V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
linbenyi
V2EX  ›  宽带症候群

家庭宽带 私设 web 被检测 魔都电信被停宽带

  •  
  •   linbenyi · 2019-10-13 11:13:29 +08:00 via iPad · 131793 次点击
    这是一个创建于 1869 天前的主题,其中的信息可能已经有所发展或是发生改变。
    10 月 11 日,被停宽带,但未收到任何通知。
    10 月 13 日,一万号,存在违规,表示电话不可解,告知去营业厅可解。
    10 月 13 日,去地方营业厅。存在私设 web 服务器,告知需要各区一级营业厅可解。
    10 月 13 日,随驱车 20km,去区域一级营业厅。告知上级通知未下。等领导指示,四十分钟后,告知等地方营厅通知,会有专人上门检查整改,并签订整改协议书,请,回家等消息。
    第 1 条附言  ·  2019-10-16 14:40:24 +08:00
    在等待电信运营商发落的同时,本人也展开了相关法律的学习。
    私设 web 服务导致,可能触犯协议或法规相关条款,进行明晰。
    但是具体的细则判定标准肯定不能在这类方向性的文件里面找到。
    具体情况可能还是扑朔迷离。
    《中国电信股份有限公司上海分公司业务服务协议》
    https://service.sh.189.cn/service/jsp/fault/fwxy.jsp
    《关于防范打击通讯信息诈骗专项行动延期有关工作的通知》
    http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757020/c4770041/content.html
    《中华人民共和国反恐怖主义法》
    http://www.gov.cn/zhengce/2015-12/28/content_5029899.htm
    第 2 条附言  ·  2019-10-17 14:48:57 +08:00
    10 月 17 日 楼主像一个幽怨的小家碧玉,既想着恢复宽带,又不愿意自己再去多问。
    不过,但今天已经忍不了。随再往营业厅询问。顺便吐槽下营业厅的电话是万年不通的。
    营业厅一改一周前的一问三不知。很快就把区域局的相关负责人的电话给了我。
    还故作神秘的小声的问“我最近来问这个的人很多,到底是什么违规啊?”
    我耸耸肩又清了清嗓子回答他“私设 web 服务器”。

    10 月 17 日 来到的区域局,被两位区域局的工程师招待。出示身份证后,他们打印了签字的材料。
    告知我签字后一个工作日便可恢复。如若再犯将被永久封禁处理。
    一份告知“断网”,一份承诺“永不再犯”。随嘱咐我立即关停相关服务,开通过后会立即做检查。由于工作在身,签完便离去了。

    我注意到,电脑屏幕上显示有一张名单,分别包括“域名:端口”“设备号”“户主姓名”等等。但并没有联系方式。
    虽然两位工程师没有明确回答我探查到我私设 web 的具体方法,但仅从屏幕其中我找到可能的两个结论:
    1.如此看来本想着会主动联系我这一点从现实层面就是不可能的了。
    2.域名为我未备案的 威联通 .com 域名。端口为我开的非标准低端口。如此一来明确了。主要针对未备案的 DDNS 人群的事实。

    另外技术人员向我提供了一定要使用服务的“暂时合规的途径”
    1.申请固定 IP 地址。
    2.域名有备案。

    另外还有询问相关规定的参照,回答是“此规定下文时间是 2017 年,本次是首次对违规宽带进行查封”。
    第 3 条附言  ·  2019-10-19 20:31:04 +08:00
    10 月 18 日,自此家庭宽带又重新开通了。光猫的宽带灯又亮了起来。
    十分感谢献计献策的 V2er 的陪伴,一起开脑洞,一起讨论解决的途径,一次尝试探索政策的迷雾。
    无疑本次题主我的过失是重大的。在违反宽带服务的条例,想着方便分享文件就私自开设 web 服务。在这难熬一周期间我也做了深刻的反省。
    对于未来的应对对策,我也想了很多,毕竟拉专线来家里固定 IP 实在是消受不起。我想也没有家庭会这么做的。

    1.所有 NAS 的相关端口都不在光猫做转发。
    2.由于部分应用任然是难以割舍的。我已将威联通的.com 域名转换为了.cn 域名。实名认证过的花生壳照旧。
    3.要开端口的应用也会用 FRP 穿透放到我的主机上面。到时候解析的域名也会放过去。不知道有没有带宽 /价格相对划算的主机商。哪怕限制流量也可以比如哲西那样的。

