请问 OS X 下怎么屏蔽特定端口网址 https?

2016-03-11 09:56:22 +08:00
 echohanyu

比如 www.baidu.com 在 443 端口上屏蔽?

2644 次点击
所在节点    macOS
9 条回复
shiji
2016-03-11 10:26:18 +08:00
只能针对 IP ,不能针对网址吧
DreaMQ
2016-03-11 10:32:11 +08:00
-p tcp -m string --string "baidu.com" --algo bm --to 65535 -j REJECT
yeyeye
2016-03-11 10:44:03 +08:00
@shiji 支持 SNI 的会发送明文信息的域名,我想可以屏蔽哟
echohanyu
2016-03-11 12:50:44 +08:00
@shiji
我也是只搜到了屏蔽 IP 的方法。。。
@DreaMQ
谢谢我去试试
@yeyeye 谢谢回复
wkdhf233
2016-03-11 12:55:05 +08:00
Proxifier 把所有发往 443 的数据劫持到 SNIProxy 上,然后 SNIProxy 配置里单独把百度的给拒绝掉应该可以
话说百度应该不存在跟别人共享 IP 的情况吧。。直接根据 IP 屏蔽其实也差不多?
shiji
2016-03-11 13:09:12 +08:00
@echohanyu 我找到了一篇绕过 sni 屏蔽的论文。 https://hal.inria.fr/hal-01202712/document 但是没找到现成的屏蔽方案。按理来说只要把带 sni 的那个数据包扔了就行
shiji
2016-03-13 02:27:28 +08:00
@echohanyu
@yeyeye
我刚刚发现,即使服务器/浏览器不支持 SNI , 在你访问 HTTPS 网站的时候,高级的防火墙都能抠出来 vhost 的域名。 有 SNI 的情况下可以扣 SNI , 没有 SNI 就解析服务器返回给你的公钥,里面是有公钥的域名信息的。
yeyeye
2016-03-13 03:43:47 +08:00
@shiji 你访问的那个域名 还是证书里所有的域名,如果是所有的域名则无意义。
chztv
2016-03-14 17:32:11 +08:00
Surge Mac 版可以。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/262690

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX