V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
AS58453
V2EX  ›  宽带症候群

四川电信即将开始对 DNS/53 端口进行阻断

  •  
  •   AS58453 · 246 天前 · 7286 次点击
    这是一个创建于 246 天前的主题,其中的信息可能已经有所发展或是发生改变。
    如题

    另外经过测试,53 端口在全省范围内的确没有封禁。移动和联通都已经封禁了的。
    另外,省公司已经开始对 PCDN 行为进行封网/降速,(虽然四川电信没有几个公网用户,开公网要+100 和特定套餐低消) PT 用户末日即将到来。
    49 条回复    2024-03-06 02:35:53 +08:00
    mohumohu
        1
    mohumohu  
       246 天前
    53 端口有啥影响,DNS 运营本来就要牌照
    AS58453
        2
    AS58453  
    OP
       246 天前
    @mohumohu 这只是告知大家,并没说封禁不合理。真要建 DNS 的同学也不会在 53 上用明文 dns 。
    Km96Em
        3
    Km96Em  
       246 天前
    封吧。管不过来一刀切,“永诀后患”。就是运营商劫持插广告是不是也该一起切了?
    qweedc1997
        4
    qweedc1997  
       246 天前
    我现在是公网 ip ,有什么影响吗
    testonly
        5
    testonly  
       246 天前   ❤️ 6
    不用想了,后面就是只要流量有点大的都打,而且只要普遍反应不强烈,后面会逐步升级越收越紧,越来越容易超过他们所谓的阀值。可以参考今天那个下载小姐姐被封的。
    自建房出租屋,BTPT ,经常有大量下载的,一网打尽。
    AoEiuV020JP
        6
    AoEiuV020JP  
       246 天前
    尽给人添麻烦,这种限制对我网络自由根本没影响,反而是正常需求会受影响,
    ikuai 这里 wan 静态 ip 情况没法 dhcp 获取 dns ,只能写死 dns ,你给我劫持了也没事,但阻断就过分了,
    好在我不是四川的,
    AS58453
        7
    AS58453  
    OP
       246 天前
    @qweedc1997 没有什么影响,你只要不改套餐、移机。公网不会掉的。这个帖子只是讨论 53 封禁的问题,顺道提醒大家注意上传流量。
    AS58453
        8
    AS58453  
    OP
       246 天前
    @AoEiuV020JP 这个文件的意思是封禁自建 DNS 的情况(家宽、固定 IP 未备案专线、IDC ),禁止对外提供域名递归解析服务,对于公用 DNS 和运营商自建 DNS 是没有影响的。
    deorth
        9
    deorth  
       246 天前 via Android
    建议直接禁双向 udp 53
    Decillion
        10
    Decillion  
       246 天前 via iPhone
    自建一般都 doh dot 吧 853 端口不影响
    mohumohu
        11
    mohumohu  
       246 天前
    @AS58453 不管你明文不明文,动态 IP 你搭出来用 53 端口的 DNS 也没法用啊,除非你想用 53 端口伪装流量。你要是说固定 IP ,云计算厂商早就自动扫描 53 端口检测是否有 DNS 服务好几年了。
    AoEiuV020JP
        12
    AoEiuV020JP  
       246 天前
    @AS58453 #8 哦哦那还好,我没认真看,以为双向的,家宽禁止对外提供常见的服务也算正常限制了,
    lsylsy2
        13
    lsylsy2  
       246 天前
    家宽禁止公网开放 53 还是比较合理的决策。没必要(动态 IP )还有风险(不只是政策风险,还有反射攻击)
    和封 SMTP 差不多是一个程度。
    lsylsy2
        14
    lsylsy2  
       246 天前
    @testonly 你仔细看看,自建 DNS 服务器正常服务的话能吃多少流量,跟网间结算怎么想都没有关系
    mantouboji
        15
    mantouboji  
       246 天前 via iPhone   ❤️ 3
    这么合理合法正规的操作也要发个帖子? DNS 运营本来就需要严格的牌照,你没事儿自己在家建 DNS 服务对外开放要干什么?这是蠢还是坏?还是单纯没见识?
    alexhx
        16
    alexhx  
       246 天前   ❤️ 11
    @mantouboji 你特么管我搭 DNS 干什么,我就爱搭着玩怎么了?我从来不做饭,但是家里放着把菜刀,怎么,你是不是还怀疑我要杀人?
    1423
        17
    1423  
       246 天前
    支持所有运营商全面封禁 dns53
    一来早就有更好的替代, 二来总是被用于 ddos
    dns53 应当只在全部节点受控的局域网使用
    AS58453
        18
    AS58453  
    OP
       246 天前 via Android
    @mantouboji
    你理解有问题吗,我什么时候说了这是无理封禁了?还非蠢即坏。你可真是会给人扣大帽子,好好审题好吧,我什么时候说了我在家里开 DNS 服务了。
    AS58453
        19
    AS58453  
    OP
       246 天前 via Android
    @mohumohu 我倒是没有这个需求,没啥用。只是告诉大家最近审查动向,仅此而已。
    AS58453
        20
    AS58453  
    OP
       246 天前 via Android
    @lsylsy2 对的,这个决策很合理。不过 smtp/25 这边没有 ban 掉,三大运营商都是可用的。也问过 NOC ,还没有相关文件下来,不过要注意垃圾邮件问题。
    jasonyang9
        21
    jasonyang9  
       246 天前
    找到一个错别字涕归。这是用的五笔?
    AS58453
        22
    AS58453  
    OP
       246 天前 via Android
    @jasonyang9 那应该省公司的人是敲错了,不影响大家理解就是了。这个文件不是我做的,是从 NOC 那儿流出来的。
    testonly
        23
    testonly  
       246 天前
    @lsylsy2 我说的是一步一步升级,一切只是时间问题。我上面也写了“参考今天那个下载小姐姐被封的”,你找那个贴看看吧,他只是下载就被当 PCDN 被封了,他可没开什么 DNS 。
    他们为何弄你 DNS ,还不是怕你以后用来弄大流量的东西。
    无论楼主讲的这个,和那位下载小姐姐的,都一样,挂着打击 PCDN 口号打击大流量。
    Ipsum
        24
    Ipsum  
       246 天前
    别慌,只是不能自建 dns 服务器而已。现在 dot doh 这么多。其实也不影响
    thereone
        25
    thereone  
       246 天前
    PT 和 BT 把强制加密打开问题不大一般抓包后的数据是没有和 cdn 类的进行交互的,我这边抓和封堵 PCDN 都是后台抓包存在有证据的和某个 PCDN 或者疑似 PCDN 的进行交互。如果运营商限速或者停宽带就让他出示对应的证据不然就投诉。dns 服务本来就不该由个人搭建对外提供服务,内部搭建使用没有问题如果要封堵也没有什么问题就像 445 端口 139 端口封堵一样。
    xiaobaibay
        26
    xiaobaibay  
       246 天前
    实测我家的联通 53 端口开放的 ,之前自建了 mosdns ,那段时间网络异常的高,后面经过排查后才发现是 53 端口,坐标成都
    tediorelee
        27
    tediorelee  
       246 天前
    真要查上传啊,我一个月大概有个 1-2T ,最多不超过 4T 吧,基本都是 v6 的上传,这也要管?
    fat00119
        28
    fat00119  
       246 天前
    @AS58453 大流量的话 多少算大?
    newtonMiku
        29
    newtonMiku  
       246 天前
    @AS58453 #7 同四川电信,以前的老电信宽带,老早以前申请的公网 ip ,没花钱的都,年前找麻烦,流量大把公网 ip 收回了,后来工信部投诉要回来了,这周又说什么工信部下文件,指着说我对外提供服务(个人主要是用于 webdav 等,基本没别人访问),要公安局备案才能使用公网 ip ,又给我收了(不清楚这个工信部要求公安备案是否属实,知道确实有这个规定,但是真有人没事干查家宽吗)
    geniussoft
        30
    geniussoft  
       245 天前 via iPhone
    目前下载文件的情况是失控的。
    未来,为了维护思想的纯洁性,有害影视作品是要被避免的。
    acbot
        31
    acbot  
       245 天前
    http (80 8080 443)
    smtp (25) pop3 (110)
    dns (53)

