如何屏蔽 SS 服务器访问大陆的 IP 段?

2015-01-31 15:12:39 +08:00
 myliyifei
我已经下载并得到了chnroute.list,也创建好了ipset。


查了一下 ss好像有个--acl选项,[--acl <acl_file>] config file of ACL (Access Control List)
但是貌似给ss-server没有用。 这个是个ss-local用的吗?

但是我先前尝试在OUTPUT reject所有匹配ipset的访问,并且用ownerid 识别出只有SS的流量,但是想起来这样也屏蔽了SS返回给客户端的报文。



目前想到几个思路,

A 是在INPUT标记连接到SS-SERVER的端口 connmark ,然后在OUTPUT的屏蔽访问IP段ACL之前accept 标记的连接,不过还没有测试

B 是在OUTPUT 放行 SS-SERVER的SPORT端口发出的连接,然后屏蔽国内的段。但是缺点是多端口多用户,就要写多条了。

C 在SS前面在做一个代理服务器,用PID 标识那个代理服务器并限制其访问IP端。缺点应该是耗内存,然后https的透明代理要生成证书。

大家有更优雅的方法吗
10581 次点击
所在节点    Linux
25 条回复
Showfom
2015-01-31 16:20:28 +08:00
iptables?
chinawrj
2015-01-31 16:22:17 +08:00
iptables -A OUTPUT -p tcp --sport server_port -j ACCEPT
iptables -A OUTPUT -p tcp -m geoip --dst-cc CN -j DROP

另外iptables支持端口范围匹配
chinawrj
2015-01-31 16:24:07 +08:00
还有用啥,ipset啊,麻烦
tobyxdd
2015-01-31 16:29:18 +08:00
tobyxdd
2015-01-31 16:31:05 +08:00
可以只屏蔽http/https协议 或者直接禁止访问大陆IP的80和443端口
myliyifei
2015-01-31 16:35:36 +08:00
@tobyxdd 比较旧了,我昨天看一下,最新的58XX条了。
tobyxdd
2015-01-31 16:49:59 +08:00
@myliyifei 这个是每24小时更新的 行数少是因为相邻段自动合并了
KyonLi
2015-01-31 18:04:13 +08:00
myliyifei
2015-01-31 18:17:44 +08:00
@KyonLi 难点不是这张表啊,这个list已经有了
KyonLi
2015-01-31 18:18:21 +08:00
@myliyifei 对啊,所以一条iptables规则就行了
myliyifei
2015-01-31 18:19:30 +08:00
@tobyxdd 这个服务不错。。
myliyifei
2015-01-31 18:26:00 +08:00
@KyonLi NO, 你只加了一条规则,禁止localhost访问国内IP段,那么SS如何给客户端发送数据包呢? 我目前是实现了端口的方式,还要自定义链
KyonLi
2015-01-31 18:46:25 +08:00
@myliyifei 哦,对,忽略这个问题了
ryd994
2015-01-31 22:41:05 +08:00
你先把related允许掉嘛,
只reject new就行
myliyifei
2015-01-31 22:43:05 +08:00
@ryd994 related 是相关的连接啊,比如ftp-control 产生的ftp-data
ryd994
2015-01-31 22:55:46 +08:00
@myliyifei 我错了……
established
advans
2015-01-31 23:03:17 +08:00
不明白为什么非要费力气做这么不讨好的事儿!
myliyifei
2015-01-31 23:06:11 +08:00
@ryd994 能完整的说一下吗?
ryd994
2015-01-31 23:14:45 +08:00
@myliyifei
output,如果是established,related ,允许
output,如果是 new,判断geoip规则
这样就是只限制出站的。
因为入站连接的返回部分会被作为established允许。
myliyifei
2015-01-31 23:18:33 +08:00
@ryd994 恩,new的话,我直接用ipset判定好了。加不加NEW都没有意义吧?另外,SS会产生 related这个状态吗? netstat可以看到related状态吧

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/167031

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX