未分類
8 2 月 2021

Ubuntu 如何优雅地屏蔽全部中国大陆连接?

Ubuntu 如何优雅地屏蔽全部中国大陆连接?

資深大佬 : naoh1000 3

怕机场收集访问记录,搭了个自用二级落地,想屏蔽大陆访问,如何优雅地屏蔽全部中国大陆连接? iptables 的话好像要导入几千条规则,看起来不优雅,更新也很麻烦。

大佬有話說 (40)

  • 資深大佬 : dimlau

    发布斥责某卡通人物的内容即可完成反向屏蔽。

  • 資深大佬 : Jirajine

    iptables + ipset

  • 資深大佬 : hekaihao2015

    ipset

  • 資深大佬 : Kobayashi

    从 DNS 入手,让权威域名服务器向大陆地区返回 127.0.0.1,其他地区正常解析出机器 IP 。

  • 資深大佬 : Love4Taylor

    关键词 iptables geoip

  • 資深大佬 : iBugOne

    用 ipset

  • 資深大佬 : xiaoz

    nginx stream 模块支持 geoip

  • 資深大佬 : ihacku

    https://www.ip2location.com/free/visitor-blocker

  • 資深大佬 : Ediacaran

    反代 google 并公布到 v 站上

  • 資深大佬 : neoblackcap

    几千条记录,你们的机器性能真高

  • 資深大佬 : learningman

    ipset 啊,上说的有道理,ipset 导入 geoip 再 iptables

  • 資深大佬 : jinliming2

    怕机场收集访问记录,可以自己搭。
    怕自己搭的不稳,那就拿第三方做中转,中转是加密流量,能看到的只有目的到你自己服务器的一个 IP 。
    本地自建 DNS over TLS/HTTPS 。

  • 資深大佬 : naoh1000

    @Kobayashi #4 这样无法解决直接通过 IP 访问。
    @xiaoz #7 促进中美文化交流的工具走不了 nginx 。
    @ihacku #8 我之前就在考虑这个方案,就是会添加大量 iptables 规则,不方便管理。
    @jinliming2 #12 就是用机场中转自建落地,麻烦您先把帖子读完再回帖。

  • 資深大佬 : proxychains

    nginx 可以屏蔽对应国家 ip 的

  • 資深大佬 : commoccoom

    iptables 只开放机场的 IP 就行了,其它全部 drop

  • 資深大佬 : naoh1000

    @proxychains #14 促进中美文化交流的工具走不了 nginx ( v**** UDP 支持太差,其它的不支持套 nginx )。

  • 資深大佬 : naoh1000

    @commoccoom #15 同时持有好几家机场,IP 太多了还经常换。

  • 資深大佬 : LGA1150

    @neoblackcap ipset 时间复杂度 O(1) 用不了太多性能,我路由器上就有接近一万条

  • 資深大佬 : ypfepwxn

    小白问一句,不让大陆访问那你自己怎么访问?
    我现在是 clash,开代理.
    最近联通打电话给我说有违规操作,怎么才能不让别人扫描到?

  • 資深大佬 : commoccoom

    @naoh1000 那就只能像 1L 那样主动撞墙了

  • 資深大佬 : smileawei

    写策略路由,把 CN 的 ip 段都路由到不存在的地址。 这样有来包没回包

  • 資深大佬 : JmmBite

    流量走机场,回流得数据等于透明得,https 只能保证你发出的数据,若没有证书劫持(没有私钥)无法篡改而已。

  • 資深大佬 : wwqgtxx

    @JmmBite “回流得数据等于透明得”,这边强烈建议您复习一下 tls

  • 資深大佬 : JmmBite

    @wwqgtxx 莫不是你能将 tls tcp 协商阶段的都是密文的?

  • 資深大佬 : wwqgtxx

    @JmmBite 除了 sni 头,还有什么数据回程是透明的么

  • 資深大佬 : JmmBite

    @wwqgtxx 等于透明:是说机场跟你本地客户端一样都有公钥的和传回数据的解密算法,虽然传回的数据不是明文的,但是可以随时解密啊。

  • 資深大佬 : miyuki

    可以用 iptables+ipset

  • 資深大佬 : wwqgtxx

    @JmmBite 还是建议你再复习一下 tls 的加密过程,并不是全程监听整个信道就能随时解密其中的数据的,ssl/tls 本身就是设计工作在任何不安全的信道上的,无论是否有人全程或者间断的监听信道,都能保证数据不会被监听者破解(在有限时间内)

  • 資深大佬 : baoshuo

  • 資深大佬 : Sevastian

    ipset + iptables 只需要一条规则就行了

  • 資深大佬 : wwqgtxx

    @JmmBite 比如看看 CloudFlare 的简述: https://www.cloudflare.com/learning/ssl/what-happens-in-a-tls-handshake/
    实际上 https 除非你能控制通讯双方的其中一方(中间人攻击除外),否则作为监听者以目前的算法和算力是不可能破解其中的加密内容的

  • 資深大佬 : THP301

    让防火墙主动添加黑名单是成本最低的也是最有效的

  • 資深大佬 : yolee599

    装一个 ss 代理用一段时间就行了

  • 資深大佬 : cev2

    @JmmBite 26#这是什么逻辑。。这句 [ 等于透明:是说机场跟你本地客户端一样都有公钥的和传回数据的解密算法] 。TLS 是先通过非对称加密交换密钥,然后以交换的密钥对称加密传输数据。公钥不光机场,人人都有,但不能用来解密。。TLS 也不是你说的 [回流得数据等于透明得,https 只能保证你发出的数据,若没有证书劫持(没有私钥)无法篡改而已] ,而是既无法被不可发现的篡改也无法解密。预置的公钥是用来协商阶段交换下一阶段密钥用的,并不能解密下一阶段对称加密的密文

  • 資深大佬 : cev2

    @JmmBite 而且您的个人介绍还是阿里的员工?黑人问号

  • 資深大佬 : Caan07

    @dimlau #1 合格的一

  • 資深大佬 : Actrace

    curl -o cn.txt https://raw.githubusercontent.com/tmplink/IPDB/main/ipv4/cidr/CN.txt
    ipset create china_ip hash:net
    for ip in $(cat <cn.txt); do ipset -A china_ip $ip;done
    iptables -A INPUT -m set –match-set china_full src -j DROP

  • 資深大佬 : Actrace

    修正 -> iptables -A INPUT -m set –match-set china_ip src -j DROP

  • 資深大佬 : FS1P7dJz

    主似乎是问,防止”机场”收集

    那么我只能告诉你,只要机场不是你自己的服务器,就做不到,只能看机场主是否良心
    你二级落地服务器怎么折腾都没用

  • 資深大佬 : webs

    添加一个 Debian 系统的完整实现,https://debian.cn/articles/748