Refactor NFQueue verdict handling and introduce TUN device management

changelog.md

@@ -1,5 +1,11 @@
 # B4 - Bye Bye Big Bro
 
+## [1.70.0] - 2026-06-xx
+
+- ADDED: **New engine for devices without NFQUEUE** - some minimal devices lack the kernel modules b4 normally needs, so it could not run on them. A new mode under Settings → Feature Flags routes traffic through a virtual interface (TUN) instead.
+- CHANGED: **Web UI password is now stored securely** - it is kept only as a hash and is no longer shown on the settings page (leave the field blank to keep it, or type a new one to change it). Repeated failed logins are briefly blocked, and a session now expires after a day. Existing setups are migrated automatically.
+- FIXED: **A set's encrypted DNS (DoH) redirect failed in some setups** - lookups could time out or come back empty, so pages would not load. This affected gateway and container setups (for example b4 in a container on MikroTik) using NAT masquerade.
+
 ## [1.69.1] - 2026-06-14
 
 - FIXED: **Sets manager felt frozen after enabling, reordering, duplicating, or deleting a set** - the screen only changed once the action had been saved and the whole configuration re-fetched a second or two later, so a click looked like nothing had happened, a dragged set snapped back to its old place before jumping to the new one, and a duplicate appeared out of nowhere after a pause.
@@ -29,7 +35,7 @@
 - FIXED: **Leftover "zombie" update processes piling up** - each update attempt left a finished helper process behind; these are now cleaned up.
 - ADDED: **Update log** - every Web UI update now writes a step-by-step trace to `update.log` in the log folder (default `/var/log/b4`, reset each attempt), making failed updates much easier to diagnose.
 - ADDED: **Localized changelog** - the Web UI now shows the changelog in the selected language.
-- CHANGED: **Logging setting is now a folder, not a single file** - Settings → Service now asks for a log *directory* (default `/var/log/b4`) instead of a path to `errors.log`, so all of b4's log files (errors, updates, and any added later) live together and can be moved in one place. Existing configs are migrated automatically (your old folder is kept); leave the field empty to turn file logging off.
+- CHANGED: **Logging setting is now a folder, not a single file** - Settings → Service now asks for a log _directory_ (default `/var/log/b4`) instead of a path to `errors.log`, so all of b4's log files (errors, updates, and any added later) live together and can be moved in one place. Existing configs are migrated automatically (your old folder is kept); leave the field empty to turn file logging off.
 
 ## [1.67.1] - 2026-06-10
 
@@ -50,7 +56,7 @@
 ## [1.66.0] - 2026-06-07
 
 - ADDED: **Blocking stats on the Dashboard** - when a set uses Block (blackhole) mode and actually blocks something, the Dashboard now shows a "Blackhole" panel with the total number of blocked attempts, the most-blocked domains, and which devices ran into the most blocks. The panel stays hidden until there is something to show, so it never clutters the page when nothing is being blocked. Blocked connections are also tagged with a "block" label on the Traffic page so you can spot them in the live feed.
-- ADDED: **Control over the Telegram server-list backup** - to reach Telegram, b4 fetches Telegram's data center list from Telegram's official address, and falls back to a backup copy hosted by the b4 author only if that is blocked (`lavrush.in`).  Settings -> MTProto Proxy now has a "DC list fallback mirror" switch to turn it off or point it at your own copy.
+- ADDED: **Control over the Telegram server-list backup** - to reach Telegram, b4 fetches Telegram's data center list from Telegram's official address, and falls back to a backup copy hosted by the b4 author only if that is blocked (`lavrush.in`). Settings -> MTProto Proxy now has a "DC list fallback mirror" switch to turn it off or point it at your own copy.
 - FIXED: **Set Routing now respects your device choices** - if you used Settings -> Devices to make b4 work for only some devices (or to exclude some), that choice was ignored by a set's Routing tab. Whatever the set did with the traffic (send it to another network interface or an upstream proxy, run it through the Telegram bridge, or block it) happened for every device regardless. Routing now applies only to the devices you picked. You can also give an individual set its own device list in its settings, so a single set can route, bridge, or block traffic for just specific devices without affecting the rest.
 - FIXED: **The router itself showed up as a wrongly-named device on the Traffic page** - b4 mistook the router's own address for a regular client and listed it as a separate device (sometimes guessed as a phone brand), filing the router's own connections under it. b4 now recognizes its own interfaces and labels that traffic simply as "Router".
 - FIXED: **Discord voice and video calls could drop when blocking UDP** - on a set with UDP set to Drop or Reject, Discord calls could break because b4 did not recognize Discord's call traffic. b4 now lets it through (when "Filter STUN" is on, the default), so calls keep working.
@@ -725,7 +731,7 @@
 
