V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lanwairen123
V2EX  ›  宽带症候群

在河南郑州除了 vpn 还有访问自建 http/https 服务的途径吗,杀疯了

  •  
  •   lanwairen123 · 2023-09-02 16:47:42 +08:00 · 11178 次点击
    这是一个创建于 430 天前的主题,其中的信息可能已经有所发展或是发生改变。

    河南郑州移动,自建的 http/https 服务不管是通过 frp 、nps 等各种映射,还是 nginx 反代,只要是通过域名访问,不管是 http 还是 https ,不管服务器在国内还是国外,不管是标准端口还是非标端口,全部 reset

    换个域名顶不了两天,已经换了 3 、4 个域名了,全部 reset

    通过 itdog http ping ,全国除了福建泉州和河南移动、电信、偶尔联通,其他全部都是正常访问的,关键我在郑州,有访问自建服务的需求

    都是自建的一些私人服务,像是笔记应用、HA 、私人相册、网盘等服务

    现在访问自己的服务只能挂梯子或者 VPN 进内网才能用

    第 1 条附言  ·  2023-09-04 12:48:53 +08:00
    可能我表述不太清楚,是郑州家宽访问自建 http/https 服务被阻断,不是用家宽自建 http/https 服务
    第 2 条附言  ·  2023-09-05 09:50:45 +08:00

    经过@admin13579 的提示,通过服务器和本地丢弃rst包的方式可以恢复本地访问,方法是

    #服务器端和本地端都运行,丢弃RST包
    iptables -I INPUT -p tcp --tcp-flags RST RST -j DROP
    #网关用这个可以丢弃转发的数据包中的RST包,使得网关下的设备都能恢复访问
    iptables -I FORWARD -p tcp -i pppoe-wan --tcp-flags RST RST -j DROP
    #pppoe-wan换成你的出口接口
    

