V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lanwairen123
V2EX  ›  宽带症候群

在河南郑州除了 vpn 还有访问自建 http/https 服务的途径吗,杀疯了

  •  
  •   lanwairen123 · 269 天前 · 9868 次点击
    这是一个创建于 269 天前的主题,其中的信息可能已经有所发展或是发生改变。

    河南郑州移动,自建的 http/https 服务不管是通过 frp 、nps 等各种映射,还是 nginx 反代,只要是通过域名访问,不管是 http 还是 https ,不管服务器在国内还是国外,不管是标准端口还是非标端口,全部 reset

    换个域名顶不了两天,已经换了 3 、4 个域名了,全部 reset

    通过 itdog http ping ,全国除了福建泉州和河南移动、电信、偶尔联通,其他全部都是正常访问的,关键我在郑州,有访问自建服务的需求

    都是自建的一些私人服务,像是笔记应用、HA 、私人相册、网盘等服务

    现在访问自己的服务只能挂梯子或者 VPN 进内网才能用

    第 1 条附言  ·  267 天前
    可能我表述不太清楚,是郑州家宽访问自建 http/https 服务被阻断,不是用家宽自建 http/https 服务
    第 2 条附言  ·  266 天前

    经过@admin13579 的提示,通过服务器和本地丢弃rst包的方式可以恢复本地访问,方法是

    #服务器端和本地端都运行,丢弃RST包
    iptables -I INPUT -p tcp --tcp-flags RST RST -j DROP
    #网关用这个可以丢弃转发的数据包中的RST包,使得网关下的设备都能恢复访问
    iptables -I FORWARD -p tcp -i pppoe-wan --tcp-flags RST RST -j DROP
    #pppoe-wan换成你的出口接口
    