 ## [1.10.1] - 2025-11-03
 
-- IMPROVED: Intermittent connection failures where blocked sites would randomly fail to load in certain browsers (`Safari`, `Firefox`, `Chrome`). Connections *should* now be more stable and reliable across all browsers by optimizing packet fragmentation strategy.
+- IMPROVED: Intermittent connection failures where blocked sites would randomly fail to load in certain browsers (`Safari`, `Firefox`, `Chrome`). Connections _should_ now be more stable and reliable across all browsers by optimizing packet fragmentation strategy.
 
 ## [1.10.0] - 2025-11-02
 

changelog_ru.md

@@ -1,5 +1,11 @@
 # B4 - Bye Bye Big Bro
 
+## [1.70.0] - 2026-06-xx
+
+- ДОБАВЛЕНО: **Новый движок для устройств без NFQUEUE** - на некоторых минимальных устройствах нет модулей ядра, которые обычно нужны b4, поэтому он на них не запускался. Новый режим в «Настройки → Функции» пропускает трафик через виртуальный интерфейс (TUN).
+- ИЗМЕНЕНО: **Пароль веб-интерфейса теперь хранится безопасно** - он хранится только в виде хеша и больше не показывается на странице настроек (оставьте поле пустым, чтобы сохранить его, или введите новый для замены). Повторные неудачные попытки входа ненадолго блокируются, а вход теперь перестаёт действовать через сутки. Существующие конфигурации мигрируют автоматически.
+- ИСПРАВЛЕНО: **Перенаправление сета на шифрованный DNS (DoH) не работало в некоторых конфигурациях** - запросы могли завершаться тайм-аутом или возвращаться пустыми, из-за чего страницы не открывались. Это затрагивало шлюзы и контейнеры (например, b4 в контейнере на MikroTik) с включённым NAT masquerade.
+
 ## [1.69.1] - 2026-06-14
 
 - ИСПРАВЛЕНО: **Менеджер сетов казался зависшим после включения, изменения порядка, дублирования или удаления сета** - экран менялся только после того, как действие сохранялось и вся конфигурация перезапрашивалась через секунду-две, поэтому клик выглядел так, будто ничего не произошло, перетащенный сет отскакивал на старое место перед прыжком на новое, а копия появлялась из ниоткуда после паузы.
@@ -29,7 +35,7 @@
 - ИСПРАВЛЕНО: **Накопление зависших процессов обновления** - после каждой попытки обновления оставался завершённый вспомогательный процесс; теперь они очищаются.
 - ДОБАВЛЕНО: **Журнал обновлений** - каждое обновление через веб-интерфейс теперь пишет пошаговую трассировку в `update.log` в папке логов (по умолчанию `/var/log/b4`, очищается при каждой попытке), что значительно упрощает диагностику неудачных обновлений.
 - ДОБАВЛЕНО: **Локализованный журнал изменений** - веб-интерфейс теперь показывает журнал изменений на выбранном языке.
-- ИЗМЕНЕНО: **Настройка логирования теперь папка, а не отдельный файл** - в «Настройки → Служба» теперь указывается *папка* для логов (по умолчанию `/var/log/b4`) вместо пути к `errors.log`, поэтому все файлы логов b4 (ошибки, обновления и любые добавленные позже) хранятся вместе и переносятся в одном месте. Существующие конфигурации мигрируются автоматически (ваша прежняя папка сохраняется); оставьте поле пустым, чтобы отключить запись логов в файл.
+- ИЗМЕНЕНО: **Настройка логирования теперь папка, а не отдельный файл** - в «Настройки → Служба» теперь указывается _папка_ для логов (по умолчанию `/var/log/b4`) вместо пути к `errors.log`, поэтому все файлы логов b4 (ошибки, обновления и любые добавленные позже) хранятся вместе и переносятся в одном месте. Существующие конфигурации мигрируются автоматически (ваша прежняя папка сохраняется); оставьте поле пустым, чтобы отключить запись логов в файл.
 