    在私设这一尺度上 V2er 讨论非常热烈,真的不希望各位再做非常不利的揣测,毕竟这也不符合事实。很多事情遇到就遇到了,大家走一步看一步吧。
    432 条回复    2024-06-10 23:01:41 +08:00
    1  2  3  4  5  
    txydhr
        301
    txydhr  
       2019-10-17 15:12:00 +08:00
    @delpo 严格起来返回 444 就证明了有 web 服务
    delpo
        302
    delpo  
       2019-10-17 15:30:27 +08:00
    @txydhr 不是,444 是 nginx 自定义的扩展,就是不对 http 请求响应,这样浏览器会显示连接被重置,这样可以吗
    txydhr
        303
    txydhr  
       2019-10-17 15:35:30 +08:00
    @delpo 你服务器对请求有反应 严格来讲就不行了
    txydhr
        304
    txydhr  
       2019-10-17 15:36:00 +08:00
    @delpo 具体执行到多严格 不知道
    delpo
        305
    delpo  
       2019-10-17 15:38:57 +08:00
    @txydhr 就是不对 http 响应啊!
    cwbsw
        306
    cwbsw  
       2019-10-17 16:51:36 +08:00
    @txydhr
    人家说的是 tcp reset。
    vibbow
        307
    vibbow  
       2019-10-17 17:27:51 +08:00
    @txydhr @delpo @cwbsw
    直接用 IIS,可以写伪静态规则,比如不含指定 get/cookie 的,直接 TCP RESET
    chocolatesir
        308
    chocolatesir  
       2019-10-17 18:35:20 +08:00 via Android
    1.申请固定 IP 地址。
    2.域名有备案。
    如果是这俩途径的话,那基本个人家宽是无望了。固定 ip 一般只有企业可以申请,域名备案的话就更搞笑了,家宽备案是不可能通过的。
    delpo
        309
    delpo  
       2019-10-17 19:34:18 +08:00 via Android
    @vibbow 对,基本原理就是在 http 握手阶段直接 reset 掉可疑流量,问题是这样做可行吗?虽然可能很小,但是运营商会不会直接把 tls 一刀切直接 ban 掉
    justs0o
        310
    justs0o  
       2019-10-17 20:15:42 +08:00
    @delpo
    @vibbow
    没用,dpi 直接能分析出来你用的是啥协议
    delpo
        311
    delpo  
       2019-10-17 21:16:33 +08:00
    @justs0o 这个的确没办法规避
    不过要是真这样,怎么感觉向跟墙斗智斗勇看齐了
    vibbow
        312
    vibbow  
       2019-10-17 21:25:08 +08:00
    @justs0o

    比如你开个端口,我建立个连接,给你丢一堆 HTTP HEADER,然后中断连接。

    要是这样都判定为 HTTP 服务的话,那就无 FUCK 说了,可以直接全 IP 扫描丢 HTTP HEADER 了。
    vibbow
        313
    vibbow  
       2019-10-17 21:26:27 +08:00
    @delpo @justs0o

    如果这样子的话,任何开了公网 TCP 端口的应用,不管是啥类型的服务,直接建立个 TCP 连接然后丢 HTTP HEADER 过去

    啧啧啧......
    fan88
        314
    fan88  
       2019-10-17 21:48:58 +08:00
    所以备案具体指的是接入备案,还是域名备案?
    如果备案在阿里云做过了,是否有影响?

    以及,是否能检测到纯 HTTPS 端口?

    端口号?
    EvineDeng
        315
    EvineDeng  
       2019-10-17 21:53:32 +08:00
    坐标浦东,用的电信最新的 SDN 网关,NAT 到自己的路由。开了一个花生壳动态域名和一个.win 的后缀域名,都是 A 记录。(根据国家规定,.win 不用备案,想备案也备案不了)。

    目前开了路由器的 web 控制页面( https 的),EMBY 媒体中心的 web 页面( https 的),还有 PT 软件的 webui 控制页面( https 的),每月流量 5T+,目前尚未收到警告,不知道是没有扫到我,还是因为花生壳域名没有问题。
    delpo
        316
    delpo  
       2019-10-17 21:53:48 +08:00
    @vibbow 说的明显是针对已建立连接的密文的 dpi,可以检测出入站请求的特征那种.毕竟你自己搭建服务肯定自己要用的么
    vibbow
        317
    vibbow  
       2019-10-17 22:21:30 +08:00
    @EvineDeng 不用备案 和 不能备案 是两个意思的...

