这是一个创建于 2206 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前来看,运营商是通过监控、端口扫描、人工审核等多种组合手段来探测家宽是否提供了 web 服务的,也即是 http 或 https 服务,而其它服务并不会被限制,比如 BT,未知服务,利用这一点,我想到的方案:
1.如果在其它地方有公网 IP,利用内网穿透,frp 或花生壳之类,家宽只要安装客户端即可,不需要对外提供任何 web 服务,这个也算是完美隐藏了,另一个问题是 frp 的流量特征是否要隐藏?
2.https tls1.3,这个方法可能不行。
首先,https 是监控不到你访问的具体内容,但其实 https 还有一个最大的问题,就是会泄漏域名,就是说可以监控到你访问的域名,那他去查这个域名是否备案,或者人工访问这个域名是否能打开,就可以找出家宽的 https 服务了。
tls1.3 一定程度上解决了域名泄漏问题,就是隐藏 sni,即此时只能监控到有 https 访问,但访问的内容和域名都监控不到,那他想要分析,只能尝试用 ip 去访问你的 https 端口,此时访问的是主页,那我把主页设置为空白,他打开的就是一个空白页,那他可能认为你的 https 实际上是无效的,但实际上真实的地址不是主页,而是在二级目录,只有域名加二级目录才能打开,这样也算是基本隐藏了。
不过如果他认为只要有端口在提供 https 服务就封你,那也就没折了。
另外一个问题是,目前的 tls1.3 的 sni 并不是强制加密的,只有部分浏览器支持 sni 加密,那这个怎么解决也是个问题。
1.如果在其它地方有公网 IP,利用内网穿透,frp 或花生壳之类,家宽只要安装客户端即可,不需要对外提供任何 web 服务,这个也算是完美隐藏了,另一个问题是 frp 的流量特征是否要隐藏?
2.https tls1.3,这个方法可能不行。
首先,https 是监控不到你访问的具体内容,但其实 https 还有一个最大的问题,就是会泄漏域名,就是说可以监控到你访问的域名,那他去查这个域名是否备案,或者人工访问这个域名是否能打开,就可以找出家宽的 https 服务了。
tls1.3 一定程度上解决了域名泄漏问题,就是隐藏 sni,即此时只能监控到有 https 访问,但访问的内容和域名都监控不到,那他想要分析,只能尝试用 ip 去访问你的 https 端口,此时访问的是主页,那我把主页设置为空白,他打开的就是一个空白页,那他可能认为你的 https 实际上是无效的,但实际上真实的地址不是主页,而是在二级目录,只有域名加二级目录才能打开,这样也算是基本隐藏了。
不过如果他认为只要有端口在提供 https 服务就封你,那也就没折了。
另外一个问题是,目前的 tls1.3 的 sni 并不是强制加密的,只有部分浏览器支持 sni 加密,那这个怎么解决也是个问题。
第 1 条附言 · 2019-10-17 22:58:09 +08:00
个人只是用来做群晖管理的,担心因此被封宽带,并非真的搞 web 服务。
补充大佬的 2 个方案:
VPN
IP 白名单
补充大佬的 2 个方案:
VPN
IP 白名单
第 2 条附言 · 2019-11-20 11:19:54 +08:00
补充:
ZeroTier
ZeroTier
 |
1
lydasia 2019-10-17 14:02:40 +08:00 via Android
现在已经关了公网 web,一律 vpn 回去内网访问。。
|
 |
2
azh7138m 2019-10-17 14:39:27 +08:00  1
不介意速度可以套个 CF CDN
然后 drop 掉所有非 CF 的流量 |
 |
3
wazon 2019-10-17 14:40:29 +08:00
VPN 是一种办法,但很多地区 VPN 的端口也不太通畅
无论如何,已知的非 Web 的解决方案都大大增加了控制家中设备的麻烦程度 顺便一提,现在工信部的文件长什么样都不知道,把家中设备的 Web 控制界面说成是“私设 Web”其实还是不妥 |
 |
4
mythabc 2019-10-17 14:42:32 +08:00
可是,私人架设 VPN 也是违法的。
|
|
5
mythabc 2019-10-17 14:44:21 +08:00
感觉 NAS/监控的用户应该挺多的,这个规定究竟属于哪个部门管的大家一起写投诉应该有点用?
|
 |
6
Laynooor 2019-10-17 14:56:43 +08:00
检测 web 应该会留下访问记录?看看 log 里有哪些可疑 IP 然后 Block 掉,或许能解决?
|
|
7
Laynooor 2019-10-17 14:58:26 +08:00
或者设置本地运营商的 IP 解析到 cf,其他的 IP 正常直连
|
 |
8
txydhr 2019-10-17 15:08:15 +08:00
如果 frp 的话就要另外付钱购买主机,用国内主机流量费用可不低,用国外主机就有访问速度问题。
|
|
10
txydhr 2019-10-17 15:10:24 +08:00
反制方法只是为了打游击,违规还是违规
政策刚出,我们都不知道什么样是合法的,什么是不合法的 |
 |
11
ff521 2019-10-17 15:14:55 +08:00
其实只是为了封那些搞诈骗的,或者说放网页的
结果在中国你知道的,政策下来只会一刀切解决 |
|
12
txydhr 2019-10-17 15:20:44 +08:00 2
@jiangyang123 紧急时刻先一刀切,即使麻烦些,其实我也是能理解的,诈骗的真的应该全都下地狱。
先看事情发展吧,毕竟换个位置想想,短时间内工信部也想不出更好的办法,不管从技术上还是可实施的方面。上面给的压力肯定也不小,配合公安部还是第一要务。 怕就怕这个变成长期政策,也不改了,也没有合法使用的方法。 |
|
13
txydhr 2019-10-17 15:22:35 +08:00
@jiangyang123 你想想,打开的主页是路由器登录页面,后面二三级目录有什么根本不知道,也无从查起。
|
 |
14
ys0290 2019-10-17 15:24:12 +08:00 via iPhone 7
汇报:有一批犯罪网站没有备案,或者架设在自己家里
领导:家里的网谁会用来架设网站?清查! 执行:全网家宽有 web 流量的一律封禁 这是我的内心戏 |
 |
15
mxT52CRuqR6o5 2019-10-17 15:24:50 +08:00 via Android
@azh7138m cf 回源能自定义端口吗?
|
 |
16
sphawkcn 2019-10-17 15:40:28 +08:00
从商业利益的角度来说,各网络服务商也是有动力对家宽各种可能的 web 服务进行大力封禁的,如果能有一份文件提供政策上的支持,那就更有动力了。
在大力封禁下,其中有一部分用户会乖乖的回到商用宽带,或者各种云服务商那里,即使回到云服务商那里,对网络服务商也是有益的,毕竟云服务商也是要用他们的网络的。 |
|
18
azh7138m 2019-10-17 16:02:38 +08:00
@mxT52CRuqR6o5 呃,ipv6 现在是封了端口吗。。。封了那就不行了
|
 |
19
moxuanyuan 2019-10-17 16:08:40 +08:00
本身家宽 80 和 443 端口是用不了的,我用别的端口也不行?我现在的情况是, HK 的黑群 80 端口反代回大陆黑群上的 gitea 的 3000 端口,来实现访问 gitea
|
 |
20
alphatoad 2019-10-17 16:13:43 +08:00 via iPhone
Encrypted sni 目前没有普及开来,这不是一个好的解决方案
我怀疑运营商会在 dns 上做检测,比如布隆过滤器 |
 |
21
justs0o 2019-10-17 16:26:56 +08:00
|
|
22
justs0o 2019-10-17 16:31:24 +08:00
唯一方法就是:
1.固定 IP +域名备案 2.备案域名+动态 IP 是否可行,待考证 |
 |
25
jedihy 2019-10-17 16:48:19 +08:00 via iPhone 2
你反制啥啊,你办的时候签了协议的呀
|
|
27
sphawkcn 2019-10-17 17:48:42 +08:00
@txydhr #24 不一样,家用宽带备不了案,商用宽带和云服务商可以备案。这个政策如果严格执行,那就只能商业宽带或者云服务商。
|
 |
28
laoyur 2019-10-17 18:07:15 +08:00 2
搞不懂那些用家宽搞 ZP 的是怎么想的
国外域名、ddns、仅 https、非标端口、服务不放在根目录,且访问根目录直接阻断连接,这样可行不? |
|
29
ff521 2019-10-17 18:18:59 +08:00
@moxuanyuan #19 我觉得你这样不行
|
|
30
ff521 2019-10-17 18:20:55 +08:00
最好群晖防火墙白名单,只允许反代的那台机子访问
|
 |
31
est 2019-10-17 18:23:44 +08:00
直接 ip 白名单吧。或者像我一样敲门。
|
 |
32
ferock PRO 静观其变
|
 |
33
rekulas 2019-10-17 19:09:07 +08:00
dns 解析用国外服务 https 怎么泄漏域名
|
 |
37
GG668v26Fd55CP5W 2019-10-18 02:33:06 +08:00 via iPhone
即便走反代也不行啊,即便你只允许反代的服务器连接,运营商还是可以从流量识别 http,还不如走 frp 或者 ssh 隧道靠谱。
|
 |
38
lqf96 2019-10-18 03:14:14 +08:00
我觉得 http over webrtc 可以解决问题,p2p connection 并不会暴露域名,所以只要设一个境外的 stun broker 就好了...问题是不知道有没有人搞出这么一个库来...
