.sh
+> ```
+
+> [!CAUTION]  
+> При использовании ipfw `tpws` не требует повышенных привилегий для реализации
+> прозрачного режима. Однако, без рута невозможен bind на порты `< 1024` и
+> смена UID/GID. Без смены UID будет рекурсия, поэтому правила ipfw нужно
+> создавать с учетом UID, под которым работает `tpws`. Переадресация на порты
+> `>= 1024` может создать угрозу перехвата трафика непривилегированным
+> процессом, если вдруг `tpws` не запущен.
+
+
+### Запуск dvtws
+
+#### Весь трафик
+```sh
+$ ipfw delete 100
+$ ipfw add 100 divert 989 tcp from any to any 80,443 out not diverted xmit em0
+# required for autottl mode only
+$ ipfw add 100 divert 989 tcp from any 80,443 to any tcpflags syn,ack in not diverted recv em0
+$ /opt/zapret/nfq/dvtws --port=989 --dpi-desync=multisplit --dpi-desync-split-pos=2
+```
+
+#### Трафик только на таблицу zapret, за исключением таблицы nozapret
+
+```sh
+$ ipfw delete 100
+$ ipfw add 100 allow tcp from me to table\(nozapret\) 80,443
+$ ipfw add 100 divert 989 tcp from any to table\(zapret\) 80,443 out not diverted not sockarg xmit em0
+# required for autottl mode only
+$ ipfw add 100 divert 989 tcp from table\(zapret\) 80,443 to any tcpflags syn,ack in not diverted not sockarg recv em0
+$ /opt/zapret/nfq/dvtws --port=989 --dpi-desync=multisplit --dpi-desync-split-pos=2
+```
+
+
+### PF в FreeBSD
+Настройка аналогична **OpenBSD**, но есть важные нюансы.
+
+- В **FreeBSD** поддержка PF в `tpws` отключена по умолчанию. Чтобы ее
+  включить, нужно использовать параметр `--enable-pf`.
+- Нельзя сделать ipv6 rdr на `::1`. Нужно делать на link-local адрес входящего
+  интерфейса. Смотрите через `ifconfig` адрес `fe80:...` и добавляете в правило.
+- Синтаксис `pf.conf` немного отличается. Более новая версия PF.
+- Лимит на количество элементов таблиц задается так:
+  ```sh
+  $ sysctl net.pf.request_maxcount=2000000
+  ```
+- Сломан divert-to. Он работает, но не работает механизм предотвращения
+  зацикливаний. Кто-то уже написал патч, но в `14-RELEASE` проблема все еще
+  есть. Следовательно, на данный момент работа `dvtws` через PF невозможна.
+
+  `/etc/pf.conf`:
+  ```
+  rdr pass on em1 inet6 proto tcp to port {80,443} -> fe80::31c:29ff:dee2:1c4d port 988
+  rdr pass on em1 inet  proto tcp to port {80,443} -> 127.0.0.1 port 988
+  ```
+
+  ```sh
+  $ /opt/zapret/tpws/tpws --port=988 --enable-pf --bind-addr=127.0.0.1 --bind-iface6=em1 --bind-linklocal=force
+  ```
+
+> [!NOTE]  
+ > В PF не выходит делать rdr-to с той же системы, где работает proxy.
+ > Вариант с route-to не сохраняет мета информацию. Адрес назначения теряется.
+ > Поэтому этот вариант годится для squid, берущего адрес из протокола прикладного уровня, но не годится для tpws, полагающегося на метаданные ОС.
+ > Поддержка rdr-to реализована через `/dev/pf`, поэтому прозрачный режим **требует root**.
+
+
+### pfsense
+
+#### Описание
+pfsense основан на **FreeBSD** и использует фаервол PF, имеющий проблемы с
+divert. К счастью, модули ipfw и ipdivert присутствуют в поставке последних
+версий pfsense. Их можно подгрузить через `kldload`.
+
+В некоторых более старых версиях pfsense требуется изменить порядок фаерволов
+через `sysctl`, сделав ipfw первым. В более новых эти параметры `sysctl`
+отсутствуют, но система работает как надо и без них. В некоторых случаях
+фаервол PF может ограничивать возможности `dvtws`, в частности в области
+фрагментации ip.
+
+Присутствуют по умолчанию правила scrub для реассемблинга фрагментов.
+
+Бинарики из [`binaries/freebsd-x64`](../binaries/freebsd-x64) собраны под
+**FreeBSD 11**. Они должны работать и на последующих версиях **FreeBSD**,
+включая pfsense. Можно пользоваться `install_bin.sh`.
+
+#### Автозапуск
+Пример скрипта автозапуска лежит в [`init.d/pfsense`](../init.d/pfsense). Его
+следует поместить в `/usr/local/etc/rc.d` и отредактировать на предмет правил
+ipfw и запуска демонов. Есть встроенный редактор `edit` как более приемлемая
+альтернатива `vi`.
+
+> [!NOTE]  
+> Поскольку `git` отсутствует, копировать файлы удобнее всего через `ssh`.
+> `curl` присутствует по умолчанию. Можно скопировать zip с файлами zapret и
+> распаковать в `/opt`, как это делается на других системах. Тогда `dvtws`
+> нужно запускать как `/opt/zapret/nfq/dvtws`. Либо скопировать только `dvtws`
+> в `/usr/local/sbin`. Как вам больше нравится.
+
+> [!NOTE]  
+> Скрипты ipset работают, крон есть. Можно сделать автообновление листов.
+
+> [!NOTE]  
+> Если вас напрягает бедность имеющегося репозитория, можно включить
+> репозиторий от **FreeBSD**, который по умолчанию выключен.
+>
+> Поменяйте `no` на `yes` в `/usr/local/etc/pkg/repos/FreeBSD.conf`
+>
+> Можно установить весь привычный софт, включая `git`, чтобы напрямую скачивать
+> zapret с github.
+
+`/usr/local/etc/rc.d/zapret.sh`  (chmod `755`):
+```sh
+#!/bin/sh
+
+kldload ipfw
+kldload ipdivert
+
+# for older pfsense versions. newer do not have these sysctls
+sysctl net.inet.ip.pfil.outbound=ipfw,pf
+sysctl net.inet.ip.pfil.inbound=ipfw,pf
+sysctl net.inet6.ip6.pfil.outbound=ipfw,pf
+sysctl net.inet6.ip6.pfil.inbound=ipfw,pf
+
+ipfw delete 100
+ipfw add 100 divert 989 tcp from any to any 80,443 out not diverted xmit em0
+pkill ^dvtws$
+dvtws --daemon --port 989 --dpi-desync=multisplit --dpi-desync-split-pos=2
+
+# required for newer pfsense versions (2.6.0 tested) to return ipfw to functional state
+pfctl -d ; pfctl -e
+```
+
+#### Проблемы tpws
+Что касается `tpws`, то видимо имеется некоторый конфликт двух фаерволов, и
+правила fwd в ipfw не работают. Работает перенаправление средствами PF как
+описано в разделе по **FreeBSD**. В PF можно изменять правила только целыми
+блоками - якорями (anchors). Нельзя просто так добавить или удалить что-то. Но
+чтобы какой-то anchor был обработан, на него должна быть ссылка из основного
+набора правил. Его трогать нельзя, иначе порушится весь фаервол. Поэтому
+придется править код скриптов pfsense.
+
+1. Поправьте `/etc/inc/filter.inc` следующим образом:
+```
+	<...>
+	/* MOD */
+	$natrules .= "# ZAPRET redirection\n";
+	$natrules .= "rdr-anchor \"zapret\"\n";
+
+	$natrules .= "# TFTP proxy\n";
+	$natrules .= "rdr-anchor \"tftp-proxy/*\"\n";
+	<...>
+```
+
+2. Напишите файл с содержимым anchor-а (например, `/etc/zapret.anchor`):
+```
+rdr pass on em1 inet  proto tcp to port {80,443} -> 127.0.0.1 port 988
+rdr pass on em1 inet6 proto tcp to port {80,443} -> fe80::20c:29ff:5ae3:4821 port 988
+```
+
+`fe80::20c:29ff:5ae3:4821` замените на ваш link local адрес LAN интерфейса,
+либо уберите строчку, если ipv6 не нужен.
+
+3. Добавьте в автозапуск `/usr/local/etc/rc.d/zapret.sh`:
+```sh
+$ pfctl -a zapret -f /etc/zapret.anchor
+$ pkill ^tpws$
+$ tpws --daemon --port=988 --enable-pf --bind-addr=127.0.0.1 --bind-iface6=em1 --bind-linklocal=force --split-pos=2
+```
+
+4. После перезагрузки проверьте, что правила создались:
+```sh
+$ pfctl -s nat
+no nat proto carp all
+nat-anchor "natearly/*" all
+nat-anchor "natrules/*" all
+<...>
+no rdr proto carp all
+rdr-anchor "zapret" all
+rdr-anchor "tftp-proxy/*" all
+rdr-anchor "miniupnpd" all
+
+$ pfctl -s nat -a zapret
+rdr pass on em1 inet proto tcp from any to any port = http -> 127.0.0.1 port 988
+rdr pass on em1 inet proto tcp from any to any port = https -> 127.0.0.1 port 988
+rdr pass on em1 inet6 proto tcp from any to any port = http -> fe80::20c:29ff:5ae3:4821 port 988
+rdr pass on em1 inet6 proto tcp from any to any port = https -> fe80::20c:29ff:5ae3:4821 port 988
+```
+
+> [!NOTE]  
+> Так же есть более элегантный способ запуска `tpws` через @reboot в cron и
+> правило перенаправления в UI. Это позволит не редактировать код pfsense.
+
+
+## OpenBSD
+
+### tpws bind на ipv4
+В `tpws` bind по умолчанию только на ipv6. Для bind на ipv4 нужно указать `--bind-addr=0.0.0.0`.
+Используйте `--bind-addr=0.0.0.0 --bind-addr=::` для достижения того же результата, как в других ОС по умолчанию.
+Но лучше все же так не делать, а сажать на определенные внутренние адреса или интерфейсы.
+
+
+### tpws для проходящего трафика
+
+`/etc/pf.conf`:
+```
+pass in quick on em1 inet  proto tcp to port {80,443} rdr-to 127.0.0.1 port 988
+pass in quick on em1 inet6 proto tcp to port {80,443} rdr-to ::1 port 988
+```
+
+```sh
+$ pfctl -f /etc/pf.conf
+$ tpws --port=988 --user=daemon --bind-addr=::1 --bind-addr=127.0.0.1
+```
+
+> [!NOTE]  
+> В PF не выходит делать rdr-to с той же системы, где работает proxy.
+> Вариант с route-to не сохраняет мета информацию. Адрес назначения теряется.
+> Поэтому этот вариант годится для squid, берущего адрес из протокола прикладного уровня, но не годится для tpws, полагающегося на метаданные ОС.
+> Поддержка rdr-to реализована через `/dev/pf`, поэтому прозрачный режим **требует root**.
+
+
+### Запуск dvtws
+
+#### Весь трафик
+`/etc/pf.conf`:
+```
+pass in  quick on em0 proto tcp from port {80,443} flags SA/SA divert-packet port 989 no state
+pass in  quick on em0 proto tcp from port {80,443} no state
+pass out quick on em0 proto tcp to   port {80,443} divert-packet port 989 no state
+```
+
+```sh
+$ pfctl -f /etc/pf.conf
+$ ./dvtws --port=989 --dpi-desync=multisplit --dpi-desync-split-pos=2
+```
+
+#### Трафик только на таблицу zapret, за исключением таблицы nozapret
+
+`/etc/pf.conf`:
+```
+set limit table-entries 2000000
+table <zapret> file "/opt/zapret/ipset/zapret-ip.txt"
+table <zapret-user> file "/opt/zapret/ipset/zapret-ip-user.txt"
+table <nozapret> file "/opt/zapret/ipset/zapret-ip-exclude.txt"
+pass out quick on em0 inet  proto tcp to   <nozapret> port {80,443}
+pass in  quick on em0 inet  proto tcp from <zapret>  port {80,443} flags SA/SA divert-packet port 989 no state
+pass in  quick on em0 inet  proto tcp from <zapret>  port {80,443} no state
+pass out quick on em0 inet  proto tcp to   <zapret>  port {80,443} divert-packet port 989 no state
+pass in  quick on em0 inet  proto tcp from <zapret-user>  port {80,443} flags SA/SA divert-packet port 989 no state
+pass in  quick on em0 inet  proto tcp from <zapret-user>  port {80,443} no state
+pass out quick on em0 inet  proto tcp to   <zapret-user>  port {80,443} divert-packet port 989 no state
+table <zapret6> file "/opt/zapret/ipset/zapret-ip6.txt"
+table <zapret6-user> file "/opt/zapret/ipset/zapret-ip-user6.txt"
+table <nozapret6> file "/opt/zapret/ipset/zapret-ip-exclude6.txt"
+pass out quick on em0 inet6 proto tcp to   <nozapret6> port {80,443}
+pass in  quick on em0 inet6 proto tcp from <zapret6> port {80,443} flags SA/SA divert-packet port 989 no state
+pass in  quick on em0 inet6 proto tcp from <zapret6> port {80,443} no state
+pass out quick on em0 inet6 proto tcp to   <zapret6> port {80,443} divert-packet port 989 no state
+pass in  quick on em0 inet6 proto tcp from <zapret6-user>  port {80,443} flags SA/SA divert-packet port 989 no state
+pass in  quick on em0 inet6 proto tcp from <zapret6-user>  port {80,443} no state
+pass out quick on em0 inet6 proto tcp to   <zapret6-user> port {80,443} divert-packet port 989 no state
+```
+
+```sh
+$ pfctl -f /etc/pf.conf
+$ ./dvtws --port=989 --dpi-desync=multisplit --dpi-desync-split-pos=2
+```
+
+
+### Проблемы с badsum
+**OpenBSD** принудительно пересчитывает tcp checksum после divert, поэтому
+скорее всего `dpi-desync-fooling=badsum` у вас не заработает. При использовании
+этого параметра `dvtws` предупредит о возможной проблеме.
+
+
+### Особенность отправки fake пакетов
+В **OpenBSD** `dvtws` все фейки отсылает через divert socket, поскольку эта
+возможность через raw sockets заблокирована. Видимо PF автоматически
+предотвращает повторный заворот diverted фреймов, поэтому проблемы зацикливания
+нет.
+
+divert-packet автоматически вносит обратное правило для перенаправления. Трюк с
+no state и in правилом позволяет обойти эту проблему, чтобы напрасно не гнать
+массивный трафик через `dvtws`.
+
+
+### Перезагрузка PF таблиц
+Скрипты из ipset не перезагружают таблицы в PF по умолчанию.
+
+Чтобы они это делали, добавьте параметр в `/opt/zapret/config`:
+```
+LISTS_RELOAD="pfctl -f /etc/pf.conf"
+```
+
+Более новые версии `pfctl` понимают команду перезагрузить только таблицы. Но это не относится к **OpenBSD**. В новых **FreeBSD** есть.
+```sh
+$ pfctl -Tl -f /etc/pf.conf
+```
+
+> [!IMPORTANT]  
+> Не забудьте выключить сжатие gzip: `GZIP_LISTS=0`
+
+> [!IMPORTANT]  
+> Если в вашей конфигурации какого-то файла листа нет, то его необходимо
+> исключить из правил PF. Если вдруг листа нет, и он задан в pf.conf, будет
+> ошибка перезагрузки фаервола.
+
+> [!NOTE]
+> После настройки обновление листов можно поместить в cron:
+> ```sh
+> $ crontab -e
+> ```
+>
+> ```
+> <...>
+> 0 12 */2 * * /opt/zapret/ipset/get_config.sh
+> ```
+
+
+## MacOS
+
+### Введение
+Иначально ядро этой ОС "darwin" основывалось на **BSD**, потому в ней много
+похожего на другие версии **BSD**. Однако, как и в других массовых коммерческих
+проектах, приоритеты смещаются в сторону от оригинала. Яблочники что хотят, то
+и творят.
+
+
+### dvtws бесполезен
+Раньше был ipfw, потом его убрали, заменили на PF. Есть сомнения, что divert
+сокеты в ядре остались. Попытка создать divert socket не выдает ошибок, но
+полученный сокет ведет себя точно так же, как raw, со всеми его унаследованными
+косяками + еще яблочно специфическими. В PF divert-packet не работает. Простой
+grep бинарика `pfctl` показывает, что там нет слова "divert", а в других
+версиях **BSD** оно есть. `dvtws` собирается, но совершенно бесполезен.
+
+
+### tpws
+`tpws` удалось адаптировать, он работоспособен. Получение адреса назначения для
+прозрачного прокси в PF (`DIOCNATLOOK`) убрали из заголовков в новых SDK,
+сделав фактически недокументированным.
+
+В `tpws` перенесены некоторые определения из более старых версий яблочных SDK.
+С ними удалось завести прозрачный режим. Однако, что будет в следующих версиях
+угадать сложно. Гарантий нет. Еще одной особенностью PF в **MacOS** является
+проверка на рута в момент обращения к `/dev/pf`, чего нет в остальных **BSD**.
+`tpws` по умолчанию сбрасывает рутовые привилегии. Необходимо явно указать
+параметр `--user=root`. В остальном PF себя ведет похоже на **FreeBSD**.
+Синтаксис `pf.conf` тот же.
+
+> [!IMPORTANT]  
+> На **MacOS** работает редирект как с проходящего трафика, так и с локальной
+> системы через route-to. Поскольку `tpws` вынужден работать под root, для
+> исключения рекурсии приходится пускать исходящий от root трафик напрямую.
+> Отсюда имеем недостаток - **обход DPI для рута работать НЕ будет**.