    花生壳的域名也许大概可能没问题把。
    vibbow
        318
    vibbow  
       2019-10-17 22:22:06 +08:00
    @delpo 那就看 DPI 探测到后,会不会再自动访问一次确认了
    delpo
        319
    delpo  
       2019-10-17 22:25:17 +08:00
    @vibbow 探测是肯定探测不到你的 url 的,所以再次访问没有意义,只需要确认你用的协议就行了
    johnnyluck
        320
    johnnyluck  
       2019-10-17 23:04:09 +08:00 via Android
    刚看到前面说 ping 域名的操作一惊… 想再确认一下,利用 cloudflare api 将 ip 绑定到未备案的二级域名,只暴露 vpn 端口, 在外网 vpn 连到内网再访问 web,应该没事吧。。。
    zlkent
        321
    zlkent  
       2019-10-17 23:12:50 +08:00
    同上海电信,看到楼主的情况后赶紧把托管在 CF 的二级域名 DDNS ( type A )关了(没备案),又关了没在用但服务开着的群晖 web station (端口映射出去了,外网能访问指向默认页)和正在使用但不常用的 TinyRSS。
    目前 web 的服务还剩下群晖、ikuai、lede、exsi 和 Trasmission 的这些管理页面,端口映射到外网...抱着侥幸心理没关,因为要用到...目前瑟瑟发抖。
    ddns 除了群晖自带的 quickconnect 外,还注册了花生壳的动态域名(最常用)和一个 synology.me 的动态域名(用这么多是防止某个 ddns 解析失败还有备份,经常遇到),这几个也没关。按照前面各位的帖子,这些域名提供的服务商都是备案过的。所以也许没事?
    而且我也挂着 PT,有大量的上传。

    所以目前和楼主情况极其相似,目前又没个准信,到底啥能干啥不能干,只能静观其变了。

    我相信大部分人都是良民,都是正当使用。如果能具体告知哪些是能用哪些是红线,并且提供备案渠道,我相信大家都会积极配合,也不至于像现在这样一刀切,人心惶惶。

    题外话,无人机的管理就很规范,我买的大疆第一天就按要求在有关部门的网站上登记了信息,前阵子接到两次当地派出所民警的电话告知无人机的禁飞通告,还上门一次给了张无人机的通告并要求签字。(都是例行工作,本人没有违规,所以如果我没登记的话派出所是不知道我有无人机的)
    txydhr
        322
    txydhr  
       2019-10-18 01:18:36 +08:00
    @zlkent synology.me 没有备案
    txydhr
        323
    txydhr  
       2019-10-18 01:21:35 +08:00
    @EvineDeng 哪有免备案域名?不能备案的域名就是国内不能用
    txydhr
        324
    txydhr  
       2019-10-18 01:22:32 +08:00
    @fan88 不知道呀,问题就除在这儿
    tyhunter
        325
    tyhunter  
       2019-10-18 01:46:42 +08:00 via Android
    借楼问下,没公网 ip 全都靠软路由上的 frp 走毛子服务器的是不是可以不用担心
    elvis_w
        326
    elvis_w  
       2019-10-18 08:53:10 +08:00
    @johnnyluck #320 我也有一个 Cloudflare 域名绑定,不过我一不是魔都电信,二没有公网 IPv4 只动态绑定了 AAAA 记录。其他端口全用防火墙阻断,只留了个 BT 下载的端口和 OpenVPN 的 UDP 端口。应该没事吧
    linbenyi
        327
    linbenyi  
    OP
       2019-10-18 09:37:55 +08:00
    @tyhunter 大哥有推荐吗速度如何?
    @zlkent 就事论事吧。良不良的。也不保不被一刀切。买得起 DJI 的都是壕啊。
    @fan88 域名备案。但固定 IP 要求都是专线。也没看到非企业可以申请的样子。流量有特征,访问有返回,端口更不用说。省省心吧。
    @vibbow 有什么扫描器是这样的吗?我已经只关注备案域名这一块了。具体 web 端口似乎本次列表全都是绑定域名的用户被 BAN。
    EvineDeng
        328
    EvineDeng  
       2019-10-18 09:57:57 +08:00 via Android
    @vibbow 抠字眼的话,是“不能备案”,毕竟.win 域名有很多限制。
    EvineDeng
        329
    EvineDeng  
       2019-10-18 10:02:34 +08:00 via Android
    @txydhr 有这说法?我的.win 域名还是在国内阿里云买的...

