利用 iptables 破除中國電信的 HTTP 緩存

2016-08-31 05:00:45 +08:00
 akw2312

老方法ˋ了,跟幹掉聯通的那套方法ˋ一模一樣。 已知 OpenWRT 相關的 firmware 可用,在廣東惠州電信實測過有效果。 (asuswrt-padavan 應該是用不了 因為缺少 string 模塊)

iptables -I INPUT -m string --string "Location: http://101.110.118" --algo bm -j DROP
iptables -I INPUT -m string --string "Location: http://101.96.10" --algo bm -j DROP
iptables -I INPUT -m string --string "Location: http://101.96.8" --algo bm -j DROP
iptables -I FORWARD -m string --string "Location: http://101.110.118" --algo bm -j DROP
iptables -I FORWARD -m string --string "Location: http://101.96.10" --algo bm -j DROP
iptables -I FORWARD -m string --string "Location: http://101.96.8" --algo bm -j DROP

題外話: 電信緩存服務器的取源 IP 都在 AS134755 如果對方服務器 BAN 掉 AS134755 的 IP 那麼會非常有趣...

13963 次点击
所在节点    宽带症候群
15 条回复
shuiyingwuhen
2016-08-31 08:26:17 +08:00
用改华硕[N14U N54U]5G 2G 的 7620 老毛子 Padavan 固件,在哪里能这样子设置?

iptables -I INPUT -m string --string "Location: http://101.110.118" --algo bm -j DROP
Lentin
2016-08-31 08:57:02 +08:00
@shuiyingwuhen telnet
v1024
2016-08-31 08:57:10 +08:00
这几条一加,百兆网秒变五兆吧…
Ellison
2016-08-31 09:23:07 +08:00
为什么主题里会有两个 ˋ
xuhaoyangx
2016-08-31 09:41:55 +08:00
=。=正好 lz 给的好,我用的软路由....

@v1024
KCheshireCat
2016-08-31 09:51:03 +08:00
既然开始用 iptables 过滤了,为何不做得更优雅一点,把跳转的抢答包按特征匹配而不是按 IP

t/297916#reply7
AII
2016-08-31 10:21:12 +08:00
其实如果电信能保证缓存文件实时性,不擅自修改,当 CDN 用就可以了,没必要非得抵制。中国因为政策原因不允许外国公司私建 CDN ,这也是中国国际网络拥堵的很大一部分原因。
另外, ISP 缓存并不是我朝特色,像中华电信、 NTT 甚至 verizon 这种级别的运营商也在搞,而且是直接 http 流量劫持,一般人根本看不出来。
hebeiround
2016-08-31 10:37:29 +08:00
繁体字,第一时间以为是中华电信。
DbaseIII
2016-08-31 10:50:15 +08:00
既然已经过滤了 INPUT 链,为何还要搞 FORWARD 链?
akw2312
2016-08-31 14:56:43 +08:00
@DbaseIII 只過濾 INPUT 路由器底下的設備不會過濾掉啊..
akw2312
2016-08-31 15:03:34 +08:00
@KCheshireCat 我只會這個方法, 而且 u32 我手上路由器也不支持 otz
@AII
我自己就是中華電信用戶....HINET 的確是 HTTP 直接劫持掉的
CT 那個緩存常常速度比直連才慢 才幫朋友去幹掉他的..
btw, hinet 那套 HTTP 緩存人多照樣就卡的要命 還好影響最大的 twitch 已經全站 HTTPS 了..
說起來台灣有個營運商這個月直接 0.0.0.0/0 port 80 443 8080 都劫持 自家內網也照樣劫持並且限速..
只有 speedtest 不會限速
@hebeiround 很遺憾的是中華電信的劫持並不能解決:( 就算你的機器在 IDC 機房骨幹下面他照樣劫持你
skylancer
2016-08-31 16:41:56 +08:00
@DbaseIII 你不过滤 FORWARD 等于白设置......
ovear
2016-08-31 17:51:39 +08:00
iptables: No chain/target/match by that name.

gg 这是不支持的意思么
akw2312
2016-09-01 00:39:55 +08:00
@ovear merlin 和 padavan(老毛子)好像都不行..目測 iptables 模塊不完整
guoyijun163
2016-10-07 15:36:27 +08:00
可惜还有很多地方劫持缓存的时候会给双方发 RST ……即使忽略掉电信劫持包也无法正常建立链接

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/302815

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX