Ubuntu 如何优雅地屏蔽全部中国大陆连接？

写策略路由，把 CN 的 ip 段都路由到不存在的地址。 这样有来包没回包

流量走机场，回流得数据等于透明得，https 只能保证你发出的数据，若没有证书劫持（没有私钥）无法篡改而已。

@JmmBite “回流得数据等于透明得”，这边强烈建议您复习一下 tls

@wwqgtxx 莫不是你能将 tls tcp 协商阶段的都是密文的？

@JmmBite 除了 sni 头，还有什么数据回程是透明的么

@wwqgtxx 等于透明：是说机场跟你本地客户端一样都有公钥的和传回数据的解密算法，虽然传回的数据不是明文的，但是可以随时解密啊。

可以用 iptables+ipset

@JmmBite 还是建议你再复习一下 tls 的加密过程，并不是全程监听整个信道就能随时解密其中的数据的，ssl/tls 本身就是设计工作在任何不安全的信道上的，无论是否有人全程或者间断的监听信道，都能保证数据不会被监听者破解（在有限时间内）

🤔我觉得可以先在上面搭个 L2TP，然后不断连接直到被封

ipset + iptables 只需要一条规则就行了

@JmmBite 比如看看 CloudFlare 的简述： https://www.cloudflare.com/learning/ssl/what-happens-in-a-tls-handshake/
实际上 https 除非你能控制通讯双方的其中一方（中间人攻击除外），否则作为监听者以目前的算法和算力是不可能破解其中的加密内容的

让防火墙主动添加黑名单是成本最低的也是最有效的

装一个 ss 代理用一段时间就行了

@JmmBite 26#这是什么逻辑。。这句 [ 等于透明：是说机场跟你本地客户端一样都有公钥的和传回数据的解密算法] 。TLS 是先通过非对称加密交换密钥，然后以交换的密钥对称加密传输数据。公钥不光机场，人人都有，但不能用来解密。。TLS 也不是你说的 [回流得数据等于透明得，https 只能保证你发出的数据，若没有证书劫持（没有私钥）无法篡改而已] ，而是既无法被不可发现的篡改也无法解密。预置的公钥是用来协商阶段交换下一阶段密钥用的，并不能解密下一阶段对称加密的密文

@JmmBite 而且您的个人介绍还是阿里的员工？黑人问号

@dimlau #1 合格的一楼

curl -o cn.txt https://raw.githubusercontent.com/tmplink/IPDB/main/ipv4/cidr/CN.txt
ipset create china_ip hash:net
for ip in $(cat <cn.txt); do ipset -A china_ip $ip;done
iptables -A INPUT -m set --match-set china_full src -j DROP

修正 -> iptables -A INPUT -m set --match-set china_ip src -j DROP

楼主似乎是问,防止"机场"收集

那么我只能告诉你,只要机场不是你自己的服务器,就做不到,只能看机场主是否良心
你二级落地服务器怎么折腾都没用

添加一个 Debian 系统的完整实现，https://debian.cn/articles/748