V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
naoh1000
V2EX  ›  Linux

Ubuntu 如何优雅地屏蔽全部中国大陆连接?

  •  
  •   naoh1000 · 2021-02-05 18:32:18 +08:00 · 6522 次点击
    这是一个创建于 1147 天前的主题,其中的信息可能已经有所发展或是发生改变。

    怕机场收集访问记录,搭了个自用二级落地,想屏蔽大陆访问,如何优雅地屏蔽全部中国大陆连接? iptables 的话好像要导入几千条规则,看起来不优雅,更新也很麻烦。

    40 条回复    2021-02-06 16:46:17 +08:00
    dimlau
        1
    dimlau  
       2021-02-05 18:38:32 +08:00   ❤️ 62
    发布斥责某卡通人物的内容即可完成反向屏蔽。
    Jirajine
        2
    Jirajine  
       2021-02-05 18:41:17 +08:00 via Android
    iptables + ipset
    hekaihao2015
        3
    hekaihao2015  
       2021-02-05 18:42:45 +08:00
    ipset
    Kobayashi
        4
    Kobayashi  
       2021-02-05 18:52:09 +08:00 via Android
    从 DNS 入手,让权威域名服务器向大陆地区返回 127.0.0.1,其他地区正常解析出机器 IP 。
    Love4Taylor
        5
    Love4Taylor  
       2021-02-05 19:19:09 +08:00
    关键词 iptables geoip
    iBugOne
        6
    iBugOne  
       2021-02-05 19:34:37 +08:00
    用 ipset
    xiaoz
        7
    xiaoz  
       2021-02-05 19:44:54 +08:00 via Android
    nginx stream 模块支持 geoip
    ihacku
        8
    ihacku  
       2021-02-05 20:28:21 +08:00 via Android
    Ediacaran
        9
    Ediacaran  
       2021-02-05 21:14:14 +08:00   ❤️ 1
    反代 google 并公布到 v 站上
    neoblackcap
        10
    neoblackcap  
       2021-02-05 21:20:44 +08:00
    几千条记录,你们的机器性能真高
    learningman
        11
    learningman  
       2021-02-05 21:26:05 +08:00
    ipset 啊,楼上说的有道理,ipset 导入 geoip 再 iptables
    jinliming2
        12
    jinliming2  
       2021-02-05 21:58:53 +08:00
    怕机场收集访问记录,可以自己搭。
    怕自己搭的不稳,那就拿第三方做中转,中转是加密流量,能看到的只有目的到你自己服务器的一个 IP 。
    本地自建 DNS over TLS/HTTPS 。
    naoh1000
        13
    naoh1000  
    OP
       2021-02-05 22:03:45 +08:00
    @Kobayashi #4 这样无法解决直接通过 IP 访问。
    @xiaoz #7 促进中美文化交流的工具走不了 nginx 。
    @ihacku #8 我之前就在考虑这个方案,就是会添加大量 iptables 规则,不方便管理。
    @jinliming2 #12 就是用机场中转自建落地,麻烦您先把帖子读完再回帖。
    proxychains
        14
    proxychains  
       2021-02-05 22:10:36 +08:00
    nginx 可以屏蔽对应国家 ip 的
    commoccoom
        15
    commoccoom  
       2021-02-05 22:12:13 +08:00
    iptables 只开放机场的 IP 就行了,其它全部 drop
    naoh1000
        16
    naoh1000  
    OP
       2021-02-05 22:12:15 +08:00
    @proxychains #14 促进中美文化交流的工具走不了 nginx ( v**** UDP 支持太差,其它的不支持套 nginx )。
    naoh1000
        17
    naoh1000  
    OP
       2021-02-05 22:12:46 +08:00
    @commoccoom #15 同时持有好几家机场,IP 太多了还经常换。
    LGA1150
        18
    LGA1150  
       2021-02-05 22:14:50 +08:00
    @neoblackcap ipset 时间复杂度 O(1) 用不了太多性能,我路由器上就有接近一万条
    ypfepwxn
        19
    ypfepwxn  
       2021-02-05 22:15:02 +08:00
    小白问一句,不让大陆访问那你自己怎么访问?
    我现在是 clash,开代理.
    最近联通打电话给我说有违规操作,怎么才能不让别人扫描到?
    commoccoom
        20
    commoccoom  
       2021-02-05 22:17:09 +08:00
    @naoh1000 那就只能像 1L 那样主动撞墙了🤣
    smileawei
        21
    smileawei  
       2021-02-05 22:20:13 +08:00
    写策略路由,把 CN 的 ip 段都路由到不存在的地址。 这样有来包没回包
    JmmBite
        22
    JmmBite  
       2021-02-05 22:50:52 +08:00
