Fix e2e: real SOCKS5 CONNECT through tunnel, not local port check

- Old DnsttSOCKSCheckBin only checked if TCP port opened — dnstt-client
  opens the port immediately before Noise handshake, giving false positives
- Old waitAndTestSOCKS5Auth only did SOCKS5 auth which is handled locally
  by dnstt-client, never touching the DNS tunnel

New waitAndTestSOCKS5Connect sends a SOCKS5 CONNECT request to
example.com:80 through the tunnel. The request travels:
  client → dnstt-client → DNS tunnel → resolver → dnstt-server → reply
Any SOCKS5 reply (even failure) proves bidirectional tunnel data flow.

Also: remove test-url, proxy-auth, curl deps from TUI/CLI/guide,
update GUIDE.md with worker recommendations (5-10 for e2e),
add --batch/--resume for large scans.

Author: SamNet-dev

GUIDE.md

@@ -199,8 +199,8 @@ TUI شما را قدم به قدم راهنمایی می‌کند:
 
 **بخش E2E (اختیاری):**
 - **E2E Testing** — به صورت پیش‌فرض خاموش است. وقتی روشن کنید:
-  - وضعیت باینری‌ها را نشان می‌دهد (✔ یا ✘ برای `dnstt-client`، `slipstream-client`، `curl`)
-  - فیلدهای Pubkey، Cert Path، Test URL، Proxy Auth و E2E Timeout ظاهر می‌شوند
+  - وضعیت باینری‌ها را نشان می‌دهد (✔ یا ✘ برای `dnstt-client` و `slipstream-client`)
+  - فیلدهای Pubkey، Cert Path، Query Size و E2E Timeout ظاهر می‌شوند
   - بدون باینری‌ها اسکن شروع نمی‌شود — ابتدا آن‌ها را نصب کنید
 
 **توضیح فیلدهای E2E:**
@@ -216,16 +216,18 @@ TUI شما را قدم به قدم راهنمایی می‌کند:
   - باید یک بار از سرور به سیستم خود کپی کنید (مثلاً با `scp`) و مسیر لوکالش را وارد کنید
   - مثال: `/home/user/cert.pem`
 
-- **Query Size** — حداکثر سایز query DNS که dnstt-client می‌فرستد (بایت). پیش‌فرض: خالی (حداکثر ممکن).
-  - اگر در ایران همه e2e فیل می‌شوند، مقدار 50 تا 80 را امتحان کنید
-  - بعضی فیلترها query‌های بزرگ را بلاک می‌کنند
+- **Query Size** — حداکثر سایز query DNS که dnstt-client می‌فرستد (بایت). پیش‌فرض: ۵۰.
+  - مقدار ۵۰ بهترین عملکرد را روی شبکه‌های فیلتر شده ایران دارد
+  - بعضی فیلترها query‌های بزرگ را بلاک می‌کنند — مقدار ۵۰ تا ۸۰ بهترین رنج است
+  - مقدار ۰ = حداکثر ممکن (فقط برای شبکه‌های بدون فیلتر)
 
-- **Test URL** — آدرس سایتی که از طریق تانل تست می‌شود. پیش‌فرض: `http://httpbin.org/ip`
-  - معمولاً نیازی به تغییر ندارد
+- **E2E Timeout** — حداکثر زمان انتظار برای هر تست e2e (ثانیه). پیش‌فرض: ۱۵ ثانیه.
 
-- **Proxy Auth** — احراز هویت SOCKS به فرمت `user:pass`. فقط اگر سرور شما رمز دارد.
-
-- **E2E Timeout** — حداکثر زمان انتظار برای هر تست e2e (ثانیه). پیش‌فرض: 20 ثانیه.
+**نکته مهم درباره Workers برای e2e:**
+- برای تست e2e، تعداد worker بالا (مثلاً ۵۰) می‌تواند سرور dnstt شما را overload کند
+- پیشنهاد: **۵ تا ۱۰ worker** برای e2e (مخصوصاً روی شبکه‌های فیلتر شده ایران)
+- هر تست e2e واقعاً یک تانل dnstt باز می‌کند و Noise handshake رمزنگاری‌شده انجام می‌دهد — سنگین‌تر از تست‌های DNS ساده است
+- سرور ضعیف: `--workers 5` | سرور قوی: `--workers 10`
 
 هر فیلد یک توضیح در پایین صفحه نشان می‌دهد.
 
@@ -797,8 +799,9 @@ findns scan -i resolvers.txt -o results.json \
 
 > با `--edns`: `ping -> nxdomain -> edns -> resolve/tunnel -> e2e/dnstt`
 
-نیازمند: `dnstt-client` و `curl` در PATH. این مرحله واقعاً dnstt-client را اجرا می‌کند، یک تانل SOCKS می‌سازد و با curl از طریق آن تانل یک صفحه وب را باز می‌کند.
-- متریک: `e2e_ms` (کل زمان از شروع تا اتصال موفق)
+نیازمند: `dnstt-client` در PATH. این مرحله واقعاً dnstt-client را اجرا می‌کند و Noise handshake رمزنگاری‌شده را از طریق هر resolver تست می‌کند. اگر handshake موفق شود = resolver برای تانل کار می‌کند.
+- متریک: `socks_ms` (زمان تا تکمیل Noise handshake)
+- پیشنهاد: `--workers 5` تا `--workers 10` برای e2e (تعداد بالا سرور را overload می‌کند)
 
 ### اسکن با تست واقعی Slipstream (اختیاری)
 
@@ -847,8 +850,6 @@ findns scan -i doh-resolvers.txt -o results.json \
 | `--domain` | دامنه تانل (فعال‌سازی تست tunnel/edns) | — |
 | `--pubkey` | کلید عمومی سرور DNSTT (فعال‌سازی تست e2e) | — |
 | `--cert` | مسیر فایل گواهی Slipstream | — |
-| `--test-url` | آدرسی که از طریق تانل تست شود | `http://httpbin.org/ip` |
-| `--proxy-auth` | احراز هویت پروکسی SOCKS به صورت `user:pass` (برای تست e2e) | — |
 | `--doh` | حالت DoH به جای UDP | `false` |
 | `--skip-ping` | رد کردن مرحله ping (مفید اگر ICMP مسدود باشد) | `false` |
 | `--edns` | فعال‌سازی تست سایز EDNS payload (اختیاری) | `false` |
@@ -1192,7 +1193,6 @@ findns scan -i resolvers.txt -o results.json --skip-nxdomain
 # بررسی:
 which dnstt-client       # برای DNSTT
 which slipstream-client  # برای Slipstream
-which curl               # برای هر دو
 
 # اگر نیست، نصب کنید (بخش 1 را ببینید)
 # یا باینری را در همان فولدر findns بگذارید
@@ -1237,13 +1237,18 @@ ss -ulnp | grep :53
 </div>
 
 ```bash
-# پیش‌فرض 10 ثانیه — برای شبکه کند بیشتر کنید:
+# پیش‌فرض 15 ثانیه — برای شبکه کند بیشتر کنید:
 findns scan -i resolvers.txt -o results.json \
   --domain t.example.com --pubkey abc123... --e2e-timeout 20
 ```
 
 <div dir="rtl">
 
+**۴.۵ تعداد worker زیاد:**
+- اگر همه e2e تایم‌اوت می‌شوند ولی تست تکی کار می‌کند: **workerها زیادند**
+- هر تست e2e یک تانل واقعی باز می‌کند — ۵۰ تانل همزمان سرور را overload می‌کند
+- `--workers 5` یا `--workers 10` برای e2e استفاده کنید
+
 **۵. pubkey اشتباه:**
 - pubkey باید دقیقاً همان کلیدی باشد که سرور DNSTT با آن اجرا شده
 - اگر pubkey اشتباه باشد، dnstt-client بدون پیام خطا فیل می‌شود
@@ -1371,13 +1376,14 @@ https://dns.quad9.net/dns-query
 | `--timeout` | `-t` | تایم‌اوت هر تلاش (ثانیه) | `3` |
 | `--count` | `-c` | تعداد تلاش برای هر IP | `3` |
 | `--workers` | — | تعداد workerهای موازی | `50` |
-| `--e2e-timeout` | — | تایم‌اوت تست‌های e2e (ثانیه) | `20` |
+| `--e2e-timeout` | — | تایم‌اوت تست‌های e2e (ثانیه) | `15` |
 | `--include-failed` | — | IPهای فیل‌شده از ورودی JSON را هم اسکن کن | `false` |
 
 **تنظیم workers:**
-- سرور ضعیف یا اینترنت کند: `--workers 20`
-- سرور قوی: `--workers 100`
-- پیش‌فرض 50 برای اکثر سرورها مناسب است
+- بدون e2e (فقط DNS): `--workers 50` پیش‌فرض خوبه، تا `--workers 100` هم مشکلی نداره
+- **با e2e:** حتماً کمتر کنید! `--workers 5` تا `--workers 10` پیشنهاد می‌شود
+  - هر تست e2e یک تانل واقعی dnstt باز می‌کند — ۱۰ تانل همزمان بار زیادی روی سرور dnstt می‌گذارد
+  - بیشتر از ۱۰ worker ممکن است باعث timeout شود (سرور نمی‌تواند همه handshake‌ها را همزمان جواب دهد)
 
 **تنظیم timeout:**
 - شبکه ایران (resolverهای کند): `-t 5`

cmd/chain.go

@@ -100,7 +100,7 @@ func buildStep(cfg stepConfig, defaultTimeout, defaultCount int, ports chan int,
 		if !ok || pubkey == "" {
 			return scanner.Step{}, fmt.Errorf("step %q: missing required param 'pubkey'", cfg.name)
 		}
-		return scanner.Step{Name: "e2e/dnstt", Timeout: dur, Check: scanner.DnsttSOCKSCheckBin(binPaths["dnstt-client"], domain, pubkey, ports), SortBy: "socks_ms"}, nil
+		return scanner.Step{Name: "e2e/dnstt", Timeout: dur, Check: scanner.DnsttCheckBin(binPaths["dnstt-client"], domain, pubkey, ports), SortBy: "socks_ms"}, nil
 
 	case "e2e/slipstream":
 		domain, ok := cfg.params["domain"]

cmd/scan.go

@@ -68,7 +68,9 @@ func init() {
 	scanCmd.Flags().StringSlice("cidr", nil, "CIDR range(s) to scan (e.g. --cidr 5.52.0.0/16)")
 	scanCmd.Flags().String("cidr-file", "", "text file with one CIDR range per line to scan")
 	scanCmd.Flags().String("output-ips", "", "write plain IP list (one per line) to this file")
-scanCmd.Flags().Int("top", 10, "number of top results to display")
+	scanCmd.Flags().Int("top", 10, "number of top results to display")
+	scanCmd.Flags().Int("batch", 0, "scan N resolvers at a time, saving after each batch (0 = all at once)")
+	scanCmd.Flags().Bool("resume", false, "skip IPs already in the output file (resume a previous scan)")
 	rootCmd.AddCommand(scanCmd)
 }
 
@@ -81,7 +83,9 @@ func runScan(cmd *cobra.Command, args []string) error {
 	skipNXD, _ := cmd.Flags().GetBool("skip-nxdomain")
 	ednsMode, _ := cmd.Flags().GetBool("edns")
 	topN, _ := cmd.Flags().GetInt("top")
-outputIPs, _ := cmd.Flags().GetString("output-ips")
+	outputIPs, _ := cmd.Flags().GetString("output-ips")
+	batchSize, _ := cmd.Flags().GetInt("batch")
+	resume, _ := cmd.Flags().GetBool("resume")
 
 	ednsSize, _ := cmd.Flags().GetInt("edns-size")
 	querySize, _ := cmd.Flags().GetInt("query-size")
@@ -243,7 +247,7 @@ outputIPs, _ := cmd.Flags().GetString("output-ips")
 			// handshake succeeds — proving bidirectional tunnel data flow.
 			steps = append(steps, scanner.Step{
 				Name: "e2e/dnstt", Timeout: time.Duration(e2eTimeout) * time.Second,
-				Check: scanner.DnsttSOCKSCheckBin(dnsttBin, domain, pubkey, ports), SortBy: "socks_ms",
+				Check: scanner.DnsttCheckBin(dnsttBin, domain, pubkey, ports), SortBy: "socks_ms",
 			})
 		}
 		if domain != "" && certPath != "" {
@@ -258,6 +262,52 @@ outputIPs, _ := cmd.Flags().GetString("output-ips")
 		return fmt.Errorf("no scan steps configured")
 	}
 
+	// --resume: load existing results and skip already-scanned IPs
+	var allPassed []scanner.IPRecord
+	if resume {
+		if existing, err := scanner.LoadChainReport(outputFile); err == nil {
+			seen := make(map[string]bool, len(existing.Passed)+len(existing.Failed))
+			for _, r := range existing.Passed {
+				seen[r.IP] = true
+				allPassed = append(allPassed, r)
+			}
+			for _, r := range existing.Failed {
+				seen[r.IP] = true
+			}
+			filtered := ips[:0]
+			for _, ip := range ips {
+				if !seen[ip] {
+					filtered = append(filtered, ip)
+				}
+			}
+			skipped := len(ips) - len(filtered)
+			ips = filtered
+			fmt.Fprintf(os.Stderr, "  %s✔ Resume: skipping %d already-scanned IPs, %d remaining%s\n",
+				colorGreen, skipped, len(ips), colorReset)
+			if len(ips) == 0 {
+				fmt.Fprintf(os.Stderr, "  %s✔ All IPs already scanned%s\n", colorGreen, colorReset)
+				return nil
+			}
+		}
+	}
+
+	if outputIPs == "" {
+		outputIPs = strings.TrimSuffix(outputFile, ".json") + "_ips.txt"
+	}
+
+	// saveResults writes current results to JSON + IP list
+	saveResults := func(report scanner.ChainReport) {
+		// Merge with previously loaded results from --resume
+		merged := report
+		if len(allPassed) > 0 {
+			merged.Passed = append(allPassed, report.Passed...)
+		}
+		scanner.WriteChainReport(merged, outputFile)
+		if len(merged.Passed) > 0 {
+			scanner.WriteIPList(merged.Passed, outputIPs)
+		}
+	}
+
 	printBanner(len(ips), dohMode, domain, steps)
 	printPreFlight(len(ips), domain, dnsttBin, slipstreamBin, steps)
 
@@ -266,6 +316,61 @@ outputIPs, _ := cmd.Flags().GetString("output-ips")
 
 	scanner.ResetE2EDiagnostic()
 	scanStart := time.Now()
+
+	// --batch: split IPs into chunks, save after each batch
+	if batchSize > 0 && len(ips) > batchSize {
+		var combinedReport scanner.ChainReport
+		totalBatches := (len(ips) + batchSize - 1) / batchSize
+		for i := 0; i < len(ips); i += batchSize {
+			if ctx.Err() != nil {
+				break
+			}
+			end := i + batchSize
+			if end > len(ips) {
+				end = len(ips)
+			}
+			batchNum := i/batchSize + 1
+			chunk := ips[i:end]
+			fmt.Fprintf(os.Stderr, "\n  %s━━━ Batch %d/%d (%d IPs) ━━━%s\n\n",
+				colorCyan, batchNum, totalBatches, len(chunk), colorReset)
+
+			report := scanner.RunChainQuietCtx(ctx, chunk, workers, steps,
+				newScanProgressFactory(len(steps), stepDescriptions))
+
+			// Merge into combined report
+			combinedReport.Passed = append(combinedReport.Passed, report.Passed...)
+			combinedReport.Failed = append(combinedReport.Failed, report.Failed...)
+			if len(combinedReport.Steps) == 0 {
+				combinedReport.Steps = report.Steps
+			} else {
+				for j := range combinedReport.Steps {
+					if j < len(report.Steps) {
+						combinedReport.Steps[j].Tested += report.Steps[j].Tested
+						combinedReport.Steps[j].Passed += report.Steps[j].Passed
+						combinedReport.Steps[j].Failed += report.Steps[j].Failed
+						combinedReport.Steps[j].Seconds += report.Steps[j].Seconds
+					}
+				}
+			}
+
+			// Save after each batch
+			saveResults(combinedReport)
+			totalPassed := len(allPassed) + len(combinedReport.Passed)
+			fmt.Fprintf(os.Stderr, "  %s✔ Batch %d done — %d passed so far — saved to %s%s\n",
+				colorGreen, batchNum, totalPassed, outputFile, colorReset)
+		}
+
+		totalTime := time.Since(scanStart)
+		if ctx.Err() != nil {
+			fmt.Fprintf(os.Stderr, "\n  %s⚠ Interrupted — partial results saved to %s%s\n", colorYellow, outputFile, colorReset)
+		}
+		printSummary(combinedReport, topN, totalTime, domain)
+		totalPassed := len(allPassed) + len(combinedReport.Passed)
+		fmt.Fprintf(os.Stderr, "  %s✔ IP list written to %s (%d IPs)%s\n", colorGreen, outputIPs, totalPassed, colorReset)
+		return nil
+	}
+
+	// No batching — scan all at once
 	report := scanner.RunChainQuietCtx(ctx, ips, workers, steps, newScanProgressFactory(len(steps), stepDescriptions))
 	totalTime := time.Since(scanStart)
 
@@ -274,19 +379,11 @@ outputIPs, _ := cmd.Flags().GetString("output-ips")
 	}
 
 	printSummary(report, topN, totalTime, domain)
+	saveResults(report)
 
-	if err := scanner.WriteChainReport(report, outputFile); err != nil {
-		return err
-	}
-	// Auto-generate _ips.txt alongside JSON (same as TUI behavior)
-	if outputIPs == "" && len(report.Passed) > 0 {
-		outputIPs = strings.TrimSuffix(outputFile, ".json") + "_ips.txt"
-	}
-	if outputIPs != "" && len(report.Passed) > 0 {
-		if err := scanner.WriteIPList(report.Passed, outputIPs); err != nil {
-			return fmt.Errorf("writing IP list: %w", err)
-		}
-		fmt.Fprintf(os.Stderr, "  %s✔ IP list written to %s (%d IPs)%s\n", colorGreen, outputIPs, len(report.Passed), colorReset)
+	totalPassed := len(allPassed) + len(report.Passed)
+	if totalPassed > 0 {
+		fmt.Fprintf(os.Stderr, "  %s✔ IP list written to %s (%d IPs)%s\n", colorGreen, outputIPs, totalPassed, colorReset)
 	}
 	return nil
 }

internal/scanner/chain.go

@@ -165,3 +165,16 @@ func WriteChainReport(report ChainReport, path string) error {
 	}
 	return os.WriteFile(path, data, 0644)
 }
+
+// LoadChainReport reads a previously saved ChainReport from disk.
+func LoadChainReport(path string) (ChainReport, error) {
+	raw, err := os.ReadFile(path)
+	if err != nil {
+		return ChainReport{}, err
+	}
+	var report ChainReport
+	if err := json.Unmarshal(raw, &report); err != nil {
+		return ChainReport{}, err
+	}
+	return report, nil
+}

internal/scanner/doh.go

@@ -237,7 +237,7 @@ func dohDnsttCheck(bin, domain, pubkey string, ports chan int) CheckFunc {
 			ports <- port
 		}()
 
-		if !waitAndTestSOCKS5Auth(ctx, port, exited) {
+		if !waitAndTestSOCKS5Connect(ctx, port, exited) {
 			if diagOnce.CompareAndSwap(false, true) {
 				processExitedEarly := false
 				select {