diff --git a/docs/manual.en.md b/docs/manual.en.md
index 8449a3a..33053ba 100644
--- a/docs/manual.en.md
+++ b/docs/manual.en.md
@@ -3829,8 +3829,8 @@ Target OS throws away OOB byte from the stream but DPI may analyze message with
 the newer one to the next byte. Therefore, the value th_urp=0 is invalid according to the new standard, but it can still work.
 To enable it, specify "urp=b".
 - "urp=e" inserts an OOB byte after the very last byte of the payload - generally useless for DPI bypass, since DPI gets the entire original message.
-- Requires redirection of incoming traffic within `--in-range=-s1`
-- In Windows, for protocols in which the server initially waits for a client request, `--wf-tcp-in` is not needed. Automatically intercepted incoming packets with the SYN flag are sufficient.
+- For protocols in which the server initially waits for a client request, `--in-range=-s1` is enough. In Windows `--wf-tcp-in` is not needed. Automatically intercepted incoming packets with the SYN flag are sufficient.
+- For protocols that send data before the first message from client all incoming packets before that message should be intercepted. In Windows `--wf-tcp-in` is required.
 - Cannot be filtered by payload because after the start it's not possible to stop and not to insert the byte. Inserting a byte without OOB breaks the data.
 - Hostlist filtering is only possible with `--ipcache-hostname`.
 - oob is "lasting" desync. If profile switch occurs before oob is finished it must be duplicated to that profile or TCP will break because of sequence desync.
diff --git a/docs/manual.md b/docs/manual.md
index 130b171..a0265cc 100644
--- a/docs/manual.md
+++ b/docs/manual.md
@@ -4016,6 +4016,8 @@ function oob(ctx, desync)
 более новый - на следующий за ним байт. Поэтому значение th_urp=0 невалидно по новому стандарту, но все еще может работать.
 Чтобы задействовать его укажите "urp=b".
 - "urp=e" вставляет OOB байт после самого последнего байта пейлоада - для обхода DPI как правило бесполезно, поскольку DPI получает все оригинальное сообщение.
+- Для протоколов, в которых в самом начале сервер ждет запроса от клиента, требуется разрешение входящих в пределах `--in-range=-s1`. В Windows `--wf-tcp-in` не нужен. Достаточно автоматически перехватываемых SYN. К таким протоколам относятся http и tls.
+- Для протоколов, где сервер что-то шлет до первого сообщения от клиента, требуется разрешить все входящие пакеты до отсылки первого исходящего пакета с данными. В Windows `--wf-tcp-in` обязателен.
 - Требуется перенаправление входящего трафика в пределах `--in-range=-s1`
 - В Windows для протоколов, в которых в самом начале сервер ждет запроса от клиента, `--wf-tcp-in` не нужен. Достаточно автоматически перехватываемых входящих пакетов с флагом SYN.
 - Не может быть отфильтровано по пейлоаду, поскольку после начала модификации tcp handshake соскок уже невозможен, иначе поедут sequence.