    但是这种无脑丢弃RST包的方式可能会导致不可预料的网络问题

    加密sni没找到nginx下的配置方式,强制tls v1.3会被直接阻断

    120 条回复    2024-05-07 16:57:06 +08:00
    1  2  
    ROYWANGDEV
        1
    ROYWANGDEV  
       269 天前
    或许如果网站流量不算太大的话,外面可以套一层 CDN 试试
    lanwairen123
        2
    lanwairen123  
    OP
       269 天前
    @ROYWANGDEV 没用,都试过,我用的 aws lightsail ,被 reset 后套 cf ,甚至换新域名直接套 CF ,也坚持不了两天就 reset 了。
    ontry
        3
    ontry  
       269 天前   ❤️ 1
    DNS 被劫持了? 我发现除了 surge 的增强全局代理,其他代理都会泄漏 DNS 也就是有被劫持的风险
    lanwairen123
        4
    lanwairen123  
    OP
       269 天前
    @huaseky 不是 DNS 劫持,DNS 能正确解析,只要有 http/https 流量就直接 reset ,curl -v 域名可以看到直接就 reset 了,但是 curl -v IP 是有返回的
    ontry
        5
    ontry  
       269 天前
    @lanwairen123 我的意思是运营商 DNS 发现解析的是国外 IP 就阻断你, 你不让运营商发现你域名解析的是国外 Ip 没准就没事了, 比如 DOH
    mm163
        6
    mm163  
       269 天前
    域名+云主机备案,访问的就是云主机,跟加宽没关系吧。frp ,nps 暴露的又不是 http/https 协议。
    lanwairen123
        7
    lanwairen123  
    OP
       269 天前
    @huaseky 不只国外 IP 阻断,之前有个国内腾讯云的服务器,1M 小水管,没备案域名用非标端口建了几个自用的服务,都用好几年了,最近也被 reset 了
    lanwairen123
        8
    lanwairen123  
    OP
       269 天前
    @mm163 域名没有备案,同样的域名和服务器,全国其他地区都能访问,就在河南访问不了,frp nps 穿透的是 http/https 服务
    wmk3130
        9
    wmk3130  
       269 天前
    我用的联通,没这个问题,域名加高端口号
    busier
        10
    busier  
       269 天前
    那就直接用 IP 访问呗!
    smallboy19991231
        11
    smallboy19991231  
       269 天前 via Android
    河南真是水深火热啊😯
    1423
        12
    1423  
       268 天前
    抓个包看看哪里 rst 的
    yaott2020
        13
    yaott2020  
       268 天前 via Android
    备案康康,如果还是 reset 就告到工信部
    TESTFLIGHT2021
        14
    TESTFLIGHT2021  
       268 天前
    河南开始试点了,你们不知道么?
    duduke
        15
    duduke  
       268 天前 via iPhone
    没事,马上就全国推广了,加速前进
    CLx2GaS5tw
        16
    CLx2GaS5tw  
       268 天前
    @TESTFLIGHT2021 什么事情?
    docx
        17
    docx  
       268 天前 via iPhone
    很好奇在搞什么技术手段
    jackOff
        18
    jackOff  
       268 天前 via Android
    河南这片试验田如果效果好的话估计最迟明年全国推行
    lanwairen123
        19
    lanwairen123  
    OP
       268 天前 via Android
    @wmk3130 联通稍微好点,4 个域名 reset 了两个
    lanwairen123
        20
    lanwairen123  
    OP
       268 天前 via Android
    @busier IP 太难记😂,服务有点多
    lanwairen123
        21
    lanwairen123  
    OP
       268 天前 via Android
    @yaott2020 个人自用的,不对外服务,并且服务器在国外,没法备案,不过据说备过案的也有被杀的,完全搞不清楚逻辑
    lanwairen123
        22
    lanwairen123  
    OP
       268 天前 via Android
    所以如果河南模式推广全国,各位自建服务的该怎么办
    yinmin
        23
    yinmin  
       268 天前 via iPhone
    你用国内备案的域名指向国外服务器试试?
    yinmin
        24
    yinmin  
       268 天前 via iPhone
    找一家国内云买 1 个小机去备案,然后用一个子域名指向国外服务器试试
    lanwairen123
        25
    lanwairen123  
    OP
       268 天前 via Android
    @yinmin 手边没有备案域名 😂
    bobryjosin
        26
    bobryjosin  
       268 天前
    试试指向纯 ipv6 的域名也会被 rst ?
    hefish
        27
    hefish  
       268 天前   ❤️ 2
    没备案说个结巴,要么翻出去,要么备案去。
    tony1016
        28
    tony1016  
       268 天前   ❤️ 6
    我很怀疑是你自己的问题
    bjzhou1990
        29
    bjzhou1990  
       268 天前
    要不试试 HTTP/3 ?
    serafin
        30
    serafin  
       268 天前
    直接 IP + 端口号 能用吗? 试试 Cloudflare worker 302 重定向
    https://www.v2ex.com/t/938444
    dengjunwen
        31
    dengjunwen  
       268 天前 via Android
    通过域名访问就会被 reset? 那用 ip 访问呢? 另外你连接梯子就可以连接上?
    TESTFLIGHT2021
        32
    TESTFLIGHT2021  
       268 天前
    @bjzhou1990 别试了 河南在试点新技术。。。搞不定的
    knightdf
        33
    knightdf  
       268 天前
    不用怀疑,河南的网就是有点不一样,我们公司有 3 位河南的同事远程,1 个郑州 2 个洛阳,全部连不了公司的自建 VPN ,湖北湖南的同事都可以
    lanwairen123
        34
    lanwairen123  
    OP
       268 天前 via Android
    @dengjunwen
    @serafin IP 加端口可以访问,怀疑是省级出口那边部署了针对 http/https 流量的审计设备
    villivateur
        35
    villivateur  
       268 天前
    frp 可以的啊,记得流量加密
    jas0n2k
        36
    jas0n2k  
       268 天前 via Android
    这个不就是事实上的白名单了吗…天啊全国推广了就难办了
    lanwairen123
        37
    lanwairen123  
    OP
       268 天前 via Android
    @TESTFLIGHT2021 大佬有啥内幕消息没
    systemcall
        38
    systemcall  
       268 天前
    下一步是不是就要收紧域名权限,原则上只允许一般的企业用 cn 域名了?
    aeron
        39
    aeron  
       268 天前
    同地区,自建的服务 ip+端口可以用,域名以前好像也行(家宽 IPV6 )
    lanwairen123
        40
    lanwairen123  
    OP
       268 天前
    @aeron 大概从 6-7 月份开始的,你可以绑个域名试试
    erfesq
        41
    erfesq  
       268 天前
    实测,楼主所在地的几大运营商都这样,我还纳闷怎么回事,而且是全省似乎都这样。
    TrevorPhillips
        42
    TrevorPhillips  
       268 天前 via Android
    河南是人口大省,作为试验点正好,如果河南能管住那其他地方只会更轻松,这和去年封上海是一样的道理。。。
    NSAgold
        43
    NSAgold  
       268 天前 via Android
    河南跑 pcdn 的太多搞得,全改 nat4 再加网关检测 http/https
    lingo
        44
    lingo  
       268 天前
    河南和福建,难兄难弟
    lopssh
        45
    lopssh  
       268 天前 via Android
    运营商 DNS 发现解析的是国外 IP 就会阻断你, 假如你不让运营商发现你域名解析的是国外 Ip , 没准就没事了, 比如 DOH 。
    longxk
        46
    longxk  
       268 天前
    @TESTFLIGHT2021 不会真的要上白名单了吧?
    z5e56
        47
    z5e56  
       268 天前 via Android
    tunneling?
    maigebaoer
        48
    maigebaoer  
       268 天前 via Android
    天生万物以养民…知足常乐?
    yianing
        49
    yianing  
       268 天前
    逛油管的时候刷到的,https://blog.misaka.rest/2023/08/14/anti-sni-block-timestamps/ 起名河南模式,不知道是不是这个
    yogogo
        50
    yogogo  
       268 天前
    今天我的日本那边的 ip 换了好几个,中午的时候,ip 最长持续不到 10 分钟就被封了
    lanwairen123
        51
    lanwairen123  
    OP
       268 天前 via Android
    @lopssh 这个是掩耳盗铃,不管你是通过 DNS 还是 DOH ,获取到 IP 后还是要发 http 请求的,它就在这里拦你
    lanwairen123
        52
    lanwairen123  
    OP
       268 天前 via Android
    @yianing 是这个,不过不限于 sni 阻断,连 http 一块 reset
    lanwairen123
        53
    lanwairen123  
    OP
       268 天前 via Android
    @yogogo 我这不是封 IP ,只阻断 http/https 流量,IP 都是通的,甚至同一 IP 上搭的 vmess 梯子都能用
    lanwairen123
        54
    lanwairen123  
    OP
       268 天前 via Android
    @NSAgold 4-6 月改了一段时间 nat4 ,后来改回来 nat1 了,但是却开始 http/https 阻断了,说不定也跟 pcdn 有关系
    wangerka
        55
    wangerka  
       268 天前
    老大哥在步步逼近
    stfbdhuiliyi
        56
    stfbdhuiliyi  
       268 天前
    只能说有能力润的赶紧润吧
    cndns
        57
    cndns  
       268 天前 via Android
    楼主可以做个实验,服务应用绑定主机头域名为 www.gov.cn 然后在本地 host 解析该域名访问看看他会 sin 阻断吗。如果不阻断说明没备案的域名 http https 域名都会阻断
    deorth
        58
    deorth  
       268 天前 via Android
    sni 白名单,上 reality
    dreamrover
        59
    dreamrover  
       268 天前
    要真全国推广了,naiveproxy 以后可咋用
    expy
        60
    expy  
       268 天前
    是在家里建服务,从外面访问被中断?