    但是这种无脑丢弃RST包的方式可能会导致不可预料的网络问题

    加密sni没找到nginx下的配置方式,强制tls v1.3会被直接阻断

    121 条回复    2024-08-30 17:04:16 +08:00
    1  2  
    ROYWANGDEV
        1
    ROYWANGDEV  
       2023-09-02 16:52:35 +08:00
    或许如果网站流量不算太大的话,外面可以套一层 CDN 试试
    lanwairen123
        2
    lanwairen123  
    OP
       2023-09-02 16:58:11 +08:00
    @ROYWANGDEV 没用,都试过,我用的 aws lightsail ,被 reset 后套 cf ,甚至换新域名直接套 CF ,也坚持不了两天就 reset 了。
    ontry
        3
    ontry  
       2023-09-02 17:03:28 +08:00   ❤️ 1
    DNS 被劫持了? 我发现除了 surge 的增强全局代理,其他代理都会泄漏 DNS 也就是有被劫持的风险
    lanwairen123
        4
    lanwairen123  
    OP
       2023-09-02 17:08:22 +08:00
    @huaseky 不是 DNS 劫持,DNS 能正确解析,只要有 http/https 流量就直接 reset ,curl -v 域名可以看到直接就 reset 了,但是 curl -v IP 是有返回的
    ontry
        5
    ontry  
       2023-09-02 17:18:28 +08:00
    @lanwairen123 我的意思是运营商 DNS 发现解析的是国外 IP 就阻断你, 你不让运营商发现你域名解析的是国外 Ip 没准就没事了, 比如 DOH
    mm163
        6
    mm163  
       2023-09-02 17:19:10 +08:00
    域名+云主机备案,访问的就是云主机,跟加宽没关系吧。frp ,nps 暴露的又不是 http/https 协议。
    lanwairen123
        7
    lanwairen123  
    OP
       2023-09-02 17:22:15 +08:00
    @huaseky 不只国外 IP 阻断,之前有个国内腾讯云的服务器,1M 小水管,没备案域名用非标端口建了几个自用的服务,都用好几年了,最近也被 reset 了
    lanwairen123
        8
    lanwairen123  
    OP
       2023-09-02 17:24:50 +08:00
    @mm163 域名没有备案,同样的域名和服务器,全国其他地区都能访问,就在河南访问不了,frp nps 穿透的是 http/https 服务
    wmk3130
        9
    wmk3130  
       2023-09-02 18:19:52 +08:00
    我用的联通,没这个问题,域名加高端口号
    busier
        10
    busier  
       2023-09-02 18:19:54 +08:00
    那就直接用 IP 访问呗!
    smallboy19991231
        11
    smallboy19991231  
       2023-09-02 18:23:04 +08:00 via Android
    河南真是水深火热啊😯
    1423
        12
    1423  
       2023-09-02 18:36:30 +08:00
    抓个包看看哪里 rst 的
    yaott2020
        13
    yaott2020  
       2023-09-02 19:05:36 +08:00 via Android
    备案康康,如果还是 reset 就告到工信部
    TESTFLIGHT2021
        14
    TESTFLIGHT2021  
       2023-09-02 19:08:43 +08:00
    河南开始试点了,你们不知道么?
    duduke
        15
    duduke  
       2023-09-02 19:08:49 +08:00 via iPhone
    没事,马上就全国推广了,加速前进
    CLx2GaS5tw
        16
    CLx2GaS5tw  
       2023-09-02 19:10:37 +08:00
    @TESTFLIGHT2021 什么事情?
    docx
        17
    docx  
       2023-09-02 19:14:35 +08:00 via iPhone
    很好奇在搞什么技术手段
    jackOff
        18
    jackOff  
       2023-09-02 19:21:00 +08:00 via Android
    河南这片试验田如果效果好的话估计最迟明年全国推行
    lanwairen123
        19
    lanwairen123  
    OP
       2023-09-02 19:22:25 +08:00 via Android
    @wmk3130 联通稍微好点,4 个域名 reset 了两个
    lanwairen123
        20
    lanwairen123  
    OP
       2023-09-02 19:23:43 +08:00 via Android
    @busier IP 太难记😂,服务有点多
    lanwairen123
        21
    lanwairen123  
    OP
       2023-09-02 19:25:08 +08:00 via Android
    @yaott2020 个人自用的,不对外服务,并且服务器在国外,没法备案,不过据说备过案的也有被杀的,完全搞不清楚逻辑
    lanwairen123
        22
    lanwairen123  
    OP
       2023-09-02 19:26:39 +08:00 via Android
    所以如果河南模式推广全国,各位自建服务的该怎么办
    yinmin
        23
    yinmin  
       2023-09-02 19:27:59 +08:00 via iPhone
    你用国内备案的域名指向国外服务器试试?
    yinmin
        24
    yinmin  
       2023-09-02 19:29:59 +08:00 via iPhone
    找一家国内云买 1 个小机去备案,然后用一个子域名指向国外服务器试试
    lanwairen123
        25
    lanwairen123  
    OP
       2023-09-02 19:30:54 +08:00 via Android
    @yinmin 手边没有备案域名 😂
    bobryjosin
        26
    bobryjosin  
       2023-09-02 19:37:35 +08:00
    试试指向纯 ipv6 的域名也会被 rst ?
    hefish
        27
    hefish  
       2023-09-02 19:38:01 +08:00   ❤️ 2
    没备案说个结巴,要么翻出去,要么备案去。
    tony1016
        28
    tony1016  
       2023-09-02 19:52:14 +08:00   ❤️ 6
    我很怀疑是你自己的问题
    bjzhou1990
        29
    bjzhou1990  
       2023-09-02 19:55:45 +08:00
    要不试试 HTTP/3 ?
    serafin
        30
    serafin  
       2023-09-02 19:56:28 +08:00
    直接 IP + 端口号 能用吗? 试试 Cloudflare worker 302 重定向
    https://www.v2ex.com/t/938444
    dengjunwen
        31
    dengjunwen  
       2023-09-02 19:58:06 +08:00 via Android
    通过域名访问就会被 reset? 那用 ip 访问呢? 另外你连接梯子就可以连接上?
    TESTFLIGHT2021
        32
    TESTFLIGHT2021  
       2023-09-02 20:02:56 +08:00
    @bjzhou1990 别试了 河南在试点新技术。。。搞不定的
    knightdf
        33
    knightdf  
       2023-09-02 20:09:56 +08:00
    不用怀疑,河南的网就是有点不一样,我们公司有 3 位河南的同事远程,1 个郑州 2 个洛阳,全部连不了公司的自建 VPN ,湖北湖南的同事都可以
    lanwairen123
        34
    lanwairen123  
    OP
       2023-09-02 20:41:37 +08:00 via Android
    @dengjunwen
    @serafin IP 加端口可以访问,怀疑是省级出口那边部署了针对 http/https 流量的审计设备
    villivateur
        35
    villivateur  
       2023-09-02 20:57:29 +08:00
    frp 可以的啊,记得流量加密
    jas0n2k
        36
    jas0n2k  
       2023-09-02 21:02:54 +08:00 via Android
    这个不就是事实上的白名单了吗…天啊全国推广了就难办了
    lanwairen123
        37
    lanwairen123  
    OP
       2023-09-02 21:11:50 +08:00 via Android
    @TESTFLIGHT2021 大佬有啥内幕消息没
    systemcall
        38
    systemcall  
       2023-09-02 21:17:56 +08:00
    下一步是不是就要收紧域名权限,原则上只允许一般的企业用 cn 域名了?
    aeron
        39
    aeron  
       2023-09-02 21:22:52 +08:00
    同地区,自建的服务 ip+端口可以用,域名以前好像也行(家宽 IPV6 )
    lanwairen123
        40
    lanwairen123  
    OP
       2023-09-02 21:29:10 +08:00
    @aeron 大概从 6-7 月份开始的,你可以绑个域名试试
    erfesq
        41
    erfesq  
       2023-09-02 22:04:25 +08:00
    实测,楼主所在地的几大运营商都这样,我还纳闷怎么回事,而且是全省似乎都这样。
    TrevorPhillips
        42
    TrevorPhillips  
       2023-09-02 22:09:29 +08:00 via Android
    河南是人口大省,作为试验点正好,如果河南能管住那其他地方只会更轻松,这和去年封上海是一样的道理。。。
    NSAgold
        43
    NSAgold  
       2023-09-02 22:55:46 +08:00 via Android
    河南跑 pcdn 的太多搞得,全改 nat4 再加网关检测 http/https
    lingo
        44
    lingo  
       2023-09-02 23:00:18 +08:00
    河南和福建,难兄难弟
    lopssh
        45
    lopssh  
       2023-09-02 23:07:04 +08:00 via Android
    运营商 DNS 发现解析的是国外 IP 就会阻断你, 假如你不让运营商发现你域名解析的是国外 Ip , 没准就没事了, 比如 DOH 。
    longxk
        46
    longxk  
       2023-09-02 23:12:03 +08:00
    @TESTFLIGHT2021 不会真的要上白名单了吧?
    z5e56
        47
    z5e56  
       2023-09-02 23:18:14 +08:00 via Android
    tunneling?
    maigebaoer
        48
    maigebaoer  
       2023-09-02 23:24:43 +08:00 via Android
    天生万物以养民…知足常乐?
    yianing
        49
    yianing  
       2023-09-02 23:29:18 +08:00
    逛油管的时候刷到的,https://blog.misaka.rest/2023/08/14/anti-sni-block-timestamps/ 起名河南模式,不知道是不是这个
    yogogo
        50
    yogogo  
       2023-09-02 23:42:47 +08:00
    今天我的日本那边的 ip 换了好几个,中午的时候,ip 最长持续不到 10 分钟就被封了
    lanwairen123
        51
    lanwairen123  
    OP
       2023-09-02 23:50:19 +08:00 via Android
    @lopssh 这个是掩耳盗铃,不管你是通过 DNS 还是 DOH ,获取到 IP 后还是要发 http 请求的,它就在这里拦你
    lanwairen123
        52
    lanwairen123  
    OP
       2023-09-02 23:51:02 +08:00 via Android
    @yianing 是这个,不过不限于 sni 阻断,连 http 一块 reset
    lanwairen123
        53
    lanwairen123  
    OP
       2023-09-02 23:53:44 +08:00 via Android
    @yogogo 我这不是封 IP ,只阻断 http/https 流量,IP 都是通的,甚至同一 IP 上搭的 vmess 梯子都能用
    lanwairen123
        54
    lanwairen123  
    OP
       2023-09-02 23:56:03 +08:00 via Android
    @NSAgold 4-6 月改了一段时间 nat4 ,后来改回来 nat1 了,但是却开始 http/https 阻断了,说不定也跟 pcdn 有关系
    wangerka
        55
    wangerka  
       2023-09-03 00:21:40 +08:00
    老大哥在步步逼近
    stfbdhuiliyi
        56
    stfbdhuiliyi  
       2023-09-03 00:28:17 +08:00
    只能说有能力润的赶紧润吧
    cndns
        57
    cndns  
       2023-09-03 00:35:11 +08:00 via Android
    楼主可以做个实验,服务应用绑定主机头域名为 www.gov.cn 然后在本地 host 解析该域名访问看看他会 sin 阻断吗。如果不阻断说明没备案的域名 http https 域名都会阻断
    deorth
        58
    deorth  
       2023-09-03 00:38:07 +08:00 via Android
    sni 白名单,上 reality
    dreamrover
        59
    dreamrover  
       2023-09-03 05:01:06 +08:00
    要真全国推广了,naiveproxy 以后可咋用
    expy
        60
    expy  
       2023-09-03 08:29:28 +08:00
    是在家里建服务,从外面访问被中断?

    还是从家里往国外翻?
    semglassiebaba
        61
    semglassiebaba  
       2023-09-03 09:11:07 +08:00
    @duduke 恩恩,反正 wechat ,tiktok 马上全国封禁,加速前进
    NSAgold
        62
    NSAgold  
       2023-09-03 09:23:10 +08:00 via Android
    @lanwairen123 #54 从时间和措施上看,绝对和 pcdn 脱不了干系。只不过开的非常严格,导致了大范围误伤。
    yxmyxmyyy
        63
    yxmyxmyyy  
       2023-09-03 09:57:16 +08:00 via Android
    不知道靠大面积投诉能不能让他改回来
    lazywen
        64
    lazywen  
       2023-09-03 11:00:02 +08:00
    意思墙内互相访问也会被阻断?完🐶蛋了呗
    sl0000
        65
    sl0000  
       2023-09-03 11:14:40 +08:00
    对速度要求不高的话, 可以用 cf 的 tunnel
    lscho
        66
    lscho  
       2023-09-03 11:24:18 +08:00
    河南郑州联通表示正常
    lanwairen123
        67
    lanwairen123  
    OP
       2023-09-03 11:43:59 +08:00
    @cndns 这样测试意义不大,因为换新域名会能用两天,你改 host 后不一定能复现出来
    lanwairen123
        68
    lanwairen123  
    OP
       2023-09-03 11:45:47 +08:00
    @lscho 郑州联通好一点,4 个域名 reset 了 2 个....
    securityCoding
        69
    securityCoding  
       2023-09-03 11:58:22 +08:00 via Android
    套个 cf 呢
    lanwairen123
        70
    lanwairen123  
    OP
       2023-09-03 12:13:10 +08:00 via Android
    @securityCoding 2 楼说了,试过,没用的
    coolcoffee
        71
    coolcoffee  
       2023-09-03 12:15:52 +08:00
    粗看标题还以为是家宽托管服务访问被封禁,细看之后才发现白名单时代正在慢慢到来😂
    u20237
        72
    u20237  
       2023-09-03 12:16:57 +08:00
    好样的,有 NAT1 就已经谢天谢地了。NAT4 用户表示 NAT1 用户体验很好。NAT4 不仅仅是 NAT 级限制还有更高级的限制。

