解决IPv6下的sni阻断
背景
最近开通了IPv6,部署在梅林上的ss不能接管IPv6通信,导致了Google等网站被sni阻断
解决方法
方案1
在host中或dnsmasq中添加
:: google.com或
server=/google.com/#
address=/google.com/::方案2
路由器丢弃指定域名 AAAA 记录
例如
iptables -t raw -A PREROUTING -p udp --dport 53 -m string --hex-string "|03|www|07|netflix|03|com|00001c|" --algo bm -j LOG --log-prefix "drop netflix dns query "
iptables -t raw -A PREROUTING -p udp --dport 53 -m string --hex-string "|03|www|07|netflix|03|com|00001c|" --algo bm -j DROP
ip6tables -t raw -A PREROUTING -p udp --dport 53 -m string --hex-string "|03|www|07|netflix|03|com|00001c|" --algo bm -j LOG --log-prefix "drop netflix dns query "
ip6tables -t raw -A PREROUTING -p udp --dport 53 -m string --hex-string "|03|www|07|netflix|03|com|00001c|" --algo bm -j DROP效果
Server:127.0.0.1
Address 1: 127.0.0.1 localhost.localdomain
Name: google.com
Address 1: ::
Address 2: 216.58.217.206 lax17s05-in-f14.1e100.net成功解决
解决IPv6下的sni阻断
https://nocolor.cc/archives/16/