|
 |
39
Junn 2019-10-18 08:05:27 +08:00 via iPhone
我 nas 上搞那么多 web 服务,没见停啊。无非 80 和 443 不让用
非要 80 的话,外面再弄个反代应该也没问题吧! |
 |
40
linbenyi PRO @Junn 所以你未牵扯未备案 DDNS。我也觉得没啥问题。
@lqf96 Webrtc 是跑在什么上面的呀? @hlz0812 求推荐 @rekulas 估计会的。 @est 如何敲门? @jedihy 具体下文是 2017 年。我们老用户对于服务协议也不敏感的。 @justs0o 对于运营商。动态(家用)固定(公司)价格差十倍不止。你觉得呢? @alphatoad 布隆过滤器是什么? BES 设备吗? @moxuanyuan 这个...好像蛮简单巧妙的。 @sphawkcn 哎,连普通玩游戏都要开加速器。对于普通家庭用户,带宽上去了也是毫无感觉的。 @mythabc www.miit.gov.cn 没什么好反应的。只要荷包够鼓,开个公司,拉个专线。自然是一路畅通。 |
 |
42
xfelix 2019-10-18 12:06:34 +08:00
@mxT52CRuqR6o5 不行,只能 http 和 https,除非付费用 argo 服务。
|
 |
43
aliuwr 2019-10-18 12:08:00 +08:00
如果是包检测的方式,只要有 dest port 80/443 的流量就认为违规,那么 IP 白名单,反代和敲门都是没用的。
只能是 frp 之类的中转和 VPN 访问了。 |
|
44
xfelix 2019-10-18 12:23:04 +08:00
就像前面有人说的电信的 inbound 80 和 443 本来就是封掉的。
电信不大可能通过端口扫描的方式来发现你开的 web 服务。如果是的话很简单加个端口扫描源地址自动入黑名单的防火墙过滤策略就行。 电信绝大多数的可能性是在他们局端的设备上看到了访问的地址和端口。因为某些‘未知’的原因,比如大流量,敏感词等(纯属猜测),然后自动触发了警告。于是实施人工的精确打击。 这种情况下你开设的 web 服务是面向全世界的话,没什么很好的办法,除非你把服务器移到境外。如果只是个人家庭远程访问和管理,完全可以通过白名单方式把可以访问的源缩小范围。 我觉得没做亏心事,没必要过分紧张。 |
 |
45
exiaohao 2019-10-18 12:51:37 +08:00 1
家里有公网 IP,云端一台 vRouter。怼一个 GRE,两头 bgp 宣告地址,路由自动发
外部访问通过云端 IDC IP 反回家,云端备个案开个 ocserv 开开心心 AnyCxxxx 此方案在 阿里云 /青云+浙江 /上海电信 /联通 测试通过 随便怎么扫家里的 IP 一点事没有 顺便还能做些别的事 (阿里云 500M 内网到香港这种事我肯定是不知道的 斜眼笑 |
 |
46
optional 2019-10-18 14:08:58 +08:00
就是当初协议是一张纸对吧。。。。
|
 |
47
hlz0812 2019-10-18 14:15:31 +08:00 via Android
@linbenyi 自己谷歌搜国内 nat vps 就可以,但一般是江苏的,如果你在内陆,访问速度也一般
|
 |
51
LGA1150 2019-10-18 14:30:48 +08:00 via Android
https+quic+alt-svc 头
|
|
52
justs0o 2019-10-18 17:00:36 +08:00
根据宽带接入服务协议,第六条
六、协议的中止、解除与终止 (一)甲方有下列情形之一,乙方可以中止本协议(暂停提供服务): 1、提供不真实的客户信息资料; 2、未经乙方同意,擅自在已装的通信线路上装、移(室内移机除外)各种终端设备及 复用设备或转让租用权的;或将宽带以任何方式提供给第三方使用或用作于其他运营商的 违规互联; 3、擅自改变客户类型及使用性质的;或擅自改变宽带安装地址的; 4、利用乙方提供的拨号宽带网络开设 WEB 服务的; |
 |
54
lookas2001 2019-10-18 18:12:13 +08:00 via Android
@burndown 这是自建了一个 vpn 吧,vpn 回家( vpn 的最初用途)
但是,为什么要 bgp 什么的,打通家中网络以及云的内网吗? |
 |
55
xuanzc880 2019-10-18 21:37:23 +08:00
好好看看啊用户协议,私设 web 服务被封有问题么?你在国外的 vps 上跑 bt 不也会被封么,要想跑 web 买商用宽带呀.
