我正在尝试阻止所有 http/s 流量并将极少数网站列入白名单。iptables 可以很好地将简单的网站列入白名单。它在异步客户端到其他连接上分崩离析。谷歌经常这样做。大多数 Google 的应用程序最终都会要求客户端与 Google 的 *.1e100.net 建立异步连接,这看起来像是一个拥有成百上千主机记录的云服务。而 iptables 根本不适合这个模型。
不是 OpenDNS 等解决方案的忠实拥护者。让gmail工作的任何其他好的解决方案?我宁愿坚持使用 iptables 意识到它可能不是。
我投票赞成Braiam 的建议。在透明模式下使用代理,如 squid。这意味着您将路由器设置为重定向代理上的所有出站 http/s 流量(当然是代理自己的流量)。为了最大程度地方便,请将您的代理部署在路由器以外的机器上。是的,您可以同时创建白名单和黑名单并使用通配符,而且它们比 iptables 列表更容易维护,而且如果您输入错误的行,它们也不会破坏一切。