+
+#### Работа в прозрачном режиме только для исходящих запросов
+`/etc/pf.conf`:
+```
+rdr pass on lo0 inet  proto tcp from !127.0.0.0/8 to any port {80,443} -> 127.0.0.1 port 988
+rdr pass on lo0 inet6 proto tcp from !::1 to any port {80,443} -> fe80::1 port 988
+pass out route-to (lo0 127.0.0.1) inet proto tcp from any to any port {80,443} user { >root }
+pass out route-to (lo0 fe80::1) inet6 proto tcp from any to any port {80,443} user { >root }
+```
+
+```sh
+$ pfctl -ef /etc/pf.conf
+$ /opt/zapret/tpws/tpws --user=root --port=988 --bind-addr=127.0.0.1 --bind-iface6=lo0 --bind-linklocal=force
+```
+
+#### Работа в прозрачном режиме
+> [!NOTE]
+> Предполагается, что имя LAN интерфейса - `en1`
+
+```sh
+$ ifconfig en1 | grep fe80
+        inet6 fe80::bbbb:bbbb:bbbb:bbbb%en1 prefixlen 64 scopeid 0x8
+```
+
+`/etc/pf.conf`:
+```
+rdr pass on en1 inet  proto tcp from any to any port {80,443} -> 127.0.0.1 port 988
+rdr pass on en1 inet6 proto tcp from any to any port {80,443} -> fe80::bbbb:bbbb:bbbb:bbbb port 988
+rdr pass on lo0 inet  proto tcp from !127.0.0.0/8 to any port {80,443} -> 127.0.0.1 port 988
+rdr pass on lo0 inet6 proto tcp from !::1 to any port {80,443} -> fe80::1 port 988
+pass out route-to (lo0 127.0.0.1) inet proto tcp from any to any port {80,443} user { >root }
+pass out route-to (lo0 fe80::1) inet6 proto tcp from any to any port {80,443} user { >root }
+```
+
+```sh
+$ pfctl -ef /etc/pf.conf
+$ /opt/zapret/tpws/tpws --user=root --port=988 --bind-addr=127.0.0.1 --bind-iface6=lo0 --bind-linklocal=force --bind-iface6=en1 --bind-linklocal=force
+```
+
+
+### Проблема link-local адреса
+Если вы пользуетесь **MaсOS** в качестве ipv6 роутера, то нужно будет
+решить вопрос с регулярно изменяемым link-local адресом. С некоторых версий
+**MacOS** использует по умолчанию постоянные "secured" ipv6 адреса вместо
+генерируемых на базе MAC адреса.
+
+Все замечательно, но есть одна проблема. Постоянными остаются только global
+scope адреса. Link locals периодически меняются. Смена завязана на системное
+время. Перезагрузки адрес не меняют, Но если перевести время на день вперед и
+перезагрузиться - link local станет другим (по крайней мере в vmware это так).
+Информации по вопросу крайне мало, но тянет на баг. Не должен меняться link
+local. Скрывать link local не имеет смысла, а динамический link local нельзя
+использовать в качестве адреса шлюза. Проще всего отказаться от "secured"
+адресов. Для этого поместите строчку `net.inet6.send.opmode=0` в
+`/etc/sysctl.conf` и перезагрузите систему.
+
+Все равно для исходящих соединений будут использоваться temporary адреса, как и
+в других системах. Или вам идея не по вкусу, можно прописать дополнительный
+статический ipv6 из диапазона маски `fc00::/7` - выберите любой с длиной
+префикса `128`. Это можно сделать в системных настройках, создав дополнительный
+адаптер на базе того же сетевого интерфейса, отключить в нем ipv4 и вписать
+статический ipv6. Он добавится к автоматически настраеваемым.
+
+
+### Сборка
+```sh
+$ make -C /opt/zapret mac
+```
+
+
+### Простая установка
+В **MacOS** поддерживается `install_easy.sh`
+
+В комплекте идут бинарики, собраные под 64-bit с опцией
+`-mmacosx-version-min=10.8`. Они должны работать на всех поддерживаемых версиях
+**MacOS**. Если вдруг не работают - можно собрать свои. Developer tools
+ставятся автоматом при запуске `make`.
+
+> [!WARNING]  
+> Internet sharing средствами системы **не поддерживается**!
+>
+> Поддерживается только роутер, настроенный своими силами через PF. Если вы
+> вдруг включили шаринг, а потом выключили, то доступ к сайтам может пропасть
+> совсем.
+>
+> Лечение:
+> ```sh
+> $ pfctl -f /etc/pf.conf
+> ```
+>
+> Если вам нужен шаринг интернета, лучше отказаться от прозрачного режима и
+> использовать socks прокси.
+
+Для автостарта используется launchd (`/Library/LaunchDaemons/zapret.plist`)
+Управляющий скрипт : `/opt/zapret/init.d/macos/zapret`
+
+Следующие команды работают с `tpws` и фаерволом одновременно (если
+`INIT_APPLY_FW=1` в config)
+
+```sh
+$ /opt/zapret/init.d/macos/zapret start
+$ /opt/zapret/init.d/macos/zapret stop
+$ /opt/zapret/init.d/macos/zapret restart
+```
+
+Работа только с tpws:
+```sh
+$ /opt/zapret/init.d/macos/zapret start-daemons
+$ /opt/zapret/init.d/macos/zapret stop-daemons
+$ /opt/zapret/init.d/macos/zapret restart-daemons
+```
+
+Работа только с PF:
+```sh
+$ /opt/zapret/init.d/macos/zapret start-fw
+$ /opt/zapret/init.d/macos/zapret stop-fw
+$ /opt/zapret/init.d/macos/zapret restart-fw
+```
+
+Перезагрузка всех IP таблиц из файлов:
+```sh
+$ /opt/zapret/init.d/macos/zapret reload-fw-tables
+```
+
+> [!NOTE]  
+> Инсталятор настраивает `LISTS_RELOAD` в config, так что скрипты
+> [`ipset/*.sh`](../ipset/) автоматически перезагружают IP таблицы в PF.
+
+> [!NOTE]  
+> Автоматически создается cron job на
+> [`ipset/get_config.sh`](../ipset/get_config.sh), по аналогии с openwrt.
+
+При start-fw скрипт автоматически модицифирует `/etc/pf.conf`, вставляя туда
+anchors "zapret". Модификация расчитана на `pf.conf`, в котором сохранены
+дефолтные anchors от apple. Если у вас измененный `pf.conf` и модификация не
+удалась, об этом будет предупреждение. Не игнорируйте его. В этом случае вам
+нужно вставить в свой `pf.conf` (в соответствии с порядком типов правил):
+```
+rdr-anchor "zapret"
+anchor "zapret"
+```
+
+> [!NOTE]  
+> При деинсталяции через `uninstall_easy.sh` модификации `pf.conf` убираются.
+
+> [!NOTE]  
+> start-fw создает 3 файла anchors в `/etc/pf.anchors`: `zapret`, `zapret-v4`,
+> `zapret-v6`. Последние 2 подключаются из anchor "zapret".
+
+> [!NOTE]  
+> Таблицы `nozapret` и `nozapret6` принадлежат anchor "zapret".
+>
+> Таблицы `zapret` и `zapret-user` в anchor "zapret-v4".
+>
+> Таблицы `zapret6` и `zapret6-user` в anchor "zapret-v6".
+>
+> Если какая-то версия протокола отключена - соответствующий anchor пустой и не
+> упоминается в anchor "zapret". Таблицы и правила создаются только на те
+> листы, которые фактически есть в директории ipset.
+
+
+### Вариант Custom
+Так же как и в других системах, поддерживаемых в простом инсталяторе, можно
+создавать свои custom скрипты.
+
+Расположение: `/opt/zapret/init.d/macos/custom`
+
+`zapret_custom_daemons()` получает в `$1`: `0` или `1`. `0` = stop, `1` = start
+
+custom firewall отличается от linux варианта. Вместо заполнения `iptables` вам
+нужно сгенерировать правила для `zapret-v4` и `zapret-v6` anchors и выдать их в
+stdout. Это делается в функциях `zapret_custom_firewall_v4()` и
+`zapret_custom_firewall_v6()`. Определения таблиц заполняются основным скриптом
+\- вам это делать не нужно. Можно ссылаться на таблицы `zapret` и `zapret-user`
+в v4, `zapret6` и `zapret6-user`.
+
+Cм. пример [в файле](../init.d/macos/custom.d.examples/50-extra-tpws).
--- a/docs/bsd.txt
+++ b/docs/bsd.txt
@ -1,476 +0,0 @@
-Поддерживаемые версии
---------------------
-
-FreeBSD 11.x+ , OpenBSD 6.x+, частично MacOS Sierra+
-
-На более старых может собираться, может не собираться, может работать или не работать.
-На FreeBSD 10 собирается и работает dvtws. С tpws есть проблемы из-за слишком старой версии компилятора clang.
-Вероятно, будет работать, если обновить компилятор.
-Возможна прикрутка к последним версиям pfsense без веб интерфейса в ручном режиме через консоль.
-
-
-Особенности BSD систем
----------------------
-
-В BSD нет nfqueue. Похожий механизм - divert sockets.
-Из каталога "nfq" под BSD собирается dvtws вместо nfqws.
-Он разделяет с nfqws большую часть кода и почти совпадает по параметрам командной строки.
-
-FreeBSD содержит 3 фаервола : IPFilter, ipfw и Packet Filter (PF). OpenBSD содержит только PF.
-
-Под FreeBSD tpws и dvtws собираются через "make", под OpenBSD - "make bsd", под MacOS - "make mac".
-FreeBSD make распознает BSDmakefile , OpenBSD и MacOS - нет. Поэтому там используется отдельный target в Makefile.
-Сборка всех исходников : make -C /opt/zapret
-
-divert сокет - внутренний тип сокета ядра BSD. Он не привязывается ни к какому сетевому адресу, не участвует
-в обмене данными через сеть и идентифицируется по номеру порта 1..65535. Аналогия с номером очереди NFQUEUE.
-На divert сокеты заворачивается трафик посредством правил ipfw или PF.
-Если в фаерволе есть правило divert, но на divert порту никто не слушает, то пакеты дропаются.
-Это поведение аналогично правилам NFQUEUE без параметра --queue-bypass.
-На FreeBSD divert сокеты могут быть только ipv4, хотя на них принимаются и ipv4, и ipv6 фреймы.
-На OpenBSD divert сокеты создаются отдельно для ipv4 и ipv6 и работают только с одной версией ip каждый.
-На MacOS похоже, что divert сокеты из ядра вырезаны. См подробнее раздел про MacOS.
-Отсылка в divert сокет работает аналогично отсылке через raw socket на linux. Передается полностью IP фрейм, начиная
-с ip загловка . Эти особенности учитываются в dvtws.
-
-Скрипты ipset/*.sh при наличии ipfw работают с ipfw lookup tables.
-Это прямой аналог ipset. lookup tables не разделены на v4 и v6. Они могут содержать v4 и v6 адреса и подсети одновременно.
-Если ipfw отсутствует, то действие зависит от переменной LISTS_RELOAD в config.
-Если она задана, то выполняется команда из LISTS_RELOAD. В противном случае не делается ничего.
-Если LISTS_RELOAD=-, то заполнение таблиц отключается даже при наличии ipfw.
-
-PF может загружать ip таблицы из файла. Чтобы использовать эту возможность следует отключить сжатие gzip для листов
-через параметр файла config "GZIP_LISTS=0".
-
-BSD не содержит системного вызова splice. tpws работает через переброску данных в user mode в оба конца.
-Это медленнее, но не критически.
-Управление асинхронными сокетами в tpws основано на linux-specific механизме epoll.
-В BSD для его эмуляции используется epoll-shim - прослойка для эмуляции epoll на базе kqueue.
-
-mdig и ip2net полностью работоспособны в BSD. В них нет ничего системо-зависимого.
-
-FreeBSD
-------
-
-divert сокеты требуют специального модуля ядра ipdivert.
-Поместите следующие строки в /boot/loader.conf (создать, если отсутствует) :
-----------
-ipdivert_load="YES"
-net.inet.ip.fw.default_to_accept=1
-----------
-В /etc/rc.conf :
-----------
-firewall_enable="YES"
-firewall_script="/etc/rc.firewall.my"
-----------
-/etc/rc.firewall.my :
-----------
-ipfw -q -f flush
-----------
-В /etc/rc.firewall.my можно дописывать правила ipfw, чтобы они восстанавливались после перезагрузки.
-Оттуда же можно запускать и демоны zapret, добавив в параметры "--daemon". Например так :
-----------
-pkill ^dvtws$
-/opt/zapret/nfq/dvtws --port=989 --daemon --dpi-desync=split2
-----------
-Для перезапуска фаервола и демонов достаточно будет сделать : /etc/rc.d/ipfw restart
-
-
-Краткая инструкция по запуску tpws в прозрачном режиме.
-Предполагается, что интерфейс LAN называется em1, WAN - em0.
-
-Для всего трафика :
-ipfw delete 100
-ipfw add 100 fwd 127.0.0.1,988 tcp from me to any 80,443 proto ip4 xmit em0 not uid daemon
-ipfw add 100 fwd ::1,988 tcp from me to any 80,443 proto ip6 xmit em0 not uid daemon
-ipfw add 100 fwd 127.0.0.1,988 tcp from any to any 80,443 proto ip4 recv em1
-ipfw add 100 fwd ::1,988 tcp from any to any 80,443 proto ip6 recv em1
-/opt/zapret/tpws/tpws --port=988 --user=daemon --bind-addr=::1 --bind-addr=127.0.0.1
-
-Для трафика только на таблицу zapret, за исключением таблицы nozapret :
-ipfw delete 100
-ipfw add 100 allow tcp from me to table\(nozapret\) 80,443
-ipfw add 100 fwd 127.0.0.1,988 tcp from me to table\(zapret\) 80,443 proto ip4 xmit em0 not uid daemon
-ipfw add 100 fwd ::1,988 tcp from me to table\(zapret\) 80,443 proto ip6 xmit em0 not uid daemon
-ipfw add 100 allow tcp from any to table\(nozapret\) 80,443 recv em1
-ipfw add 100 fwd 127.0.0.1,988 tcp from any to any 80,443 proto ip4 recv em1
-ipfw add 100 fwd ::1,988 tcp from any to any 80,443 proto ip6 recv em1
-/opt/zapret/tpws/tpws --port=988 --user=daemon --bind-addr=::1 --bind-addr=127.0.0.1
-
-Таблицы zapret, nozapret, ipban создаются скриптами из ipset по аналогии с Linux.
-Обновление скриптов можно забить в cron под root :
- crontab -e
- Создать строчку  "0 12 */2 * * /opt/zapret/ipset/get_config.sh"
-
-При использовании ipfw tpws не требует повышенных привилегий для реализации прозрачного режима.
-Однако, без рута невозможен бинд на порты <1024 и смена UID/GID. Без смены UID будет рекурсия,
-поэтому правила ipfw нужно создавать с учетом UID, под которым работает tpws.
-Переадресация на порты >=1024 может создать угрозу перехвата трафика непривилегированным
-процессом, если вдруг tpws не запущен.
-
-
-Краткая инструкция по запуску dvtws.
-
-Для всего трафика :
-ipfw delete 100
-ipfw add 100 divert 989 tcp from any to any 80,443 out not diverted xmit em0
-# required for autottl mode only
-ipfw add 100 divert 989 tcp from any 80,443 to any tcpflags syn,ack in not diverted recv em0
-/opt/zapret/nfq/dvtws --port=989 --dpi-desync=split2
-
-Для трафика только на таблицу zapret, за исключением таблицы nozapret :
-ipfw delete 100
-ipfw add 100 allow tcp from me to table\(nozapret\) 80,443
-ipfw add 100 divert 989 tcp from any to table\(zapret\) 80,443 out not diverted not sockarg xmit em0
-# required for autottl mode only
-ipfw add 100 divert 989 tcp from table\(zapret\) 80,443 to any tcpflags syn,ack in not diverted not sockarg recv em0
-/opt/zapret/nfq/dvtws --port=989 --dpi-desync=split2
-
-
-PF в FreeBSD:
-Настройка аналогична OpenBSD, но есть важные нюансы.
-1) В FreeBSD поддержка PF в tpws отключена по умолчанию. Чтобы ее включить, нужно использовать параметр --enable-pf.
-2) Нельзя сделать ipv6 rdr на ::1. Нужно делать на link-local адрес входящего интерфейса.
-Смотрите через ifconfig адрес fe80:... и добавляете в правило
-3) Синтаксис pf.conf немного отличается. Более новая версия PF.
-4) Лимит на количество элементов таблиц задается так : sysctl net.pf.request_maxcount=2000000
-5) divert-to сломан. Он работает, но не работает механизм предотвращения зацикливаний.
-Кто-то уже написал патч, но в 14-RELEASE проблема все еще есть.
-Следовательно, на данный момент работа dvtws через pf невозможна.
-
-/etc/pf.conf
-----------
-rdr pass on em1 inet6 proto tcp to port {80,443} -> fe80::31c:29ff:dee2:1c4d port 988
-rdr pass on em1 inet  proto tcp to port {80,443} -> 127.0.0.1 port 988
-----------
-/opt/zapret/tpws/tpws --port=988 --enable-pf --bind-addr=127.0.0.1 --bind-iface6=em1 --bind-linklocal=force
-
-В PF непонятно как делать rdr-to с той же системы, где работает proxy. Вариант с route-to у меня не заработал.
-
-
-pfsense
-------
-
-pfsense основано на FreeBSD.
-pfsense использует фаервол pf, а он имеет проблемы с divert.