    还是从家里往国外翻?
    semglassiebaba
        61
    semglassiebaba  
       268 天前
    @duduke 恩恩,反正 wechat ,tiktok 马上全国封禁,加速前进
    NSAgold
        62
    NSAgold  
       268 天前 via Android
    @lanwairen123 #54 从时间和措施上看,绝对和 pcdn 脱不了干系。只不过开的非常严格,导致了大范围误伤。
    yxmyxmyyy
        63
    yxmyxmyyy  
       268 天前 via Android
    不知道靠大面积投诉能不能让他改回来
    lazywen
        64
    lazywen  
       268 天前
    意思墙内互相访问也会被阻断?完🐶蛋了呗
    sl0000
        65
    sl0000  
       268 天前
    对速度要求不高的话, 可以用 cf 的 tunnel
    lscho
        66
    lscho  
       268 天前
    河南郑州联通表示正常
    lanwairen123
        67
    lanwairen123  
    OP
       268 天前
    @cndns 这样测试意义不大,因为换新域名会能用两天,你改 host 后不一定能复现出来
    lanwairen123
        68
    lanwairen123  
    OP
       268 天前
    @lscho 郑州联通好一点,4 个域名 reset 了 2 个....
    securityCoding
        69
    securityCoding  
       268 天前 via Android
    套个 cf 呢
    lanwairen123
        70
    lanwairen123  
    OP
       268 天前 via Android
    @securityCoding 2 楼说了,试过,没用的
    coolcoffee
        71
    coolcoffee  
       268 天前
    粗看标题还以为是家宽托管服务访问被封禁,细看之后才发现白名单时代正在慢慢到来😂
    u20237
        72
    u20237  
       268 天前
    好样的,有 NAT1 就已经谢天谢地了。NAT4 用户表示 NAT1 用户体验很好。NAT4 不仅仅是 NAT 级限制还有更高级的限制。

    理论上所有的限制都在光猫收发,虽然体积不大,但能存很多很多的数据。

    能把光猫**了 90%的限制就不在了,还有极少的限制在光猫的另一端。
    signalas1
        73
    signalas1  
       268 天前
    家宽本来就是严格管制的,直接开端口锁的很快,而且有几率会有警察上门
    securityCoding
        74
    securityCoding  
       268 天前 via Android
    @lanwairen123 tunnel 套个二级域名呢
    lanwairen123
        75
    lanwairen123  
    OP
       268 天前 via Android
    @securityCoding 本来就套的是二级域名

    @signalas1 重点不在家宽开端口,而在家宽访问自建服务,不管服务是家里 NAS 起的然后内网穿透出去,还是 VPS 起的服务
    totoro625
        76
    totoro625  
       268 天前
    用这个备案域名试试:127-0-0-1.nhost.00cdn.com 前面的 ip 改为服务器 ip
    注:申请 SSL 证书时会泄露服务器 IP
    ambition117
        77
    ambition117  
       268 天前
    备案就完事了,我在国内搭的服务都是备案的
    YGBlvcAK
        78
    YGBlvcAK  
       268 天前 via Android
    你是指 frp 穿透到国外的 vps ,访问国外 vps 也会被阻断?那是这个域名被阻断了?还是 frp 通道被阻断了?
    lanwairen123
        79
    lanwairen123  
    OP
       268 天前 via Android
    @YGBlvcAK 域名被阻断,frp 通道
    lanwairen123
        80
    lanwairen123  
    OP
       268 天前 via Android
    这个不错,晚上试试
    YGBlvcAK
        81
    YGBlvcAK  
       268 天前 via Android
    @lanwairen123 frp 通道没有加密吗?加密就不会监测出 http 啊
    mantouboji
        82
    mantouboji  
       268 天前
    首选,最好用 IPv6 的动态域名,毕竟 RFC 规定 ipv6 前缀每三天变化一次,所以你最好每个小时更新一次,我用 dynv6 ,里面不要有 IPv4 的记录。不要使用任何中国公司提供的此类服务。

    其次,必须 https, 不要有 http 。端口换其他,比如我用 8443 ,证书用 Letsencrypt ,用 DNS TXT 方式认证。certbot 有 rfc2136 的插件,至少对于 dynv6 很好用。

    第三,进入网页必须要登录,不输入用户名口令不能看见任何内容。
    lanwairen123
        83
    lanwairen123  
    OP
       268 天前 via Android
    @YGBlvcAK 你访问 frp 映射出去的 http 服务肯定是 http 流量呀
    lanwairen123
        84
    lanwairen123  
    OP
       268 天前 via Android
    @mantouboji 除了 ipv6 其他基本都是这样设置的,因为有些网络环境没有 ipv6 ,私有服务,肯定都是需要登录的,全部都是 https
    mantouboji
        85
    mantouboji  
       268 天前
    @lanwairen123 反正其他人用浏览器直接访问你的域名,要一片空白啥都没有,不要有什么介绍和访问链接菜单什么的。
    lanwairen123
        86
    lanwairen123  
    OP
       268 天前 via Android
    @mantouboji 我都是通过二级域名访问的,一般很少有人能猜到二级域名,即使进去也是个登录页面,感觉跟这个没关系
    lanwairen123
        87
    lanwairen123  
    OP
       267 天前
    @totoro625 不行的,前面加上 IP 这个域名解析不了,不存在
    YGBlvcAK
        88
    YGBlvcAK  
       267 天前 via Android
    @lanwairen123 那就是国外非白名单的域名都会阻断?
    lanwairen123
        89
    lanwairen123  
    OP
       267 天前 via Android
    至少我手里的 4 个域名全阻断了,并且没有规律,新域名刚开始能用,过不了几天就阻断了
    Hconk
        90
    Hconk  
       267 天前 via iPhone
    frp ,开 tls ,云服务器防火墙关闭 frp 穿透的端口,用二级域名访问,然后服务器 nginx 反代,开 https ,全部流量走 80 端口,这样还能被阻断?
    admin13579
        91
    admin13579  
       267 天前 via Android
    虽然我不太懂,但既然是访问你自己控制下的机器,结合前一阵强制开启 TCP 时间戳验证来防止阻断的思路来看,可不可以在你的客户端和服务端都配置一条规则来丢弃 timestamp 不对的 rst 包?或者干脆丢弃全部入站 rst 包来强行无视阻断继续连接。不知道这样行不行?
    YGBlvcAK
        92
    YGBlvcAK  
       267 天前 via Android
    楼主没说太清楚,好像是说 2 种情况:
    1.郑州家宽自建 http/https 会被阻断
    2.郑州家宽访问境外非白名单域名会被阻断

    我看了好一会,是这意思?
    huihuilang
        93
    huihuilang  
       267 天前 via Android
    1.直接用 ip
    2 先 vpn 回家再访问
    我就是用第二种,网络技术不行担心被人爆破,所以还是麻烦点
    hello365
        94
    hello365  
       267 天前
    河南联通刚测试访问了一下正常。
    lanwairen123
        95
    lanwairen123  
    OP
       267 天前
    @YGBlvcAK 可能我表述不太清楚,是郑州家宽访问自建 http/https 服务被阻断,不是用家宽自建 http/https 服务
    lanwairen123
        96
    lanwairen123  
    OP
       267 天前
    @huihuilang 不是所有网络环境都能装 VPN 的
    lanwairen123
        97
    lanwairen123  
    OP
       267 天前
    @admin13579 估计不太行,如果可以的话某墙的 reset 大法就能绕过了
    fcbwalk
        98
    fcbwalk  
       267 天前
    可以尝试一下:
    1. 使用国内备案的域名
    2. 使用 eu.org 的,我目前用的 cf+ws 还能正常使用,但 xyz 这种域名就不行,全部 reset
    3. 本地 host 指定 test.baidu.com 类似这种走 http ,不知道是否可行?
    lanwairen123
        99
    lanwairen123  
    OP
       267 天前
    @fcbwalk eu.org 就申请到一个,不太舍得用怕被 reset 了.....我用的 cf 上注册的 win 域名,比较便宜,可能域名后缀小众,就这已经 reset2 个了,换其他主流后缀再被 reset 钱包有点受不了....
    x3927
        100
    x3927  
       267 天前
    同样遇到了. 用河南移动打不开国外自建的域名. 就直接挂 vpn 用了
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3650 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 10:23 · PVG 18:23 · LAX 03:23 · JFK 06:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.