    理论上所有的限制都在光猫收发,虽然体积不大,但能存很多很多的数据。

    能把光猫**了 90%的限制就不在了,还有极少的限制在光猫的另一端。
    signalas1
        73
    signalas1  
       2023-09-03 13:00:45 +08:00
    家宽本来就是严格管制的,直接开端口锁的很快,而且有几率会有警察上门
    securityCoding
        74
    securityCoding  
       2023-09-03 13:06:50 +08:00 via Android
    @lanwairen123 tunnel 套个二级域名呢
    lanwairen123
        75
    lanwairen123  
    OP
       2023-09-03 14:30:27 +08:00 via Android
    @securityCoding 本来就套的是二级域名

    @signalas1 重点不在家宽开端口,而在家宽访问自建服务,不管服务是家里 NAS 起的然后内网穿透出去,还是 VPS 起的服务
    totoro625
        76
    totoro625  
       2023-09-03 15:30:12 +08:00
    用这个备案域名试试:127-0-0-1.nhost.00cdn.com 前面的 ip 改为服务器 ip
    注:申请 SSL 证书时会泄露服务器 IP
    ambition117
        77
    ambition117  
       2023-09-03 15:33:25 +08:00
    备案就完事了,我在国内搭的服务都是备案的
    YGBlvcAK
        78
    YGBlvcAK  
       2023-09-03 16:08:22 +08:00 via Android
    你是指 frp 穿透到国外的 vps ,访问国外 vps 也会被阻断?那是这个域名被阻断了?还是 frp 通道被阻断了?
    lanwairen123
        79
    lanwairen123  
    OP
       2023-09-03 16:16:55 +08:00 via Android
    @YGBlvcAK 域名被阻断,frp 通道
    lanwairen123
        80
    lanwairen123  
    OP
       2023-09-03 16:18:19 +08:00 via Android
    这个不错,晚上试试
    YGBlvcAK
        81
    YGBlvcAK  
       2023-09-03 16:22:08 +08:00 via Android
    @lanwairen123 frp 通道没有加密吗?加密就不会监测出 http 啊
    mantouboji
        82
    mantouboji  
       2023-09-03 16:45:50 +08:00
    首选,最好用 IPv6 的动态域名,毕竟 RFC 规定 ipv6 前缀每三天变化一次,所以你最好每个小时更新一次,我用 dynv6 ,里面不要有 IPv4 的记录。不要使用任何中国公司提供的此类服务。

    其次,必须 https, 不要有 http 。端口换其他,比如我用 8443 ,证书用 Letsencrypt ,用 DNS TXT 方式认证。certbot 有 rfc2136 的插件,至少对于 dynv6 很好用。

