我正在尝试阻止所有 http/s 流量并将极少数网站列入白名单。iptables 非常适合将简单的网站列入白名单。它在异步客户端到其他连接上失效了。谷歌经常这样做。大多数谷歌的应用程序最终都会要求客户端与谷歌的 *.1e100.net 建立异步连接,这看起来像是一个拥有数百或数千个主机记录的云服务。而 iptables 根本不适合这种模式。
不太喜欢 OpenDNS 之类的解决方案。还有其他能让 Gmail 正常工作的好解决方案吗?我宁愿坚持使用 iptables,因为我知道它可能行不通。
答案1
我赞成 Braiam 的建议。使用透明模式的代理,如 squid。这意味着您将路由器设置为重定向代理上的所有出站 http/s 流量(当然,代理自己的流量也是如此)。为了最大程度地简化操作,请在路由器以外的机器上部署代理。是的,您可以创建白名单和黑名单并使用通配符,它们比 iptables 列表更容易维护,而且如果您输入了错误的一行,它们不会破坏所有内容。