在河南郑州除了 vpn 还有访问自建 http/https 服务的途径吗,杀疯了
lanwairen123 2023-09-02 16:47:42 +08:00 13376 次点击这是一个创建于 769 天前的主题,其中的信息可能已经有所发展或是发生改变。
河南郑州移动,自建的 http/https 服务不管是通过 frp 、nps 等各种映射,还是 nginx 反代只要是通过域名访问,不管是 http 还是 https ,不管服务器在国内还是国外,不管是标准端口还是非标端口,全部 reset
换个域名顶不了两天,已经换了 3 、4 个域名了,全部 reset
通过 itdog http ping ,全国除了福建泉州和河南移动、电信、偶尔联通,其他全部都是正常访问的,关键我在郑州,有访问自建服务的需求
都是自建的一些私人服务,像是笔记应用、HA 、私人相册、网盘等服务
现在访问自己的服务只能挂梯子或者 VPN 进内网才能用
第 1 条附言 2023-09-04 12:48:53 +08:00
可能我表述不太清楚,是郑州家宽访问自建 http/https 服务被阻断,不是用家宽自建 http/https 服务
第 2 条附言 2023-09-05 09:50:45 +08:00
经过@admin13579 的提示,通过服务器和本地丢弃rst包的方式可以恢复本地访问,方法是
#服务器端和本地端都运行,丢弃RST包 iptables -I INPUT -p tcp --tcp-flags RST RST -j DROP #网关用这个可以丢弃转发的数据包中的RST包,使得网关下的设备都能恢复访问 iptables -I FORWARD -p tcp -i pppoe-wan --tcp-flags RST RST -j DROP #pppoe-wan换成你的出口接口 但是这种无脑丢弃RST包的方式可能会导致不可预料的网络问题
加密sni没找到nginx下的配置方式,强制tls v1.3会被直接阻断
 | 1 UPsa99m6nJf3R73p 2023-09-02 16:52:35 +08:00 或许如果网站流量不算太大的话,外面可以套一层 CDN 试试 |
 | 2 lanwairen123 OP @ROYWANGDEV 没用,都试过,我用的 aws lightsail ,被 reset 后套 cf ,甚至换新域名直接套 CF ,也坚持不了两天就 reset 了。 |
 | 3 ontry 2023-09-02 17:03:28 +08:00  1 DNS 被劫持了? 我发现除了 surge 的增强全局代理,其他代理都会泄漏 DNS 也就是有被劫持的风险 |
| 4 lanwairen123 OP @huaseky 不是 DNS 劫持,DNS 能正确解析,只要有 http/https 流量就直接 reset ,curl -v 域名可以看到直接就 reset 了,但是 curl -v IP 是有返回的 |
| 5 ontry 2023-09-02 17:18:28 +08:00 @lanwairen123 我的意思是运营商 DNS 发现解析的是国外 IP 就阻断你, 你不让运营商发现你域名解析的是国外 Ip 没准就没事了, 比如 DOH |
 | 6 mm163 2023-09-02 17:19:10 +08:00 域名+云主机备案,访问的就是云主机,跟加宽没关系吧。frp ,nps 暴露的又不是 http/https 协议。 |
| 7 lanwairen123 OP @huaseky 不只国外 IP 阻断,之前有个国内腾讯云的服务器,1M 小水管,没备案域名用非标端口建了几个自用的服务,都用好几年了,最近也被 reset 了 |
| 8 lanwairen123 OP @mm163 域名没有备案,同样的域名和服务器,全国其他地区都能访问,就在河南访问不了,frp nps 穿透的是 http/https 服务 |
 | 9 wmk3130 2023-09-02 18:19:52 +08:00 我用的联通,没这个问题,域名加高端口号 |
 | 10 busier 2023-09-02 18:19:54 +08:00 那就直接用 IP 访问呗! |
 | 11 smallboy19991231 2023-09-02 18:23:04 +08:00 via Android 河南真是水深火热啊 |
 | 12 slowman 2023-09-02 18:36:30 +08:00 抓个包看看哪里 rst 的 |
 | 13 yaott2020 2023-09-02 19:05:36 +08:00 via Android 备案康康,如果还是 reset 就告到工信部 |
 | 14 TESTFLIGHT2021 2023-09-02 19:08:43 +08:00 河南开始试点了,你们不知道么? |
 | 15 duduke 2023-09-02 19:08:49 +08:00 via iPhone 没事,马上就全国推广了,加速前进 |
 | 16 CLx2GaS5tw 2023-09-02 19:10:37 +08:00 @TESTFLIGHT2021 什么事情? |
 | 17 docx 2023-09-02 19:14:35 +08:00 via iPhone 很好奇在搞什么技术手段 |
