根据 GeoIP 数据库阻断所有目标 IP 为中国的连接
代码登录后可见
根据 CIDR 阻断特定 IP 段的连接
代码登录后可见
阻断 Xray Reality/ShadowTLS 连接
原理:Xray Reality/ShadowTLS 等协议的 TLS 握手是 “盗用” 其他正常网站的,但连接的目标 IP 是代理服务器而并非这些网站的真正 IP。因此可以通过 DNS 查询 SNI 域名解析到的地址,如果连接的目标 IP 不在这些地址中,则阻断连接。
Warning
为了尽量降低误伤,下面提供的规则中除了使用系统默认 DNS 外还通过另外两个服务器进行查询,只要目标 IP 在任何结果中出现则放行。请根据实际网络环境对规则进行调整。如果域名无法解析,则 代码登录后可见 函数会出错导致此条规则出错,也不会阻断连接。
代码登录后可见
分析器
分析器是 OpenGFW 的重要组件之一,作用是分析连接,检查是否是支持的协议,并从该连接中提取信息,作为提供给规则引擎的属性,以便与用户提供的规则进行匹配。OpenGFW 会自动分析提供的规则中引用了哪些分析器,仅启用需要的分析器。
本文档列出了每个分析器提供的属性。所有列出的属性都可以在规则中使用。
Tip
许多分析器并非一次性提供全部属性,而是会随着传输进行逐步增加/更新字段。例如,当一个 HTTP 连接发送了请求但还没有收到响应时,HTTP 分析器只会有 代码登录后可见 部分而没有 代码登录后可见。每个连接会在任何属性发生变化时匹配一次规则。规则需要能正确处理需要的字段为 代码登录后可见 的情况。(如 代码登录后可见 或利用 代码登录后可见 操作符 代码登录后可见)
内置
每个连接都会有以下内置属性:
代码登录后可见
阻止到 代码登录后可见 的 UDP 流量:
代码登录后可见
DNS (TCP & UDP)
对于请求:
代码登录后可见
对于相应:
代码登录后可见
丢弃 代码登录后可见 的 DNS 请求:
代码登录后可见
FET (全加密连接)
请阅读论文 [链接登录后可见] 以获取更多信息。
代码登录后可见
屏蔽全加密连接:
代码登录后可见
HTTP
代码登录后可见
屏蔽对 代码登录后可见 的 HTTP 请求:
代码登录后可见
SSH
代码登录后可见
屏蔽 SSH:
代码登录后可见
TLS
代码登录后可见
屏蔽对 代码登录后可见 的 TLS 请求:
代码登录后可见
QUIC
QUIC 解析器的格式与 TLS 一样,但是目前只支持请求 (req) 部分:
代码登录后可见
屏蔽对 代码登录后可见 的 QUIC 请求:
代码登录后可见
Trojan (代理协议)
代码登录后可见
屏蔽 Trojan 连接:
代码登录后可见
Warning
Trojan 检测目前依赖基于流量特征的启发式算法,并不保证完全准确。有大概 0.6% 的假阳性率和 10% 的假阴性率。像上述规则这样直接屏蔽所有疑似 Trojan 的连接可能导致误伤正常 TLS 连接。目前建议使用日志模式记录下 IP 地址,进行额外的人工审查。
SOCKS
SOCKS4:
代码登录后可见
SOCKS5 无验证:
代码登录后可见
SOCKS5 带验证:
代码登录后可见
屏蔽到 代码登录后可见 的 SOCKS 请求,以及带有用户名 代码登录后可见 的 SOCKS 请求:
代码登录后可见
WireGuard
代码登录后可见
屏蔽 WireGuard:
代码登录后可见
OpenVPN
OpenVPN 分析器对于 TCP 和 UDP 模式都可以检测。注意如果你的 OpenVPN 配置包含了 代码登录后可见 则不能正常工作,因为在这种情况下连接会被一个预共享密钥加密,成为全加密连接。
代码登录后可见
屏蔽 OpenVPN(如果检测到超过 50 个 OpenVPN 包,防止误伤):
代码登录后可见
内置函数
除了 [链接登录后可见],我们还提供了一些额外的内置函数,可以在表达式中使用:
代码登录后可见
检查一个 IP 地址是否在一个 CIDR 范围内。示例:
代码登录后可见
代码登录后可见
检查一个 IP 地址是否来自一个国家,使用来自 [链接登录后可见] 的数据。
示例:
代码登录后可见
代码登录后可见
检查一个域名是否属于一个特定的类别,使用来自 [链接登录后可见] 的数据。
示例:
代码登录后可见
代码登录后可见
对指定的域名进行 DNS 查询,返回 IP 地址列表(同时包括 A 和 AAAA 记录)。如果未指定服务器地址,则使用系统默认的 DNS。此操作使用标准 DNS 协议(不是 DNS over TLS、DNS over HTTPS 等),且服务器地址必须同时包括 IP 地址和端口(如 代码登录后可见)。
示例:
代码登录后可见