-К счастью, модули ipfw и ipdivert присутствуют в поставке последних версий pfsense.
-Их можно подгрузить через kldload.
-В некоторых более старых версиях pfsense требуется изменить порядок фаерволов через sysctl, сделав ipfw первым.
-В более новых эти параметры sysctl отсутствуют, но система работает как надо и без них.
-В некоторых случаях фаервол pf может ограничивать возможности dvtws, в частности в области фрагментации ip.
-Присутствуют по умолчанию правила scrub для реассемблинга фрагментов.
-Бинарики из binaries/freebsd-x64 собраны под FreeBSD 11. Они должны работать и на последующих версиях FreeBSD,
-включая pfsense. Можно пользоваться install_bin.sh.
-
-Пример скрипта автозапуска лежит в init.d/pfsense. Его следует поместить в /usr/local/etc/rc.d и отредактировать
-на предмет правил ipfw и запуска демонов. Есть встроенный редактор edit как более приемлемая альтернатива vi.
-Поскольку git отсутствует, копировать файлы удобнее всего через ssh. curl присутствует по умолчанию.
-Можно скопировать zip с файлами zapret и распаковать в /opt, как это делается на других системах.
-Тогда dvtws нужно запускать как /opt/zapret/nfq/dvtws. Либо скопировать только dvtws в /usr/local/sbin.
-Как вам больше нравится.
-ipset скрипты работают, крон есть. Можно сделать автообновление листов.
-
-Если вас напрягает бедность имеющегося репозитория, можно включить репозиторий от FreeBSD, который по умолчанию выключен.
-Поменяйте no на yes в /usr/local/etc/pkg/repos/FreeBSD.conf
-Можно установить весь привычный soft, включая git, чтобы напрямую скачивать zapret с github.
-
-/usr/local/etc/rc.d/zapret.sh  (chmod 755)
-----------
-#!/bin/sh
-
-kldload ipfw
-kldload ipdivert
-
-# for older pfsense versions. newer do not have these sysctls
-sysctl net.inet.ip.pfil.outbound=ipfw,pf
-sysctl net.inet.ip.pfil.inbound=ipfw,pf
-sysctl net.inet6.ip6.pfil.outbound=ipfw,pf
-sysctl net.inet6.ip6.pfil.inbound=ipfw,pf
-
-ipfw delete 100
-ipfw add 100 divert 989 tcp from any to any 80,443 out not diverted xmit em0
-pkill ^dvtws$
-dvtws --daemon --port 989 --dpi-desync=split2
-
-# required for newer pfsense versions (2.6.0 tested) to return ipfw to functional state
-pfctl -d ; pfctl -e
-----------
-
-Что касается tpws, то видимо имеется некоторый конфликт двух фаерволов, и правила fwd в ipfw не работают.
-Работает перенаправление средствами pf как описано в разделе по FreeBSD.
-В pf можно изменять правила только целыми блоками - якорями (anchors). Нельзя просто так добавить или удалить что-то.
-Но чтобы какой-то anchor был обработан, на него должна быть ссылка из основного набора правил.
-Его трогать нельзя, иначе порушится весь фаервол.
-Поэтому придется править код скриптов pfsense. Поправьте /etc/inc/filter.inc следующим образом :
-----------
-	.................
-	/* MOD */
-	$natrules .= "# ZAPRET redirection\n";
-	$natrules .= "rdr-anchor \"zapret\"\n";
-
-	$natrules .= "# TFTP proxy\n";
-	$natrules .= "rdr-anchor \"tftp-proxy/*\"\n";
-	.................
-----------
-
-Напишите файл с содержимым anchor-а (например, /etc/zapret.anchor):
-----------
-rdr pass on em1 inet  proto tcp to port {80,443} -> 127.0.0.1 port 988
-rdr pass on em1 inet6 proto tcp to port {80,443} -> fe80::20c:29ff:5ae3:4821 port 988
-----------
-fe80::20c:29ff:5ae3:4821 замените на ваш link local адрес LAN интерфейса, либо уберите строчку, если ipv6 не нужен.
-
-Добавьте в автозапуск /usr/local/etc/rc.d/zapret.sh :
-----------
-pfctl -a zapret -f /etc/zapret.anchor
-pkill ^tpws$
-tpws --daemon --port=988 --enable-pf --bind-addr=127.0.0.1 --bind-iface6=em1 --bind-linklocal=force --split-http-req=method --split-pos=2
-----------
-
-После перезагрузки проверьте, что правила создались :
-----------
-[root@pfSense /]# pfctl -s nat
-no nat proto carp all
-nat-anchor "natearly/*" all
-nat-anchor "natrules/*" all
-...................
-no rdr proto carp all
-rdr-anchor "zapret" all
-rdr-anchor "tftp-proxy/*" all
-rdr-anchor "miniupnpd" all
-[root@pfSense /]# pfctl -s nat -a zapret
-rdr pass on em1 inet proto tcp from any to any port = http -> 127.0.0.1 port 988
-rdr pass on em1 inet proto tcp from any to any port = https -> 127.0.0.1 port 988
-rdr pass on em1 inet6 proto tcp from any to any port = http -> fe80::20c:29ff:5ae3:4821 port 988
-rdr pass on em1 inet6 proto tcp from any to any port = https -> fe80::20c:29ff:5ae3:4821 port 988
-----------
-
-Так же есть более элегантный способ запуска tpws через @reboot в cron и правило перенаправления в UI.
-Это позволит не редактировать код pfsense.
-
-
-OpenBSD
-------
-
-В tpws бинд по умолчанию только на ipv6. для бинда на ipv4 указать "--bind-addr=0.0.0.0"
-Используйте --bind-addr=0.0.0.0 --bind-addr=::  для достижения того же результата, как в других ОС по умолчанию.
-(лучше все же так не делать, а сажать на определенные внутренние адреса или интерфейсы)
-
-tpws для проходящего трафика :
-
-/etc/pf.conf
------------
-pass in quick on em1 inet  proto tcp to port {80,443} rdr-to 127.0.0.1 port 988 
-pass in quick on em1 inet6 proto tcp to port {80,443} rdr-to ::1 port 988 
------------
-pfctl -f /etc/pf.conf
-tpws --port=988 --user=daemon --bind-addr=::1 --bind-addr=127.0.0.1
-
-В PF непонятно как делать rdr-to с той же системы, где работает proxy. Вариант с route-to у меня не заработал.
-Поддержка rdr-to реализована через /dev/pf, поэтому прозрачный режим требует root.
-
-dvtws для всего трафика :
-
-/etc/pf.conf
------------
-pass in  quick on em0 proto tcp from port {80,443} flags SA/SA divert-packet port 989 no state
-pass in  quick on em0 proto tcp from port {80,443} no state
-pass out quick on em0 proto tcp to   port {80,443} divert-packet port 989 no state
------------
-pfctl -f /etc/pf.conf
-./dvtws --port=989 --dpi-desync=split2
-
-dvtws для трафика только на таблицу zapret, за исключением таблицы nozapret :
-
-/etc/pf.conf
------------
-set limit table-entries 2000000
-table <zapret> file "/opt/zapret/ipset/zapret-ip.txt"
-table <zapret-user> file "/opt/zapret/ipset/zapret-ip-user.txt"
-table <nozapret> file "/opt/zapret/ipset/zapret-ip-exclude.txt"
-pass out quick on em0 inet  proto tcp to   <nozapret> port {80,443}
-pass in  quick on em0 inet  proto tcp from <zapret>  port {80,443} flags SA/SA divert-packet port 989 no state
-pass in  quick on em0 inet  proto tcp from <zapret>  port {80,443} no state
-pass out quick on em0 inet  proto tcp to   <zapret>  port {80,443} divert-packet port 989 no state
-pass in  quick on em0 inet  proto tcp from <zapret-user>  port {80,443} flags SA/SA divert-packet port 989 no state
-pass in  quick on em0 inet  proto tcp from <zapret-user>  port {80,443} no state
-pass out quick on em0 inet  proto tcp to   <zapret-user>  port {80,443} divert-packet port 989 no state
-table <zapret6> file "/opt/zapret/ipset/zapret-ip6.txt"
-table <zapret6-user> file "/opt/zapret/ipset/zapret-ip-user6.txt"
-table <nozapret6> file "/opt/zapret/ipset/zapret-ip-exclude6.txt"
-pass out quick on em0 inet6 proto tcp to   <nozapret6> port {80,443}
-pass in  quick on em0 inet6 proto tcp from <zapret6> port {80,443} flags SA/SA divert-packet port 989 no state
-pass in  quick on em0 inet6 proto tcp from <zapret6> port {80,443} no state
-pass out quick on em0 inet6 proto tcp to   <zapret6> port {80,443} divert-packet port 989 no state
-pass in  quick on em0 inet6 proto tcp from <zapret6-user>  port {80,443} flags SA/SA divert-packet port 989 no state
-pass in  quick on em0 inet6 proto tcp from <zapret6-user>  port {80,443} no state
-pass out quick on em0 inet6 proto tcp to   <zapret6-user> port {80,443} divert-packet port 989 no state
------------
-pfctl -f /etc/pf.conf
-./dvtws --port=989 --dpi-desync=split2
-
-divert-packet автоматически вносит обратное правило для перенаправления.
-Трюк с no state и in правилом позволяет обойти эту проблему, чтобы напрасно не гнать массивный трафик через dvtws.
-
-В OpenBSD dvtws все фейки отсылает через divert socket, поскольку эта возможность через raw sockets заблокирована.
-Видимо pf автоматически предотвращает повторный заворот diverted фреймов, поэтому проблемы зацикливания нет.
-
-OpenBSD принудительно пересчитывает tcp checksum после divert, поэтому скорее всего
-dpi-desync-fooling=badsum у вас не заработает. При использовании этого параметра
-dvtws предупредит о возможной проблеме.
-
-Скрипты из ipset не перезагружают таблицы в PF по умолчанию.
-Чтобы они это делали, добавьте параметр в /opt/zapret/config :
-LISTS_RELOAD="pfctl -f /etc/pf.conf"
-Более новые версии pfctl понимают команду перезагрузить только таблицы : pfctl -Tl -f /etc/pf.conf
-Но это не относится к OpenBSD 6.8. В новых FreeBSD есть.
-Не забудьте выключить сжатие gzip :
-GZIP_LISTS=0
-Если в вашей конфигурации какого-то файла листа нет, то его необходимо исключить из правил PF.
-Если вдруг листа нет, и он задан в pf.conf, будет ошибка перезагрузки фаервола.
-После настройки обновление листов можно поместить в cron :
- crontab -e
- дописать строчку : 0 12 */2 * * /opt/zapret/ipset/get_config.sh
-
-
-MacOS
-----
-
-Иначально ядро этой ОС "darwin" основывалось на BSD, потому в ней много похожего на другие версии BSD.
-Однако, как и в других массовых коммерческих проектах, приоритеты смещаются в сторону от оригинала.
-Яблочники что хотят, то и творят.
-Раньше был ipfw, потом его убрали, заменили на PF.
-Есть сомнения, что divert сокеты в ядре остались. Попытка создать divert socket не выдает ошибок,
-но полученный сокет ведет себя точно так же, как raw, со всеми его унаследованными косяками + еще яблочно специфическими.
-В PF divert-packet не работает. Простой grep бинарика pfctl показывает, что там нет слова "divert",
-а в других версиях BSD оно есть. dvtws собирается, но совершенно бесполезен.
-
-tpws удалось адаптировать, он работоспособен. Получение адреса назначения для прозрачного прокси в PF (DIOCNATLOOK)
-убрали из заголовков в новых SDK, сделав фактически недокументированным. 
-В tpws перенесены некоторые определения из более старых версий яблочных SDK. С ними удалось завести прозрачный режим.
-Однако, что будет в следующих версиях угадать сложно. Гарантий нет.
-Еще одной особенностью PF в MacOS является проверка на рута в момент обращения к /dev/pf, чего нет в остальных BSD.
-tpws по умолчанию сбрасывает рутовые привилегии. Необходимо явно указать параметр --user=root.
-В остальном PF себя ведет похоже на FreeBSD. Синтаксис pf.conf тот же.
-
-На MacOS работает редирект как с проходящего трафика, так и с локальной системы через route-to.
-Поскольку tpws вынужден работать под root, для исключения рекурсии приходится пускать исходящий от root трафик напрямую.
-Отсюда имеем недостаток : обход DPI для рута работать не будет.
-
-Если вы пользуетесь MaсOS в качестве ipv6 роутера, то нужно будет решить вопрос с регулярно изменяемым link-local адресом.
-С некоторых версий MacOS использует по умолчанию постоянные "secured" ipv6 адреса вместо генерируемых на базе MAC адреса.
-Все замечательно, но есть одна проблема. Постоянными остаются только global scope адреса.
-Link locals периодически меняются. Смена завязана на системное время. Перезагрузки адрес не меняют,
-Но если перевести время на день вперед и перезагрузиться - link local станет другим. (по крайней мере в vmware это так)
-Информации по вопросу крайне мало, но тянет на баг. Не должен меняться link local. Скрывать link local не имеет смысла,
-а динамический link local нельзя использовать в качестве адреса шлюза.
-Проще всего отказаться от "secured" адресов.
-Поместите строчку "net.inet6.send.opmode=0" в /etc/sysctl.conf. Затем перезагрузите систему.
-Все равно для исходящих соединений будут использоваться temporary адреса, как и в других системах.
-Или вам идея не по вкусу, можно прописать дополнительный статический ipv6 из диапазона fc00::/7 -
-выберите любой с длиной префикса 128. Это можно сделать в системных настройках, создав дополнительный адаптер на базе
-того же сетевого интерфейса, отключить в нем ipv4 и вписать статический ipv6. Он добавится к автоматически настраеваемым.
-
-Настройка tpws на macos в прозрачном режиме только для исходящих запросов :
-
-/etc/pf.conf
------------
-rdr pass on lo0 inet  proto tcp from !127.0.0.0/8 to any port {80,443} -> 127.0.0.1 port 988
-rdr pass on lo0 inet6 proto tcp from !::1 to any port {80,443} -> fe80::1 port 988
-pass out route-to (lo0 127.0.0.1) inet proto tcp from any to any port {80,443} user { >root }
-pass out route-to (lo0 fe80::1) inet6 proto tcp from any to any port {80,443} user { >root }
------------
-pfctl -ef /etc/pf.conf
-/opt/zapret/tpws/tpws --user=root --port=988 --bind-addr=127.0.0.1 --bind-iface6=lo0 --bind-linklocal=force
-
-
-Настройка tpws на macos роутере в прозрачном режиме, где en1 - LAN.
-
-ifconfig en1 | grep fe80
-        inet6 fe80::bbbb:bbbb:bbbb:bbbb%en1 prefixlen 64 scopeid 0x8 
-/etc/pf.conf
------------
-rdr pass on en1 inet  proto tcp from any to any port {80,443} -> 127.0.0.1 port 988
-rdr pass on en1 inet6 proto tcp from any to any port {80,443} -> fe80::bbbb:bbbb:bbbb:bbbb port 988
-rdr pass on lo0 inet  proto tcp from !127.0.0.0/8 to any port {80,443} -> 127.0.0.1 port 988
-rdr pass on lo0 inet6 proto tcp from !::1 to any port {80,443} -> fe80::1 port 988
-pass out route-to (lo0 127.0.0.1) inet proto tcp from any to any port {80,443} user { >root }
-pass out route-to (lo0 fe80::1) inet6 proto tcp from any to any port {80,443} user { >root }
------------
-pfctl -ef /etc/pf.conf
-/opt/zapret/tpws/tpws --user=root --port=988 --bind-addr=127.0.0.1 --bind-iface6=lo0 --bind-linklocal=force --bind-iface6=en1 --bind-linklocal=force
-
-
-Сборка : make -C /opt/zapret mac
-
-Скрипты получения листов ipset/*.sh работают.
-Если будете пользоваться ipset/get_combined.sh, нужно установить gnu grep через brew.
-Имеющийся очень старый и безумно медленный с оцией -f.
-
-
-MacOS простая установка
-----------------------
-
-В MacOS поддерживается install_easy.sh
-
-В комплекте идут бинарики, собраные под 64-bit с опцией  -mmacosx-version-min=10.8.
-Они должны работать на всех поддерживаемых версиях macos.
-Если вдруг не работают - можно собрать свои. Developer tools ставятся автоматом при запуске make.
-
-!! Internet sharing средствами системы НЕ ПОДДЕРЖИВАЕТСЯ !!
-Поддерживается только роутер, настроенный своими силами через PF.
-Если вы вдруг включили шаринг, а потом выключили, то доступ к сайтам может пропасть совсем.
-Лечение : pfctl -f /etc/pf.conf
-Если вам нужен шаринг интернета, лучше отказаться от прозрачного режима и использовать socks.
-
-Для автостарта используется launchd (/Library/LaunchDaemons/zapret.plist)
-Управляющий скрипт : /opt/zapret/init.d/macos/zapret
-Следующие команды работают с tpws и фаерволом одновременно (если INIT_APPLY_FW=1 в config)
-/opt/zapret/init.d/macos/zapret start
-/opt/zapret/init.d/macos/zapret stop
-/opt/zapret/init.d/macos/zapret restart
-Работа только с tpws :
-/opt/zapret/init.d/macos/zapret start-daemons
-/opt/zapret/init.d/macos/zapret stop-daemons
-/opt/zapret/init.d/macos/zapret restart-daemons
-Работа только с PF :
-/opt/zapret/init.d/macos/zapret start-fw
-/opt/zapret/init.d/macos/zapret stop-fw
-/opt/zapret/init.d/macos/zapret restart-fw
-Перезагрузка всех IP таблиц из файлов :
-/opt/zapret/init.d/macos/zapret reload-fw-tables
-
-Инсталятор настраивает LISTS_RELOAD в config, так что скрипты ipset/*.sh автоматически перезагружают IP таблицы в PF.
