全球主机交流论坛

标题: 请教各位mjj，如何禁止鸡访问某些ip段的网站？ [打印本页]

作者: lylyx 时间: 2020-3-3 17:12
标题: 请教各位mjj，如何禁止鸡访问某些ip段的网站？
想禁止访问国内网站，目前试了iptables+ipset，命令是
iptables -I INPUT -m set --match-set cn src -j DROP
iptables -I OUTPUT -m set --match-set cn dst -j DROP
但是这两条命令任一条都会导致无法连接到鸡，如果这样添加域名过滤，
iptables -I OUTPUT -m string --string "baidu.com" --algo kmp -j DROP
要添加的太多而且不知道都有啥。
找到一篇配合dnsmasq使用的，但本质还是先添加域名，解析后写入ipset。
求问mjj们有没有可以实现的方法。

作者: chuen05 时间: 2020-3-3 17:23
你自己也在墙内，也是在IP范围内，墙了你咋连

作者: my49cn 时间: 2020-3-3 17:26
本帖最后由 my49cn 于 2020-3-3 17:38 编辑

这个简单。ip route 做空路由即可。

ip route add blackhole xxx.xxx.xxx.xxx/24

作者: h2o 时间: 2020-3-3 17:27
提示: 作者被禁止或删除内容自动屏蔽

作者: forever8938 时间: 2020-3-3 17:27
用v2ray最简单了，自带国内域名列表

作者: lylyx 时间: 2020-3-3 17:36

chuen05 发表于 2020-3-3 17:23
你自己也在墙内，也是在IP范围内，墙了你咋连

是想访问域名时解析出的ip如果对应ip段就拒绝访问这样

作者: lylyx 时间: 2020-3-3 17:37
本帖最后由 lylyx 于 2020-3-3 17:39 编辑

forever8938 发表于 2020-3-3 17:27
用v2ray最简单了，自带国内域名列表

v2可以在服务器端设置吗

作者: forever8938 时间: 2020-3-3 17:38
v2ray会搭建吗，像这样就能屏蔽国内域名，还能去广告

{
"log": {
      "loglevel": "info"
},
"inbounds": [
      {
         "protocol": "shadowsocks",
         "port": 1234,
         "settings": {
            "method": "aes-128-gcm",
            "password": "12345678",
            "network": "tcp,udp"
         }
      }
],
"outbounds": [
      {
         "tag": "direct",
         "protocol": "freedom"
      },
      {
         "tag": "reject",
         "protocol": "blackhole"
      }
],
"routing": {
      "rules": [
         {
            "type": "field",
            "outboundTag": "reject",
            "domain": [
                  "geosite:category-ads-all",
                  "geosite:cn"
            ]
         },
         {
            "type": "field",
            "outboundTag": "reject",
            "ip": [
                  "geoip:private",
                  "geoip:cn"
            ]
         }
      ]
}
}

作者: lylyx 时间: 2020-3-3 17:38

h2o 发表于 2020-3-3 17:27
iptables 方便

方便是真的方便，问题是咋搞呢

作者: lylyx 时间: 2020-3-3 18:08

forever8938 发表于 2020-3-3 17:38
v2ray会搭建吗，像这样就能屏蔽国内域名，还能去广告

{

感谢大佬，刚才正在看v2官网的路由配置，但是他的outboundtag只有direct，点击解释链接跳转到的不是解释，除了direct和reject还有别的设置参数吗？在一篇文章看到有blocked，和reject是同样效果吗？如果用direct，那direct意思是直连，但是这时候数据不是已经发送到服务端了吗，难道是服务器判断direct后会向客户端返回进行直连的信息然后客户端重新进行直连连接这样？
问题有点多，麻烦大佬了。

作者: forever8938 时间: 2020-3-3 18:17
本帖最后由 forever8938 于 2020-3-3 18:45 编辑

direct和reject是标签名，可以随便取的。在上面的配置中，direct对应直连，reject对应拒绝。对服务端来说，直连就是接收代理请求，拒绝就是拒绝代理请求。所以国内域名走代理的话，会直接断开，其他域名则正常。

作者: clcavril 时间: 2020-3-3 18:34
用nginx deny啊，有全中国的ip段

作者: lylyx 时间: 2020-3-3 20:05

forever8938 发表于 2020-3-3 18:17
direct和reject是标签名，可以随便取的。在上面的配置中，direct对应直连，reject对应拒绝。对服务端来说， ...

感谢，复制大佬给的json已解决

作者: hfc_lz 时间: 2020-3-3 20:05
我用的是pi-hole，有web界面管理起来也方便

作者: lylyx 时间: 2020-3-3 20:09

clcavril 发表于 2020-3-3 18:34
用nginx deny啊，有全中国的ip段

搜了一下，需求是禁止访问网页不是禁止被访问。。还是说nginx deny也可以实现。。

欢迎光临全球主机交流论坛 (https://443502.xyz/)