如何屏蔽 SS 服务器访问大陆的 IP 段

我已经下载并得到了chnroutelist，也创建好了ipset。
查了一下 ss好像有个--acl选项，[--acl <acl_file>] config file of ACL (Access Control List)
但是貌似给ss-server没有用。 这个是个ss-local用的吗？
但是我先前尝试在OUTPUT reject所有匹配ipset的访问，并且用ownerid 识别出只有SS的流量，但是想起来这样也屏蔽了SS返回给客户端的报文。
目前想到几个思路，
A 是在INPUT标记连接到SS-SERVER的端口 connmark ，然后在OUTPUT的屏蔽访问IP段ACL之前accept 标记的连接，不过还没有测试
B 是在OUTPUT 放行 SS-SERVER的SPORT端口发出的连接，然后屏蔽国内的段。但是缺点是多端口多用户，就要写多条了。
C 在SS前面在做一个代理服务器，用PID 标识那个代理服务器并限制其访问IP端。缺点应该是耗内存，然后>首先打开 控制面板 的 网络和共享中心，打开 连接 右边的 以太网
2然后点击 属性。
3选择 Internet 协议版本 4 （如果宽带支持IPv6的话可能还要填 Internet 协议版本 6 这一个）后点击右下角的属性。
4在 使用下面的 DNS 服务器地址 下面填上以下两个 DNS 服务器地址点击确认就行了

安装施华洛pp代号是指施华洛pp的安装程序，而ss代号是指施华洛pp的服务器端程序。安装施华洛pp代号是安装施华洛pp软件的程序，而ss代号是施华洛pp服务器端程序，用于管理施华洛pp服务器的运行状态和维护施华洛pp服务器的安全性。

---