    第三,进入网页必须要登录,不输入用户名口令不能看见任何内容。
    lanwairen123
        83
    lanwairen123  
    OP
       2023-09-03 16:55:15 +08:00 via Android
    @YGBlvcAK 你访问 frp 映射出去的 http 服务肯定是 http 流量呀
    lanwairen123
        84
    lanwairen123  
    OP
       2023-09-03 16:58:44 +08:00 via Android
    @mantouboji 除了 ipv6 其他基本都是这样设置的,因为有些网络环境没有 ipv6 ,私有服务,肯定都是需要登录的,全部都是 https
    mantouboji
        85
    mantouboji  
       2023-09-03 17:01:07 +08:00
    @lanwairen123 反正其他人用浏览器直接访问你的域名,要一片空白啥都没有,不要有什么介绍和访问链接菜单什么的。
    lanwairen123
        86
    lanwairen123  
    OP
       2023-09-03 17:05:03 +08:00 via Android
    @mantouboji 我都是通过二级域名访问的,一般很少有人能猜到二级域名,即使进去也是个登录页面,感觉跟这个没关系
    lanwairen123
        87
    lanwairen123  
    OP
       2023-09-03 19:10:06 +08:00
    @totoro625 不行的,前面加上 IP 这个域名解析不了,不存在
    YGBlvcAK
        88
    YGBlvcAK  
       2023-09-03 20:18:19 +08:00 via Android
    @lanwairen123 那就是国外非白名单的域名都会阻断?
    lanwairen123
        89
    lanwairen123  
    OP
       2023-09-03 20:48:01 +08:00 via Android
    至少我手里的 4 个域名全阻断了,并且没有规律,新域名刚开始能用,过不了几天就阻断了
    Hconk
        90
    Hconk  
       2023-09-03 22:00:31 +08:00 via iPhone
    frp ,开 tls ,云服务器防火墙关闭 frp 穿透的端口,用二级域名访问,然后服务器 nginx 反代,开 https ,全部流量走 80 端口,这样还能被阻断?
    admin13579
        91
    admin13579  
       2023-09-03 23:28:35 +08:00 via Android
    虽然我不太懂,但既然是访问你自己控制下的机器,结合前一阵强制开启 TCP 时间戳验证来防止阻断的思路来看,可不可以在你的客户端和服务端都配置一条规则来丢弃 timestamp 不对的 rst 包?或者干脆丢弃全部入站 rst 包来强行无视阻断继续连接。不知道这样行不行?
    YGBlvcAK
        92
    YGBlvcAK  
       2023-09-04 07:34:41 +08:00 via Android
    楼主没说太清楚,好像是说 2 种情况:
    1.郑州家宽自建 http/https 会被阻断
    2.郑州家宽访问境外非白名单域名会被阻断

    我看了好一会,是这意思?
    huihuilang
        93
    huihuilang  
       2023-09-04 08:05:57 +08:00 via Android
    1.直接用 ip
    2 先 vpn 回家再访问
    我就是用第二种,网络技术不行担心被人爆破,所以还是麻烦点
    hello365
        94
    hello365  
       2023-09-04 10:04:01 +08:00
    河南联通刚测试访问了一下正常。
    lanwairen123
        95
    lanwairen123  
    OP
       2023-09-04 12:48:20 +08:00
    @YGBlvcAK 可能我表述不太清楚,是郑州家宽访问自建 http/https 服务被阻断,不是用家宽自建 http/https 服务
    lanwairen123
        96
    lanwairen123  
    OP
       2023-09-04 12:50:36 +08:00
    @huihuilang 不是所有网络环境都能装 VPN 的
    lanwairen123
        97
    lanwairen123  
    OP
       2023-09-04 12:51:49 +08:00
    @admin13579 估计不太行,如果可以的话某墙的 reset 大法就能绕过了
    fcbwalk
        98
    fcbwalk  
       2023-09-04 12:54:11 +08:00
    可以尝试一下:
    1. 使用国内备案的域名
    2. 使用 eu.org 的,我目前用的 cf+ws 还能正常使用,但 xyz 这种域名就不行,全部 reset
    3. 本地 host 指定 test.baidu.com 类似这种走 http ,不知道是否可行?
    lanwairen123
        99
    lanwairen123  
    OP
       2023-09-04 13:43:25 +08:00
    @fcbwalk eu.org 就申请到一个,不太舍得用怕被 reset 了.....我用的 cf 上注册的 win 域名,比较便宜,可能域名后缀小众,就这已经 reset2 个了,换其他主流后缀再被 reset 钱包有点受不了....
    x3927
        100
    x3927  
       2023-09-04 15:07:11 +08:00
    同样遇到了. 用河南移动打不开国外自建的域名. 就直接挂 vpn 用了
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3073 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 13:41 · PVG 21:41 · LAX 05:41 · JFK 08:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.