如何屏蔽 SS 服务器访问的 IP 段
发布网友
发布时间:2022-04-26 16:02
共1个回答
热心网友
时间:2023-10-13 08:05
我已经下载并得到了chnroute.list,也创建好了ipset。
查了一下 ss好像有个--acl选项,[--acl <acl_file>] config file of ACL (Access Control List)
但是貌似给ss-server没有用。 这个是个ss-local用的吗?
但是我先前尝试在OUTPUT reject所有匹配ipset的访问,并且用ownerid 识别出只有SS的流量,但是想起来这样也屏蔽了SS返回给客户端的报文。
目前想到几个思路,
A 是在INPUT标记连接到SS-SERVER的端口 connmark ,然后在OUTPUT的屏蔽访问IP段ACL之前accept 标记的连接,不过还没有测试
B 是在OUTPUT 放行 SS-SERVER的SPORT端口发出的连接,然后屏蔽国内的段。但是缺点是多端口多用户,就要写多条了。
C 在SS前面在做一个代理服务器,用PID 标识那个代理服务器并*其访问IP端。缺点应该是耗内存,然后https的透明代理要生成证书。
