这是一个创建于 1371 天前的主题,其中的信息可能已经有所发展或是发生改变。
怕机场收集访问记录,搭了个自用二级落地,想屏蔽大陆访问,如何优雅地屏蔽全部中国大陆连接? iptables 的话好像要导入几千条规则,看起来不优雅,更新也很麻烦。
 |
1
dimlau 2021-02-05 18:38:32 +08:00  62
发布斥责某卡通人物的内容即可完成反向屏蔽。
|
 |
2
Jirajine 2021-02-05 18:41:17 +08:00 via Android
iptables + ipset
|
 |
3
hekaihao2015 2021-02-05 18:42:45 +08:00
ipset
|
 |
4
Kobayashi 2021-02-05 18:52:09 +08:00 via Android
从 DNS 入手,让权威域名服务器向大陆地区返回 127.0.0.1,其他地区正常解析出机器 IP 。
|
 |
5
Love4Taylor 2021-02-05 19:19:09 +08:00
关键词 iptables geoip
|
 |
6
iBugOne 2021-02-05 19:34:37 +08:00
用 ipset
|
 |
7
xiaoz 2021-02-05 19:44:54 +08:00 via Android
nginx stream 模块支持 geoip
|
 |
8
ihacku 2021-02-05 20:28:21 +08:00 via Android
|
 |
9
Ediacaran 2021-02-05 21:14:14 +08:00 1
反代 google 并公布到 v 站上
|
 |
10
neoblackcap 2021-02-05 21:20:44 +08:00
几千条记录,你们的机器性能真高
|
 |
11
learningman 2021-02-05 21:26:05 +08:00
ipset 啊,楼上说的有道理,ipset 导入 geoip 再 iptables
|
 |
12
jinliming2 2021-02-05 21:58:53 +08:00
怕机场收集访问记录,可以自己搭。
怕自己搭的不稳,那就拿第三方做中转,中转是加密流量,能看到的只有目的到你自己服务器的一个 IP 。 本地自建 DNS over TLS/HTTPS 。 |
 |
13
naoh1000 OP @Kobayashi #4 这样无法解决直接通过 IP 访问。
@xiaoz #7 促进中美文化交流的工具走不了 nginx 。 @ihacku #8 我之前就在考虑这个方案,就是会添加大量 iptables 规则,不方便管理。 @jinliming2 #12 就是用机场中转自建落地,麻烦您先把帖子读完再回帖。 |
 |
14
proxychains 2021-02-05 22:10:36 +08:00
nginx 可以屏蔽对应国家 ip 的
|
 |
15
commoccoom 2021-02-05 22:12:13 +08:00
iptables 只开放机场的 IP 就行了,其它全部 drop
|
|
16
naoh1000 OP @proxychains #14 促进中美文化交流的工具走不了 nginx ( v**** UDP 支持太差,其它的不支持套 nginx )。
|
|
17
naoh1000 OP @commoccoom #15 同时持有好几家机场,IP 太多了还经常换。
|
 |
18
LGA1150 2021-02-05 22:14:50 +08:00
@neoblackcap ipset 时间复杂度 O(1) 用不了太多性能,我路由器上就有接近一万条
|
 |
19
ypfepwxn 2021-02-05 22:15:02 +08:00
小白问一句,不让大陆访问那你自己怎么访问?
我现在是 clash,开代理. 最近联通打电话给我说有违规操作,怎么才能不让别人扫描到? |
|
20
commoccoom 2021-02-05 22:17:09 +08:00
@naoh1000 那就只能像 1L 那样主动撞墙了🤣
|
 |
21
smileawei 2021-02-05 22:20:13 +08:00
写策略路由,把 CN 的 ip 段都路由到不存在的地址。 这样有来包没回包
|
 |
22
JmmBite 2021-02-05 22:50:52 +08:00
流量走机场,回流得数据等于透明得,https 只能保证你发出的数据,若没有证书劫持(没有私钥)无法篡改而已。
|
|
26
JmmBite 2021-02-05 23:24:56 +08:00
@wwqgtxx 等于透明:是说机场跟你本地客户端一样都有公钥的和传回数据的解密算法,虽然传回的数据不是明文的,但是可以随时解密啊。
|
 |
27
miyuki 2021-02-05 23:26:30 +08:00 via iPhone
可以用 iptables+ipset
|
 |
28
wwqgtxx 2021-02-05 23:31:54 +08:00 via iPhone
@JmmBite 还是建议你再复习一下 tls 的加密过程,并不是全程监听整个信道就能随时解密其中的数据的,ssl/tls 本身就是设计工作在任何不安全的信道上的,无论是否有人全程或者间断的监听信道,都能保证数据不会被监听者破解(在有限时间内)
|
 |
29
baoshuo 2021-02-05 23:36:33 +08:00
🤔我觉得可以先在上面搭个 L2TP,然后不断连接直到被封
|
 |
30
Sevastian 2021-02-05 23:38:32 +08:00
ipset + iptables 只需要一条规则就行了
|
|
31
wwqgtxx 2021-02-05 23:43:19 +08:00
@JmmBite 比如看看 CloudFlare 的简述: https://www.cloudflare.com/learning/ssl/what-happens-in-a-tls-handshake/
实际上 https 除非你能控制通讯双方的其中一方(中间人攻击除外),否则作为监听者以目前的算法和算力是不可能破解其中的加密内容的 |
 |
32
THP301 2021-02-05 23:43:20 +08:00
让防火墙主动添加黑名单是成本最低的也是最有效的
|
 |
33
yolee599 2021-02-06 08:37:24 +08:00 via Android
装一个 ss 代理用一段时间就行了
|
 |
34
cev2 2021-02-06 11:46:21 +08:00
@JmmBite 26#这是什么逻辑。。这句 [ 等于透明:是说机场跟你本地客户端一样都有公钥的和传回数据的解密算法] 。TLS 是先通过非对称加密交换密钥,然后以交换的密钥对称加密传输数据。公钥不光机场,人人都有,但不能用来解密。。TLS 也不是你说的 [回流得数据等于透明得,https 只能保证你发出的数据,若没有证书劫持(没有私钥)无法篡改而已] ,而是既无法被不可发现的篡改也无法解密。预置的公钥是用来协商阶段交换下一阶段密钥用的,并不能解密下一阶段对称加密的密文
|
 |
37
Actrace 2021-02-06 14:56:49 +08:00
curl -o cn.txt https://raw.githubusercontent.com/tmplink/IPDB/main/ipv4/cidr/CN.txt
ipset create china_ip hash:net for ip in $(cat <cn.txt); do ipset -A china_ip $ip;done iptables -A INPUT -m set --match-set china_full src -j DROP |
|
38
Actrace 2021-02-06 14:58:41 +08:00
修正 -> iptables -A INPUT -m set --match-set china_ip src -j DROP
|
 |
39
FS1P7dJz 2021-02-06 15:18:59 +08:00
楼主似乎是问,防止"机场"收集
那么我只能告诉你,只要机场不是你自己的服务器,就做不到,只能看机场主是否良心 你二级落地服务器怎么折腾都没用 |
 |
40
webs 2021-02-06 16:46:17 +08:00
添加一个 Debian 系统的完整实现,https://debian.cn/articles/748
|
Select Language