解决IPv6下的sni阻断

作者: 分类:网络 字数:1783
warning: 这篇文章距离上次修改已过1387天,其中的内容可能已经有所变动。

背景

最近开通了IPv6,部署在梅林上的ss不能接管IPv6通信,导致了Google等网站被sni阻断

解决方法

方案1

在host中或dnsmasq中添加

:: google.com

server=/google.com/#
address=/google.com/::

方案2

路由器丢弃指定域名 AAAA 记录
例如

iptables -t raw -A PREROUTING  -p udp --dport 53 -m string --hex-string "|03|www|07|netflix|03|com|00001c|" --algo bm -j LOG --log-prefix "drop netflix dns query "
iptables -t raw -A PREROUTING -p udp --dport 53 -m string --hex-string "|03|www|07|netflix|03|com|00001c|" --algo bm -j DROP
ip6tables -t raw -A PREROUTING  -p udp --dport 53 -m string --hex-string "|03|www|07|netflix|03|com|00001c|" --algo bm -j LOG --log-prefix "drop netflix dns query "
ip6tables -t raw -A PREROUTING -p udp --dport 53 -m string --hex-string "|03|www|07|netflix|03|com|00001c|" --algo bm -j DROP

效果

Server:127.0.0.1
Address 1: 127.0.0.1 localhost.localdomain

Name:  google.com
Address 1: ::
Address 2: 216.58.217.206 lax17s05-in-f14.1e100.net

成功解决

版权属于:NoColor

转载时须注明出处及本声明

none
最后修改于:2021年02月05日 01:51

添加新评论

Copyright © 2024 NoColor's Blog
Powered by Typecho | Theme by Waxy