添加iptables规则，防止ss回源国内

hdown

添加以下规则后，ss服务器将不能对国内IP建立连接。

1. iptables -A OUTPUT -m geoip --dst-cc CN  -j REJECT

复制代码

使用上面命令前，请先按照下面教程为iptables添加geoip模块

https://daenney.github.io/2017/01/07/geoip-filtering-iptables.html

如果是debian或ubuntu，就是直接执行下面命令

apt install xtables-addons-common xtables-addons-dkms libtext-csv-xs-perl
/usr/lib/xtables-addons/xt_geoip_dl
mkdir /usr/share/xt_geoip
/usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip GeoIPCountryWhois.csv GeoIPv6.csv

记得保存和开机自动恢复iptables规则。


操作完成后，ss服务器就不会再访问国内服务器了。高墙也不会知道你是一台代理服务器了。

本教程需要一定的linux知识。且各个linux发行版操作方式不尽相同。责任自负。

Tran

不懂是什么意思，这样把国内ip封了，酸酸也连不上，那还怎么代理


update：弄明白了

geniusxiaoxiao

试过了，不行。且HK的IP也被一起禁了

qaulau

只禁止出口连接，也就是服务器主动连接，ftp会受影响，入口连接正常，小鸡不会失联，这是在考iptables操作基础

hdown

大华影院 发表于 2017-10-20 17:23
是不是楼主iptables 规则另外放行了22端口

不是

hdown

蓝鹰 发表于 2017-10-20 17:42
我执行了后国内的所有都没法用，直接是全部封死的

是啊。就是做这个用啊。
不然你以为是啥？？？？一脸懵逼

大华影院

是不是楼主iptables 规则另外放行了22端口

lining0701

这是谁想出来的点子？你堵的是vps主动对国内发起的访问。
难道酸酸程序会主动连接到国内？或者你的服务器装有上有高墙的间谍客户端？会主动去跟高墙报告说你是xx用户。否则我想不出来为何你的vps上有个上网代理程序要主动连接国内ip，真的是好笑做法，掩耳盗铃。

dupit8

大华影院 发表于 2017-10-20 15:41
debian9 iptables v1.6.0 应用规则iptables之后ssh无法访问

本来就应该不能访问，你只能先连国外的其他机器然后用其他机器连。所以说能访问，那就见鬼了。这种是没毛用的规则，只会给自己添堵。

大华影院

debian9 iptables v1.6.0 应用规则iptables之后ssh无法访问

hdown

yilin101 发表于 2017-10-20 13:38
make  all-recursive
make[1]: Entering directory `/root/xtables-addons-1.47'
Making all in extensions ...

http://www.jslink.org/linux/xtables-addons-iptables-geoip.html