基于iptables，针对中国移动HTTP劫持，发送RST包屏蔽部分网站的解决办法 原理：在Linux系统的路由器上，通过iptables，或者UNIX，如华为,cisco等设备，使用ACL将中国移动IDS系统和旁路设备返回的虚假数据包丢弃。iptables配置规则丢弃中国移动IDS系统设备返回的RST数据包，解决墙中墙问题。iptables -A FORWARD -p tcp --tcp-flags RST RST -j DROP基于TTL检测，将旁路设备抢答返回的虚假数据包丢弃，解决当下载以.exe、.rar、.zip、.apk等为后缀的文件时，被中国移动通过302重定向至自己网内cache服务器的问题。通过抓包检测，旁路设备返回的虚假302重定向数据包TTL值在20-30内，不同省份可能不同，而真实的服务器TTL大都在40-60左右（Linux）和100-128（Windows）。iptables -A FORWARD -p tcp -m tcp --sport --m ttl --ttl-gt 20 -m ttl --ttl-lt 30 -j DROPiptables其他参数-s 0.0.0.0/0 可自定义源IP-d 0.0.0.0/0 自定义目的IP--ttl-gt TTL大于一个值--ttl-lt TTL小于一个值--ttl-eq TTL等于一个值