    为保险起见,那我还是暂时取消.win 的 DDNS 吧...
    tyhunter
        330
    tyhunter  
       2019-10-18 11:08:34 +08:00
    @linbenyi 我用的是 ruvds,前段时间买的 30 卢布一个月,北方联通过去感觉还行,起码 RDP 停留场
    linbenyi
        331
    linbenyi  
    OP
       2019-10-18 11:45:27 +08:00
    @tyhunter 北方联通啊。我这边没有地理优势呢。
    @EvineDeng 我也建议你这样。
    xfelix
        332
    xfelix  
       2019-10-18 11:56:11 +08:00   ❤️ 2
    楼主的帖子里面始终没有说明架的是什么性质的 web 服务器。

    从其他关于上海电信取消公网 ip 的帖子的经验来看,个人使用其宽带用作家庭监控,远程访问用途还是许可的,还是可以要回公网 ip。

    电信民用宽带不可能真的不允许 inbound 访问,谁也没必要和钱过不去。
    mandymak
        333
    mandymak  
       2019-10-18 13:18:19 +08:00
    @vibbow 花生壳的域名本身有备案吧?而且用户都要绑国内手机号。
    txydhr
        334
    txydhr  
       2019-10-18 14:32:28 +08:00
    @xfelix 就是 nas,路由登录页面,被电信警告
    justs0o
        335
    justs0o  
       2019-10-18 17:00:53 +08:00
    根据宽带接入服务协议,第六条,第四款
    六、协议的中止、解除与终止
    (一)甲方有下列情形之一,乙方可以中止本协议(暂停提供服务):
    1、提供不真实的客户信息资料;
    2、未经乙方同意,擅自在已装的通信线路上装、移(室内移机除外)各种终端设备及
    复用设备或转让租用权的;或将宽带以任何方式提供给第三方使用或用作于其他运营商的
    违规互联;
    3、擅自改变客户类型及使用性质的;或擅自改变宽带安装地址的;
    4、利用乙方提供的拨号宽带网络开设 WEB 服务的;
    txydhr
        336
    txydhr  
       2019-10-18 18:31:14 +08:00
    @justs0o 这个 web 服务不一定指技术上的狭义的 web 服务,也可以解释为给除甲乙以外的第三者对外提供网页浏览服务,甲方自己自用算不算要打一个打大问号。比如前文提到的总公司开端口给分公司的人登录人事管理系统这种算不算服务呢。
    其实太抠协议字眼其实对于这次封宽带没啥用的。
    linbenyi
        337
    linbenyi  
    OP
       2019-10-18 19:55:39 +08:00
    @xfelix 嗯。什么帖子?如果我被取消公网 IP 了。只是说明地区 IP 资源不够用了。
    @justs0o 嗯,这个是很清楚了。
    @xfelix 什么性质都是不合规的。要专线和备案。
    wazon
        338
    wazon  
       2019-10-18 21:35:00 +08:00
    @justs0o
    商家制定排除、剥夺消费者的权利、利用模糊条款掌控最终解释权的条款,未必是有法律效力的。
    一方面,根据网友反馈,电信灵活使用了“可以”这一词汇。现阶段的做法只是封禁个别端口,同时对符合某些特定条件的情况进行暂停服务,而对于纯 IP 访问等情况并没有采取措施。
    另一方面,联网硬件提供的仅限自用的设备控制台是否属于“开设 WEB 服务”,存在模糊的地方。
    此外,这样的条款在各种用户界面都向网页前端统一的时代背景下,单方面增加了用户远程控制家中物联网设备的困难程度。
    所以是否可以这么做,关键还是看工信部文件有没有做什么明确规定。
    justs0o
        339
    justs0o  