-Автоматически создается cron job на ipset/get_config.sh, по аналогии с openwrt.
-
-При start-fw скрипт автоматически модицифирует /etc/pf.conf, вставляя туда anchors "zapret".
-Модификация расчитана на pf.conf, в котором сохранены дефолтные anchors от apple.
-Если у вас измененный pf.conf и модификация не удалась, об этом будет предупреждение. Не игнорируйте его.
-В этом случае вам нужно вставить в свой pf.conf (в соответствии с порядком типов правил) :
-rdr-anchor "zapret"
-anchor "zapret"
-При деинсталяции через uninstall_easy.sh модификации pf.conf убираются.
-
-start-fw создает 3 файла anchors в /etc/pf.anchors : zapret,zapret-v4,zapret-v6.
-Последние 2 подключаются из anchor "zapret".
-Таблицы nozapret,nozapret6 принадлежат anchor "zapret".
-Таблицы zapret,zapret-user - в anchor "zapret-v4".
-Таблицы zapret6,zapret6-user - в anchor "zapret-v6".
-Если какая-то версия протокола отключена - соответствующий anchor пустой и не упоминается в anchor "zapret".
-Таблицы и правила создаются только на те листы, которые фактически есть в директории ipset.
-
-
-MacOS вариант custom
--------------------
-
-Так же как и в других системах, поддерживаемых в простом инсталяторе, можно создавать свои custom скрипты.
-Расположение : /opt/zapret/init.d/macos/custom
-
-zapret_custom_daemons() получает в $1 "0" или "1". "0" - stop, "1" - start
-custom firewall отличается от linux варианта.
-Вместо заполнения iptables вам нужно сгенерировать правила для zapret-v4 и zapret-v6 anchors и выдать их в stdout.
-Это делается в функциях zapret_custom_firewall_v4() и zapret_custom_firewall_v6().
-Определения таблиц заполняются основным скриптом - вам это делать не нужно.
-Можно ссылаться на таблицы zapret и zapret-user в v4, zapret6 и zapret6-user.
-
-Cм. пример в файле custom-tpws
--- a/docs/bsdfw.txt
+++ b/docs/bsdfw.txt
@ -70,7 +70,7 @@ pass in  quick on em0 proto tcp from port {80,443} flags SA/SA divert-packet por
 pass in  quick on em0 proto tcp from port {80,443} no state
 pass out quick on em0 proto tcp to   port {80,443} divert-packet port 989 no state
 pfctl -f /etc/pf.conf
-./dvtws --port=989 --dpi-desync=split2
+./dvtws --port=989 --dpi-desync=multisplit --dpi-desync-split-pos=2

 ; dvtws with table limitations : to zapret,zapret6 but not to nozapret,nozapret6
 ; reload tables : pfctl -f /etc/pf.conf
--- a/docs/changes.txt
+++ b/docs/changes.txt
@ -355,3 +355,141 @@ config: <HOSTLIST_NOAUTO> marker
 binaries: remove zapret-winws. add win32.
 blockcheck, install_easy.sh: preserve user environment variables during elevation
 blockcheck: do not require root if SKIP_PKTWS=1
+
+v68:
+
+docs : move russian version to markdown
+nfqws,tpws: use alternate $ sign for $<config_file>
+repo: binaries removed from repo. git actions binaries build in releases.
+uninstall_easy.sh: offer to remove dependencies in openwrt
+install_easy.sh: allow to download lists in autohostlist filter mode
+
+v69:
+
+nfqws, tpws: multisplit/multidisorder support.
+nfqws: name change split->fakedsplit, disorder->fakeddisorder. compat : old names are synonyms
+nfqws: --dpi-desync-split-http-req, --dpi-desync-split-tls deprecated. compat : these parameters add split point to multisplit.
+nfqws: --dpi-desync=split2|disorder2 deprecated. compat: they are now synonyms for multisplit/multidisorder
+nfqws: cancel seqovl if MTU is exceeded (linux only). cancel seqovl for disorder if seqovl>=first_part_size.
+nfqws: fixed splits in multiple TLS segments.
+tpws: --split-http-req,--split-tls deprecated. compat : these parameters add split point to multisplit.
+tpws: --tlsrec now takes pos markers. compat : old names are converted to pos markers
+tpws: --tlsrec-pos deprecated. compat : sets absolute pos marker
+nfqws,tpws: chown autohostlist, autohostlist debug log and debug log files after options parse
+nfqws,tpws: set EXEDIR env var to use in @config (won't work for stadalone winws without /bin/sh)
+dvtws: set random/increasing ip_id value in generated packets
+mdig: fixed parsing of DNS reply in windows (stdin is opened as text, not binary)
+tpws: support compile for android NDK api level >= 21 (Android 5.0)
+tpws: --fix-seg segmentation fixer
+repo: build for android NDK api level 21 (Android 5.0)
+install_easy: support for APK package manager in openwrt
+blockcheck: removed ignore CA question
+blockcheck: removed IGNORE_CA, CURL_VERBOSE
+blockcheck: added CURL_OPT
+blockcheck: new strategies support
+blockcheck: test sequence rework
+blockcheck: view all working strategies in summary
+
+v69.1:
+
+init.d: keenetic udp fix custom
+tpws: fixed incorrect hostlist checks
+
+v69.2:
+
+nfqws,tpws: --skip
+nfqws: --methodeol
+init.d: do not use pgrep in sysv for busybox compat
+
+v69.3
+
+nfqws,tpws: fixed ipsets and hostlists
+all progs: version numbers for github, build date/time for self built
+repo: light release for openwrt and embedded systems
+repo: sha256sum
+
+v69.4
+
+nfqws: fakedsplit/fakeddisorder fakes for both split segments
+nfqws: --dpi-desync-fakedsplit-pattern
+
+v69.5
+
+nfqws,tpws: --dry-run
+install_easy: check tpws and nfqws options validity
+
+v69.6
+
+nfqws: set NETLINK_NO_ENOBUFS to fix possible nfq recv errors
+init.d: unify custom scripts for linux
+init.d: new custom scripts : 20-fw-extra, 50-wg4all
+
+v69.7
+
+nfqws,tpws: --comment
+nfqws: trash flood warning
+winws: exclude empty outgoing ack packets in windivert filter
+
+v69.8
+
+winws: accept empty outgoing RST and FIN packets for conntrack needs
+repo: lexra build
+
+v69.9
+
+init.d: exclude ipban from tpws redirection
+macos: fix install_easy
+macos: fix national decimal separator in sleep
+ipset: scripts maintenance
+
+v70
+
+blockcheck: override all dialog questions and enable batch mode
+blockcheck: parallel attempts
+nfqws: weaken wireguard initiation recognition. use len=148 and data[0]=1 signature
+nfqws: apply split+seqovl only to the first reasm fragment
+install_easy: dnf packager support
+nfqws,tpws: hostlist/ipset track not only file mod time but also file size
+nfqws,tpws,ipset: return lists reload on HUP
+nfqws,blockcheck: --dpi-desync-fake-tls-mod
+
+v70.1
+
+nfqws: --dpi-desync-fake-tls-mod=dupsid
+nfqws,tpws: test accessibility of list files after privs drop
+nfqws,tpws: --version
+
+v70.4
+
+nfqws,tpws: ^ prefix in hostlist to disable subdomain matches
+nfqws,tpws: optional systemd notify support. compile using 'make systemd'
+nfqws,tpws: systemd instance templates for nfqws and tpws
+nfqws,tpws: separate droproot from dropcaps
+tpws: detect WSL 1 and warn about non-working options
+
+v70.5
+
+nfqws: multiple --dpi-desync-fake-xxx
+nfqws: support of inter-packet fragmented QUIC CRYPTO
+
+v70.6
+
+nfqws: detect Discord Voice IP discovery packets
+nfqws: detect STUN message packets
+nfqws: change SNI to specified value tls mod : --dpi-desync-fake-tls-mod sni=<sni>
+nfqws: update default TLS ClientHello fake. firefox 136.0.4 finger, no kyber, SNI=microsoft.com
+nfqws: multiple mods for multiple TLS fakes
+init.d: remove 50-discord
+blockcheck: use tpws --fix-seg on linux for multiple splits
+
+v71
+
+nfqws,tpws: debug tls version, alpn, ech
+nfqws: --dpi-desync-fake-tls=! means default tls fake
+nfqws: --dup*
+nfqws: --orig*
+nfqws: ipcache of hop count and host names
+tpws: ipcache of host names
+nfqws,tpws: set 1024 repeat limit to fakes and dups
+init.d: remove --ipset parameter prohibition
+init.d, blockcheck: drop time exceeded icmp for nfqws-related connections
--- a/docs/compile/build_howto_openwrt.txt
+++ b/docs/compile/build_howto_openwrt.txt
@ -1,42 +1,57 @@
-How to compile native programs for use in openwrt
-------------------------------------------------
-
-1) <fetch correct version of openwrt>
-
-   cd ~
-
- <chaos calmer>
-   git clone git://git.openwrt.org/15.05/openwrt.git
- <barrier breaker>
-   git clone git://git.openwrt.org/14.07/openwrt.git
- <trunk>
-   git clone git://git.openwrt.org/openwrt.git
-
-   cd openwrt
-
-2) ./scripts/feeds update -a
-   ./scripts/feeds install -a
-
-3) #add zapret packages to build root
-   #copy package descriptions
-   copy compile/openwrt/* to ~/openwrt
-   #copy source code of tpws
-   copy tpws to ~/openwrt/package/zapret/tpws
-   #copy source code of nfq
-   copy nfq to ~/openwrt/package/zapret/nfq
-   #copy source code of ip2net
-   copy ip2net to ~/openwrt/package/zapret/ip2net
-
-4) make menuconfig
-   #select your target architecture
-   #select packages Network/Zapret/* as "M"
-
-5) make toolchain/compile
-
-6) make package/tpws/compile
-   make package/nfqws/compile
-   make package/ip2net/compile
-   make package/mdig/compile
-
-7) find bin -name tpws*.ipk
-   #take your tpws*.ipk , nfqws*.ipk , ip2net*.ipk, mdig*.ipk from there
+How to compile native programs for use in openwrt
+-------------------------------------------------
+
+1) Install required packages to the host system :
+
+debian,ubuntu : apt install build-essential patch libncurses-dev python3-distutils unzip gawk wget git
+fedora: dnf install make patch gcc g++ ncurses-devel git perl
+
+Other packages may be required on your distribution. Look for the errors.
+
+2) Download latest SDK for your target platform from https://downloads.openwrt.org
+
+examples :
+
+curl -o - https://downloads.openwrt.org/releases/23.05.5/targets/x86/64/openwrt-sdk-23.05.5-x86-64_gcc-12.3.0_musl.Linux-x86_64.tar.xz | tar -Jxv
+cd openwrt-sdk-23.05.5-x86-64_gcc-12.3.0_musl.Linux-x86_64
+
+curl -o - https://downloads.openwrt.org/snapshots/targets/x86/64/openwrt-sdk-x86-64_gcc-13.3.0_musl.Linux-x86_64.tar.zst | tar --zstd -xv
+cd openwrt-sdk-x86-64_gcc-13.3.0_musl.Linux-x86_64
+
+3) Install required libs
+
+./scripts/feeds update base packages
+./scripts/feeds install libnetfilter-queue zlib libcap
+
+4) Prepare openwrt package definitions
+
+cp -R /opt/zapret/docs/compile/openwrt/. .
+cp -R /opt/zapret/tpws package/zapret/tpws
+cp -R /opt/zapret/nfq package/zapret/nfqws
+cp -R /opt/zapret/mdig package/zapret/mdig
+cp -R /opt/zapret/ip2net package/zapret/ip2net
+rm -f package/zapret/tpws/tpws/tpws package/zapret/nfqws/nfq/nfqws package/zapret/mdig/mdig/mdig package/zapret/ip2net/ip2net/ip2net
+
+5) Prepare .config
+
+make defconfig
+
+If you only need bins without packages comment 'CONFIG_AUTOREMOVE=y' line in .config
+
+6) Compile
+
+dynamic build : make package/{tpws,nfqws,mdig,ip2net}/compile
+static build :  make CFLAGS=-static package/{tpws,nfqws,mdig,ip2net}/compile
+
+7) Get result
+
+executables only : build_dir/target/<progname>
+ipk or apk packages : bin/packages/*/base
+
+8) Installing to openwrt to use with zapret
+
+zapret with or without binaries should be already installed in /opt/zapret.
+Install ipk's or apk's with all compiled progs using opkg or apk.
+Bins are placed to /opt/zapret/binaries/my.
+Or copy binaries there manually and set chmod 755 to them.
+Run install_bin.sh or install_easy.sh. They will use bins in 'my' folder.
--- a/docs/compile/build_howto_unix.txt
+++ b/docs/compile/build_howto_unix.txt
@ -0,0 +1,16 @@
+debian,ubuntu :
+
+apt install make gcc zlib1g-dev libcap-dev libnetfilter-queue-dev libsystemd-dev
+make -C /opt/zapret systemd
+
+FreeBSD :
+
+make -C /opt/zapret
+
+OpenBSD :
+
+make -C /opt/zapret bsd
+
+MacOS :
+
+make -C /opt/zapret mac
--- a/docs/compile/build_howto_windows.txt
+++ b/docs/compile/build_howto_windows.txt
@ -0,0 +1,29 @@
+Windows x64
+
+1) Download latest cygwin for windows 7
+
+curl -O https://www.cygwin.com/setup-x86_64.exe
+setup-x86_64.exe --allow-unsupported-windows --no-verify --site http://ctm.crouchingtigerhiddenfruitbat.org/pub/cygwin/circa/64bit/2024/01/30/231215
+
+2) During setup install packages : make gcc-core zlib-devel
+
+3) Run Cygwin.bat
+
+4) cd to %ZAPRET_BASE%/nfq
+
+cd C:/Users/user/Downloads/zapret/nfq
+
+5) Compile
+
+make cygwin64
+
+use winws.exe
+
+6) Take windivert.dll and windivert64.sys here : https://reqrypt.org/download
+Choose version 2.2.2 for Windows 10 and 2.2.0 for Windows 7.
+
+7) Copy cygwin1.dll, winws.exe, windivert.dll and windivert64.sys to one folder.
+
+8) Run winws.exe from cmd.exe running as administrator.
+winws will not run from cygwin shell with cygwin1.dll copy in it's folder.
+winws will not run without cygwin1.dll outside of cygwin shell.
--- a/docs/compile/openwrt/package/zapret/ip2net/Makefile
+++ b/docs/compile/openwrt/package/zapret/ip2net/Makefile
@ -24,8 +24,8 @@ define Build/Compile
 endef

 define Package/ip2net/install
-	$(INSTALL_DIR) $(1)/opt/zapret/ip2net
-	$(INSTALL_BIN) $(PKG_BUILD_DIR)/ip2net $(1)/opt/zapret/ip2net
+	$(INSTALL_DIR) $(1)/opt/zapret/binaries/my
+	$(INSTALL_BIN) $(PKG_BUILD_DIR)/ip2net $(1)/opt/zapret/binaries/my
 endef

 $(eval $(call BuildPackage,ip2net))
--- a/docs/compile/openwrt/package/zapret/ip2net/readme.txt
+++ b/docs/compile/openwrt/package/zapret/ip2net/readme.txt
@ -1 +1 @@
-Copy "ip2net" folder here !
+Copy "ip2net" folder here !
--- a/docs/compile/openwrt/package/zapret/mdig/Makefile
+++ b/docs/compile/openwrt/package/zapret/mdig/Makefile
@ -24,8 +24,8 @@ define Build/Compile
 endef

 define Package/mdig/install
-	$(INSTALL_DIR) $(1)/opt/zapret/mdig
-	$(INSTALL_BIN) $(PKG_BUILD_DIR)/mdig $(1)/opt/zapret/mdig
+	$(INSTALL_DIR) $(1)/opt/zapret/binaries/my
+	$(INSTALL_BIN) $(PKG_BUILD_DIR)/mdig $(1)/opt/zapret/binaries/my
 endef

 $(eval $(call BuildPackage,mdig))
--- a/docs/compile/openwrt/package/zapret/mdig/readme.txt
+++ b/docs/compile/openwrt/package/zapret/mdig/readme.txt
@ -1 +1 @@
-Copy "mdig" folder here !
+Copy "mdig" folder here !
--- a/docs/compile/openwrt/package/zapret/nfqws/Makefile
+++ b/docs/compile/openwrt/package/zapret/nfqws/Makefile
@ -25,8 +25,8 @@ define Build/Compile
 endef

 define Package/nfqws/install
-	$(INSTALL_DIR) $(1)/opt/zapret/nfq
-	$(INSTALL_BIN) $(PKG_BUILD_DIR)/nfqws $(1)/opt/zapret/nfq
+	$(INSTALL_DIR) $(1)/opt/zapret/binaries/my
+	$(INSTALL_BIN) $(PKG_BUILD_DIR)/nfqws $(1)/opt/zapret/binaries/my
 endef

 $(eval $(call BuildPackage,nfqws))
--- a/docs/compile/openwrt/package/zapret/nfqws/readme.txt
+++ b/docs/compile/openwrt/package/zapret/nfqws/readme.txt
@ -1 +1 @@
-Copy "nfq" folder here !
+Copy "nfq" folder here !
--- a/docs/compile/openwrt/package/zapret/tpws/Makefile
+++ b/docs/compile/openwrt/package/zapret/tpws/Makefile
@ -25,8 +25,8 @@ define Build/Compile
 endef

 define Package/tpws/install
-	$(INSTALL_DIR) $(1)/opt/zapret/tpws
-	$(INSTALL_BIN) $(PKG_BUILD_DIR)/tpws $(1)/opt/zapret/tpws
+	$(INSTALL_DIR) $(1)/opt/zapret/binaries/my
+	$(INSTALL_BIN) $(PKG_BUILD_DIR)/tpws $(1)/opt/zapret/binaries/my
 endef

 $(eval $(call BuildPackage,tpws))
--- a/docs/compile/openwrt/package/zapret/tpws/readme.txt
+++ b/docs/compile/openwrt/package/zapret/tpws/readme.txt
@ -1 +1 @@
-Copy "tpws" folder here !
+Copy "tpws" folder here !
--- a/docs/iptables.txt
+++ b/docs/iptables.txt
@ -12,7 +12,7 @@ iptables -t mangle -I POSTROUTING -p udp --dport 443 -m mark ! --mark 0x40000000
 # auto hostlist with avoiding wrong ACK numbers in RST,ACK packets sent by russian DPI
 sysctl net.netfilter.nf_conntrack_tcp_be_liberal=1 
 iptables -t mangle -I POSTROUTING -p tcp -m multiport --dports 80,443 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:12 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
-iptables -t mangle -I PREROUTING -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass
+iptables -t mangle -I PREROUTING -p tcp -m multiport --sports 80,443 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:3 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass


 For TPROXY :
--- a/docs/manual_setup.txt
+++ b/docs/manual_setup.txt
@ -1,282 +0,0 @@
-Пример ручной установки на debian-подобную систему
--------------------------------------------------
-
-На debian основано большое количество дистрибутивов linux, включая ubuntu.
-Здесь рассматриваются прежде всего Debian 8+ и Ubuntu 16+.
-Но с большой вероятностью может сработать и на производных от них.
-Главное условие - наличие systemd, apt и нескольких стандартных пакетов в репозитории.
-
-Установить пакеты :
- apt-get update
- apt-get install ipset curl dnsutils git
-
-Если хотите использовать nftables, то нужен пакет nftables, а ipset не обязателен.
-
-Скопировать директорию zapret в /opt или скачать через git :
- cd /opt
- git clone --depth 1 https://github.com/bol-van/zapret
-
-Запустить автоинсталятор бинариков. Он сам определит рабочую архитектуру и настроит все бинарики.
- /opt/zapret/install_bin.sh
-АЛЬТЕРНАТИВА : make -C /opt/zapret. Получите динамические бинарики под вашу ось.
-Для сборки требуются dev пакеты : zlib1g-dev libcap-dev libnetfilter-queue-dev
-
-Создать конфиг по умолчанию :
- cp /opt/zapret/config.default /opt/zapret/config
-
-Настроить параметры согласно разделу "Выбор параметров".
-
-Создать user листы по умолчанию :
- cp /opt/zapret/ipset/zapret-hosts-user-exclude.txt.default /opt/zapret/ipset/zapret-hosts-user-exclude.txt
- echo nonexistent.domain >/opt/zapret/ipset/zapret-hosts-user.txt
- touch /opt/zapret/ipset/zapret-hosts-user-ipban.txt
-
-Создать ссылку на service unit в systemd :
- ln -fs /opt/zapret/init.d/systemd/zapret.service /lib/systemd/system
-
-Удалить старые листы, если они были созданы ранее :
- /opt/zapret/ipset/clear_lists.sh
-По желанию прописать в /opt/zapret/ipset/zapret-hosts-user.txt свои домены.
-Выполнить скрипт обновления листа :
- /opt/zapret/ipset/get_config.sh
-Настроить таймер systemd для обновления листа :
- ln -fs /opt/zapret/init.d/systemd/zapret-list-update.service /lib/systemd/system
- ln -fs /opt/zapret/init.d/systemd/zapret-list-update.timer /lib/systemd/system
-
-Принять изменения в systemd :
- systemctl daemon-reload
-
-Включить автозапуск службы :
- systemctl enable zapret
-
-Включить таймер обновления листа :
- systemctl enable zapret-list-update.timer
-
-Запустить службу :
- systemctl start zapret
-
-Шпаргалка по управлению службой и таймером :
-
-enable auto start : systemctl enable zapret
-disable auto start : systemctl disable zapret
-start : systemctl start zapret
-stop : systemctl stop zapret
-status, output messages : systemctl status zapret
-timer info : systemctl list-timer
-delete service : systemctl disable zapret ; rm /lib/systemd/system/zapret.service
-delete timer : systemctl disable zapret-list-update.timer ; rm /lib/systemd/system/zapret-list-update.*
-
-Centos 7+, Fedora
-----------------
-
-Centos с 7 версии и более-менее новые федоры построены на systemd.
-В качестве пакетного менеджера используется yum.
-
-Установить пакеты :
- yum install -y curl ipset dnsutils git
-
-Далее все аналогично debian.
-
-OpenSUSE
--------
-
-Новые OpenSUSE основаны на systemd и менеджере пакетов zypper.
-
-Установить пакеты :
- zypper --non-interactive install curl ipset
-
-Далее все аналогично debian, кроме расположения systemd.
-В opensuse он находится не в /lib/systemd, а в /usr/lib/systemd.
-Правильные команды будут :
-
- ln -fs /opt/zapret/init.d/systemd/zapret.service /usr/lib/systemd/system
- ln -fs /opt/zapret/init.d/systemd/zapret-list-update.service /usr/lib/systemd/system
- ln -fs /opt/zapret/init.d/systemd/zapret-list-update.timer /usr/lib/systemd/system
-
-Arch linux
----------
-
-Построен на базе systemd.
-
-Установить пакеты :
- pacman -Syy
- pacman --noconfirm -S ipset curl
-
-Далее все аналогично debian.
-
-Gentoo
------
-
-Эта система использует OpenRC - улучшенную версию sysvinit.
-Установка пакетов производится командой : emerge <package_name>
-Пакеты собираются из исходников.
-
-Требуются все те же ipset, curl, git для скачивания с github.
-git и curl по умолчанию могут присутствовать, ipset отсутствует.
-
- emerge ipset
-
-Настроить параметры согласно разделу "Выбор параметров".
-
-Запустить автоинсталятор бинариков. Он сам определит рабочую архитектуру и настроит все бинарики.
- /opt/zapret/install_bin.sh
-АЛЬТЕРНАТИВА : make -C /opt/zapret. Получите динамические бинарики под вашу ось.
-
-Удалить старые листы, если они были созданы ранее :
- /opt/zapret/ipset/clear_lists.sh
-По желанию прописать в /opt/zapret/ipset/zapret-hosts-user.txt свои домены.
-Выполнить скрипт обновления листа :
- /opt/zapret/ipset/get_config.sh
-Зашедулить обновление листа :
- crontab -e
- Создать строчку  "0 12 */2 * * /opt/zapret/ipset/get_config.sh"
-
-Подключить init скрипт :
-
- ln -fs /opt/zapret/init.d/openrc/zapret /etc/init.d
- rc-update add zapret
-
-Запустить службу :
-
- rc-service zapret start
-
-Шпаргалка по управлению службой :
-
-enable auto start : rc-update add zapret
-disable auto start : rc-update del zapret
-start : rc-service zapret start
-stop : rc-service zapret stop
-
-
-
-Ручная установка на openwrt/LEDE 15.xx-21.xx
--------------------------------------------
-
-!!! Данная инструкция написана для систем, основанных на iptables+firewall3
-!!! В новых версиях openwrt переходит на nftables+firewall4, инструкция неприменима. Пользуйтесь install_easy.sh
-
-Установить дополнительные пакеты :
-opkg update
-opkg install iptables-mod-extra iptables-mod-nfqueue iptables-mod-filter iptables-mod-ipopt iptables-mod-conntrack-extra ipset curl
-(ipv6) opkg install ip6tables-mod-nat
-(опционально) opkg install gzip
-(опционально) opkg install coreutils-sort
-
-ЭКОНОМИЯ МЕСТА :
-
-gzip от busybox в разы медленней полноценного варианта. gzip используется скриптами получения листов.
-sort от busybox медленней полноценного варианта и жрет намного больше памяти. sort используется скриптами получения листов.
-iptables-mod-nfqueue можно выкинуть, если не будем пользоваться nfqws
-curl можно выкинуть, если для получения ip листа будет использоваться только get_user.sh
-
-Самая главная трудность - скомпилировать программы на C. Это можно сделать на linux x64 при помощи SDK, который
-можно скачать с официального сайта openwrt или LEDE. Но процесс кросс компиляции - это всегда сложности.
-Недостаточно запустить make как на традиционной linux системе.
-Поэтому в binaries имеются готовые статические бинарики для всех самых распространенных архитектур.
-Статическая сборка означает, что бинарик не зависит от типа libc (glibc, uclibc или musl) и наличия установленных so.
-Его можно использовать сразу. Лишь бы подходил тип CPU. У ARM и MIPS есть несколько версий.
-Скорее всего найдется рабочий вариант. Если нет - вам придется собирать самостоятельно.
-Для всех поддерживаемых архитектур бинарики запакованы upx. На текущий момент все, кроме mips64.
-
-Скопировать директорию "zapret" в /opt на роутер.
-
-Если места достаточно, самый простой способ :
- opkg update
- opkg install git-http
- mkdir /opt
- cd /opt
- git clone --depth 1 https://github.com/bol-van/zapret
-
-Если места немного :
- opkg update
- opkg install openssh-sftp-server unzip
- ifconfig br-lan
-Скачать на комп с github zip архив кнопкой "Clone or download"->Download ZIP
-Скопировать средствами sftp zip архив на роутер в /tmp.
- mkdir /opt
- cd /opt
- unzip /tmp/zapret-master.zip
- mv zapret-master zapret
- rm /tmp/zapret-master.zip
-
-Если места совсем мало :
-На linux системе скачать и распаковать zapret. Оставить необходимый минимум файлов.
-Запаковать в архив zapret.tar.gz.
- nc -l -p 1111 <zapret.tar.gz
-На роутере
- cd /tmp
- nc <linux_system_ip> 1111 >zapret.tar.gz
-
-Не стоит работать с распакованной версией zapret на windows. Потеряются ссылки и chmod.
-
-Запустить автоинсталятор бинариков. Он сам определит рабочую архитектуру и настроит все бинарики.
- /opt/zapret/install_bin.sh
-
-Создать ссылку на скрипт запуска :
- ln -fs /opt/zapret/init.d/openwrt/zapret /etc/init.d
-Создать ссылку на скрипт события поднятия интерфейса :
- ln -fs /opt/zapret/init.d/openwrt/90-zapret /etc/hotplug.d/iface
-
-Создать конфиг по умолчанию :
- cp /opt/zapret/config.default /opt/zapret/config
-
-Настроить параметры согласно разделу "Выбор параметров".
-
-Создать user листы по умолчанию :
- cp /opt/zapret/ipset/zapret-hosts-user-exclude.txt.default /opt/zapret/ipset/zapret-hosts-user-exclude.txt
- echo nonexistent.domain >/opt/zapret/ipset/zapret-hosts-user.txt
- touch /opt/zapret/ipset/zapret-hosts-user-ipban.txt
-
-Удалить старые листы, если они были созданы ранее :
- /opt/zapret/ipset/clear_lists.sh
-По желанию прописать в /opt/zapret/ipset/zapret-hosts-user.txt свои домены.
-Выполнить скрипт обновления листа :
- /opt/zapret/ipset/get_config.sh
-Зашедулить обновление листа :
- crontab -e
- Создать строчку  "0 12 */2 * * /opt/zapret/ipset/get_config.sh"
-
-Включить автозапуск службы и запустить ее :
- /etc/init.d/zapret enable
- /etc/init.d/zapret start
-ПРИМЕЧАНИЕ : на этапе старта системы интерфейсы еще не подняты. в некоторых случаях невозможно правильно
-сформировать параметры запуска демонов, не зная имя физического интерфейса LAN.
-Cкрипт из /etc/hotplug.d/iface перезапустит демоны по событию поднятия LAN.
-
-Создать ссылку на firewall include :
- ln -fs /opt/zapret/init.d/openwrt/firewall.zapret /etc/firewall.zapret
-Проверить была ли создана ранее запись о firewall include :
- uci show firewall | grep firewall.zapret
-Если firewall.zapret нет, значит добавить :
- uci add firewall include
- uci set firewall.@include[-1].path="/etc/firewall.zapret"
- uci set firewall.@include[-1].reload="1"
- uci commit firewall
-Проверить не включен ли flow offload :
- uci show firewall.@defaults[0]
-Если flow_offloading=1 или flow_offloading_hw=1 ,
- uci set firewall.@defaults[0].flow_offloading=0
- uci set firewall.@defaults[0].flow_offloading_hw=0
- uci commit firewall
-Перезапустить фаервол :
- fw3 restart
-
-Посмотреть через iptables -nL, ip6tables -nL или через luci вкладку "firewall" появились ли нужные правила.
-
-ЭКОНОМИЯ МЕСТА : если его мало, то можно оставить в директории zapret лишь подкаталоги
-ipset, common, файл config, init.d/openwrt.
-Далее нужно создать подкаталоги с реально используемыми бинариками (ip2net, mdig, tpws, nfq)
-и скопировать туда из binaries рабочие executables.
-
-ЕСЛИ ВСЕ ПЛОХО С МЕСТОМ : откажитесь от работы со списком РКН. используйте только get_user.sh
-
-ЕСЛИ СОВСЕМ ВСЕ УЖАСНО С МЕСТОМ : берете tpws и делаете все своими руками. поднятие iptables, автостарт бинарика.
-С некоторых версий скрипты запуска zapret без ipset не работают (он требуется для ip exclude)
-
-СОВЕТ : Покупайте только роутеры с USB. В USB можно воткнуть флэшку и вынести на нее корневую файловую систему
-или использовать ее в качестве оверлея. Не надо мучать себя, запихивая незапихиваемое в 8 мб встроенной флэшки.
-Для комфортной работы с zapret нужен роутер с 16 Mb встроенной памяти или USB разъемом и 128+ Mb RAM.
-На 64 Mb без swap будут проблемы с листами РКН. Если у вас только 64 Mb, и вы хотите листы РКН, подключите swap.
-32 Mb для современных версий openwrt - конфигурация на грани живучести. Возможны хаотические падения процессов в oom.
-Работа с листами РКН невозможна в принципе.
-
--- a/docs/nftables.txt
+++ b/docs/nftables.txt
@ -19,8 +19,8 @@ For dpi desync attack :
 nft delete table inet ztest
 nft create table inet ztest
 nft add chain inet ztest post "{type filter hook postrouting priority mangle;}"
-nft add rule inet ztest post meta mark and 0x40000000 == 0 tcp dport "{80,443}" ct original packets 1-12 queue num 200 bypass
-nft add rule inet ztest post meta mark and 0x40000000 == 0 udp dport 443 ct original packets 1-12 queue num 200 bypass
+nft add rule inet ztest post meta mark and 0x40000000 == 0 tcp dport "{80,443}" ct original packets 1-6 queue num 200 bypass
+nft add rule inet ztest post meta mark and 0x40000000 == 0 udp dport 443 ct original packets 1-6 queue num 200 bypass

 # auto hostlist with avoiding wrong ACK numbers in RST,ACK packets sent by russian DPI
 sysctl net.netfilter.nf_conntrack_tcp_be_liberal=1 
--- a/docs/quick_start.md
+++ b/docs/quick_start.md
@ -0,0 +1,261 @@
+# Быстрая настройка Linux/OpenWrt
+
+> [!CAUTION]  
+> Не пишите в issue вопросы типа "как скопировать файл", "как скачать", "как
+> запустить" и т.п. То есть все, что касается базовых навыков обращения с ОС
+> Linux. Эти вопросы будут закрывать сразу. Если у вас подобные вопросы
+> возникают, рекомендую не использовать данный софт или искать помощь где-то в
+> другом месте. То же самое могу сказать тем, кто хочет нажать 1 кнопку, чтобы
+> все заработало, и совсем не хочет читать и изучать. Увы, такое не подвезли и
+> не подвезут. Ищите другие более простые методы обхода. Этот метод **не для
+> рядового пользователя**.
+
+
+## Вступление
+Специально для тех, кто хочет побыстрее начать, но не хочет слишком углубляться
+в простыню [readme.md](readme.md).
+
+Обход DPI является хакерской методикой. Под этим словом понимается метод,
+которому сопротивляется окружающая среда, которому автоматически не
+гарантирована работоспособность в любых условиях и на любых ресурсах, требуется
+настройка под специфические условия у вашего провайдера. Условия могут меняться
+со временем, и методика может начинать или переставать работать, может
+потребоваться повторный анализ ситуации. Могут обнаруживаться отдельные
+ресурсы, которые заблокированы иначе, и которые не работают или перестали
+работать. Могут и сломаться отдельные не заблокированные ресурсы. Поэтому очень
+желательно иметь знания в области сетей, чтобы иметь возможность
+проанализировать техническую ситуацию. Не будет лишним иметь обходные каналы
+проксирования трафика на случай, если обход DPI не помогает.
+
+Вариант, когда вы нашли стратегию где-то в интернете и пытаетесь ее приспособить к своему случаю - заведомо проблемный.
+Нет универсальной таблетки. Везде ситуация разная. В сети гуляют написанные кем-то откровенные глупости, которые тиражируются массово ничего не понимающей публикой.
+Такие варианты чаще всего работают нестабильно, только на части ресурсов, только на части провайдеров, не работают вообще или ломают другие ресурсы. В худших случаях еще и устраивают флуд в сети.
+Если даже вариант когда-то и работал неплохо, завтра он может перестать, а в сети останется устаревшая информация.
+
+Будем считать, что у вас есть система на базе традиционного **linux** или
+**openwrt**. Если у вас традиционный linux - задача обойти блокировки только на
+этой системе, если openwrt - обойти блокировки для подключенных устройств. Это
+наиболее распространенный случай.
+
+
+## Настройка
+> [!TIP]  
+> Чтобы процедура установки сработала в штатном режиме на openwrt, нужно
+> рассчитывать на свободное место около 1-2 Mb для установки самого zapret и
+> необходимых дополнительных пакетов. Если места мало и нет возможности его
+> увеличить за счет `extroot`, возможно придется отказаться от варианта простой
+> установки и прикручивать в ручном режиме без имеющихся скриптов запуска.
+> Можно использовать [облегченный `tpws` вариант](../init.d/openwrt-minimal),
+> либо попробовать засунуть требуемые zapret дополнительные пакеты в сжатый
+> образ `squashfs` с помощью `image builder` и перешить этим вариантом роутер.
+
+1. Скачайте последний [tar.gz релиз](https://github.com/bol-van/zapret/releases) в /tmp, распакуйте его, затем удалите архив.
+   Для openwrt и прошивок используйте вариант `openwrt-embedded`.
+   Для экономия места в /tmp можно качать через curl в stdout и сразу распаковывать.
+
+2. Убедитесь, что у вас отключены все средства обхода блокировок, в том числе и
+   сам zapret. Гарантированно уберет zapret скрипт `uninstall_easy.sh`.
+
+3. Если вы работаете в виртуальной машине, необходимо использовать соединение с
+   сетью в режиме bridge. NAT **не** подходит.
+
+4. Выполните однократные действия по установке требуемых пакетов в ОС и
+   настройке исполняемых файлов правильной архитектуры:
+   ```sh
+   $ install_bin.sh
+   $ install_prereq.sh
+   ```
+
+   > Вас могут спросить о типе фаервола (iptables/nftables) и использовании
+   > ipv6. Это нужно для установки правильных пакетов в ОС, чтобы не
+   > устанавливать лишнее.
+
+5. Запустите `blockcheck.sh`. Скрипт вначале проверяет DNS. Если выводятся
+   сообщения о подмене адресов, то нужно будет решить проблему с DNS.
+   `blockcheck.sh` перейдет в этом случае на DoH и будет пытаться получить и
+   использовать реальные IP адреса. Но если вы не настроите решение этой
+   проблемы, обход будет работать только для тех программ или ОС, которые сами
+   реализуют механизмы SecureDNS. Для других программ обход работать не будет.
+
+   > Решение проблемы DNS выходит за рамки проекта. Обычно она решается либо
+   > заменой DNS серверов от провайдера на публичные (`1.1.1.1`, `8.8.8.8`),
+   > либо в случае перехвата провайдером обращений к сторонним серверам - через
+   > специальные средства шифрования DNS запросов, такие как `dnscrypt`, `DoT`,
+   > `DoH`.
+   >
+   > Еще один эффективный вариант - использовать ресолвер от yandex
+   > (`77.88.8.88`) на нестандартном порту `1253`. Многие провайдеры не
+   > анализируют обращения к DNS на нестандартных портах.
+   >
+   > Проверить работает ли этот вариант можно так:
+   > ```sh
+   > $ dig -p 53 @77.88.8.88 rutracker.org
+   > $ dig -p 1253 @77.88.8.88 rutracker.org
+   > ```
+   >
+   > Если DNS действительно подменяется, и ответ на эти 2 команды разный,
+   > значит метод вероятно работает.
+   >
+   > В openwrt DNS на нестандартном порту можно прописать в `/etc/config/dhcp`
+   > таким способом:
+   >
+   > ```
+   > config dnsmasq
+   > 	<...>
+   > 	list server '77.88.8.88#1253'
+   > ```
+   >
+   > Если настройки IP и DNS получаются автоматически от провайдера, в
+   > `/etc/config/network` найдите секцию интерфейса `wan` и сделайте так:
+   >
+   > ```
+   > config interface 'wan'
+   > 	<...>
+   > 	option peerdns '0'
+   > ```
+   >
+   > ```sh
+   > $ /etc/init.d/network restart
+   > $ /etc/init.d/dnsmasq restart
+   > ```
+   >
+   > Если это не подходит, можно перенаправлять обращения на UDP и TCP порты
+   > `53` вашего DNS сервера на `77.88.8.88:1253` средствами
+   > `iptables`/`nftables`. В `/etc/resolv.conf` нельзя прописать DNS на
+   > нестандартном порту.
+
+6. `blockcheck.sh` позволяет выявить рабочую стратегию обхода блокировок. По
+   результатам скрипта нужно понять какой вариант будете использовать : `nfqws`
+   или `tpws` и запомнить найденные стратегии для дальнейшего применения.
+
+   Следует понимать, что скрипт проверяет доступность только конкретного
+   домена, который вы вводите в начале. Вероятно, все остальные домены
+   блокированы подобным образом, **но не факт**. В большинстве случаев можно
+   объединить несколько стратегий в одну универсальную, и это **крайне
+   желательно**. Необходимо понимать как работают стратегии. zapret **не может
+   пробить блокировку по IP адресу**. Для проверки нескольких доменов вводите
+   их через пробел.
+
+   > Сейчас блокираторы ставят на магистральных каналах. В сложных случаях у
+   > вас может быть несколько маршрутов с различной длиной по ХОПам, с DPI на
+   > разных хопах. Приходится преодолевать целый зоопарк DPI, которые еще и
+   > включаются в работу хаотичным образом или образом, зависящим от
+   > направления (IP сервера). скрипт не всегда может выдать вам в итогах
+   > оптимальную стратегию, которую надо просто переписать в настройки. В
+   > некоторых случаях надо реально думать что происходит, анализируя результат
+   > на разных стратегиях. Если вы применяете большой TTL, чтобы достать до
+   > магистрала, то не лишним будет добавить дополнительный ограничитель
+   > `--dpi-desync-fooling`, чтобы не сломать сайты на более коротких
+   > дистанциях. `md5sig` наиболее совместим, но работает **только** на linux
+   > серверах. `badseq` может работать только на https и не работать на http.
+   > Чтобы выяснить какие дополнительные ограничители работают, смотрите
+   > результат теста аналогичных стратегий без TTL с каждым из этих
+   > ограничителей.
+   >
+   > При использовании `autottl` следует протестировать как можно больше разных
+   > доменов. Эта техника может на одних провайдерах работать стабильно, на
+   > других потребуется выяснить при каких параметрах она стабильна, на третьих
+   > полный хаос, и проще отказаться.
+   >
+   > Далее, имея понимание что работает на http, https, quic нужно
+   > сконструировать параметры запуска `tpws` и/или `nfqws` с использованием
+   > мультистратегии. Как работают мультистратегии описано в [readme.md](./readme.md#множественные-стратегии).
+   >
+   > Если кратко, то обычно параметры конструируются так:
+   > ```sh
+   > "--filter-udp=443 'параметры для quic' <HOSTLIST_NOAUTO> --new
+   > --filter-tcp=80,443 'объединенные параметры для http и https' <HOSTLIST>"
+   > ```
+   >
+   > Или так:
+   > ```sh
+   > "--filter-udp=443 'параметры для quic' <HOSTLIST_NOAUTO> --new
+   > --filter-tcp=80 'параметры для http' <HOSTLIST> --new
+   > --filter-tcp=443 'параметры для https' <HOSTLIST>"
+   > ```
+   >
+   > `<HOSTLIST>` и `<HOSTLIST_NOAUTO>` так и пишутся. Их не надо на что-то
+   > заменять. Это сделают скрипты запуска, если вы выбрали режим фильтрации по
+   > хостлистам, и уберут в противном случае. Если для какого-то протокола надо
+   > дурить все без стандартного хостлиста - просто уберите оттуда `<HOSTLIST>`
+   > и `<HOSTLIST_NOAUTO>`. Можно писать свои параметры `--hostlist` и
+   > `--hostlist-exclude` для дополнительных хостлистов или в профилях
+   > специализаций под конкретный ресурс. В последнем случае стандартный
+   > хостлист там не нужен. Следует избегать указания собственных параметров
+   > `--hostlist` на листы из директории ipset. Эта логика включена в
+   > `<HOSTLIST>` и `<HOSTLIST_NOAUTO>`. Отличие `<HOSTLIST_NOAUTO>` в том, что
+   > стандартный автолист по этому профилю используется как обычный, то есть
+   > без автоматического добавления доменов. Однако, добавления в других
+   > профилях автоматически отражаются во всех остальных.
+   >
+   > Если стратегии отличаются по версии ip протокола, и вы не можете их
+   > обьединить, фильтр пишется так:
+   > ```sh
+   > "--filter-l3=ipv4 --filter-udp=443 lпараметры для quic ipv4' <HOSTLIST_NOAUTO> --new
+   > --filter-l3=ipv4 --filter-tcp=80 'параметры для http ipv4' <HOSTLIST> --new
+   > --filter-l3=ipv4 --filter-tcp=443 'параметры для https ipv4' <HOSTLIST> --new
+   > --filter-l3=ipv6 --filter-udp=443 'параметры для quic ipv6' <HOSTLIST_NOAUTO> --new
+   > --filter-l3=ipv6 --filter-tcp=80 'параметры для http ipv6' <HOSTLIST> --new
+   > --filter-l3=ipv6 --filter-tcp=443 'параметры для https ipv6' <HOSTLIST>"
+   > ```
+   >
+   > Но здесь совсем "копи-пастный" вариант. Чем больше вы объедините стратегий и
+   > сократите их общее количество, тем будет лучше.
+   >
+   > Если вам не нужно дурение отдельных протоколов, лучше всего будет их
+   > убрать из системы перехвата трафика через параметры `TPWS_PORTS`,
+   > `NFQWS_PORTS_TCP`, `NFQWS_PORTS_UDP` и убрать соответствующие им профили
+   > мультистратегии.
+   >
+   > | Протокол | Порт | Примечание |
+   > |---|---|---|
+   > | `tcp` | `80` | `http` соединение |
+   > | `tcp` | `443` | `https` соединение |
+   > | `udp` | `443` | `quic` соединение |
+   >
+   > Если используются методы нулевой фазы десинхронизации (`--mss`,
+   > `--wssize`, `--dpi-desync=syndata`) и режим фильтрации `hostlist`, то все
+   > параметры, относящиеся к этим методам, следует помещать в отдельные
+   > профили мультистратегии, которые получат управление до определения имени
+   > хоста. Необходимо понимать алгоритм работы мультистратегий. Самым надежным
+   > вариантом будет дублирование этих параметров на 2 профиля. Какой-нибудь
+   > сработает в зависимости от параметра `MODE_FILTER`.
+   >
+   > ```sh
+   > "--filter-tcp=80 'параметры для http' <HOSTLIST> --new
+   > --filter-tcp=443 'параметры для https' --wssize 1:6 <HOSTLIST> --new
+   > --filter-tcp=443 --wssize 1:6"
+   > ```
+   >
+   > В этом примере `wssize` будет применяться всегда к порту tcp `443` вне
+   > зависимости от параметра `MODE_FILTER`. Хостлист будет игнорироваться,
+   > если таковой имеется. К http применять `wssize` вредно и бессмысленно.
+
+7. Запустите скрипт облегченной установки - `install_easy.sh` Выберите `nfqws`
+   и/или `tpws`, затем согласитесь на редактирование параметров. Откроется
+   редактор, куда впишите созданную на предыдущем этапе стратегию.
+
+8. На все остальные вопросы `install_easy.sh` отвечайте согласно выводимой
+   аннотации.
+
+9. Удалите директорию из /tmp, откуда производилась установка.
+
+## Полное удаление
+
+1. Прогоните `/opt/zapret/uninstall_easy.sh`.
+2. Cогласитесь на удаление зависимостей в openwrt.
+3. Удалите каталог `/opt/zapret`.
+
+## Итог
+Это минимальная инструкция, чтобы быстро сориентироваться с чего начать.
+Однако, это не гарантированное решение и в некоторых случаях вы не обойдетесь
+без знаний и основного "талмуда". Подробности и полное техническое описание
+расписаны в [README](readme.md).
+
+Если ломаются отдельные **не заблокированные** ресурсы, следует вносить их в
+исключения, либо пользоваться ограничивающим `ipset` или хост листом. Лучше
+подбирать такие стратегии, которые вызывают минимальные поломки. Есть стратегии
+довольно безобидные, а есть сильно ломающие, которые подходят только для
+точечного пробития отдельных ресурсов, когда ничего лучше нет. Хорошая
+стратегия может сильно ломать из-за плохо подобранных ограничителей для фейков
+\- ttl, fooling.
--- a/docs/quick_start.txt
+++ b/docs/quick_start.txt
@ -1,179 +0,0 @@
-Специально для тех, кто хочет побыстрее начать, но не хочет слишком углубляться в простыню readme.txt.
-
-Предупреждение : не пишите в issue вопросы типа "как скопировать файл", "как скачать", "как запустить", ...
-То есть все , что касается базовых навыков обращения с ОС linux. Эти вопросы буду закрывать сразу.
-Если у вас подобные вопросы возникают, рекомендую не использовать данный софт или искать помощь где-то в другом месте.
-То же самое могу сказать тем, кто хочет нажать 1 кнопку, чтобы все заработало, и совсем не хочет читать и изучать.
-Увы, такое не подвезли и не подвезут. Ищите другие более простые методы обхода. Этот метод не для рядового пользователя.
-
-Обход DPI является хакерской методикой. Под этим словом понимается метод, которому сопротивляется окружающая среда,
-которому автоматически не гарантирована работоспособность в любых условиях и на любых ресурсах,
-требуется настройка под специфические условия у вашего провайдера. Условия могут меняться со временем,
-и методика может начинать или переставать работать, может потребоваться повторный анализ ситуации.
-Могут обнаруживаться отдельные ресурсы, которые заблокированы иначе, и которые не работают или перестали работать.
-Могут и сломаться отдельные незаблокированные ресурсы.
-Поэтому очень желательно иметь знания в области сетей, чтобы иметь возможность проанализировать техническую ситуацию.
-Не будет лишним иметь обходные каналы проксирования трафика на случай, если обход DPI не помогает.
-
-Будем считать, что у вас есть система на базе традиционного linux или openwrt.
-Если у вас традиционный linux - задача обойти блокировки только на этой системе, если openwrt - обойти блокировки
-для подключенных устройств. Это наиболее распространенный случай.
-
-1) Чтобы процедура установки сработала в штатном режиме на openwrt, нужно раcсчитывать на свободное место около 1-2 Mb
-для установки самого zapret и необходимых дополнительных пакетов.
-Если места мало и нет возможности его увеличить за счет extroot, возможно придется отказаться от варианта
-простой установки и прикручивать в ручном режиме без имеющихся скриптов запуска.
-Можно использовать облегченный tpws вариант из init.d/openwrt-minimal, либо попробовать засунуть требуемые zapret
-дополнительные пакеты в сжатый образ squashfs с помощью image builder и перешить этим вариантом роутер.
-
-2) Скачайте zip архив проекта с github в /tmp, распакуйте его там,
-либо клонируйте проект через : git clone --depth 1 https://github.com/bol-van/zapret
-
-3) Убедитесь, что у вас отключены все средства обхода блокировок, в том числе и сам zapret.
-Гарантированно уберет zapret скрипт uninstall_easy.sh.
-
-4) Если вы работаете в виртуальной машине, необходимо использовать соединение с сетью в режиме bridge. nat не подходит
-
-5) Выполните однократные действия по установке требуемых пакетов в ОС и настройке бинариков правильной архитектуры
-
-install_bin.sh
-install_prereq.sh
-
-Вас могут спросить о типе фаервола (iptables/nftables) и использовании ipv6. Это нужно для установки
-правильных пакетов в ОС, чтобы не устанавливать лишнее.
-
-6) Запустите blockcheck.sh.  blockcheck.sh в начале проверяет DNS.
-Если выводятся сообщения о подмене адресов, то нужно будет решить проблему с DNS.
-blockcheck перейдет в этом случае на DoH и будет пытаться получить и использовать реальные IP адреса.
-Но если вы не настроите решение этой проблемы, обход будет работать только для тех программ
-или ОС, которые сами реализуют механизмы SecureDNS. Для других программ обход работать не будет.
-
-Решение проблемы DNS выходит за рамки проекта. Обычно она решается либо заменой DNS серверов
-от провайдера на публичные (1.1.1.1, 8.8.8.8), либо в случае перехвата провайдером обращений
-к сторонним серверам - через специальные средства шифрования DNS запросов, такие как dnscrypt, DoT, DoH.
-
-Еще один эффективный вариант - использовать ресолвер от yandex 77.88.8.88 на нестандартном порту 1253.
-Многие провайдеры не анализируют обращения к DNS на нестандартных портах.
-
-Проверить работает ли этот вариант можно так :
-
-dig -p 53 @77.88.8.88 rutracker.org
-dig -p 1253 @77.88.8.88 rutracker.org
-
-Если DNS действительно подменяется, и ответ на эти 2 команды разный, значит метод вероятно работает.
-
-В openwrt DNS на нестандартном порту можно прописать в /etc/config/dhcp таким способом :
-
-config dnsmasq
-	.............
-	list server '77.88.8.88#1253'
-
-Если настройки IP и DNS получаются автоматически от провайдера, в /etc/config/network
-найдите секцию интерфейса 'wan' и сделайте так :
-
-config interface 'wan'
-	.............
-	option peerdns '0'
-
-/etc/init.d/network restart
-/etc/init.d/dnsmasq restart
-
-Если это не подходит, можно перенаправлять обращения на udp и tcp порты 53 вашего DNS сервера на 77.88.8.88:1253 средствами
-iptables/nftables. В /etc/resolv.conf нельзя прописать DNS на нестандартном порту.
-
-7) blockcheck позволяет выявить рабочую стратегию обхода блокировок
-По результатам blockcheck нужно понять какой вариант будете использовать : nfqws или tpws
-И запомнить найденные стратегии.
-
-Следует понимать, что blockcheck проверяет доступность только конкретного домена, который вы вводите в начале.
-Вероятно, все остальные домены блокированы подобным образом, но не факт.
-В большинстве случаев можно обьединить несколько стратегий в одну универсальную, и это крайне желательно.
-Необходимо понимать как работают стратегии.
-zapret не может пробить блокировку по IP адресу. Для проверки нескольких доменов вводите их через пробел.
-
-Сейчас блокираторы ставят на магистральных каналах. В сложных случаях у вас может быть несколько маршрутов
-с различной длиной по ХОПам, с DPI на разных хопах. Приходится преодолевать целый зоопарк DPI,
-которые еще и включаются в работу хаотичным образом или образом, зависящим от направления (IP сервера).
-blockcheck не всегда может выдать вам в итогах оптимальную стратегию, которую надо просто переписать в настройки.
-В некоторых случаях надо реально думать что происходит, анализируя результат на разных стратегиях.
-Если вы применяете большой TTL, чтобы достать до магистрала, то не лишним будет добавить дополнительный ограничитель
--dpi-desync-fooling, чтобы не сломать сайты на более коротких дистанциях.
-md5sig наиболее совместим, но работает только на linux серверах.
-badseq может работать только на https и не работать на http.
-Чтобы выяснить какие дополнительные ограничители работают, смотрите результат теста аналогичных стратегий без TTL
-с каждым из этих ограничителей.
-
-При использовании autottl следует протестировать как можно больше разных доменов. Эта техника
-может на одних провайдерах работать стабильно, на других потребуется выяснить при каких параметрах
-она стабильна, на третьих полный хаос, и проще отказаться.
-
-Далее, имея понимание что работает на http, https, quic, нужно сконструировать параметры запуска tpws и/или nfqws
-с использованием мультистратегии. Как работают мультистратегии описано в readme.txt.
-
-Если кратко, то обычно параметры конструируются так :
-"--filter-udp=443 'параметры для quic' <HOSTLIST_NOAUTO> --new
--filter-tcp=80,443 'обьединенные параметры для http и https' <HOSTLIST>"
-
-Или так :
-"--filter-udp=443 "параметры для quic" <HOSTLIST_NOAUTO> --new
--filter-tcp=80 'параметры для http' <HOSTLIST> --new
--filter-tcp=443 'параметры для https' <HOSTLIST>"
-
-"<HOSTLIST>" и "<HOSTLIST_NOAUTO>" так и пишутся. Их не надо на что-то заменять. Это сделают скрипты запуска,
-если вы выбрали режим фильтрации по хостлистам, и уберут в противном случае.
-Если для какого-то протокола надо дурить все без стандартного хостлиста - просто уберите оттуда "<HOSTLIST>"
-и "<HOSTLIST_NOAUTO>".
-Можно писать свои параметры --hostlist и --hostlist-exclude для дополнительных хостлистов
-или в профилях специализаций под конкретный ресурс. В последнем случае стандартный хостлист там не нужен.
-Следует избегать указания собственных параметров --hostlist на листы из директории ipset.
-Эта логика включена в "<HOSTLIST>" и "<HOSTLIST_NOAUTO>".
-Отличие "<HOSTLIST_NOAUTO>" в том, что стандартный автолист по этому профилю используется как обычный,
-то есть без автоматического добавления доменов. Однако, добавления в других профилях автоматически
-отражаются во всех остальных.
-
-Если стратегии отличаются по версии ip протокола, и вы не можете их обьединить, фильтр пишется так :
-"--filter-l3=ipv4 --filter-udp=443 "параметры для quic ipv4" <HOSTLIST_NOAUTO> --new
--filter-l3=ipv4 --filter-tcp=80 'параметры для http ipv4' <HOSTLIST> --new
--filter-l3=ipv4 --filter-tcp=443 'параметры для https ipv4' <HOSTLIST> --new
--filter-l3=ipv6 --filter-udp=443 "параметры для quic ipv6" <HOSTLIST_NOAUTO> --new
--filter-l3=ipv6 --filter-tcp=80 'параметры для http ipv6' <HOSTLIST> --new
--filter-l3=ipv6 --filter-tcp=443 'параметры для https ipv6' <HOSTLIST>"
-
-Но здесь совсем "копи-пастный" вариант.
-Чем больше вы обьедините стратегий и сократите их общее количество, тем будет лучше.
-
-Если вам не нужно дурение отдельных протоколов, лучше всего будет их убрать из системы перехвата трафика через
-параметры TPWS_PORTS, NFQWS_PORTS_TCP, NFQWS_PORTS_UDP и убрать соответствующие им профили мультистратегии.
-tcp 80 - http, tcp 443 - https, udp 443 - quic.
-
-Если используются методы нулевой фазы десинхронизации (--mss, --wssize, --dpi-desync=syndata) и режим фильтрации hostlist,
-то все параметры, относящиеся к этим методам, следует помещать в отдельные профили мульистратегии, которые получат
-управление до определения имени хоста. Необходимо понимать алгоритм работы мультистратегий.
-Самым надежным вариантом будет дублирование этих параметров на 2 профиля. Какой-нибудь сработает в зависимости
-от параметра MODE_FILTER.
-
-"--filter-tcp=80 'параметры для http' <HOSTLIST> --new
--filter-tcp=443 'параметры для https' --wssize 1:6 <HOSTLIST> --new
--filter-tcp=443 --wssize 1:6"
-
-В этом примере wssize будет применяться всегда к порту tcp 443 вне зависимости от параметра MODE_FILTER.
-Хостлист будет игнорироваться, если таковой имеется. К http применять wssize вредно и бессмысленно.
-
-Никто не мешает использовать tpws для http, nfqws для https, либо комбинировать действие nfqws и tpws для одного протокола.
-В текущем варианте скриптов запуска это делается максимально гибко и независимо друг от друга.
-
-8) Запустите install_easy.sh.
-Выберите nfqws и/или tpws, затем согласитесь на редактирование параметров.
-Откроется редактор, куда впишите созданную на предыдущем этапе стратегию.
-
-9) На все остальные вопросы install_easy.sh отвечайте согласно выводимой аннонтации.
-
-10) Если ломаются отдельные незаблокированные ресурсы, следует вносить их в исключения, либо пользоваться ограничивающим
-ipset или хост листом. Читайте основной талмуд readme.txt ради подробностей.
-Но еще лучше будет подбирать такие стратегии, которые ломают минимум.
-Есть стратегии довольно безобидные, а есть сильно ломающие, которые подходят только для точечного пробития отдельных ресурсов,
-когда ничего лучше нет. Хорошая стратегия может сильно ломать из-за плохо подобранных ограничителей для фейков - ttl, fooling.
-
-Это минимальная инструкция, чтобы соориентироваться с чего начать. Однако, это - не панацея.
-В некоторых случаях вы не обойдетесь без знаний и основного "талмуда".
-Подробности и полное техническое описание расписаны в readme.txt
--- a/docs/quick_start_windows.md
+++ b/docs/quick_start_windows.md
@ -0,0 +1,216 @@
+# Быстрая настройка Windows
+
+Специально для тех, кто хочет побыстрее начать, но не хочет слишком углубляться в простыню [readme.md](./readme.md).
+> [!CAUTION]  
+> Как обычно, компьютерная грамотность ложится полностью на вас.
+> Вы должны уметь работать с консолью windows и иметь минимальные навыки обращения с командными файлами `bat`, `cmd`.
+> Если грамотность отсутствует и возникает куча _"как?"_ на базовых вещах, значит эта программа не для вас.
+> Разработчик не будет отвечать на вопросы из серии школы компьютерной грамотности.
+> Если вы все-таки хотите продолжать, задавайте вопросы в дискуссиях на github или на форумах.
+> Возможно, кто-то вам поможет. Но не надо писать issue на github. Они будут закрываться сразу.
+
+## Немного разъяснений
+
+Обход DPI является хакерской методикой. Под этим словом понимается метод, которому сопротивляется окружающая среда,
+которому автоматически не гарантирована работоспособность в любых условиях и на любых ресурсах,
+требуется настройка под специфические условия у вашего провайдера. Условия могут меняться со временем,
+и методика может начинать или переставать работать, может потребоваться повторный анализ ситуации.
+Могут обнаруживаться отдельные ресурсы, которые заблокированы иначе, и которые не работают или перестали работать.
+Могут и сломаться отдельные незаблокированные ресурсы.
+Поэтому очень желательно иметь знания в области сетей, чтобы иметь возможность проанализировать техническую ситуацию.
+Не будет лишним иметь обходные каналы проксирования трафика на случай, если обход DPI не помогает.
+
+Вариант, когда вы нашли стратегию где-то в интернете и пытаетесь ее приспособить к своему случаю - заведомо проблемный.
+Нет универсальной таблетки. Везде ситуация разная. В сети гуляют написанные кем-то откровенные глупости, которые тиражируются массово ничего не понимающей публикой.
+Такие варианты чаще всего работают нестабильно, только на части ресурсов, только на части провайдеров, не работают вообще или ломают другие ресурсы. В худших случаях еще и устраивают флуд в сети.
+Если даже вариант когда-то и работал неплохо, завтра он может перестать, а в сети останется устаревшая информация.
+
+Особо осторожным нужно быть со сторонними сборками. Там могут быть вирусы. Не в каждой сборке, но уже были замечены скаммеры.
+Видео на ютубе как просто обойти блокировку, прилагающийся архив, в котором какая-то ерунда, написанная на питоне, скачивающая зловред.
+
+Будем считать, что у вас есть windows 7 или выше. Задача - обойти блокировки с самой системы.
+
+> [!NOTE]  
+> Есть решение самое простое, а есть "как положено".
+
+## САМОЕ ПРОСТОЕ РЕШЕНИЕ
+
+_"Совсем ничего не могу, все очень сложно, дайте мне таблетку."_ ©Простой пользователь
+
+1) Скачайте и распакуйте архив https://github.com/bol-van/zapret-win-bundle/archive/refs/heads/master.zip.
+2) Запустите `zapret-winws/preset_russia.cmd` от имени администратора. Возможно, заведется сразу.
+
+   > То же самое с ограничителем по автоматически создаваемому хост-листу `preset_russia_autohostlist.cmd`.
+   > Что такое `autohostlist` - читайте [readme.md](./readme.md). Проще говоря, мы обходим только то, что долго и упорно не хочет открываться.
+   > Сначала не будет, но надо пытаться много раз, и тогда сработает, а дальше будет всегда срабатывать.
+   > Остальное не будет ломаться. Использовать только, если первый вариант тоже работает.
+
+Не помогла _"таблетка"_ ? Это вовсе не значит, что ничего не получится. Но придется делать по нормальному.
+
+## НЕ ПОМОГЛО, КАК ТЕПЕРЬ ЭТО УДАЛИТЬ
+
+Если вы не устанавливали zapret как службу или запланированную задачу (а это требует редактирования cmd файлов),
+достаточно закрыть окно с winws и запустить windivert_delete.cmd.
+Альтернатива - перезагрузить компьютер.
+После чего можно удалить папку с zapret. На этом деинсталляция закончена.
+Если же вы устанавливали zapret как службу, то вы наверняка знаете как ее удалить.
+
+## РЕШЕНИЕ "КАК ПОЛОЖЕНО"
+
+1) Скачайте и распакуйте архив https://github.com/bol-van/zapret-win-bundle/archive/refs/heads/master.zip.
+
+2) Если у вас Windows 7 x64, однократно запустите `win7/install_win7.cmd`. Батник заменит файлы windivert на совместимую с Windows 7 версию.
+
+> [!WARNING]  
+> Для 32-битных систем Windows нет готового полного варианта.
+
+   > На windows 11 arm64 выполните `arm64/install_arm64.cmd` от имени администратора и перезагрузите компьютер.
+   > Читайте [docs/windows.md](./windows.md)
+   >
+   > Имейте в виду, что антивирусы могут плохо реагировать на windivert.
+   > cygwin так же имеет внушительный список несовместимостей с антивирусами, хотя современные антивирусы
+   > более-менее научились с ним дружить.
+   > Если проблема имеет место , используйте исключения. Если не помогает - отключайте антивирус совсем.
+
+3) Убедитесь, что у вас отключены все средства обхода блокировок, в том числе и сам zapret.
+
+4) Если вы работаете в виртуальной машине, необходимо использовать соединение с сетью в режиме bridge. nat не подходит
+
+5) Запустите `blockcheck\blockcheck.cmd`.  blockcheck в начале проверяет **DNS**.
+Если выводятся сообщения о подмене адресов, то нужно будет решить проблему с **DNS**.
+blockcheck перейдет в этом случае на **DoH** _(DNS over HTTPS)_ и будет пытаться получить и использовать реальные IP адреса.
+Но если вы не настроите решение этой проблемы, обход будет работать только для тех программ,
+которые сами реализуют механизмы SecureDNS. Для других программ обход работать не будет.
+
+   > Решение проблемы DNS выходит за рамки проекта. Обычно она решается либо заменой DNS серверов
+   > от провайдера на публичные (`1.1.1.1`, `8.8.8.8`), либо в случае перехвата провайдером обращений
+   > к сторонним серверам - через специальные средства шифрования DNS запросов, такие как [dnscrypt](https://www.dnscrypt.org/), **DoT** _(DNS over TLS)_, **DoH**.
+   > В современных броузерах чаще всего DoH включен по умолчанию, но curl будет использовать обычный системный DNS.
+   > win11 поддерживает системные DoH из коробки. Они не настроены по умолчанию.
+   > В последних билдах win10 существует неофициальный обходной путь для включения DoH.
+   > Для остальных систем нужно стороннее решение, работающие по принципу DNS proxy.
+   >
+   > Тут все разжевано как и где это включается : https://hackware.ru/?p=13707
+
+6) blockcheck позволяет выявить рабочую стратегию обхода блокировок.
+Лог скрипта будет сохранен в `blockcheck\blockcheck.log`.
+Запомните/перепишите найденные стратегии.
+
+> [!WARNING]  
+> Следует понимать, что blockcheck проверяет доступность только конкретного домена, который вы вводите в начале.
+> Вероятно, все остальные домены блокированы подобным образом, но не факт.
+
+> [!TIP]  
+> В большинстве случаев можно обьединить несколько стратегий в одну универсальную, и это крайне желательно.
+
+   > Необходимо понимать [как работают стратегии](./readme.md/#nfqws).
+   > zapret не может пробить блокировку по IP адресу. Для проверки нескольких доменов вводите их через пробел.
+   >
+   > Сейчас блокираторы ставят на магистральных каналах. В сложных случаях у вас может быть несколько маршрутов
+   > с различной длиной по ХОПам, с DPI на разных хопах. Приходится преодолевать целый зоопарк DPI,
+   > которые еще и включаются в работу хаотичным образом или образом, зависящим от направления (IP сервера).
+   > blockcheck не всегда может выдать вам в итогах оптимальную стратегию, которую надо просто переписать в настройки.
+   > В некоторых случаях надо реально думать что происходит, анализируя результат на разных стратегиях.
+   > Если вы применяете большой TTL, чтобы достать до магистрала, то не лишним будет добавить дополнительный ограничитель
+   > `--dpi-desync-fooling`, чтобы не сломать сайты на более коротких дистанциях.
+   > _md5sig_ наиболее совместим, но работатет только на linux серверах.
+   > badseq может работать только на https и не работать на http.
+   > Чтобы выяснить какие дополнительные ограничители работают, смотрите результат теста аналогичных стратегий без TTL
+   > с каждым из этих ограничителей.
+   >
+   > При использовании autottl следует протестировать как можно больше разных доменов. Эта техника
+   > может на одних провайдерах работать стабильно, на других потребуется выяснить при каких параметрах
+   > она стабильна, на третьих полный хаос, и проще отказаться.
+   >
+   > Далее, имея понимание что работает на http, https, quic, нужно сконструировать параметры запуска winws
+   > с использованием мультистратегии. Как работают мультистратегии описано в [readme.md](./readme.md#множественные-стратегии).
+   >
+   > Прежде всего вам нужно собрать фильтр перехватываемого трафика. Это делается через параметры
+   > `--wf-l3`, `--wf-tcp`, `--wf-udp`.
+   > `--wf-l3` относится к версии ip протокола - ipv4 или ipv6.
+   > `--wf-tcp` и `--wf-udp` содержат перечень портов или диапазонов портов через запятую.
+   > 
+   > Пример стандартного фильтра для перехвата http, https, quic : `--wf-tcp=80,443` `--wf-udp=443`
+   > 
+   > Фильтр должен быть минимально необходимым. Перехват лишнего трафика приведет только к бессмысленному расходованию ресурсов процессора и замедлению интернета.
+   >
+   > Если кратко по мультистратегии, то обычно параметры конструируются так :
+   > ```
+   > --filter-udp=443 'параметры для quic' --new
+   > --filter-tcp=80,443 'обьединенные параметры для http и https'
+   > ```
+   >
+   > Или так :
+   > ```
+   > --filter-udp=443 'параметры для quic' --new
+   > --filter-tcp=80 'параметры для http' --new
+   > --filter-tcp=443 'параметры для https'
+   > ```
+   >
+   > Если стратегии отличаются по версии ip протокола, и вы не можете их обьединить, фильтр пишется так :
+   > ```
+   > --filter-l3=ipv4 --filter-udp=443 "параметры для quic ipv4" --new
+   > --filter-l3=ipv4 --filter-tcp=80 'параметры для http ipv4' --new
+   > --filter-l3=ipv4 --filter-tcp=443 'параметры для https ipv4' --new
+   > --filter-l3=ipv6 --filter-udp=443 "параметры для quic ipv6" --new
+   > --filter-l3=ipv6 --filter-tcp=80 "параметры для http ipv6" --new
+   > --filter-l3=ipv6 --filter-tcp=443 "параметры для https ipv6"
+   > ```
+   >
+   > Но здесь совсем _"копи-пастный"_ вариант.
+   > Чем больше вы обьедините стратегий и сократите их общее количество, тем будет лучше.
+   >
+   > Если вам не нужно дурение отдельных протоколов, лучше всего будет их убрать из системы перехвата трафика через
+   > параметры `--wf-*` и убрать соответствующие им профили мультистратегии.
+   > tcp 80 - http, tcp 443 - https, udp 443 - quic.
+   >
+   > Если используются методы нулевой фазы десинхронизации (`--mss`, `--wssize`, `--dpi-desync=syndata`) и фильтрация hostlist,
+   > то все параметры, относящиеся к этим методам, следует помещать в отдельные профили мультистратегии, которые получат
+   > управление до определения имени хоста. Необходимо понимать алгоритм работы мультистратегий.
+   >
+   > ```
+   > --filter-tcp=80 'параметры для http' --new
+   > --filter-tcp=443 'параметры для https' --hostlist=d:/users/user/temp/list.txt --new
+   > --filter-tcp=443 --wssize 1:6
+   > ```
+   >
+   > autohostlist профиль приоритетен, поэтому wssize нужно писать туда :
+   >
+   > ```
+   > --filter-tcp=80 'параметры для http' --new
+   > --filter-tcp=443 'параметры для https' --wssize 1:6 --hostlist-auto=d:/users/user/temp/autolist.txt
+   > ```
+   >
+   > В этих примерах wssize будет применяться всегда к порту tcp 443, а хостлист будет игнорироваться.
+   > К http применять wssize вредно и бессмысленно.
+
+7) Протестируйте найденные стратегии на winws. Winws следует брать из zapret-winws.
+Для этого откройте командную строку windows от имени администратора в директории zapret-winws.
+Проще всего это сделать через `_CMD_ADMIN.cmd`. Он сам поднимет права и зайдет в нужную директорию.
+
+8) Обеспечьте удобную загрузку обхода блокировок.
+
+   > Есть 2 варианта. Ручной запуск через ярлык или автоматический при старте системы, вне контекста текущего пользователя.
+   > Последний вариант разделяется на запуск через планировщик задач и через службы windows.
+   >
+   > Если хотите ручной запуск, скопируйте `preset_russia.cmd` в `preset_my.cmd` (`<ваше_название>.cmd`) и адаптируйте его под ваши параметра запуска.
+   > Потом можно создать ярлык на рабочем столе на `preset_my.cmd`. Не забудьте, что требуется запускать от имени администратора.
+   >
+   > Но лучше будет сделать неинтерактивный автоматический запуск вместе с системой.
+   > В zapret-winws есть командные файлы `task_*`, предназначенные для управления задачами планировщика.
+   > Там следует поменять содержимое переменной `WINWS1` на свои параметры запуска winws. Пути с пробелами нужно экранировать кавычками с обратным слэшем : `\"`.
+   > После создания задач запустите их. Проверьте, что обход встает после перезагрузки windows.
+   >
+   > Аналогично настраиваются и службы windows. Смотрите `service_*.cmd`
+
+9) Если ломаются отдельные незаблокированные ресурсы, нужно пользоваться ограничивающим
+ipset или хост листом. Читайте основной талмуд [readme.md](./readme.md) ради подробностей.
+Но еще лучше будет подбирать такие стратегии, которые ломают минимум.
+Есть стратегии довольно безобидные, а есть сильно ломающие, которые подходят только для точечного пробития отдельных ресурсов,
+когда ничего лучше нет. Хорошая стратегия может сильно ломать из-за плохо подобранных ограничителей для фейков - ttl, fooling.
+
+> [!CAUTION]  
+> Это минимальная инструкция, чтобы соориентироваться с чего начать. Однако, это - не панацея.
+> В некоторых случаях вы не обойдетесь без знаний и основного "талмуда".
+
+Подробности и полное техническое описание расписаны в [readme.md](./readme.md)
--- a/docs/quick_start_windows.txt
+++ b/docs/quick_start_windows.txt
@ -1,181 +0,0 @@
-Специально для тех, кто хочет побыстрее начать, но не хочет слишком углубляться в простыню readme.txt.
-
-Как обычно, компьютерная грамотность ложится полностью на вас.
-Вы должны уметь работать с консолью windows и иметь минимальные навыки обращения с командными файлами bat,cmd.
-Если грамотность отсутствует и возникает куча "как" на базовых вещах, значит эта программа не для вас.
-Разработчик не будет отвечать на вопросы из серии школы компьютерной грамотности.
-Если вы все-таки хотите продолжать, задавайте вопросы в дискуссиях на github или на форумах.
-Возможно, кто-то вам поможет. Но не надо писать issue на github. Они будут закрываться сразу.
-
-Обход DPI является хакерской методикой. Под этим словом понимается метод, которому сопротивляется окружающая среда,
-которому автоматически не гарантирована работоспособность в любых условиях и на любых ресурсах,
-требуется настройка под специфические условия у вашего провайдера. Условия могут меняться со временем,
-и методика может начинать или переставать работать, может потребоваться повторный анализ ситуации.
-Могут обнаруживаться отдельные ресурсы, которые заблокированы иначе, и которые не работают или перестали работать.
-Могут и сломаться отдельные незаблокированные ресурсы.
-Поэтому очень желательно иметь знания в области сетей, чтобы иметь возможность проанализировать техническую ситуацию.
-Не будет лишним иметь обходные каналы проксирования трафика на случай, если обход DPI не помогает.
-
-Будем считать, что у вас есть windows 7 или выше. Задача - обойти блокировки с самой системы.
-
-Есть решение самое простое, а есть "как положено".
-
-САМОЕ ПРОСТОЕ РЕШЕНИЕ
-
-Совсем ничего не могу, все очень сложно, дайте мне таблетку.
-
-Скачайте и распакуйте архив https://github.com/bol-van/zapret-win-bundle/archive/refs/heads/master.zip
-Запустите zapret-winws/preset_russia.cmd от имени администратора.
-Возможно, заведется сразу. Этот вариант похож на "2_any_country.cmd" из GoodbyeDPI.
-
-То же самое с ограничителем по автоматически создаваемому хост-листу preset_russia_autohostlist.cmd.
-Что такое autohostlist - читайте readme.txt. Проще говоря, мы обходим только то, что долго и упорно не хочет открываться.
-Сначала не будет, но надо пытаться много раз, и тогда сработает, а дальше будет всегда срабатывать.
-Остальное не будет ломаться. Использовать только, если первый вариант тоже работает.
-
-Не помогла таблетка ? Это вовсе не значит, что ничего не получится. Но придется делать по-нормальному.
-
-РЕШЕНИЕ "КАК ПОЛОЖЕНО"
-
-1) Скачайте и распакуйте архив https://github.com/bol-van/zapret-win-bundle/archive/refs/heads/master.zip
-
-2) Если у вас Windows 7 x64, читайте docs/windows.txt. Без описанной там подготовки может не работать.
-Для 32-битных систем Windows нет готового полного варианта, но есть собранные бинарники :
-https://github.com/bol-van/zapret-win32
-На windows 11 arm64 выполните arm64/install_arm64.cmd от имени администратора и перезагрузите компьютер.
-Читайте docs/windows.txt
-
-Имейте в виду, что антивирусы могут плохо реагировать на windivert.
-cygwin так же имеет внушительный список несовместимостей с антивирусами, хотя современные антивирусы
-более-менее научились с ним дружить.
-Если проблема имеет место , используйте исключения. Если не помогает - отключайте антивирус совсем.
-
-3) Убедитесь, что у вас отключены все средства обхода блокировок, в том числе и сам zapret.
-
-4) Если вы работаете в виртуальной машине, необходимо использовать соединение с сетью в режиме bridge. nat не подходит
-
-5) Запустите blockcheck\blockcheck.cmd.  blockcheck в начале проверяет DNS.
-Если выводятся сообщения о подмене адресов, то нужно будет решить проблему с DNS.
-blockcheck перейдет в этом случае на DoH и будет пытаться получить и использовать реальные IP адреса.
-Но если вы не настроите решение этой проблемы, обход будет работать только для тех программ,
-которые сами реализуют механизмы SecureDNS. Для других программ обход работать не будет.
-
-Решение проблемы DNS выходит за рамки проекта. Обычно она решается либо заменой DNS серверов
-от провайдера на публичные (1.1.1.1, 8.8.8.8), либо в случае перехвата провайдером обращений
-к сторонним серверам - через специальные средства шифрования DNS запросов, такие как dnscrypt, DoT, DoH.
-В современных броузерах чаще всего DoH включен по умолчанию, но curl будет использовать обычный системный DNS.
-win11 поддерживает системные DoH из коробки. Они не настроены по умолчанию.
-В последних билдах win10 существует неофициальный обходной путь для включения DoH.
-Для остальных систем нужно стороннее решение, работающие по принципу DNS proxy.
-
-Тут все разжевано как и где это включается : https://hackware.ru/?p=13707
-
-6) blockcheck позволяет выявить рабочую стратегию обхода блокировок.
-Лог скрипта будет сохранен в blockcheck\blockcheck.log.
-Запомните найденные стратегии.
-
-Следует понимать, что blockcheck проверяет доступность только конкретного домена, который вы вводите в начале.
-Вероятно, все остальные домены блокированы подобным образом, но не факт.
-В большинстве случаев можно обьединить несколько стратегий в одну универсальную, и это крайне желательно.
-Необходимо понимать как работают стратегии.
-zapret не может пробить блокировку по IP адресу. Для проверки нескольких доменов вводите их через пробел.
-
-Сейчас блокираторы ставят на магистральных каналах. В сложных случаях у вас может быть несколько маршрутов
-с различной длиной по ХОПам, с DPI на разных хопах. Приходится преодолевать целый зоопарк DPI,
-которые еще и включаются в работу хаотичным образом или образом, зависящим от направления (IP сервера).
-blockcheck не всегда может выдать вам в итогах оптимальную стратегию, которую надо просто переписать в настройки.
-В некоторых случаях надо реально думать что происходит, анализируя результат на разных стратегиях.
-Если вы применяете большой TTL, чтобы достать до магистрала, то не лишним будет добавить дополнительный ограничитель
--dpi-desync-fooling, чтобы не сломать сайты на более коротких дистанциях.
-md5sig наиболее совместим, но работатет только на linux серверах.
-badseq может работать только на https и не работать на http.
-Чтобы выяснить какие дополнительные ограничители работают, смотрите результат теста аналогичных стратегий без TTL
-с каждым из этих ограничителей.
-
-При использовании autottl следует протестировать как можно больше разных доменов. Эта техника
-может на одних провайдерах работать стабильно, на других потребуется выяснить при каких параметрах
-она стабильна, на третьих полный хаос, и проще отказаться.
-
-Далее, имея понимание что работает на http, https, quic, нужно сконструировать параметры запуска winws
-с использованием мультистратегии. Как работают мультистратегии описано в readme.txt.
-
-Прежде всего вам нужно собрать фильтр перехватываемого трафика. Это делается через параметры
--wf-l3, --wf-tcp, --wf-udp.
--wf-l3 относится к версии ip протокола - ipv4 или ipv6.
--wf-tcp и --wf-udp содержат перечень портов или диапазонов портов через запятую.
-
-Пример стандартного фильтра для перехвата http, https, quic : --wf-tcp=80,443 --wf-udp=443
-
-Фильтр должен быть минимально необходимым. Перехват лишнего трафика приведет только к бессмысленному
-расходованию ресурсов процессора и замедлению интернета.
-
-Если кратко по мультистратегии, то обычно параметры конструируются так :
-"--filter-udp=443 'параметры для quic' --new
--filter-tcp=80,443 'обьединенные параметры для http и https'"
-
-Или так :
-"--filter-udp=443 "параметры для quic" --new
--filter-tcp=80 'параметры для http' --new
--filter-tcp=443 'параметры для https'"
-
-Если стратегии отличаются по версии ip протокола, и вы не можете их обьединить, фильтр пишется так :
-"--filter-l3=ipv4 --filter-udp=443 "параметры для quic ipv4" --new
--filter-l3=ipv4 --filter-tcp=80 'параметры для http ipv4' --new
--filter-l3=ipv4 --filter-tcp=443 'параметры для https ipv4' --new
--filter-l3=ipv6 --filter-udp=443 "параметры для quic ipv6" --new
--filter-l3=ipv6 --filter-tcp=80 'параметры для http ipv6' --new
--filter-l3=ipv6 --filter-tcp=443 'параметры для https ipv6'"
-
-Но здесь совсем "копи-пастный" вариант.
-Чем больше вы обьедините стратегий и сократите их общее количество, тем будет лучше.
-
-Если вам не нужно дурение отдельных протоколов, лучше всего будет их убрать из системы перехвата трафика через
-параметры --wf-* и убрать соответствующие им профили мультистратегии.
-tcp 80 - http, tcp 443 - https, udp 443 - quic.
-
-Если используются методы нулевой фазы десинхронизации (--mss, --wssize, --dpi-desync=syndata) и фильтрация hostlist,
-то все параметры, относящиеся к этим методам, следует помещать в отдельные профили мультистратегии, которые получат
-управление до определения имени хоста. Необходимо понимать алгоритм работы мультистратегий.
-
-"--filter-tcp=80 'параметры для http' --new
--filter-tcp=443 'параметры для https' --hostlist=d:/users/user/temp/list.txt --new
--filter-tcp=443 --wssize 1:6"
-
-autohostlist профиль приоритетен, поэтому wssize нужно писать туда :
-
-"--filter-tcp=80 'параметры для http' --new
--filter-tcp=443 'параметры для https' --wssize 1:6 --hostlist-auto=d:/users/user/temp/autolist.txt"
-
-В этих примерах wssize будет применяться всегда к порту tcp 443, а хостлист будет игнорироваться.
-К http применять wssize вредно и бессмысленно.
-
-7) Протестируйте найденные стратегии на winws. winws следует брать из zapret-winws.
-Для этого откройте командную строку windows от имени администратора в директории zapret-winws.
-Проще всего это сделать через _CMD_ADMIN.cmd. Он сам поднимет права и зайдет в нужную директорию.
-
-8) Обеспечьте удобную загрузку обхода блокировок.
-
-Есть 2 варианта. Ручной запуск через ярлык или автоматический при старте системы, вне контекста текущего пользователя.
-Последний вариант разделяется на запуск через планировщик задач и через службы windows.
-
-Если хотите ручной запуск, скопируйте preset_russia.cmd в preset_my.cmd и адаптируйте его под ваши параметра запуска.
-Потом можно создать ярлык на рабочем столе на preset_my.cmd. Не забудьте, что требуется запускать от имени администратора.
-
-Но лучше будет сделать неинтерактивный автоматический запуск вместе с системой.
-В zapret-winws есть командные файлы task_*, предназначенные для управления задачами планировщика.
-Там следует поменять содержимое переменной WINWS1 на свою стратегию.
-Если вы не можете обьединить несколько стратегий для разных протоколов в одну, дублируйте код в каждом из cmd
-для поддержки нескольких задач : winws1,winws2,winws3.
-После создания задач запустите их. Проверьте, что обход встает после перезагрузки windows.
-
-Аналогично настраиваются и службы windows. Смотрите service_*.cmd
-
-9) Если ломаются отдельные незаблокированные ресурсы, нужно пользоваться ограничивающим
-ipset или хост листом. Читайте основной талмуд readme.txt ради подробностей.
-Но еще лучше будет подбирать такие стратегии, которые ломают минимум.
-Есть стратегии довольно безобидные, а есть сильно ломающие, которые подходят только для точечного пробития отдельных ресурсов,
-когда ничего лучше нет. Хорошая стратегия может сильно ломать из-за плохо подобранных ограничителей для фейков - ttl, fooling.
-
-Это минимальная инструкция, чтобы соориентироваться с чего начать. Однако, это - не панацея.
-В некоторых случаях вы не обойдетесь без знаний и основного "талмуда".
-Подробности и полное техническое описание расписаны в readme.txt
--- a/docs/readme.eng.md
+++ b/docs/readme.eng.md
--- a/docs/readme.md
+++ b/docs/readme.md
--- a/docs/readme.txt
+++ b/docs/readme.txt
--- a/docs/windows.eng.md
+++ b/docs/windows.eng.md
@ -101,10 +101,11 @@ There are several options :
 Replace these 2 files in every location they are present.
 In `zapret-win-bundle` they are in `zapret-winws` и `blockcheck/zapret/nfq` folders.
 However this option still requires 10+ year old patch that enables SHA256 signatures.
+If you're using win bundle you can simply run `win7\install_win7.cmd`

-2. [Hack ESU](https://hackandpwn.com/windows-7-esu-patching)
+3. [Hack ESU](https://hackandpwn.com/windows-7-esu-patching)

-3. Use `UpdatePack7R2` from simplix : https://blog.simplix.info
+4. Use `UpdatePack7R2` from simplix : https://blog.simplix.info
 If you are in Russia or Belarus temporary change region in Control Panel.

 ### blockcheck
--- a/Show More
+++ b/Show More