tl; dr : foi um vazamento de DNS. Obrigado ao @ user2675345 pela dica!
Aqui está a página que recebi quando acessei um site bloqueado:
Primeiro,tenteifazerpingemalgunssiteseviqueosendereçosIPdeleseramosmesmos.Comopodeservistonestaimagem:
tanto o youtube.com quanto o metacafe.com, ambos bloqueados, têm 176.12.107.179
como seu IP. Sem surpresa, navegar para este IP em um navegador produz a página "Site Solicitado Bloqueado" mostrada acima. O ping em www.google.com, por outro lado, resulta em um IP legítimo apontando para o Google.
Os URLs foram mapeados para o IP errado. Eu usei dig para inspecionar as entradas de DNS e confirmar isso.
Defato,aentradadeDNSparayoutube.comtinha176.12.107.179
comoseuIP.
Emseguida,useioWiresharkparaverificarassolicitaçõesdeDNSeviqueassolicitaçõesnãovinhamdoIPdoservidoremqueeuestavausandooSSH,masdomeuendereçoIPlocal.
Embora eu estivesse usando um túnel SSH, minhas solicitações de DNS não estavam passando pelo túnel. Além disso, eles pareciam estar indo para um endereço IP na mesma rede. Assim, parece que o roteador a bordo do ônibus estava agindo como um servidor DNS e fornecendo respostas ruins de DNS para sites em sua lista negra.
Esta é uma vulnerabilidade muito séria. Não só um intruso poderia ver todos os sites que eu estava indo, mas a pessoa que controla o roteador / servidor DNS poderia facilmente me encaminhar para uma versão maliciosa do youtube, em vez de para a página "Requested Site Blocked". E enquanto isso, estou pensando que meu tráfego está passando pelo túnel SSH e estou completamente seguro.