如何屏蔽 SS 服务器访问大陆的 IP 段

我已经下载并得到了chnroute.list，也创建好了ipset。

查了一下 ss好像有个--acl选项，[--acl <acl_file>] config file of ACL (Access Control List)

但是貌似给ss-server没有用。 这个是个ss-local用的吗？

但是我先前尝试在OUTPUT reject所有匹配ipset的访问，并且用ownerid 识别出只有SS的流量，但是想起来这样也屏蔽了SS返回给客户端的报文。

目前想到几个思路，

A 是在INPUT标记连接到SS-SERVER的端口 connmark ，然后在OUTPUT的屏蔽访问IP段ACL之前accept 标记的连接，不过还没有测试

B 是在OUTPUT 放行 SS-SERVER的SPORT端口发出的连接，然后屏蔽国内的段。但是缺点是多端口多用户，就要写多条了。

C 在SS前面在做一个代理服务器，用PID 标识那个代理服务器并限制其访问IP端。缺点应该是耗内存，然后https的透明代理要生成证书。

ss神器不安全。ss神器指的是shadowsocks服务器，它是一款免费的服务器，免费的服务器因为没有收益所以并没有人负责维护服务器的系统，另外ss神器并没有加密、保证流量安全不被监听的功能，所以它非常不安全。

---