|
 |
56
kennylam777 2019-10-18 22:55:48 +08:00
不介意域名會動的話, 可以用免費版的 argo tunnel, 但境外線路嘛......還是用 VPN 回內網吧
|
|
58
exiaohao 2019-10-18 23:35:45 +08:00 via iPhone
|
|
59
lqf96 2019-10-19 01:30:41 +08:00
|
 |
62
Semesse 2019-10-19 10:57:43 +08:00 via Android
家里搭 v2 的服务端然后 web 服务白名单 v2 吧,客户端配路由
|
|
63
xuanzc880 2019-10-19 18:26:06 +08:00
@txydhr 核心不是用户有没有违反用户协议么,vps 协议写了不能下版权文件,你违反了被封没问题吧,ISP 的用户协议写了不能私设 web 服务,你违反了也是被 ban 这也没问题吧.
而且很多时候这些都是民不举官不究,你个人用用,违反一些用户协议人家也懒得找你,不管是哪个公司都这样,哪怕微软,Adobe 等,个人用盗版人家根本不管,除非你跳的太厉害,就像之前 v 站被封的那个人,不就是流量超标才被封的么,他后面补充了说似乎用了 2T 的流量. |
 |
64
wanguorui123 2019-10-19 18:28:24 +08:00
远程桌面回家
|
|
65
rekulas 2019-10-19 18:28:58 +08:00
@txydhr 你可能对 https 有误解,仔细看看 https 原理你就明白了
就比如封 google 都是封的 host 而不是封域名,知道为什么么,因为正常情况下没人知道你在访问什么域名,只知道你访问了哪台 host |
 |
66
ljy2345 2019-10-19 19:09:16 +08:00
我来给个建议,用 v2ray+ws+tls 或者 ss,目前我是 v2ray+腾讯云 cdn
|
 |
67
ech0x 2019-10-19 22:57:27 +08:00 via iPhone
|
|
71
exiaohao 2019-10-20 20:57:16 +08:00
|
 |
72
laevatein 2019-10-21 09:07:28 +08:00
我也被发文了 之前 DDNS 两个,一个群晖的 synology.me 一个威联通的 myqnapcloud.cn ,对外网页只有群晖和威联通的管理界面。9 月之前挂过 PT 流量较大,所以估测和流量、未备案域名( synology.me)还有对外网页都有关系,应该是同时满足三个条件比较容易被查。现在解决方案是开远程桌面端口,其他全关;另外路由器上挂了个 SS 服务器,在外网用 SS 连回路由器然后局域网访问。
|
 |
73
lijixi 2019-10-22 15:57:15 +08:00
这个问题很好解决。家里计算机架设$$-$erver,客户端直接连回去就 OK。完全免受 VPN 链接被封的干扰。
|
 |
74
galenzhao 2019-10-22 18:18:25 +08:00
还有个方式,
做个 wildcard domain, 然后 subdomain 起的非常奇怪, default server 直接 return empty body 带奇怪 statuscode, 然后对于 match 正确的 subdomain,校验 UA,不正确同上处理, 这样就比较方便想 hass、synologycam 这些,需要 app 后台一直 refresh 数据的 app 用了, 理论上他只能监测到有 https 服务,但打不开任何内容, |
 |
76
myqoo 2019-10-22 19:57:10 +08:00
早几年前,可以把首页放 github pages,动态接口通过 flash socket 连家里服务。现在 flash 没落不行了, 不过 webrtc 没问题,配合 sw 美滋滋。。。
|
|
78
ljy2345 2019-10-27 22:14:45 +08:00
|
 |
79
james19820515 260 天前
1.高风险,0 收益。
2.清零这想法。 |
Select Language