    流量走机场,回流得数据等于透明得,https 只能保证你发出的数据,若没有证书劫持(没有私钥)无法篡改而已。
    wwqgtxx
        23
    wwqgtxx  
       2021-02-05 23:11:24 +08:00
    @JmmBite “回流得数据等于透明得”,这边强烈建议您复习一下 tls
    JmmBite
        24
    JmmBite  
       2021-02-05 23:17:15 +08:00
    @wwqgtxx 莫不是你能将 tls tcp 协商阶段的都是密文的?
    wwqgtxx
        25
    wwqgtxx  
       2021-02-05 23:21:39 +08:00 via iPhone
    @JmmBite 除了 sni 头,还有什么数据回程是透明的么
    JmmBite
        26
    JmmBite  
       2021-02-05 23:24:56 +08:00
    @wwqgtxx 等于透明:是说机场跟你本地客户端一样都有公钥的和传回数据的解密算法,虽然传回的数据不是明文的,但是可以随时解密啊。
    miyuki
        27
    miyuki  
       2021-02-05 23:26:30 +08:00 via iPhone
    可以用 iptables+ipset
    wwqgtxx
        28
    wwqgtxx  
       2021-02-05 23:31:54 +08:00 via iPhone
    @JmmBite 还是建议你再复习一下 tls 的加密过程,并不是全程监听整个信道就能随时解密其中的数据的,ssl/tls 本身就是设计工作在任何不安全的信道上的,无论是否有人全程或者间断的监听信道,都能保证数据不会被监听者破解(在有限时间内)
    baoshuo
        29
    baoshuo  
       2021-02-05 23:36:33 +08:00
    🤔我觉得可以先在上面搭个 L2TP,然后不断连接直到被封
    Sevastian
        30
    Sevastian  
       2021-02-05 23:38:32 +08:00
    ipset + iptables 只需要一条规则就行了
    wwqgtxx
        31
    wwqgtxx  
       2021-02-05 23:43:19 +08:00
    @JmmBite 比如看看 CloudFlare 的简述: https://www.cloudflare.com/learning/ssl/what-happens-in-a-tls-handshake/
    实际上 https 除非你能控制通讯双方的其中一方(中间人攻击除外),否则作为监听者以目前的算法和算力是不可能破解其中的加密内容的
    THP301
        32
    THP301  
       2021-02-05 23:43:20 +08:00
    让防火墙主动添加黑名单是成本最低的也是最有效的
    yolee599
        33
    yolee599  
       2021-02-06 08:37:24 +08:00 via Android
    装一个 ss 代理用一段时间就行了
    cev2
        34
    cev2  
       2021-02-06 11:46:21 +08:00
    @JmmBite 26#这是什么逻辑。。这句 [ 等于透明:是说机场跟你本地客户端一样都有公钥的和传回数据的解密算法] 。TLS 是先通过非对称加密交换密钥,然后以交换的密钥对称加密传输数据。公钥不光机场,人人都有,但不能用来解密。。TLS 也不是你说的 [回流得数据等于透明得,https 只能保证你发出的数据,若没有证书劫持(没有私钥)无法篡改而已] ,而是既无法被不可发现的篡改也无法解密。预置的公钥是用来协商阶段交换下一阶段密钥用的,并不能解密下一阶段对称加密的密文
    cev2
        35
    cev2  
       2021-02-06 11:51:21 +08:00
    @JmmBite 而且您的个人介绍还是阿里的员工?黑人问号
    Caan07
        36
    Caan07  
       2021-02-06 14:54:49 +08:00
    @dimlau #1 合格的一楼
    Actrace
        37
    Actrace  
       2021-02-06 14:56:49 +08:00
    curl -o cn.txt https://raw.githubusercontent.com/tmplink/IPDB/main/ipv4/cidr/CN.txt
    ipset create china_ip hash:net
    for ip in $(cat <cn.txt); do ipset -A china_ip $ip;done
    iptables -A INPUT -m set --match-set china_full src -j DROP
    Actrace
        38
    Actrace  
       2021-02-06 14:58:41 +08:00
    修正 -> iptables -A INPUT -m set --match-set china_ip src -j DROP
    FS1P7dJz
        39
    FS1P7dJz  
       2021-02-06 15:18:59 +08:00
    楼主似乎是问,防止"机场"收集

    那么我只能告诉你,只要机场不是你自己的服务器,就做不到,只能看机场主是否良心
    你二级落地服务器怎么折腾都没用
    webs
        40
    webs  
       2021-02-06 16:46:17 +08:00
    添加一个 Debian 系统的完整实现,https://debian.cn/articles/748
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1042 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 22:36 · PVG 06:36 · LAX 15:36 · JFK 18:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.