V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
akw2312
V2EX  ›  宽带症候群

利用 iptables 破除中國電信的 HTTP 緩存

  •  
  •   akw2312 · 2016-08-31 05:00:45 +08:00 · 13975 次点击
    这是一个创建于 3012 天前的主题,其中的信息可能已经有所发展或是发生改变。

    老方法ˋ了,跟幹掉聯通的那套方法ˋ一模一樣。 已知 OpenWRT 相關的 firmware 可用,在廣東惠州電信實測過有效果。 (asuswrt-padavan 應該是用不了 因為缺少 string 模塊)

    iptables -I INPUT -m string --string "Location: http://101.110.118" --algo bm -j DROP
    iptables -I INPUT -m string --string "Location: http://101.96.10" --algo bm -j DROP
    iptables -I INPUT -m string --string "Location: http://101.96.8" --algo bm -j DROP
    iptables -I FORWARD -m string --string "Location: http://101.110.118" --algo bm -j DROP
    iptables -I FORWARD -m string --string "Location: http://101.96.10" --algo bm -j DROP
    iptables -I FORWARD -m string --string "Location: http://101.96.8" --algo bm -j DROP
    

    題外話: 電信緩存服務器的取源 IP 都在 AS134755 如果對方服務器 BAN 掉 AS134755 的 IP 那麼會非常有趣...

    第 1 条附言  ·  2016-09-19 14:58:40 +08:00
    華碩老毛子固件已經支持了 請更新至 9/3 之後的版本。
    15 条回复    2016-10-07 15:36:27 +08:00
    shuiyingwuhen
        1
    shuiyingwuhen  
       2016-08-31 08:26:17 +08:00
    用改华硕[N14U N54U]5G 2G 的 7620 老毛子 Padavan 固件,在哪里能这样子设置?

    iptables -I INPUT -m string --string "Location: http://101.110.118" --algo bm -j DROP
    Lentin
        2
    Lentin  
       2016-08-31 08:57:02 +08:00
    v1024
        3
    v1024  
       2016-08-31 08:57:10 +08:00 via iPhone
    这几条一加,百兆网秒变五兆吧…
    Ellison
        4
    Ellison  
       2016-08-31 09:23:07 +08:00
    为什么主题里会有两个 ˋ
    xuhaoyangx
        5
    xuhaoyangx  
       2016-08-31 09:41:55 +08:00
    =。=正好 lz 给的好,我用的软路由....

    @v1024
    KCheshireCat
        6
    KCheshireCat  
       2016-08-31 09:51:03 +08:00
    既然开始用 iptables 过滤了,为何不做得更优雅一点,把跳转的抢答包按特征匹配而不是按 IP

    t/297916#reply7
    AII
        7
    AII  
       2016-08-31 10:21:12 +08:00 via Android
    其实如果电信能保证缓存文件实时性,不擅自修改,当 CDN 用就可以了,没必要非得抵制。中国因为政策原因不允许外国公司私建 CDN ,这也是中国国际网络拥堵的很大一部分原因。
    另外, ISP 缓存并不是我朝特色,像中华电信、 NTT 甚至 verizon 这种级别的运营商也在搞,而且是直接 http 流量劫持,一般人根本看不出来。
    hebeiround
        8
    hebeiround  
       2016-08-31 10:37:29 +08:00 via iPhone
    繁体字,第一时间以为是中华电信。
    DbaseIII
        9
    DbaseIII  
       2016-08-31 10:50:15 +08:00
    既然已经过滤了 INPUT 链,为何还要搞 FORWARD 链?
    akw2312
        10
    akw2312  
    OP
       2016-08-31 14:56:43 +08:00
    @DbaseIII 只過濾 INPUT 路由器底下的設備不會過濾掉啊..
    akw2312
        11
    akw2312  
    OP
       2016-08-31 15:03:34 +08:00   ❤️ 1
    @KCheshireCat 我只會這個方法, 而且 u32 我手上路由器也不支持 otz
    @AII
    我自己就是中華電信用戶....HINET 的確是 HTTP 直接劫持掉的
    CT 那個緩存常常速度比直連才慢 才幫朋友去幹掉他的..
    btw, hinet 那套 HTTP 緩存人多照樣就卡的要命 還好影響最大的 twitch 已經全站 HTTPS 了..
    說起來台灣有個營運商這個月直接 0.0.0.0/0 port 80 443 8080 都劫持 自家內網也照樣劫持並且限速..
    只有 speedtest 不會限速
    @hebeiround 很遺憾的是中華電信的劫持並不能解決:( 就算你的機器在 IDC 機房骨幹下面他照樣劫持你
    skylancer
        12
    skylancer  
       2016-08-31 16:41:56 +08:00
    @DbaseIII 你不过滤 FORWARD 等于白设置......
    ovear
        13
    ovear  
       2016-08-31 17:51:39 +08:00
    iptables: No chain/target/match by that name.

    gg 这是不支持的意思么
    akw2312
        14
    akw2312  
    OP
       2016-09-01 00:39:55 +08:00
    @ovear merlin 和 padavan(老毛子)好像都不行..目測 iptables 模塊不完整
    guoyijun163
        15
    guoyijun163  
       2016-10-07 15:36:27 +08:00
    可惜还有很多地方劫持缓存的时候会给双方发 RST ……即使忽略掉电信劫持包也无法正常建立链接
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3638 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 10:31 · PVG 18:31 · LAX 02:31 · JFK 05:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.