ClientHello 中是带着 SNI 的，所以其实握手阶段是可以知道访问的域名是否合法的，NGINX 1.19.4 中添加了一个新的配置项 ssl_reject_handshake 用于拒绝握手，也就不会提供证书。

首先从APNIC获取所有中国IP段并保存为ip.txt文件 利用firewall-cmd创建ipset 向创建的ipset集合添加IP段 添加防火墙规则只允许指定的IP段访问目标端口 重启防火墙使规则生效 查看ipset…