排列5走势图首页    注册   登录
排列5走势图 = way to explore
排列5走势图 是一个排列5走势图关于 分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
xiaoz
排列5走势图  ›  Linux

请教下怎样控制 Linux 的出口访问,只允许 Linux 访问指定域名?

  •  
  •   xiaoz · 9 天前 · 1789 次点击

    iptables 可以控制出口流量,但是只能针对 IP 进行限制,无法针对域名。


    需求是这样的,限制了整个公网出口,只允许排列5走势图服务 器去请求特定的一些域名,比如只允许请求百度,百度全国 CDN,拥有很多节点 IP,并且这些 IP 可能还会变化,因此将百度的 IP 全部加入 iptables 也不太现实,这里排列5走势图我 也无法去收集到这些域名的 IP 或 IP 段,请问还有其它办法控制 Linux 的出口域名白名单吗?

    PS:这些域名可能启用了 CDN,CDN 的 IP 可能会不断的变化中。

    14 条回复    2020-03-27 17:19:53 +08:00
    wdlth
        1
    wdlth   9 天前   ❤️ 1
    可以自己建个 DNS
    zst
        2
    zst   9 天前   ❤️ 1
    可以直接用 string 匹配域名吧
    wolonggl
        3
    wolonggl   9 天前   ❤️ 2
    dnsmasq+ipset
    xiaoz
        4
    xiaoz   9 天前
    @zst #2,感谢,排列5走势图我 去看看 iptables 的 string 匹配。
    fengtons
        5
    fengtons   9 天前 via Android   ❤️ 1
    最高效的应该是 3 楼说,参考一下各种翻墙教程
    2exploring
        6
    2exploring   9 天前   ❤️ 1
    v2ray + 透明网关 应该也可
    jinliming2
        7
    jinliming2   9 天前 via iPhone   ❤️ 1
    应该可以通过 HTTP header 中的 host 、HTTPS TLS 中的 SNI 来匹配访问的网站吧……
    v2ray 好像可以?然后用 iptables 的 redirect ?
    jim9606
        8
    jim9606   9 天前   ❤️ 1
    通常的做法是全部流量都使用 HTTP Proxy,缺点就是只能支持 TCP 了。
    这种用户层的排列5走势图方法 可以通过劫持 libc 实现,proxychains 用了这个排列5走势图方法 ,不过只适用于动态链接 libc 的程序

    dnsmasq+ipset 有些时候会有漏网之鱼,例如如果 a.comb.com 都 host 在同一个 CDN 主机 h.cdn.com 上,如果程序查询完白名单站点 a.com 的 DNS 后向 h.cdn.com 的 IP 发送 Host 为 b.com 的 HTTP(S)请求就会被放行
    west5211
        9
    west5211   8 天前   ❤️ 1
    3 楼+1
    qakito
        10
    qakito   8 天前   ❤️ 2
    一种做法:
    LAN 口针对 UDP dport=53 的报文做 redirect 到排列5走势图本地 ,排列5走势图本地 的 DNS server 就可以对黑名单里的域名进行干预(例如返回 No such domain)
    缺点是:
    如果排列5走势图本地 通过 hosts 文件提前解析,排列5走势图你 无能为力
    microlz
        11
    microlz   8 天前   ❤️ 1
    可以不设置 dns 排列5走势图服务 器 然后通过 hosts 解析
    araraloren
        12
    araraloren   8 天前
    DNS 污染??(小声 (逃
    tomychen
        13
    tomychen   8 天前
    10# +1
    iptables + L7 补丁,也可以做到协议 filter
    tvirus
        14
    tvirus   7 天前
    用 adguard home 里 DNS 封锁试一试
    排列5走势图关于   ·   FAQ   ·   API   ·   排列5走势图排列5走势图我 们 的愿景   ·   广告投放   ·   感谢   ·   实用小排列5走势图工具   ·   1261 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 23:39 · PVG 07:39 · LAX 16:39 · JFK 19:39
    ♥ Do have faith in what you're doing.