这是一个创建于 238 天前的主题,其中的信息可能已经有所发展或是发生改变。
河南郑州移动,自建的 http/https 服务不管是通过 frp 、nps 等各种映射,还是 nginx 反代,只要是通过域名访问,不管是 http 还是 https ,不管服务器在国内还是国外,不管是标准端口还是非标端口,全部 reset
换个域名顶不了两天,已经换了 3 、4 个域名了,全部 reset
通过 itdog http ping ,全国除了福建泉州和河南移动、电信、偶尔联通,其他全部都是正常访问的,关键我在郑州,有访问自建服务的需求
都是自建的一些私人服务,像是笔记应用、HA 、私人相册、网盘等服务
现在访问自己的服务只能挂梯子或者 VPN 进内网才能用
第 1 条附言 · 236 天前
可能我表述不太清楚,是郑州家宽访问自建 http/https 服务被阻断,不是用家宽自建 http/https 服务
第 2 条附言 · 235 天前
经过@admin13579 的提示,通过服务器和本地丢弃rst包的方式可以恢复本地访问,方法是
#服务器端和本地端都运行,丢弃RST包
iptables -I INPUT -p tcp --tcp-flags RST RST -j DROP
#网关用这个可以丢弃转发的数据包中的RST包,使得网关下的设备都能恢复访问
iptables -I FORWARD -p tcp -i pppoe-wan --tcp-flags RST RST -j DROP
#pppoe-wan换成你的出口接口
但是这种无脑丢弃RST包的方式可能会导致不可预料的网络问题
加密sni没找到nginx下的配置方式,强制tls v1.3会被直接阻断
 |
1
ROYWANGDEV 238 天前
或许如果网站流量不算太大的话,外面可以套一层 CDN 试试
|
 |
2
lanwairen123 OP @ROYWANGDEV 没用,都试过,我用的 aws lightsail ,被 reset 后套 cf ,甚至换新域名直接套 CF ,也坚持不了两天就 reset 了。
|
 |
3
ontry 238 天前  1
DNS 被劫持了? 我发现除了 surge 的增强全局代理,其他代理都会泄漏 DNS 也就是有被劫持的风险
|
|
4
lanwairen123 OP @huaseky 不是 DNS 劫持,DNS 能正确解析,只要有 http/https 流量就直接 reset ,curl -v 域名可以看到直接就 reset 了,但是 curl -v IP 是有返回的
|
|
5
ontry 238 天前
@lanwairen123 我的意思是运营商 DNS 发现解析的是国外 IP 就阻断你, 你不让运营商发现你域名解析的是国外 Ip 没准就没事了, 比如 DOH
|
 |
6
mm163 238 天前
域名+云主机备案,访问的就是云主机,跟加宽没关系吧。frp ,nps 暴露的又不是 http/https 协议。
|
|
7
lanwairen123 OP @huaseky 不只国外 IP 阻断,之前有个国内腾讯云的服务器,1M 小水管,没备案域名用非标端口建了几个自用的服务,都用好几年了,最近也被 reset 了
|
|
8
lanwairen123 OP @mm163 域名没有备案,同样的域名和服务器,全国其他地区都能访问,就在河南访问不了,frp nps 穿透的是 http/https 服务
|
 |
9
wmk3130 238 天前
我用的联通,没这个问题,域名加高端口号
|
 |
10
busier 238 天前
那就直接用 IP 访问呗!
|
 |
11
smallboy19991231 238 天前 via Android
河南真是水深火热啊😯
|
 |
12
1423 238 天前
抓个包看看哪里 rst 的
|
 |
13
yaott2020 238 天前 via Android
备案康康,如果还是 reset 就告到工信部
|
 |
14
TESTFLIGHT2021 238 天前
河南开始试点了,你们不知道么?
|
 |
15
duduke 238 天前 via iPhone
没事,马上就全国推广了,加速前进
|
 |
16
CLx2GaS5tw 238 天前
@TESTFLIGHT2021 什么事情?
|
 |
17
docx 238 天前 via iPhone
很好奇在搞什么技术手段
|
 |
18
jackOff 238 天前 via Android
河南这片试验田如果效果好的话估计最迟明年全国推行
|
|
19
lanwairen123 OP @wmk3130 联通稍微好点,4 个域名 reset 了两个
|
|
20
lanwairen123 OP @busier IP 太难记😂,服务有点多
|
|
21
lanwairen123 OP @yaott2020 个人自用的,不对外服务,并且服务器在国外,没法备案,不过据说备过案的也有被杀的,完全搞不清楚逻辑
|
|
22
lanwairen123 OP 所以如果河南模式推广全国,各位自建服务的该怎么办
|
 |
23
yinmin 238 天前 via iPhone
你用国内备案的域名指向国外服务器试试?
|
|
24
yinmin 238 天前 via iPhone
找一家国内云买 1 个小机去备案,然后用一个子域名指向国外服务器试试
|
|
25
lanwairen123 OP @yinmin 手边没有备案域名 😂
|
 |
26
bobryjosin 238 天前
试试指向纯 ipv6 的域名也会被 rst ?
|
 |
27
hefish 238 天前 2
没备案说个结巴,要么翻出去,要么备案去。
|
 |
28
tony1016 238 天前 6
我很怀疑是你自己的问题
|
 |
29
bjzhou1990 238 天前
要不试试 HTTP/3 ?
|
 |
30
serafin 238 天前
直接 IP + 端口号 能用吗? 试试 Cloudflare worker 302 重定向
https://www.v2ex.com/t/938444 |
 |
31
dengjunwen 238 天前 via Android
通过域名访问就会被 reset? 那用 ip 访问呢? 另外你连接梯子就可以连接上?
|
|
32
TESTFLIGHT2021 238 天前
@bjzhou1990 别试了 河南在试点新技术。。。搞不定的
|
 |
33
knightdf 238 天前
不用怀疑,河南的网就是有点不一样,我们公司有 3 位河南的同事远程,1 个郑州 2 个洛阳,全部连不了公司的自建 VPN ,湖北湖南的同事都可以
|
|
34
lanwairen123 OP |
 |
35
villivateur 238 天前
frp 可以的啊,记得流量加密
|
 |
36
jas0n2k 238 天前 via Android
这个不就是事实上的白名单了吗…天啊全国推广了就难办了
|
|
37
lanwairen123 OP @TESTFLIGHT2021 大佬有啥内幕消息没
|
 |
38
systemcall 238 天前
下一步是不是就要收紧域名权限,原则上只允许一般的企业用 cn 域名了?
|
 |
39
aeron 238 天前
同地区,自建的服务 ip+端口可以用,域名以前好像也行(家宽 IPV6 )
|
|
40
lanwairen123 OP @aeron 大概从 6-7 月份开始的,你可以绑个域名试试
|
 |
41
erfesq 238 天前
实测,楼主所在地的几大运营商都这样,我还纳闷怎么回事,而且是全省似乎都这样。
|
 |
42
TrevorPhillips 238 天前 via Android
河南是人口大省,作为试验点正好,如果河南能管住那其他地方只会更轻松,这和去年封上海是一样的道理。。。
|
 |
43
NSAgold 238 天前 via Android
河南跑 pcdn 的太多搞得,全改 nat4 再加网关检测 http/https
|
 |
44
lingo 238 天前
河南和福建,难兄难弟
|
 |
45
lopssh 238 天前 via Android
运营商 DNS 发现解析的是国外 IP 就会阻断你, 假如你不让运营商发现你域名解析的是国外 Ip , 没准就没事了, 比如 DOH 。
|
 |
46
longxk 238 天前
@TESTFLIGHT2021 不会真的要上白名单了吧?
|
 |
47
z5e56 238 天前 via Android
tunneling?
|
 |
48
maigebaoer 238 天前 via Android
天生万物以养民…知足常乐?
|
 |
49
yianing 238 天前
逛油管的时候刷到的,https://blog.misaka.rest/2023/08/14/anti-sni-block-timestamps/ 起名河南模式,不知道是不是这个
|
 |
50
yogogo 238 天前
今天我的日本那边的 ip 换了好几个,中午的时候,ip 最长持续不到 10 分钟就被封了
|
|
51
lanwairen123 OP @lopssh 这个是掩耳盗铃,不管你是通过 DNS 还是 DOH ,获取到 IP 后还是要发 http 请求的,它就在这里拦你
|
|
52
lanwairen123 OP @yianing 是这个,不过不限于 sni 阻断,连 http 一块 reset
|
|
53
lanwairen123 OP @yogogo 我这不是封 IP ,只阻断 http/https 流量,IP 都是通的,甚至同一 IP 上搭的 vmess 梯子都能用
|
|
54
lanwairen123 OP @NSAgold 4-6 月改了一段时间 nat4 ,后来改回来 nat1 了,但是却开始 http/https 阻断了,说不定也跟 pcdn 有关系
|
 |
55
wangerka 238 天前
老大哥在步步逼近
|
 |
56
stfbdhuiliyi 238 天前
只能说有能力润的赶紧润吧
|
 |
57
cndns 238 天前 via Android
楼主可以做个实验,服务应用绑定主机头域名为 www.gov.cn 然后在本地 host 解析该域名访问看看他会 sin 阻断吗。如果不阻断说明没备案的域名 http https 域名都会阻断
|
 |
58
deorth 238 天前 via Android
sni 白名单,上 reality
|
 |
59
dreamrover 237 天前
要真全国推广了,naiveproxy 以后可咋用
|
 |
60
expy 237 天前
是在家里建服务,从外面访问被中断?
还是从家里往国外翻? |
 |
61
semglassiebaba 237 天前
@duduke 恩恩,反正 wechat ,tiktok 马上全国封禁,加速前进
|
|
62
NSAgold 237 天前 via Android
@lanwairen123 #54 从时间和措施上看,绝对和 pcdn 脱不了干系。只不过开的非常严格,导致了大范围误伤。
|
 |
63
yxmyxmyyy 237 天前 via Android
不知道靠大面积投诉能不能让他改回来
|
 |
64
lazywen 237 天前
意思墙内互相访问也会被阻断?完🐶蛋了呗
|
 |
65
sl0000 237 天前
对速度要求不高的话, 可以用 cf 的 tunnel
|
 |
66
lscho 237 天前
河南郑州联通表示正常
|
|
67
lanwairen123 OP @cndns 这样测试意义不大,因为换新域名会能用两天,你改 host 后不一定能复现出来
|
|
68
lanwairen123 OP @lscho 郑州联通好一点,4 个域名 reset 了 2 个....
|
 |
69
securityCoding 237 天前 via Android
套个 cf 呢
|
|
70
lanwairen123 OP @securityCoding 2 楼说了,试过,没用的
|
 |
71
coolcoffee 237 天前
粗看标题还以为是家宽托管服务访问被封禁,细看之后才发现白名单时代正在慢慢到来😂
|
 |
72
u20237 237 天前
好样的,有 NAT1 就已经谢天谢地了。NAT4 用户表示 NAT1 用户体验很好。NAT4 不仅仅是 NAT 级限制还有更高级的限制。
理论上所有的限制都在光猫收发,虽然体积不大,但能存很多很多的数据。 能把光猫**了 90%的限制就不在了,还有极少的限制在光猫的另一端。 |
 |
73
signalas1 237 天前
家宽本来就是严格管制的,直接开端口锁的很快,而且有几率会有警察上门
|
|
74
securityCoding 237 天前 via Android
@lanwairen123 tunnel 套个二级域名呢
|
|
75
lanwairen123 OP |
 |
76
totoro625 237 天前
用这个备案域名试试:127-0-0-1.nhost.00cdn.com 前面的 ip 改为服务器 ip
注:申请 SSL 证书时会泄露服务器 IP |
 |
77
ambition117 237 天前
备案就完事了,我在国内搭的服务都是备案的
|
 |
78
YGBlvcAK 237 天前 via Android
你是指 frp 穿透到国外的 vps ,访问国外 vps 也会被阻断?那是这个域名被阻断了?还是 frp 通道被阻断了?
|
|
79
lanwairen123 OP @YGBlvcAK 域名被阻断,frp 通道
|
|
80
lanwairen123 OP 这个不错,晚上试试
|
|
81
YGBlvcAK 237 天前 via Android
@lanwairen123 frp 通道没有加密吗?加密就不会监测出 http 啊
|
 |
82
mantouboji 237 天前
首选,最好用 IPv6 的动态域名,毕竟 RFC 规定 ipv6 前缀每三天变化一次,所以你最好每个小时更新一次,我用 dynv6 ,里面不要有 IPv4 的记录。不要使用任何中国公司提供的此类服务。
其次,必须 https, 不要有 http 。端口换其他,比如我用 8443 ,证书用 Letsencrypt ,用 DNS TXT 方式认证。certbot 有 rfc2136 的插件,至少对于 dynv6 很好用。 第三,进入网页必须要登录,不输入用户名口令不能看见任何内容。 |
|
83
lanwairen123 OP @YGBlvcAK 你访问 frp 映射出去的 http 服务肯定是 http 流量呀
|
|
84
lanwairen123 OP @mantouboji 除了 ipv6 其他基本都是这样设置的,因为有些网络环境没有 ipv6 ,私有服务,肯定都是需要登录的,全部都是 https
|
|
85
mantouboji 237 天前
@lanwairen123 反正其他人用浏览器直接访问你的域名,要一片空白啥都没有,不要有什么介绍和访问链接菜单什么的。
|
|
86
lanwairen123 OP @mantouboji 我都是通过二级域名访问的,一般很少有人能猜到二级域名,即使进去也是个登录页面,感觉跟这个没关系
|
|
87
lanwairen123 OP @totoro625 不行的,前面加上 IP 这个域名解析不了,不存在
|
|
88
YGBlvcAK 237 天前 via Android
@lanwairen123 那就是国外非白名单的域名都会阻断?
|
|
89
lanwairen123 OP 至少我手里的 4 个域名全阻断了,并且没有规律,新域名刚开始能用,过不了几天就阻断了
|
 |
90
Hconk 237 天前 via iPhone
frp ,开 tls ,云服务器防火墙关闭 frp 穿透的端口,用二级域名访问,然后服务器 nginx 反代,开 https ,全部流量走 80 端口,这样还能被阻断?
|
 |
91
admin13579 237 天前 via Android
虽然我不太懂,但既然是访问你自己控制下的机器,结合前一阵强制开启 TCP 时间戳验证来防止阻断的思路来看,可不可以在你的客户端和服务端都配置一条规则来丢弃 timestamp 不对的 rst 包?或者干脆丢弃全部入站 rst 包来强行无视阻断继续连接。不知道这样行不行?
|
|
92
YGBlvcAK 236 天前 via Android
楼主没说太清楚,好像是说 2 种情况:
1.郑州家宽自建 http/https 会被阻断 2.郑州家宽访问境外非白名单域名会被阻断 我看了好一会,是这意思? |
 |
93
huihuilang 236 天前 via Android
1.直接用 ip
2 先 vpn 回家再访问 我就是用第二种,网络技术不行担心被人爆破,所以还是麻烦点 |
 |
94
hello365 236 天前
河南联通刚测试访问了一下正常。
|
|
95
lanwairen123 OP @YGBlvcAK 可能我表述不太清楚,是郑州家宽访问自建 http/https 服务被阻断,不是用家宽自建 http/https 服务
|
|
96
lanwairen123 OP @huihuilang 不是所有网络环境都能装 VPN 的
|
|
97
lanwairen123 OP @admin13579 估计不太行,如果可以的话某墙的 reset 大法就能绕过了
|
 |
98
fcbwalk 236 天前
可以尝试一下:
1. 使用国内备案的域名 2. 使用 eu.org 的,我目前用的 cf+ws 还能正常使用,但 xyz 这种域名就不行,全部 reset 3. 本地 host 指定 test.baidu.com 类似这种走 http ,不知道是否可行? |
|
99
lanwairen123 OP |
 |
100
x3927 236 天前
同样遇到了. 用河南移动打不开国外自建的域名. 就直接挂 vpn 用了
|
Select Language