       2019-10-18 22:47:03 +08:00
    @wazon 只能跟你说电信日常背锅,官大一级压死人。隐情就不多说了。
    zlkent
        340
    zlkent  
       2019-10-19 10:48:40 +08:00
    @justs0o #339 内部人士?那能否透露这次是永久的还是临时性的?
    txydhr
        341
    txydhr  
       2019-10-19 13:26:39 +08:00
    @justs0o 现在一切给打击诈骗让路,这是国内正常节奏了,至少 2 个月回来再看
    txydhr
        342
    txydhr  
       2019-10-19 13:29:53 +08:00
    @linbenyi 暂时合规指的是 1,2 必须都满足对吧。
    linbenyi
        343
    linbenyi  
    OP
       2019-10-19 20:11:50 +08:00
    @wazon 所谓最大的权力就是能够任意解释。这是没有办法的。
    @txydhr 1 就找能帮你代理备案的。2 如果有了的话,直接访问 IP 也成啊。
    txydhr
        344
    txydhr  
       2019-10-20 04:24:34 +08:00 via iPad
    @linbenyi 没看懂
    linbenyi
        345
    linbenyi  
    OP
       2019-10-20 13:39:04 +08:00
    @txydhr 就是 1,2 都满足的额意思。
    Redmi2020
        346
    Redmi2020  
       2019-10-21 10:48:52 +08:00
    @justs0o 明白,我咨询的那个电信负责人也跟我明说了他们也不想这样搞,搞的他们也烦
    只是目前看来,现在这种情况好像就上海电信的搞得比较严,其他地区宽带用户好像还没有反应有这种情况
    finallyeva
        347
    finallyeva  
       2019-10-21 12:57:46 +08:00
    那我用固定 IP 访问还会被封吗?
    上个月公司 DDNS 开了被封了一个 IP,关了 DDNS 后用新的固定 IP 访问又被封了,这你妈 IP 也要备案的??
    txydhr
        348
    txydhr  
       2019-10-21 13:58:12 +08:00
    @Redmi2020 确实奇怪为啥只有上海电信这样,其他地方没听说有这种情况,照理说如果工信部的要求,全国所有运营商应该都一致啊。
    upclose
        349
    upclose  
       2019-10-22 20:25:46 +08:00
    是不是不开 web 服务,NAS 也不开外网访问就没事了?普通 PT 应该没事吧?
    LHStone
        350
    LHStone  
       2019-10-23 16:12:59 +08:00
    我福州也被停了!只能把公网端口全关了
    wenxin667
        351
    wenxin667  
       2019-10-24 15:49:57 +08:00
    从永久封停这一点感觉就违法了
    linbenyi
        352
    linbenyi  
    OP
       2019-10-25 10:44:27 +08:00
    @wenxin667 我想过了,可以找你亲戚帮你再办啊。毕竟宽带是绑在户这一级别的。
    @LHStone 我看别人 ZEROTIER 用的很好呀。
    @upclose ZEROTIER 最近感觉蛮好用的。就是里面复杂配置没有入门教程。
    quriyu
        353
    quriyu  
       2019-10-28 19:19:50 +08:00
    同上海电信,开了群晖相关的一堆端口,前两天公网 ip 被换成了内网 ip
