V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
viberconnection
V2EX  ›  宽带症候群

對運營商開放特例 Port 之思考

  •  4
     
  •   viberconnection · 81 天前 · 3637 次点击
    这是一个创建于 81 天前的主题,其中的信息可能已经有所发展或是发生改变。
    因爲人在大陸的關係,因爲衆所周知的原因,最近在折騰一些可以 遠程訪問 /代理 的程式。
    最初開始無論怎麼調整,感受就是一律被限速的樣子,但沒想到把服務放在以下 Port ,Packet Loss 就直線下降。體驗直線上升。
    所以個人也是想不明白爲什麼會這樣,估計是因爲需要給特殊客戶使用吧。
    我還是把結果發一下好了,希望也能對各位有所幫助。


    測試線路:福建移動 /聯通 ---> 中華電信 /HE 鳳凰城

    Packet Loss 較爲輕微的 Port (尖峯時段<=5%): TCP: 9001 9002 UDP:16384-16389
    幾乎無 Packet Loss 的 Port (尖峯時段<=1%): TCP:23456 23556 UDP:12346 12446

    Linux 通過 iptables 更改 DSCP 標識的方法:
    iptables -t mangle -I OUTPUT -j DSCP --set-dscp-class EF
    注:其中 OUTPUT ( chain name ) EF (標識)是可以修改的。
    第 1 条附言  ·  81 天前
    我上網搜尋了一下這些 Port 都會對應什麼固定服務,結果如下:
    UDP 16384-16389 Facetime 視像通話
    UDP 12346 12446 思科 SDWAN Edge Router 通信
    TCP 9001 9002 第三方備份應用 ETL 數據管理器
    TCP 23456 23556 思科 SDWAN Edgeroute 通信

    所以個人也覺得有可能的確是當地 ISP 有特殊客戶才會進行區別對待這樣子
    第 2 条附言  ·  80 天前
    我有一位朋友在浙江的杭州,根據對方測試的結果,再增加個條目。

    Packet Loss <=1% UDP 12646 TCP 13075 2022-5-28 23:12
    第 3 条附言  ·  80 天前
    個人不太確定是不是每個地域都存在類似的現象,若有其他人發現了什麼有趣的事情的話也歡迎 PO 文交流。
    第 4 条附言  ·  80 天前
    UDP 12646 也是思科設備所用
    TCP 13075 則是一個叫做 BMC Managent 的程式在使用

    以上結果來自網路
    33 条回复    2022-06-20 12:32:09 +08:00
    wske
        1
    wske  
       81 天前 via Android
    广州电信,虽然我是公网 IP 。但只有 13 个端口是开放的。好惨。
    zhengxinhn
        2
    zhengxinhn  
       81 天前
    比较好奇是怎么测试出来的,毕竟有 65535 个端口呢...
    viberconnection
        3
    viberconnection  
    OP
       81 天前
    @zhengxinhn TCP 的話是利用 Shadow***s 手動修改配置檔的方式測試了前 30000 個 Port 所得出。UDP 的話是藉助 Iperf 多開,Client 手動修改配置的方式來測試得出。
    viberconnection
        4
    viberconnection  
    OP
       81 天前
    @zhengxinhn 然後把自己正式所使用的服務放在以上 Port 後不間斷測速所總結。
    hadoop
        5
    hadoop  
       81 天前
    感觉有点玄学
    NSAgold
        6
    NSAgold  
       81 天前 via Android
    感觉前两年看到过类似内容,也是说特定端口无干扰的。当时是说有企业客户在这个端口开 vpn ,沟通海内外分部来着。不过是在 v2 还是在 hostloc 看到的忘了。
    zhengxinhn
        7
    zhengxinhn  
       81 天前
    @viberconnection 那我觉得这个略有点玄学了,毕竟不是同一时间测试的。如果短时间内测试全端口可能可能会被墙😂
    xctcc
        8
    xctcc  
       81 天前
    我也感觉是玄学
    viberconnection
        9
    viberconnection  
    OP
       81 天前
    @zhengxinhn 是這樣,找出 Port 的這一過程不是同時,但把正式服務置於相應 Port 是同時操作的。

    我上網搜尋了一下這些 Port 都會對應什麼固定服務,結果如下:
    UDP 16384-16389 Facetime 視像通話
    UDP 12346 12446 思科 SDWAN Edge Router 通信
    TCP 9001 9002 第三方備份應用 ETL 數據管理器
    TCP 23456 23556 思科 SDWAN Edgeroute 通信
    kamil
        10
    kamil  
       81 天前 via iPhone
    楼主可以说说具体使用方法吗,单纯将服务开在这些端口上还是?
    Love4Taylor
        11
    Love4Taylor  
       81 天前 via iPhone
    @NSAgold 曾经 25 端口就是无审核的,就算开个 http 代理明文都没事,后来好像不行了。
    viberconnection
        12
    viberconnection  
    OP
       81 天前 via Android
    @kamil 對沒錯,就如此簡單,區分 TCP 還是 UDP 。不過我也不太確定是不是各地 ISP 都會這麼區別對待。建議如想嘗試還是小範圍測試好了。
    bitdepth
        13
    bitdepth  
       81 天前
    ssr 已經沒用了,趕緊換吧
    不然早晚被檔掉
    zhengxinhn
        14
    zhengxinhn  
       81 天前
    确实思科有用到这些端口,但是思科的文档有 8 个端口。TCP base ports 23456, 23556, 23656, 23756, 23856, 23956, 24056, and 24156 UDP on ports 12346, 12446, 12546, 12646, 12746, 12846, 12946, and 13046
    zanzhz1101
        15
    zanzhz1101  
       80 天前
    @wske #1 老哥,怎么测端口开放
    billytom
        16
    billytom  
       80 天前
    感谢楼主分享此信息,请问下这句 iptables -t mangle -I OUTPUT -j DSCP --set-dscp-class EF , 是一定需要改的吗? 标签 EF 是否就是思科的特定数据帧?
    viberconnection
        17
    viberconnection  
    OP
       80 天前 via Android   ❤️ 1
    @billytom 如果要讓 zerotier 或者 wireguard 的 Port 工作於思科的 Port ,那麼這個是必須要改的,其他情況下是可選的。(如果不改可能會被雲服務提供商掐掉連接,尤其是日本的業者)

    以下解釋來自於網路:
    DSCP (差分服務代碼標記)是包含在 IP 數據包 Header 中的標記,廣泛用於 WAN 環境中的 QOS 流量優先級別的控制。
    分為 CS0 (未設定)到 CS7 (網路控制報文)八個級別,除此之外還包含 AF (保證轉發)和 EF (加急轉發)兩個特殊的級別。
    billytom
        18
    billytom  
       80 天前
    @viberconnection Zerotier 不是只能 9993 的吗?可以改端口?
    wske
        19
    wske  
       80 天前
    @zanzhz1101
    下载软件 ScanPort.exe(容易被杀毒软件报毒)
    用光猫网线直插电脑
    电脑 PPPoE 拨号上网
    关闭防火墙
    打开 ScanPort 扫描自己的 IP, 扫描 1-65535 即可
    RRyo
        20
    RRyo  
       80 天前 via iPhone
    DSCP 应该没啥用,我记得之前有个帖子测试会被运营商重新打上覆盖掉
    viberconnection
        21
    viberconnection  
    OP
       80 天前
    @RRyo 對,只有少部分海外 ISP 發到中國大陸的 Packet 不會被覆蓋。例如 AZURE 和 HE 。
    z919126592
        22
    z919126592  
       79 天前 via iPhone
    福建联通公网测试有效。上次看到楼主说 16384 有神必加成,我就把 transmission 的传出端口改成 16384 ,改前 UDP 满速不超过 1MB/s ,改完之后 udp 可以跑满 3MB/s 了。
    Kinnice
        23
    Kinnice  
       79 天前 via Android
    @wske 啊这,你是在开玩笑吗? 你要不试一下随便搭建几个服务监听到 0.0.0.0:xxxxx ,你的扫描结果就多几个,一直搭建一直多,直到多到 6w 多个。

    比如你的端口 12345 是没有监听任何东西的,你根本无法判断你的 12345 是被运营商屏蔽了还是其他情况。
    nbsn
        24
    nbsn  
       79 天前
    @viberconnection 渝港用 IKEv2 IPSEC ( UDP 500 or UDP 4500 )打洞,效果取决于运营商。电信家宽 UDP 被 QOS ,联通移动家宽效果不错。
    wske
        25
    wske  
       79 天前
    @Kinnice 感谢老板点醒我. 我用 nmap 从外网扫描果然发现了惊喜.
    wske
        26
    wske  
       79 天前
    terrancesiu
        27
    terrancesiu  
       78 天前
    打洞去 jp 用 wireguard ,用的移动 ipv6 ,换了楼主的方法看看高峰期效果怎样。
    lcy630409
        28
    lcy630409  
       78 天前
    早上手痒 把几个 vpn 的端口换成了这个
    中午 ip 就封了.....
    flynaj
        29
    flynaj  
       78 天前 via Android
    @billytom 配置文件,或者命令参数都可以改 1
    viberconnection
        30
    viberconnection  
    OP
       78 天前
    @lcy630409 建議先重啓網路設備,重新獲取運營商側 IP 位址看看是否能連接,如果可以則說明是運營商所爲。如不是那就是真的被封了。
    xuwuyibing
        31
    xuwuyibing  
       77 天前
    最近用 vless+mkcp+seed ,伪装成 srtp 也可以绕过 qos
    billytom
        32
    billytom  
       62 天前
    @xuwuyibing 请问下这个有啥一键安装脚本和客户端支持?谢谢
    xuwuyibing
        33
    xuwuyibing  
       57 天前
    @billytom 没有一键脚本,不过你可以用 233boy 的脚本随便装一个核心,然后替代成你需要的 config 就行,github 上面有 config 模板
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1166 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 21:32 · PVG 05:32 · LAX 14:32 · JFK 17:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.