这是一个创建于 607 天前的主题,其中的信息可能已经有所发展或是发生改变。
国内服务器建站要北岸,笔者见到的基本上是不北岸就不开放 80/443 ,或者不让解析域名(会检测 Host 和 SNI )去访问
现在我有一个问题就是,我在国内服务器上有一个基于 tls 的服务,不对外开放。如果我直接用 IP 访问,会被北岸墙拦下来吗?还是说有更好的解决办法?
具体来说就是:
- 比如说我这个 TLS 服务是 penVPN 之类的 SSL VPN ,或者说是 headscale 的 DERP ,又或者是开启了 TLS 的 RDP ,可以使用非 80/443 端口
- 证书的话问题不大,我一般是用自签名证书(用在自己所用的设备上,信任自己的 CA 跟证书),IP 证书和域名证书都能签
- 笔者印象中好像有那么一个情况:把国内机器的 IP 解析到一个域名上,用域名访问 rdp 会失败,但是直接敲 IP 访问 rdp 就能连上,笔者估计,这个可能也是因为 RDP 的 tls 流量被北岸墙给拦下来了,不知道猜测的对不对?
- 笔者目前在套路云广州服务器上有一个 headscale ,是直接敲 IP 加非标端口访问的,已经稳定使用几个月了。但是因为是 http 流量,所以不确定能不能对此作为参考
望不吝赐教
第 1 条附言 2024-02-13 16:34:04 +08:00
一天前,笔者在阿里云境内服务器上搭建了一个测试用的站点(因为是测试站,TLS之后就是标准的HTTP协议,毕竟就一般来说,TLS之内众生平等),采用的是非标端口+IP证书+根目录444(497会有301)的配置,直接访问IP
目前暂时没有发现被阻断的现象,但是并不确保阿里云会不会有马后炮现象,依然在继续观察
 | 1 gentrydeng 2024-02-11 19:13:01 +08:00 via Android  4 其他的自我阉割也就算了,“备案”也需要脱敏? 这种东西没人说得准,朝令夕改的东西,自己试试就知道了。 |
 | 2 MFWT OP 1 @gentrydeng 原文就是备案,但是发出来的时候被 v 站给夹 Chamber 去了,为避免麻烦改成北岸算了 |
 | 3 xqzr 2024-02-11 19:52:48 +08:00 IP 访问不会 ZeroSSL 可以签发 受信任的 IP 证书 |
 | 4 SenLief 2024-02-11 20:01:52 +08:00 ip 是可以的,备案的是域名。 |
 | 5 Tufutogo 2024-02-11 20:15:06 +08:00 via Android 说下我个人使用经验: 1 ,域名在腾讯云买的有备,NS 放在 CF , 2 ,域名解析到的机器是腾讯云的国内机。没有用 80/443 的端口,没有放网站,当跳板机用的。 3 ,使用域名来 ssh 或者 rdp 上述的机器没问题,已经三年多了。 |
 | 6 OutOfMemoryError 2024-02-11 20:16:15 +08:00 @Tufutogo #5 非 443/80 是不受到备案管制的嘛 |
 | 8 dann73580 2024-02-12 00:12:47 +08:00 用 ip 是没啥问题的,ip+高位端口吧,大厂不知道,但是小厂国内机器是没啥问题的,稳定很久了 |
 | 9 protonme 2024-02-12 02:46:02 +08:00 via iPhone 3. 阿里云上海有此情况 |
 | 10 datou 2024-02-12 02:47:29 +08:00 headscale 属于 VPN 服务吧 按照国内各大云计算服务的用户协议来说都是禁止的 |
 | 11 sNullp 2024-02-12 07:39:50 +08:00 1 说真的,我不知道 V 站现在为什么还搞这么不透明的敏感词审查。要么就公开提示哪些词语不能用,要么就不要搞。这么偷偷夹文章很无聊。 |
 | 12 dyv9 2024-02-12 08:34:17 +08:00 via Android 人家是想“管理”,你不对公众提供内容服务,就不是它管理的目标,所以只对域名和标准端口限制,尽量又管理又少点干涉不提供对外服务的其它服务器。这不是理性吗?难道希望没手续全部封了? |
 | 13 ttvast 2024-02-12 11:25:37 +08:00 via Android 任何端口只要提供网页服务,就需要备案。 比如 linux 安装 apache 后默认的页面,也是网页,不管你是啥端口,都不行 |
 | 14 HitouchiMi 2024-02-12 13:19:56 +08:00 via Android 1 https 流量是无法嗅探的,他看到的只是 tls 流量,所以他无法从流量上判断你的 tls 是网页访问还是其他服务,只能从 tls 里的 sni 来判断你做的是域名访问。然后有的是拿到域名主动发起 https 尝试访问来判断是不是 http 服务。前者暂时无解,后者非 http 服务就能逃过一劫。具体哪种就得自己试了。纯 IP 访问目前除了端口,没有限制。 |
| 15 xqzr 2024-02-12 16:41:35 +08:00 @HitouchiMi alpn? |
| 17 MFWT OP @HitouchiMi 所以我在考虑他会不会一刀切,对所有未备案域名的 tls 流量给砍掉(所以我目前用的是 IP 证书,暂时还相安无事) |
| 18 MFWT OP @HitouchiMi 后者的话,其实我也做过一点实验,就我之前在别的主题里面提到过的,nginx 对于非指定路径的请求(以及非法请求)直接断开连接( return 444 ),不回复任何消息。至少从直观来看,这个端口除非访问到正确路径(或者有可能是正确的 http 头),不然发什么数据都会直接断开连接 |
 | 19 busier 2024-02-12 19:33:40 +08:00 不行的! 我试过,未备案阿里云,https/443 端口,做了双向证书验证,相当于都不是可以公开访问的 web 服务器,刚配置好可以用,1 天就被阻断。 |
| 20 busier 2024-02-12 19:36:54 +08:00 补充上面:只用 IP 访问,未绑定域名的! |
 | 22 6Bpencle 2024-02-13 01:05:19 +08:00 阿里云是全端口拦截 tls 的,剩下的大多数云平台只拦截常见 web 端口 (80, 443, 8080, 8443, etc.) 的 tls |
 | 23 aru 2024-02-13 14:39:53 +08:00 |
| 24 aru 2024-02-13 14:42:57 +08:00 |
Select Language