    linbenyi
        354
    linbenyi  
    OP
       2019-10-29 00:09:50 +08:00
    @quriyu 个人愚见未必和你开的端口有关。部分地区就是 IP 资源不够。尝试过万号申请回公网 IP 吗?
    quriyu
        355
    quriyu  
       2019-10-29 10:44:56 +08:00
    @linbenyi 的确,我这估计还不是你这个情况,找了微信、qq 客服,都听不懂内网、公网 ip,让安排技术人员来联系了,不过看你这情况我这也先消停一阵子吧
    Redmi2020
        356
    Redmi2020  
       2019-10-31 09:06:15 +08:00
    kao! 昨天我们公司的电信宽带也被封了,打一万号根本就不知道有这回事,让电信小工上门来看了,电信小工电话打了半天也没查出原因就知道宽带被停了,后来查了很久电信那边才给出原因说是绑定域名违法所以宽带被封了。感觉电信内部很混乱,连他们内部很多部门都不知道有这回事的,其余上次看到这个帖子和接到客服经理电话后我已经给解绑域名了,可还是被说违法绑定,真是日了。莫名其妙的
    目前上海也就上海电信有这方面的动作,上海联通和上海移动还有其它运营商好像没有这方面的动作
    anguszhao
        357
    anguszhao  
       2019-10-31 17:32:53 +08:00
    @Redmi2020 我前几天看到这个帖子就把群晖的 DDNS 关掉了,不知道还会不会被查水表= =
    prodcd
        358
    prodcd  
       2019-11-01 13:56:23 +08:00
    看了大家的说法,觉得会有两种封网的情况。一种是工信部扫 80 端口,这种情况目前就是作死,肯定会封。另一种是 ISP 扫描有大上传量 IP 的所有端口,一旦发现有 web 服务就封。可能站在 ISP 的角度,认为有大流量上传,又有 web 服务,就是在私设 web 服务器,认为这些流量都是从 web 服务器出去的。所以是家里开放群晖的 5000 端口,替 PT 大流量上传背了锅。这样的结果就是虽然有很多人开了群晖 5000,但上传流量不大,也没被封。
    Redmi2020
        359
    Redmi2020  
       2019-11-01 15:05:47 +08:00
    @prodcd 80 端口就不谈了,ISP 后台系统扫描应该不是按照流量来扫描的,因为我们公司这个端口流量根本就不大,有的时候一个星期估计都没人上的,需要查询以往的业务时才会登录一下
    prodcd
        360
    prodcd  
       2019-11-01 15:24:38 +08:00
    @Redmi2020 你是说,你们公司这个 IP 所有端口流量都不大,也没开 80 端口,也被封了?
    etnad
        361
    etnad  
       2019-11-02 15:24:16 +08:00 via Android
    各位大佬,我遇到类似的问题,上门的电信工作人员说是有未备案域名解析到这个 ip 上,被上面封停了。然而我并没有搭任何 web 服务器,那个域名我也不知道哪来的,这咋办?已经第三天没宽带用了
    cwbsw
        362
    cwbsw  
       2019-11-02 16:01:39 +08:00
    @prodcd
    不是运营商干的,而是更高层的行动,之前国际出口那玩意开始往国内部署了。
    https://koolshare.cn/forum.php?mod=redirect&goto=findpost&ptid=170517&pid=2073082
    xieyudi2
        363
    xieyudi2  
       2019-11-03 09:39:04 +08:00 via Android   ❤️ 6
    互联网鼓励信息的自由传播,起码有自由的国家才能有的东西,本质上就和 CCP 格格不入。八九十年代还相对开明,接入互联网才是政治正确。现在是要退到那之前。