    按规定这些协议及其端口,ipv4/v6 默认都需要封,其中 http 协议及其端口 执行最早也最严格,防火墙规则也最完善,运营商可以不严格执行,但出了问题上级差下来那可就是吃不了兜着走,所以每个地方执行情况还是要看当地运营商的觉悟,一般站位高的运营商或者某些部分也会不断扫描自己的公网段,探测有没有违规!
    datou
        32
    datou  
       245 天前
    @acbot 家宽的 445 也是屏蔽的
    locoz
        33
    locoz  
       245 天前
    @alexhx #16 自建 DNS 本身就属于概率极低的事情,绝大多数人也都没有自建可被外部访问的 DNS 的需求,即使是极少数自己有自建 DNS 玩的人也有各种其他更好的解决方案,完全不需要直接这么对外开放。反观这个端口可以被利用于做各种非常规的操作,会造成明显的负面影响,难不成就为了极少数人群中那些又菜又爱玩的人,选择管理成本高得多的方案?甚至是各种负面影响就不管了?

    你这举个例子都不会举,菜刀是常规工具,常规家庭都会有,正常谁会怀疑你要杀人? DNS 这种能一样吗...正确的类比应该是人在中国大陆,但家里放了把真枪,你说是说只是以前别人送的、自己收藏着玩玩、从来没用过,但你身份看着很普通,又没有查到有正规的备案,你也拿不出什么可以让你随意持枪的特殊证明,正常来说就不可能有接触到枪的可能性,更不可能把枪放在家里,那你这枪是哪来的?干过什么?谁知道呢?别人怎么知道你是不是伪装身份的杀手?都已经不正常成这样了,凭什么不能怀疑?
    shilyx
        34
    shilyx  
       245 天前
    这决策水平是真的 low 啊,之前种种加码 vpn ,逼出了 ss 这种东西,一点解密的可能性都没

    现在封禁 53 ,无非是快速逼大家用加密 dns 而已
    acbot
        35
    acbot  
       245 天前
    @datou 对,但 445 有一说一这个确实是安全原因!

