V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
MFWT
V2EX  ›  宽带症候群

未北岸国内服务器与 TLS 流量问题请教

  •  
  •   MFWT · 320 天前 via Android · 3250 次点击
    这是一个创建于 320 天前的主题,其中的信息可能已经有所发展或是发生改变。

    国内服务器建站要北岸,笔者见到的基本上是不北岸就不开放 80/443 ,或者不让解析域名(会检测 Host 和 SNI )去访问

    现在我有一个问题就是,我在国内服务器上有一个基于 tls 的服务,不对外开放。如果我直接用 IP 访问,会被北岸墙拦下来吗?还是说有更好的解决办法?

    具体来说就是:

    1. 比如说我这个 TLS 服务是 OpenVPN 之类的 SSL VPN ,或者说是 headscale 的 DERP ,又或者是开启了 TLS 的 RDP ,可以使用非 80/443 端口
    2. 证书的话问题不大,我一般是用自签名证书(用在自己所用的设备上,信任自己的 CA 跟证书),IP 证书和域名证书都能签
    3. 笔者印象中好像有那么一个情况:把国内机器的 IP 解析到一个域名上,用域名访问 rdp 会失败,但是直接敲 IP 访问 rdp 就能连上,笔者估计,这个可能也是因为 RDP 的 tls 流量被北岸墙给拦下来了,不知道猜测的对不对?
    4. 笔者目前在套路云广州服务器上有一个 headscale ,是直接敲 IP 加非标端口访问的,已经稳定使用几个月了。但是因为是 http 流量,所以不确定能不能对此作为参考

    望不吝赐教

    第 1 条附言  ·  318 天前

    一天前,笔者在阿里云境内服务器上搭建了一个测试用的站点(因为是测试站,TLS之后就是标准的HTTP协议,毕竟就一般来说,TLS之内众生平等),采用的是非标端口+IP证书+根目录444(497会有301)的配置,直接访问IP

    目前暂时没有发现被阻断的现象,但是并不确保阿里云会不会有马后炮现象,依然在继续观察

    28 条回复    2024-02-14 00:37:40 +08:00
    gentrydeng
        1
    gentrydeng  
       320 天前 via Android   ❤️ 4
    其他的自我阉割也就算了,“备案”也需要脱敏?

    这种东西没人说得准,朝令夕改的东西,自己试试就知道了。
    MFWT
        2
    MFWT  
    OP
       320 天前 via Android   ❤️ 1
    @gentrydeng 原文就是备案,但是发出来的时候被 v 站给夹 Chamber 去了,为避免麻烦改成北岸算了
    xqzr
        3
    xqzr  
       320 天前
    IP 访问不会

    ZeroSSL 可以签发 受信任的 IP 证书
    SenLief
        4
    SenLief  
       320 天前
    ip 是可以的,备案的是域名。
    Tufutogo
        5
    Tufutogo  
       320 天前 via Android
    说下我个人使用经验:
    1 ,域名在腾讯云买的有备,NS 放在 CF ,
    2 ,域名解析到的机器是腾讯云的国内机。没有用 80/443 的端口,没有放网站,当跳板机用的。
    3 ,使用域名来 ssh 或者 rdp 上述的机器没问题,已经三年多了。
    OutOfMemoryError
        6
    OutOfMemoryError  
       320 天前
    @Tufutogo #5 非 443/80 是不受到备案管制的嘛
    MFWT
        7
    MFWT  
    OP
       320 天前
    @xqzr 主要是考虑到自用服务,那么就懒得找 ZeroSSL 了,直接安装自签名 CA+自己签证书就好了,问题不大
    dann73580
        8
    dann73580  
       320 天前
    用 ip 是没啥问题的,ip+高位端口吧,大厂不知道,但是小厂国内机器是没啥问题的,稳定很久了
    hzcer
        9
    hzcer  
       320 天前 via iPhone
    3. 阿里云上海有此情况
    datou
        10
    datou  
       320 天前
    headscale 属于 VPN 服务吧