 | 18 jackOff 2023-09-02 19:21:00 +08:00 via Android 河南这片试验田如果效果好的话估计最迟明年全国推行 |
| 19 lanwairen123 OP @wmk3130 联通稍微好点,4 个域名 reset 了两个 |
| 20 lanwairen123 OP @busier IP 太难记,服务有点多 |
| 21 lanwairen123 OP @yaott2020 个人自用的,不对外服务,并且服务器在国外,没法备案,不过据说备过案的也有被杀的,完全搞不清楚逻辑 |
| 22 lanwairen123 OP 所以如果河南模式推广全国,各位自建服务的该怎么办 |
 | 23 yinmin 2023-09-02 19:27:59 +08:00 via iPhone 你用国内备案的域名指向国外服务器试试? |
| 24 yinmin 2023-09-02 19:29:59 +08:00 via iPhone 找一家国内云买 1 个小机去备案,然后用一个子域名指向国外服务器试试 |
| 25 lanwairen123 OP @yinmin 手边没有备案域名 |
 | 26 bobryjosin 2023-09-02 19:37:35 +08:00 试试指向纯 ipv6 的域名也会被 rst ? |
 | 27 hefish 2023-09-02 19:38:01 +08:00 2 没备案说个结巴,要么翻出去,要么备案去。 |
28 tony1016 2023-09-02 19:52:14 +08:00 6 我很怀疑是你自己的问题 |
 | 29 bjzhou1990 2023-09-02 19:55:45 +08:00 要不试试 HTTP/3 ? |
 | 31 dengjunwen 2023-09-02 19:58:06 +08:00 via Android 通过域名访问就会被 reset? 那用 ip 访问呢? 另外你连接梯子就可以连接上? |
| 32 TESTFLIGHT2021 2023-09-02 20:02:56 +08:00 @bjzhou1990 别试了 河南在试点新技术。。。搞不定的 |
 | 33 knightdf 2023-09-02 20:09:56 +08:00 不用怀疑,河南的网就是有点不一样,我们公司有 3 位河南的同事远程,1 个郑州 2 个洛阳,全部连不了公司的自建 VPN ,湖北湖南的同事都可以 |
| 34 lanwairen123 OP |
 | 35 villivateur 2023-09-02 20:57:29 +08:00 frp 可以的啊,记得流量加密 |
 | 36 jas0n2k 2023-09-02 21:02:54 +08:00 via Android 这个不就是事实上的白名单了吗…天啊全国推广了就难办了 |
| 37 lanwairen123 OP @TESTFLIGHT2021 大佬有啥内幕消息没 |
 | 38 systemcall 2023-09-02 21:17:56 +08:00 下一步是不是就要收紧域名权限,原则上只允许一般的企业用 cn 域名了? |
 | 39 aeron 2023-09-02 21:22:52 +08:00 同地区,自建的服务 ip+端口可以用,域名以前好像也行(家宽 IPV6 ) |
| 40 lanwairen123 OP @aeron 大概从 6-7 月份开始的,你可以绑个域名试试 |
 | 41 erfesq 2023-09-02 22:04:25 +08:00 实测,楼主所在地的几大运营商都这样,我还纳闷怎么回事,而且是全省似乎都这样。 |
 | 42 TrevorPhillips 2023-09-02 22:09:29 +08:00 via Android 河南是人口大省,作为试验点正好,如果河南能管住那其他地方只会更轻松,这和去年封上海是一样的道理。。。 |
 | 43 NSAgold 2023-09-02 22:55:46 +08:00 via Android 河南跑 pcdn 的太多搞得,全改 nat4 再加网关检测 http/https |
 | 44 lingo 2023-09-02 23:00:18 +08:00 河南和福建,难兄难弟 |
 | 45 lopssh 2023-09-02 23:07:04 +08:00 via Android 运营商 DNS 发现解析的是国外 IP 就会阻断你, 假如你不让运营商发现你域名解析的是国外 Ip , 没准就没事了, 比如 DOH 。 |
 | 46 longxk 2023-09-02 23:12:03 +08:00 @TESTFLIGHT2021 不会真的要上白名单了吧? |
 | 47 z5e56 2023-09-02 23:18:14 +08:00 via Android tunneling? |
 | 48 maigebaoer 2023-09-02 23:24:43 +08:00 via Android 天生万物以养民…知足常乐? |
 | 49 yianing 2023-09-02 23:29:18 +08:00 逛油管的时候刷到的,https://blog.misaka.rest/2023/08/14/anti-sni-block-timestamps/ 起名河南模式,不知道是不是这个 |
 | 50 yogogo 2023-09-02 23:42:47 +08:00 今天我的日本那边的 ip 换了好几个,中午的时候,ip 最长持续不到 10 分钟就被封了 |
| 51 lanwairen123 OP @lopssh 这个是掩耳盗铃,不管你是通过 DNS 还是 DOH ,获取到 IP 后还是要发 http 请求的,它就在这里拦你 |
| 52 lanwairen123 OP @yianing 是这个,不过不限于 sni 阻断,连 http 一块 reset |
| 53 lanwairen123 OP @yogogo 我这不是封 IP ,只阻断 http/https 流量,IP 都是通的,甚至同一 IP 上搭的 vmess 梯子都能用 |
| 54 lanwairen123 OP @NSAgold 4-6 月改了一段时间 nat4 ,后来改回来 nat1 了,但是却开始 http/https 阻断了,说不定也跟 pcdn 有关系 |
 | 55 wangerka 2023-09-03 00:21:40 +08:00 老大哥在步步逼近 |
 | 56 stfbdhuiliyi 2023-09-03 00:28:17 +08:00 只能说有能力润的赶紧润吧 |
 | 57 cndns 2023-09-03 00:35:11 +08:00 via Android 楼主可以做个实验,服务应用绑定主机头域名为 www.gov.cn 然后在本地 host 解析该域名访问看看他会 sin 阻断吗。如果不阻断说明没备案的域名 http https 域名都会阻断 |
 | 58 deorth 2023-09-03 00:38:07 +08:00 via Android sni 白名单,上 reality |
 | 59 dreamrover 2023-09-03 05:01:06 +08:00 要真全国推广了,naiveproxy 以后可咋用 |
 | 60 expy 2023-09-03 08:29:28 +08:00 是在家里建服务,从外面访问被中断? 还是从家里往国外翻? |
 | 61 semglassiebaba 2023-09-03 09:11:07 +08:00 @duduke 恩恩,反正 wechat ,tiktok 马上全国封禁,加速前进 |
| 62 NSAgold 2023-09-03 09:23:10 +08:00 via Android @lanwairen123 #54 从时间和措施上看,绝对和 pcdn 脱不了干系。只不过开的非常严格,导致了大范围误伤。 |
 | 63 yxmyxmyyy 2023-09-03 09:57:16 +08:00 via Android 不知道靠大面积投诉能不能让他改回来 |
 | 64 lazywen 2023-09-03 11:00:02 +08:00 意思墙内互相访问也会被阻断?完蛋了呗 |
 | 65 sl0000 2023-09-03 11:14:40 +08:00 对速度要求不高的话, 可以用 cf 的 tunnel |
 | 66 lscho 2023-09-03 11:24:18 +08:00 河南郑州联通表示正常 |
| 67 lanwairen123 OP @cndns 这样测试意义不大,因为换新域名会能用两天,你改 host 后不一定能复现出来 |
| 68 lanwairen123 OP @lscho 郑州联通好一点,4 个域名 reset 了 2 个.... |
 | 69 securityCoding 2023-09-03 11:58:22 +08:00 via Android 套个 cf 呢 |
| 70 lanwairen123 OP @securityCoding 2 楼说了,试过,没用的 |
 | 71 coolcoffee 2023-09-03 12:15:52 +08:00 粗看标题还以为是家宽托管服务访问被封禁,细看之后才发现白名单时代正在慢慢到来 |
 | 72 u20237 2023-09-03 12:16:57 +08:00 好样的,有 NAT1 就已经谢天谢地了。NAT4 用户表示 NAT1 用户体验很好。NAT4 不仅仅是 NAT 级限制还有更高级的限制。 理论上所有的限制都在光猫收发,虽然体积不大,但能存很多很多的数据。 能把光猫**了 90%的限制就不在了,还有极少的限制在光猫的另一端。 |
 | 73 signalas1 2023-09-03 13:00:45 +08:00 家宽本来就是严格管制的,直接开端口锁的很快,而且有几率会有警察上门 |
| 74 securityCoding 2023-09-03 13:06:50 +08:00 via Android @lanwairen123 tunnel 套个二级域名呢 |
| 75 lanwairen123 OP |
 | 76 totoro625 2023-09-03 15:30:12 +08:00 用这个备案域名试试:127-0-0-1.nhost.00cdn.com 前面的 ip 改为服务器 ip 注:申请 SSL 证书时会泄露服务器 IP |
 | 77 ambition117 2023-09-03 15:33:25 +08:00 备案就完事了,我在国内搭的服务都是备案的 |
 | 78 YGBlvcAK 2023-09-03 16:08:22 +08:00 via Android 你是指 frp 穿透到国外的 vps ,访问国外 vps 也会被阻断?那是这个域名被阻断了?还是 frp 通道被阻断了? |
| 79 lanwairen123 OP @YGBlvcAK 域名被阻断,frp 通道 |
| 80 lanwairen123 OP 这个不错,晚上试试 |
| 81 YGBlvcAK 2023-09-03 16:22:08 +08:00 via Android @lanwairen123 frp 通道没有加密吗?加密就不会监测出 http 啊 |
 | 82 mantouboji 2023-09-03 16:45:50 +08:00 首选,最好用 IPv6 的动态域名,毕竟 RFC 规定 ipv6 前缀每三天变化一次,所以你最好每个小时更新一次,我用 dynv6 ,里面不要有 IPv4 的记录。不要使用任何中国公司提供的此类服务。 其次,必须 https, 不要有 http 。端口换其他,比如我用 8443 ,证书用 Letsencrypt ,用 DNS TXT 方式认证。certbot 有 rfc2136 的插件,至少对于 dynv6 很好用。 第三,进入网页必须要登录,不输入用户名口令不能看见任何内容。 |
| 83 lanwairen123 OP @YGBlvcAK 你访问 frp 映射出去的 http 服务肯定是 http 流量呀 |
| 84 lanwairen123 OP @mantouboji 除了 ipv6 其他基本都是这样设置的,因为有些网络环境没有 ipv6 ,私有服务,肯定都是需要登录的,全部都是 https |
| 85 mantouboji 2023-09-03 17:01:07 +08:00 @lanwairen123 反正其他人用浏览器直接访问你的域名,要一片空白啥都没有,不要有什么介绍和访问链接菜单什么的。 |
| 86 lanwairen123 OP @mantouboji 我都是通过二级域名访问的,一般很少有人能猜到二级域名,即使进去也是个登录页面,感觉跟这个没关系 |
| 87 lanwairen123 OP @totoro625 不行的,前面加上 IP 这个域名解析不了,不存在 |
| 88 YGBlvcAK 2023-09-03 20:18:19 +08:00 via Android @lanwairen123 那就是国外非白名单的域名都会阻断? |
| 89 lanwairen123 OP 至少我手里的 4 个域名全阻断了,并且没有规律,新域名刚开始能用,过不了几天就阻断了 |
 | 90 Hconk 2023-09-03 22:00:31 +08:00 via iPhone frp ,开 tls ,云服务器防火墙关闭 frp 穿透的端口,用二级域名访问,然后服务器 nginx 反代,开 https ,全部流量走 80 端口,这样还能被阻断? |
 | 91 admin13579 2023-09-03 23:28:35 +08:00 via Android 虽然我不太懂,但既然是访问你自己控制下的机器,结合前一阵强制开启 TCP 时间戳验证来防止阻断的思路来看,可不可以在你的客户端和服务端都配置一条规则来丢弃 timestamp 不对的 rst 包?或者干脆丢弃全部入站 rst 包来强行无视阻断继续连接。不知道这样行不行? |
| 92 YGBlvcAK 2023-09-04 07:34:41 +08:00 via Android 楼主没说太清楚,好像是说 2 种情况: 1.郑州家宽自建 http/https 会被阻断 2.郑州家宽访问境外非白名单域名会被阻断 我看了好一会,是这意思? |
 | 93 huihuilang 2023-09-04 08:05:57 +08:00 via Android 1.直接用 ip 2 先 vpn 回家再访问 我就是用第二种,网络技术不行担心被人爆破,所以还是麻烦点 |
 | 94 hello365 2023-09-04 10:04:01 +08:00 河南联通刚测试访问了一下正常。 |
| 95 lanwairen123 OP @YGBlvcAK 可能我表述不太清楚,是郑州家宽访问自建 http/https 服务被阻断,不是用家宽自建 http/https 服务 |
| 96 lanwairen123 OP @huihuilang 不是所有网络环境都能装 VPN 的 |
| 97 lanwairen123 OP @admin13579 估计不太行,如果可以的话某墙的 reset 大法就能绕过了 |
 | 98 fcbwalk 2023-09-04 12:54:11 +08:00 可以尝试一下: 1. 使用国内备案的域名 2. 使用 eu.org 的,我目前用的 cf+ws 还能正常使用,但 xyz 这种域名就不行,全部 reset 3. 本地 host 指定 test.baidu.com 类似这种走 http ,不知道是否可行? |
| 99 lanwairen123 OP |
 | 100 x3927 2023-09-04 15:07:11 +08:00 同样遇到了. 用河南移动打不开国外自建的域名. 就直接挂 vpn 用了 |
Select Language