    像这些重点照顾的协议和端口,你说临时小范围用用都算了,但总还是有人不信邪!
    likeflower
        36
    likeflower  
       245 天前
    @deorth 禁掉 53 ,那怎样上网呢?
    AS58453
        37
    AS58453  
    OP
       245 天前
    @fat00119 现在主要是看上下行流量比,10:1 基本被封,还有 NOC 在运维平台上扫端口的,主要针对 10000 以上的 UDP 端口,扫到一个 IP 大规模开端口,就会被标记。(此时还不会进行限速,只是单纯的人工标记)
    AS58453
        38
    AS58453  
    OP
       245 天前
    @newtonMiku 现在除了云宽通,都没有公网了(没收回的除外),想要公网要 399+100;至于要公安备案才给你公网 IP 那个,完全就是为了堵人而已。工信部的要求是固定 IP 才能进行域名备案,动态 IP 不得开放 80/443 。这一条就是敲死了所有 PPPOE 用户,另外就算你有一个备案的了的域名(比如接入的公有云),运营商一样会已该域名没有接入备案到中国电信而不给你开端口。域名备案和公网 IP 没有任何联系,说白了就是想让你加钱上云宽通和每个月 100 的 IP 使用费。
    abc500
        39
    abc500  
       245 天前
    @mantouboji 那我得说你 说得好!
    thtznet
        40
    thtznet  
       245 天前   ❤️ 1
    虽然这个政策的结果对人民群众有好的一影响多过不好的影响,但说实话,互联网自由精神在开倒车又在加速这个趋势是没跑的。
    fat00119
        41
    fat00119  
       245 天前
    @AS58453 本文说的都是针对公网 IP 吗 如果私网大流量 tcp 有风险吗
    newtonMiku
        42
    newtonMiku  
       245 天前
    @AS58453 看来在四川基本没什么可以玩 nas 之类的方法了,走公有云建隧道带宽太低了,运营商的要么贵/不能开,要么就是移动这种商宽得要营业执照的
    AS58453
        43
    AS58453  
    OP
       245 天前
    @fat00119 只是针对公网 IPV4 用户,包括企宽固定 IP/动态 IP ;私网用户只有在 full come nat 情况下才能打洞让外面主动访问,过于麻烦。基本没人会管,而且私网用户挂 PT 根本就没绿灯;另外:IPV6 现在还没有在管理范围内,所以用 V6 跑上传基本没事。
    AS58453
        44
    AS58453  
    OP
       245 天前
    @newtonMiku 移动可以找客户经理,给点好处让他想办法给你拉专线进小区,只要小区楼下有底商,客户经理都能给你装,营业执照他知道给你想办法。
    AS58453
        45
    AS58453  
    OP
       245 天前
    @newtonMiku 另外你可以转联通,成都除了高新区以外,全市范围内都是公网 IP ,(非成都地市我不清楚),如果成都地区没有公网 IP ,可以尝试在 pppoe 账号加上 @pppoe 的后缀。
    mytsing520
        46
    mytsing520  
       244 天前
    这个规定,本质上是禁止无牌照对外提供标准 DNS 递归解析服务,即类似 114DNS 这种
    且从内容看,是有一批需要整顿的清单,而不是类似处置 80 、443 端口那样,全局无脑默认封 53 端口
    对宽带请求外部递归 DNS 服务,换句话说就是上网,没有影响

    四川电信本轮只是跟进了管控措施,我记得最早是教育网开始整顿(清华大学的 101.7.8.9 已经禁止公众访问,但清华校内访问正常),后来三家跟上
    newtonMiku
        47
    newtonMiku  
       244 天前
    @AS58453 主要是移动如果拉专线不知道多少钱,超过 300 一个月可能我就得忍一忍了(更何况如果拉专线不知道是不是也不能放 web 出去了,如果也不能那拉完基本也就只能和几个朋友一起打打私服的帕鲁、七日杀这些)

    联通的话我非成都不清楚加后缀的方式是否可行,毕竟之前成都电信要公网是能有双栈的,我们这边电信公网只有单栈
    newtonMiku
        48
    newtonMiku  
       244 天前
    @newtonMiku 我说的放 web 主要是一些个人用的比如 bitwarden 、gonotify 一类的软件,顶多有个青龙面板和京东登录,别的可能也就只有一个群晖的 webdav 了
    szzys
        49
    szzys  
       242 天前
    哎。。通信主管部门制定规则的人到底在想什么。。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   923 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 21:26 · PVG 05:26 · LAX 14:26 · JFK 17:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.