此贴 90 天前我发了帖子湖北电信 ipv6 连不到网络了
当时怀疑两种可能,
经过三个月的尝试发现, 更可能是由于暴露端口提供 http/https 服务引起.
不管是 http 还是 https 的回源规则, 任意端口, 都可能引起隔天封 ipv6. 并且 tailscale 无法真实直连.
具体表现为:
 |
1
fskemp233 Feb 13, 2025
我就是用 v6 组播(裸连) iptv 被打了 和你说的具体表现为一样。 能申请回来吗?
|
 |
4
sunnysab Feb 13, 2025
前几天刚想让 CDN 回源到家里的宽带…折腾了一下午。后来发现,曾经阿里等厂商提供了 API ,拉取边缘节点的 IP ,现在改成了提供 API 判断特定 IP 是否属于他们的边缘节点,导致我不太方便设置路由表,就放弃了。就是怕遇到 OP 这样的情况。
现在更是彻底死了这条心 hhh |
 |
5
Ipsum Feb 13, 2025
Cf 回源了,那就直接只准 cf 的 ip 通过啊。怎么会被运营商扫到呢。
|
 |
7
aihttp Feb 13, 2025
我也是在家里 AIO 主机放了一些网站服务,前面套云厂商的 CDN ,但是我在网关里设置白名单仅放行 CDN 的 ip ,不知道这样能否拦截运营商的内部扫描。
|
 |
8
lisonfan Feb 13, 2025
都走 Cloudflare 了没用 Cloudflare Tunnel ?
|
 |
9
softradio Feb 14, 2025
赞同 @lpsum 和 @lisonfan 的方案。
@Ipsum 说的应该是用 iptables/nftable drop 掉 所有非 cf 的 IP. 外在表现,跟你在特定端口没有开启 http/htpps 服务 是一样的。运营商扫描不到的,sync 都直接丢弃,根本就 sni 明文的问题。 @lisonfan 提到的 Cloudflare Tunnel, 连你宽带没有 公网 IPV4 或者 IPV6 都能用。 这两种方案都是安全的。 除非运营商做 IP 黒名单----只要你访问 cf 的 IP, 就封你的宽带。 另外,从你帖子的描述来看, 封锁似乎是光猫执行的。建议 光猫用桥接模式,不要用路由模式了 |
 |
10
jqknono OP |
 |
12
Zeaxion Feb 14, 2025
关于这个情况,我之前发帖说过,要规避暴露 http/https ,嗅探到之后 server 不能做任何类 http 回复,连状态消息都不能回复,只能回复 empty 或者 connetion reset ,另外有用 ddns 还需要对域名做 icp 备案
|
 |
13
ddczl Feb 14, 2025
应该是暴露 http/https 导致的,因为我成都联通跟你一样的情况,也是 CF 回源,被联通直接封了 IPv6 ,现在都是用 FRP 了。
|
 |
14
yshtcn Feb 14, 2025
Cloudflare 你用 Tunnel 啊,其他服务器用 FRP 才是正解。
我这里管的不严,我都不暴露 http 端口了 |
 |
15
mh494078416 Feb 14, 2025
我是 wireguard 组网,加 ecs 上 traefik 统一转发 https 流量到内网 http 服务。目前安全
|
 |
16
JensenQian Feb 15, 2025
搞个 wireguard 也好,ss 也好。这种东西连回去
安全点,也不会被查到 |
Select Language