centos 使用 pptdp 创建了 vpn，请问怎样禁止连上该 vpn 的用户访问 baidu.com？先谢谢了

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 3230 天前的主题，其中的信息可能已经有所发展或是发生改变。

13 条回复 • 2016-01-19 14:54:44 +08:00

ryd994

2016-01-19 14:02:44 +08:00 via Android

iptables -I FORWARD -d 百度 IP 段 -j REJECT

复杂一点可以做 squid 劫持，劫持下来以后当然想干什么干什么了，还可以缓存，参考国内小运营商

xiaodaigou

2016-01-19 14:04:04 +08:00

好！抵制百度！！！
iptables -I OUTPUT -p tcp --dport 80 -m string --string "baidu.com" --algo kmp -j DROP

gtalk

2016-01-19 14:09:53 +08:00

蛤蛤蛤～

Devin

2016-01-19 14:12:26 +08:00 via iPhone

@xiaodaigou 好厉害， iptables 的高级用法。。。顺便问下，改 hosts 文件不行吗

ryd994

2016-01-19 14:16:29 +08:00 via Android

@xiaodaigou 你这样，引用了百度资源的站会很惨吧，不过有 gzip 不一定有事
@Devin 这个问题问的好。不行
但是你可以考虑劫持 DNS ，并对 DNS 进行过滤

看看国内小 ISP 怎么做，都一样的

nbndco

2016-01-19 14:16:44 +08:00

@xiaodaigou 这样所有连喷 baidu.com 的网站都上不去了

ryd994

2016-01-19 14:20:41 +08:00 via Android

@xiaodaigou 按这个思路其实可以用 string 去 match DNS 包啊，性能更好
-p udp --dport 53 -m string --string baidu.com -j DROP

ryd994

2016-01-19 14:21:18 +08:00 via Android

@nbndco 网页内容有 gzip ，一般没事

tobyxdd

2016-01-19 14:23:05 +08:00

DNS 污染+尽可能屏蔽所有百度 IP 吧

yaoppp

2016-01-19 14:23:51 +08:00

dnsmasq 里
server=/baidu.com/0.0.0.0
不行？

vibrance

2016-01-19 14:30:57 +08:00

@xiaodaigou putty 执行这个后也 save 后重启防火墙，还是可以打开哦

vibrance

2016-01-19 14:32:50 +08:00

@Devin 改 hotos 只对在转 centos 本地有效，现在需要的是连该 vpn 的用户打不开百度

xiaodaigou

2016-01-19 14:54:44 +08:00

@vibrance 缓存？