    按照国内各大云计算服务的用户协议来说都是禁止的
    sNullp
        11
    sNullp  
       320 天前   ❤️ 1
    说真的,我不知道 V 站现在为什么还搞这么不透明的敏感词审查。要么就公开提示哪些词语不能用,要么就不要搞。这么偷偷夹文章很无聊。
    dyv9
        12
    dyv9  
       320 天前 via Android
    人家是想“管理”,你不对公众提供内容服务,就不是它管理的目标,所以只对域名和标准端口限制,尽量又管理又少点干涉不提供对外服务的其它服务器。这不是理性吗?难道希望没手续全部封了?
    ttvast
        13
    ttvast  
       319 天前 via Android
    任何端口只要提供网页服务,就需要备案。 比如 linux 安装 apache 后默认的页面,也是网页,不管你是啥端口,都不行
    HitouchiMi
        14
    HitouchiMi  
       319 天前 via Android   ❤️ 1
    https 流量是无法嗅探的,他看到的只是 tls 流量,所以他无法从流量上判断你的 tls 是网页访问还是其他服务,只能从 tls 里的 sni 来判断你做的是域名访问。然后有的是拿到域名主动发起 https 尝试访问来判断是不是 http 服务。前者暂时无解,后者非 http 服务就能逃过一劫。具体哪种就得自己试了。纯 IP 访问目前除了端口,没有限制。
    xqzr
        15
    xqzr  
       319 天前
    @HitouchiMi alpn?
    MFWT
        16
    MFWT  
    OP
       319 天前 via Android
    @ttvast 是,但是我这个端口,它不提供网页服务,就比如我例子里面的 OpenVPN
    MFWT
        17
    MFWT  
    OP
       319 天前 via Android
    @HitouchiMi 所以我在考虑他会不会一刀切,对所有未备案域名的 tls 流量给砍掉(所以我目前用的是 IP 证书,暂时还相安无事)
    MFWT
        18
    MFWT  
    OP
       319 天前 via Android
    @HitouchiMi

    后者的话,其实我也做过一点实验,就我之前在别的主题里面提到过的,nginx 对于非指定路径的请求(以及非法请求)直接断开连接( return 444 ),不回复任何消息。至少从直观来看,这个端口除非访问到正确路径(或者有可能是正确的 http 头),不然发什么数据都会直接断开连接
    busier
        19
    busier  
       319 天前
    不行的!

    我试过,未备案阿里云,https/443 端口,做了双向证书验证,相当于都不是可以公开访问的 web 服务器,刚配置好可以用,1 天就被阻断。
    busier
        20
    busier  
       319 天前
    补充上面:只用 IP 访问,未绑定域名的!
    ttvast
        21
    ttvast  
       319 天前 via Android
    @MFWT 不提供网页服务就不需要备案
    6Bpencle
        22
    6Bpencle  
       319 天前
    阿里云是全端口拦截 tls 的,剩下的大多数云平台只拦截常见 web 端口 (80, 443, 8080, 8443, etc.) 的 tls
    aru
        23
    aru  
       318 天前
    @busier
    你这个就是普通的 https 呀,备案检测是旁路入侵检测系统,
    检测到 sni 里面的域名是未备案的,肯定给你阻断了。
    腾讯云稍微宽松一点,非标端口 https 通过域名访问还可以
    aru
        24
    aru  
       318 天前
    @MFWT
    return 444 是不行的,因为是旁路流量检测,你访问的时候就可以检测了

    不过非标端口的 IP 访问 tls 流量没见过有备案系统会拦截
    MFWT
        25
    MFWT  
    OP
       318 天前
    @busier 非 443 ? 443 直接跑基本上就意图很明显了
    MFWT
        26
    MFWT  
    OP
       318 天前
    @aru 我目前是在担心这一点,搭建的测试站点是 非标端口+IP 证书+根目录 444 (实际用的话未必有根目录这玩意了,比如 OpenVPN ),短时间数次访问未发现阻断现象,但是如果他来个马后炮(比如过个两三天或者两三周才阻断,我试过 HTTP 就是这样)那就没办法了
    MFWT
        27
    MFWT  
    OP
       318 天前
    @6Bpencle 这个 TLS 包括 SNI 为 IP 的情况吗(已知用域名是肯定会中招的)?
    6Bpencle
        28
    6Bpencle  
       318 天前
    @MFWT 一般是不包括,只检测域名是否备案
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2604 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 01:45 · PVG 09:45 · LAX 17:45 · JFK 20:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.