    其实你上外网就违法了,法律铺垫早就有了(每一个和境外的加密通信都是非法信道)。现在还没朝鲜化只是没执行罢了。随着经济越来越差,“通互联网做生意” 这个借口越来越无效了,就差不多了。
    guidozeng
        364
    guidozeng  
       2019-11-03 11:47:05 +08:00
    @txydhr 我也是。近半年家里群晖自动 ban 掉了多个上海电信的 IP,尝试以 admin 身份登录 DSM。我还一直纳闷到底发生了什么事。
    Les1ie
        365
    Les1ie  
       2019-11-03 11:50:27 +08:00
    这个有点吓人啊

    前不久我刚把路由器转发的的 nas 的 80 关了...
    Les1ie
        366
    Les1ie  
       2019-11-03 11:58:02 +08:00
    前面有哥们在说:备案所在的 IP 和目前实际解析的 IP 不同

    备案的时候的确会提供一个 IP 地址,如果我之后换解析地址了都是不行的么?比如我最初备案的时候是指向服务器的,备案之后解析到了 CDN,这个需要在备案的地方做修改么?

    大概两周前腾讯云给我打电话,说我备案的某个域名打不开了,让我恢复网站,如果持续打不开,会注销备案。我在半年前改了网站的解析到 CDN,CDN 依然解析到备案的那个 IP 的,但是腾讯云似乎没提醒我解析备案的 IP 变了。
    Les1ie
        367
    Les1ie  
       2019-11-03 11:58:40 +08:00
    另:备案地是四川
    zlkent
        368
    zlkent  
       2019-11-03 12:09:27 +08:00
    @prodcd #358 上海电信,群晖挂 PT 上传量很大,而且还有很多 web 服务端口映射到外网(自用),楼主出事那天我就把所有 web 服务关了,但在那之前完全正常。所以 PT 上传量大导致被封感觉站不住脚。另外我有多个域名 DDNS。
    Redmi2020
        369
    Redmi2020  
       2019-11-04 11:49:51 +08:00
    @prodcd 是的,我们域名只是绑定了我们公司以前用的一个小的 ERP 系统而已,然后给分公司偶尔需要时查询以往业务数据而已,一个月都不会用几次的
    prodcd
        370
    prodcd  
       2019-11-04 13:37:22 +08:00
    @Redmi2020 也有人说不像电信自查,那就只能是工信部全网段全端口扫描了,这种情况除了关端口,什么办法也没有。目前只是上海很严吧?
    txydhr
        371
    txydhr  
       2019-11-04 15:44:35 +08:00 via iPhone
    @prodcd 感觉现在两者都有吧,最早是工信部开始的。后来电信发现客户宽带被封了都来找我,估计也开始自查了。两者应该分开的,前者发现直接断网,后者属于提醒防止你被工信部断网。两者应该是独立不相关的
    我一开始也奇怪为啥电信吃饱没事做为了这点小事大张旗鼓,原来是老大。
    txydhr
        372
    txydhr  
       2019-11-04 15:46:05 +08:00 via iPhone
    @prodcd 目前奇怪的是域名是怎么扫出来的,光扫描端口又不知道域名
    txydhr
        373
    txydhr  
       2019-11-04 15:50:55 +08:00 via iPhone
    @prodcd 刚开始被封的都没法恢复宽带,问电信各级客户经理都是一脸懵逼,得问才能答复。原来是工信部直接封的,后来开了口子才能签保证书啥的恢复宽带。
    prodcd
        374
    prodcd  
       2019-11-04 16:17:41 +08:00
    @txydhr 大概去年我司也被封过,工信部那边只是单纯的看 80 端口有没有内容,有内容就直接给 ISP 发邮件要求封 IP,还被我不小心看到过邮件内容,简单的一行字,封下列 IP,然后列了一堆 IP。
    txydhr
        375
    txydhr  
       2019-11-04 18:06:05 +08:00 via iPhone
    @prodcd 现在改成了全端口😭
    stille
        376
    stille  
       2019-11-04 23:55:51 +08:00
    看了楼主追加信息.有个疑惑 暂时合规的途径 中使用备案的域名
    按照工信部备案规定,域名备案只能是备案到云服务商的固定 IP,是不能备案给家庭宽带 IP.(备案到上述所说申请家庭固定 IP 不知道是否可行)
    再者,要按照严格来定,即使在阿里腾讯云备案过的域名也应该只让指向对应服务器的 IP.

    而且今年年中时,我在阿里云有 2 个备案过的域名,www 和 @做了 DDNS 到群晖的高端口(80/443 被封)..阿里云以备案核查名义告知我的 2 个域名 www 和 @指向的不是他们的服务器,要求我整改.否则注销备案.这个应该只是针对我域名,并不是电信查我的 DDNS.

