Условный фронтэнд какого-то приложения может пускать трафик куда угодно. Полностью по geosite/geoip для каждого отдельного куска исполняемого кода не представляется возможным. Если вы не используете изоляцию сетевого стека как в QubesOS.
В соседней теме уже обсуждали, как MAX умеет обходить эти split маршрутизации.
То есть условно к ifconfig.me трафик пойдет мимо geoip:ru, а к серверам MAX – напрямую.
Расхождение – туннель с split маршрутизацией обнаружен.
Тогда снова появляются уязвимости, описанные мною в соседней теме.