Ubuntu 如何优雅地屏蔽全部中国大陆连接?

2021-02-05 18:32:18 +08:00
 naoh1000

怕机场收集访问记录,搭了个自用二级落地,想屏蔽大陆访问,如何优雅地屏蔽全部中国大陆连接? iptables 的话好像要导入几千条规则,看起来不优雅,更新也很麻烦。

6805 次点击
所在节点    Linux
40 条回复
smileawei
2021-02-05 22:20:13 +08:00
写策略路由,把 CN 的 ip 段都路由到不存在的地址。 这样有来包没回包
JmmBite
2021-02-05 22:50:52 +08:00
流量走机场,回流得数据等于透明得,https 只能保证你发出的数据,若没有证书劫持(没有私钥)无法篡改而已。
wwqgtxx
2021-02-05 23:11:24 +08:00
@JmmBite “回流得数据等于透明得”,这边强烈建议您复习一下 tls
JmmBite
2021-02-05 23:17:15 +08:00
@wwqgtxx 莫不是你能将 tls tcp 协商阶段的都是密文的?
wwqgtxx
2021-02-05 23:21:39 +08:00
@JmmBite 除了 sni 头,还有什么数据回程是透明的么
JmmBite
2021-02-05 23:24:56 +08:00
@wwqgtxx 等于透明:是说机场跟你本地客户端一样都有公钥的和传回数据的解密算法,虽然传回的数据不是明文的,但是可以随时解密啊。
miyuki
2021-02-05 23:26:30 +08:00
可以用 iptables+ipset
wwqgtxx
2021-02-05 23:31:54 +08:00
@JmmBite 还是建议你再复习一下 tls 的加密过程,并不是全程监听整个信道就能随时解密其中的数据的,ssl/tls 本身就是设计工作在任何不安全的信道上的,无论是否有人全程或者间断的监听信道,都能保证数据不会被监听者破解(在有限时间内)
baoshuo
2021-02-05 23:36:33 +08:00
🤔我觉得可以先在上面搭个 L2TP,然后不断连接直到被封
Sevastian
2021-02-05 23:38:32 +08:00
ipset + iptables 只需要一条规则就行了
wwqgtxx
2021-02-05 23:43:19 +08:00
@JmmBite 比如看看 CloudFlare 的简述: https://www.cloudflare.com/learning/ssl/what-happens-in-a-tls-handshake/
实际上 https 除非你能控制通讯双方的其中一方(中间人攻击除外),否则作为监听者以目前的算法和算力是不可能破解其中的加密内容的
THP301
2021-02-05 23:43:20 +08:00
让防火墙主动添加黑名单是成本最低的也是最有效的
yolee599
2021-02-06 08:37:24 +08:00
装一个 ss 代理用一段时间就行了
cev2
2021-02-06 11:46:21 +08:00
@JmmBite 26#这是什么逻辑。。这句 [ 等于透明:是说机场跟你本地客户端一样都有公钥的和传回数据的解密算法] 。TLS 是先通过非对称加密交换密钥,然后以交换的密钥对称加密传输数据。公钥不光机场,人人都有,但不能用来解密。。TLS 也不是你说的 [回流得数据等于透明得,https 只能保证你发出的数据,若没有证书劫持(没有私钥)无法篡改而已] ,而是既无法被不可发现的篡改也无法解密。预置的公钥是用来协商阶段交换下一阶段密钥用的,并不能解密下一阶段对称加密的密文
cev2
2021-02-06 11:51:21 +08:00
@JmmBite 而且您的个人介绍还是阿里的员工?黑人问号
Caan07
2021-02-06 14:54:49 +08:00
@dimlau #1 合格的一楼
Actrace
2021-02-06 14:56:49 +08:00
curl -o cn.txt https://raw.githubusercontent.com/tmplink/IPDB/main/ipv4/cidr/CN.txt
ipset create china_ip hash:net
for ip in $(cat <cn.txt); do ipset -A china_ip $ip;done
iptables -A INPUT -m set --match-set china_full src -j DROP
Actrace
2021-02-06 14:58:41 +08:00
修正 -> iptables -A INPUT -m set --match-set china_ip src -j DROP
FS1P7dJz
2021-02-06 15:18:59 +08:00
楼主似乎是问,防止"机场"收集

那么我只能告诉你,只要机场不是你自己的服务器,就做不到,只能看机场主是否良心
你二级落地服务器怎么折腾都没用
webs
2021-02-06 16:46:17 +08:00
添加一个 Debian 系统的完整实现,https://debian.cn/articles/748

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/751645

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX