请教各位mjj，如何禁止鸡访问某些ip段的网站？

lylyx · 2020-3-3 17:12:14

想禁止访问国内网站，目前试了iptables+ipset，命令是
iptables -I INPUT -m set --match-set cn src -j DROP
iptables -I OUTPUT -m set --match-set cn dst -j DROP
但是这两条命令任一条都会导致无法连接到鸡，如果这样添加域名过滤，
iptables -I OUTPUT -m string --string "baidu.com" --algo kmp -j DROP
要添加的太多而且不知道都有啥。
找到一篇配合dnsmasq使用的，但本质还是先添加域名，解析后写入ipset。
求问mjj们有没有可以实现的方法。

chuen05 · 2020-3-3 17:23:41

你自己也在墙内，也是在IP范围内，墙了你咋连

my49cn · 2020-3-3 17:26:48

本帖最后由 my49cn 于 2020-3-3 17:38 编辑

这个简单。ip route 做空路由即可。

ip route add blackhole xxx.xxx.xxx.xxx/24

h2o · 2020-3-3 17:27:51

用v2ray最简单了，自带国内域名列表

forever8938 · 2020-3-3 17:27:57

chuen05 发表于 2020-3-3 17:23

你自己也在墙内，也是在IP范围内，墙了你咋连
是想访问域名时解析出的ip如果对应ip段就拒绝访问这样

lylyx · 2020-3-3 17:36:40

本帖最后由 lylyx 于 2020-3-3 17:39 编辑

forever8938 发表于 2020-3-3 17:27

用v2ray最简单了，自带国内域名列表

v2可以在服务器端设置吗

lylyx · 2020-3-3 17:23:00

v2ray会搭建吗，像这样就能屏蔽国内域名，还能去广告

{
"log": {
      "loglevel": "info"
},
"inbounds": [
      {
         "protocol": "shadowsocks",
         "port": 1234,
         "settings": {
            "method": "aes-128-gcm",
            "password": "12345678",
            "network": "tcp,udp"
         }
      }
],
"outbounds": [
      {
         "tag": "direct",
         "protocol": "freedom"
      },
      {
         "tag": "reject",
         "protocol": "blackhole"
      }
],
"routing": {
      "rules": [
         {
            "type": "field",
            "outboundTag": "reject",
            "domain": [
                  "geosite:category-ads-all",
                  "geosite:cn"
            ]
         },
         {
            "type": "field",
            "outboundTag": "reject",
            "ip": [
                  "geoip:private",
                  "geoip:cn"
            ]
         }
      ]
}
}

forever8938 · 2020-3-3 17:37:45

h2o 发表于 2020-3-3 17:27

iptables 方便
方便是真的方便，问题是咋搞呢

lylyx · 2020-3-3 17:27:00

forever8938 发表于 2020-3-3 17:38

v2ray会搭建吗，像这样就能屏蔽国内域名，还能去广告

{
感谢大佬，刚才正在看v2官网的路由配置，但是他的outboundtag只有direct，点击解释链接跳转到的不是解释，除了direct和reject还有别的设置参数吗？在一篇文章看到有blocked，和reject是同样效果吗？如果用direct，那direct意思是直连，但是这时候数据不是已经发送到服务端了吗，难道是服务器判断direct后会向客户端返回进行直连的信息然后客户端重新进行直连连接这样？
问题有点多，麻烦大佬了。

		立即注册	自动登录	找回密码
密码			立即注册