 ## [1.67.1] - 2026-06-10
 

src/config/migration.go

@@ -68,6 +68,14 @@ var migrationRegistry = map[int]MigrationFunc{
 	44: migrateV44to45, // Add per-set DNS-over-HTTPS redirect target
 	45: migrateV45to46, // Replace logging.error_file with logging.directory
 	46: migrateV46to47, // Drop the hardcoded legacy MTProto WS endpoint host (empty now falls back to it)
+	47: migrateV47to48, // Add TUN engine mode and config
+}
+
+func migrateV47to48(c *Config, _ map[string]interface{}) error {
+	log.Tracef("Migration v47->v48: Adding TUN engine mode and config")
+	c.Queue.Mode = DefaultConfig.Queue.Mode
+	c.Queue.TUN = DefaultConfig.Queue.TUN
+	return nil
 }
 
 func migrateV46to47(c *Config, _ map[string]interface{}) error {
@@ -758,9 +766,28 @@ func (c *Config) LoadWithMigration(path string) (bool, error) {
 
 	c.System.Geo.SanitizePaths(filepath.Dir(c.ConfigPath))
 
+	if c.migratePasswordHash() {
+		migrated = true
+	}
+
 	return migrated, nil
 }
 
+func (c *Config) migratePasswordHash() bool {
+	p := c.System.WebServer.Password
+	if p == "" || IsHashedPassword(p) {
+		return false
+	}
+	h, err := HashPassword(p)
+	if err != nil {
+		log.Errorf("failed to hash web server password during migration: %v", err)
+		return false
+	}
+	c.System.WebServer.Password = h
+	log.Infof("Migrated plaintext web server password to bcrypt hash")
+	return true
+}
+
 func (c *Config) applyMigrations(startVersion int, rawJSON map[string]interface{}) error {
 	for v := startVersion; v < CurrentConfigVersion; v++ {
 		migrationFunc, exists := migrationRegistry[v]

src/config/password.go

@@ -0,0 +1,30 @@
+package config
+
+import (
+	"strings"
+
+	"golang.org/x/crypto/bcrypt"
+)
+
+const webPasswordCost = 12
+
+func HashPassword(plain string) (string, error) {
+	h, err := bcrypt.GenerateFromPassword([]byte(plain), webPasswordCost)
+	if err != nil {
+		return "", err
+	}
+	return string(h), nil
+}
+
+func CheckPassword(hash, plain string) bool {
+	if hash == "" {
+		return false
+	}
+	return bcrypt.CompareHashAndPassword([]byte(hash), []byte(plain)) == nil
+}
+
+func IsHashedPassword(s string) bool {
+	return strings.HasPrefix(s, "$2a$") ||
+		strings.HasPrefix(s, "$2b$") ||
+		strings.HasPrefix(s, "$2y$")
+}

src/config/types.go

@@ -71,6 +71,7 @@ type ApiConfig struct {
 }
 
 type QueueConfig struct {
+	Mode              string         `json:"mode"`
 	StartNum          int            `json:"start_num"`
 	Threads           int            `json:"threads"`
 	Mark              uint           `json:"mark"` // Main injected packets mark
@@ -81,9 +82,20 @@ type QueueConfig struct {
 	Interfaces        []string       `json:"interfaces"`
 	Devices           DevicesConfig  `json:"devices"`
 	MSSClamp          MSSClampConfig `json:"mss_clamp"`
+	TUN               TUNConfig      `json:"tun"`
 	IsDiscovery       bool           `json:"-"`
 }
 
+type TUNConfig struct {
+	DeviceName   string   `json:"device_name"`
+	Address      string   `json:"address"`
+	AddressV6    string   `json:"address_v6"`
+	OutInterface string   `json:"out_interface"`
+	OutGateway   string   `json:"out_gateway"`
+	RouteTable   int      `json:"route_table"`
+	Routes       []string `json:"routes"`
+}
+
 type DevicesConfig struct {
 	Enabled      bool     `json:"enabled"`
 	VendorLookup bool     `json:"vendor_lookup"`
@@ -299,6 +311,7 @@ type WebServerConfig struct {
 	TLSKey      string `json:"tls_key"`
 	Username    string `json:"username"`
 	Password    string `json:"password"`
+	PasswordSet bool   `json:"password_set,omitempty"`
 	Language    string `json:"language"`
 	IsEnabled   bool   `json:"-"`
 }

src/config/validation.go

@@ -250,6 +250,16 @@ func (c *Config) Validate() error {
 		return v.result()
 	}
 
+	if c.Queue.Mode != "" && c.Queue.Mode != "nfqueue" && c.Queue.Mode != "tun" {
+		v.add("queue.mode", "invalid", "queue mode must be 'nfqueue' or 'tun'", nil)
+		return v.result()
+	}
+
+	if c.Queue.Mode == "tun" && c.Queue.TUN.OutInterface == "" {
+		v.add("queue.tun.out_interface", "required", "tun out_interface is required in TUN mode (e.g. eth0, wan0, l2tp-vpn)", nil)
+		return v.result()
+	}
+
 	if c.Queue.StartNum < 0 || c.Queue.StartNum > 65535 {
 		v.add("queue.start_num", "out_of_range", "queue-num must be between 0 and 65535", nil)
 		return v.result()

src/config/validation_test.go

@@ -309,6 +309,34 @@ func TestValidate_QueueFields(t *testing.T) {
 			t.Errorf("expected params.mark=0x100, got %v", f.Params["mark"])
 		}
 	})
+
+	t.Run("invalid queue mode", func(t *testing.T) {
+		cfg := NewConfig()
+		cfg.Queue.Mode = "bogus"
+		ve := mustValidationErr(t, cfg.Validate())
+		if findField(ve, "queue.mode", "invalid") == nil {
+			t.Errorf("missing queue.mode invalid; got %+v", ve.Fields)
+		}
+	})
+
+	t.Run("tun mode requires out_interface", func(t *testing.T) {
+		cfg := NewConfig()
+		cfg.Queue.Mode = "tun"
+		cfg.Queue.TUN.OutInterface = ""
+		ve := mustValidationErr(t, cfg.Validate())
+		if findField(ve, "queue.tun.out_interface", "required") == nil {
+			t.Errorf("missing queue.tun.out_interface required; got %+v", ve.Fields)
+		}
+	})
+
+	t.Run("valid tun config passes", func(t *testing.T) {
+		cfg := NewConfig()
+		cfg.Queue.Mode = "tun"
+		cfg.Queue.TUN.OutInterface = "eth0"
+		if err := cfg.Validate(); err != nil {
+			t.Errorf("valid tun config rejected: %v", err)
+		}
+	})
 }
 
 func TestValidate_RequiredSetID(t *testing.T) {

src/dns/doh.go

@@ -28,9 +28,9 @@ func MarkedDoHClient(mark int, timeout time.Duration) *http.Client {
 		MaxIdleConns:          100,
 		IdleConnTimeout:       30 * time.Second,
 	}
-	d := &net.Dialer{Timeout: timeout}
+	var control func(string, string, syscall.RawConn) error
 	if mark != 0 {
-		d.Control = func(_, _ string, c syscall.RawConn) error {
+		control = func(_, _ string, c syscall.RawConn) error {
 			var serr error
 			if cerr := c.Control(func(fd uintptr) {
 				serr = unix.SetsockoptInt(int(fd), unix.SOL_SOCKET, unix.SO_MARK, mark)
@@ -40,6 +40,14 @@ func MarkedDoHClient(mark int, timeout time.Duration) *http.Client {
 			return serr
 		}
 	}
+	d := &net.Dialer{Timeout: timeout, Control: control}
+	d.Resolver = &net.Resolver{
+		PreferGo: true,
+		Dial: func(ctx context.Context, network, address string) (net.Conn, error) {
+			bd := &net.Dialer{Timeout: timeout, Control: control}
+			return bd.DialContext(ctx, network, address)
+		},
+	}
 	tr.DialContext = d.DialContext
 	return &http.Client{Transport: tr, Timeout: timeout}
 }

src/engine/engine.go

@@ -0,0 +1,13 @@
+package engine
+
+type PacketVerdict int
+
+const (
+	VerdictAccept PacketVerdict = iota
+	VerdictDrop
+)
+
+type Engine interface {
+	Start() error
+	Stop()
+}