    前些天腾讯云新户下单一台服务器,提交工单,我的另外一个腾讯云账户备案的域名是否需要转入到这个账户的服务器 IP,告知无需...
    txydhr
        377
    txydhr  
       2019-11-05 01:43:28 +08:00 via iPad
    @stille 主域名只能指向备案的地方,二级域名没有这个要求
    leoatchina
        378
    leoatchina  
       2019-11-05 07:56:49 +08:00 via Android
    @JamesR 兄弟你用什么路由器?是用内网穿透还是路由走桥接
    JamesR
        379
    JamesR  
       2019-11-05 08:53:40 +08:00
    @leoatchina #378 RouerOS,公网 IP,路由器自带动态域名。
    liuxyon
        380
    liuxyon  
       2019-11-06 18:01:45 +08:00
    如需要解决方案的联系
    liuxyon
        381
    liuxyon  
       2019-11-06 18:03:39 +08:00
    电信动态 ip 也可以备案,我备案成功过
    zyzll1234
        382
    zyzll1234  
       2019-11-07 04:20:01 +08:00
    @liuxyon 大哥求教,怎么加你
    helllkz
        383
    helllkz  
       2019-11-07 08:48:13 +08:00
    目前弄了 top 和 cc2 个域名,top 做了实名制认证,cc 做不了,但是都没备案,家用没法备案吧?目前主用的 cc 域名,不知道会不会出问题哦
    Dukewill
        384
    Dukewill  
       2019-11-07 15:36:34 +08:00
    1. 搞这么复杂为什么不直接全部 NAT ?
    2. 如果机制是只要域名能访问到家宽 web 就封,那 frp 不也被一刀切了吗?
    laevatein
        385
    laevatein  
       2019-11-07 16:41:24 +08:00
    我也被发文了 之前 DDNS 两个,一个群晖的 synology.me 一个威联通的 myqnapcloud.cn ,对外网页只有群晖和威联通的管理界面。9 月之前挂过 PT 流量较大,所以估测和流量、未备案域名( synology.me)还有对外网页都有关系,应该是同时满足三个条件比较容易被查。现在解决方案是开远程桌面端口,其他全关;另外路由器上挂了个 SS 服务器,在外网用 SS 连回路由器然后局域网访问。
    wazon
        386
    wazon  
       2019-11-07 21:07:48 +08:00
    @laevatein 是 http、https 都开了?
    wslzy007
        387
    wslzy007  
       2019-11-08 12:15:09 +08:00   ❤️ 1
    感觉 frp/nps/ngrok 之类的工具都有被查风险,毕竟将内网 http ( s )端口映射到外网端口的方式(特别是还有 DDNS ),简单的 http HEAD 方式就可以判定是否为 web 服务。

    也就是说:私设可公开访问的 web 类服务是需要严格备案的!另一方面将一般 NAS 或摄像头等服务基本是私有访问的,如果用上述工具大概率会被误判;私有资源安全访问建议考虑一下 smarGate ( github.com/lazy-luo/smarGate ),提供安全私有网络访问,整条链路没有任何端口被开放到公网,也不会开放任何可连接的服务端口。。。
    liuxyon
        388
    liuxyon  
       2019-11-10 20:23:46 +08:00
    @zyzll1234 #382 留下你的 tg
    Pampas
        389
    Pampas  
       2019-11-11 09:14:47 +08:00
    看了莫名恐慌,但是想了解下,LZ 这是个例还是大范围有用户被断网?
    xunandotme
        390
    xunandotme  
       2019-11-11 16:36:29 +08:00
    只要不是 web service,不在浏览器里显示出来,是不是就行了,暂时安全
    laevatein
        391
    laevatein  
       2019-11-11 16:41:38 +08:00
    @wazon 都开了 但是都是非标准端口
    ecapsul
        392
    ecapsul  
       2019-11-12 16:49:12 +08:00
    @liuxyon 请问怎么备案的
    msoayu56
        393
    msoayu56  
       2019-11-12 20:11:49 +08:00
    所以讲 frp 内网穿透有影响么
    aru
        394
    aru  
       2019-11-14 22:56:15 +08:00
    @wslzy007
    兄弟你的广告太硬了!
    另外 frp/ngrok 端口映射是没问题的,你没在家里宽带 IP 暴露端口!!!
    暴露的是服务器上的端口,国外的服务器可没有要求备案才能访问
    wslzy007
        395
    wslzy007  
       2019-11-14 23:28:04 +08:00
    @aru 还真没有暴露任何端口
    wslzy007
        396
    wslzy007  
       2019-11-14 23:32:00 +08:00
    @aru 家中服务端不会有任何服务端口暴露出来,我为人随和但对于技术有“洁癖”
    wslzy007
        397
    wslzy007  
       2019-11-14 23:36:13 +08:00
    @aru 对于私有穿透需求,外网服务器暴露端口也是没必要的!!
    inn
        398
    inn  
       2019-11-15 16:02:44 +08:00
    @Les1ie 备案成功之后 和 IP 应该没关系了吧
    Autonomous
        399
    Autonomous  
       2019-11-18 20:33:14 +08:00 via Android
    @godall 光猫已经桥接掉了他还能探测吗
    ylhawj
        400
    ylhawj  
       2019-11-18 23:30:21 +08:00 via iPhone
    synology.me 不能用啊?查了下好像没备案,那么 quickconnect.cn 应该是阔以用的吧?
    1  2  3  4  5  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1232 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 17:41 · PVG 01:41 · LAX 09:41 · JFK 12:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.