路由器丢弃指定域名 AAAA 记录

例

# IPv6 DNS Drop #
# Netflix DNS AAAA Drop #

iptables -t raw -A PREROUTING  -p udp --dport 53 -m string --hex-string "|03|www|07|netflix|03|com|00001c|" --algo bm -j LOG --log-prefix "drop netflix dns query "
iptables -t raw -A PREROUTING -p udp --dport 53 -m string --hex-string "|03|www|07|netflix|03|com|00001c|" --algo bm -j DROP
ip6tables -t raw -A PREROUTING  -p udp --dport 53 -m string --hex-string "|03|www|07|netflix|03|com|00001c|" --algo bm -j LOG --log-prefix "drop netflix dns query "
ip6tables -t raw -A PREROUTING -p udp --dport 53 -m string --hex-string "|03|www|07|netflix|03|com|00001c|" --algo bm -j DROP

添加到 /etc/firewall.user 然后重启防火墙

如此，即可防止 Netflix 通过 IPv6 直连导致代理失效。

被 TLS SNI RESET 的网站同理。

Maskeney

2019-05-14 22:16:43 +08:00

hello 楼主我今天突然起意又把 IPV6 打开了，同样为了规避 IPV4 透明代理逃逸问题，需要丢一下 AAAA 记录，除了 Netflix 之外还有哪些常用的网络服务是双栈并且容易 IPV6 优先呢？希望楼主把自己的 firewall.user 贴出来给大家参考一下

Liqianyu

2019-08-03 23:05:18 +08:00

@huaxie1988 除了 private-address 本意不是做这个功能的以外，结果很不错。顺便说下 SmartDNS 也可以。
@Maskeney 我目前也放弃了用 iptables 的方案。iptables 方案并不算好，除非你不能动 DNS 解析器。

kob521

2019-11-08 10:40:32 +08:00

@huaxie1988 这个方法很有效，我进阶了一下，把默认的 pdnsd 关掉，直接用 unbound 监听 5335 端口，然后配合 dnsmasq，所有 gfwlist 的域名用 unbound 解析，不会受到 V6 干扰

zhaidoudou123

2021-08-19 16:57:46 +08:00

感谢楼主的思路
我用了 padavan 固件内置的 dnsforwarder 把符合 list 域名的请求转发给了 smartdns，然后再禁用 smartdns 里的 ipv6 解析，这样就不用关闭整个路由器的 ipv6 aaaa 记录解析了。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/493222

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.