关于泉州白名单，有几点纠正一下

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 925 天前的主题，其中的信息可能已经有所发展或是发生改变。

以下为个人测试结果，如有错误，欢迎纠错。

首先并非网传的仅备案那么玄乎，经测试，机制为 ip 黑名单，直接阻断，可以通过换 ip 解决。

以一个刚注册的域名为例，源站香港加 cloudflare free cdn ，阻断源站上海不加 cdn ，不阻断。由于 cloud flare 大部分 ip 已上黑名单，所以才会有网传的白名单这种结论。

解决方案 1 。中转 2.ipv6

源站

黑名单

阻断

CDN

24 条回复

villivateur

2022-05-11 17:03:41 +08:00

改下排版吧，趁还来得及

Chism

2022-05-11 20:07:56 +08:00

我的博客在华为云 HK ，泉州也无法访问

V1Eerie

2022-05-11 20:16:27 +08:00 via Android

sni 阻断是已经运用的成熟技术，目前在泉州地区存在针对未备案域名的阻断即所谓的白名单

ruixue

2022-05-11 20:42:48 +08:00

“源站上海不加 cdn ，不阻断”

？？源站在上海说明 ip 在国内且域名有备案，怎么能得出不存在 sni 阻断的结论的

而且，“cloudflare 大部分 ip 已上黑名单”已经够可怕了好吧，全球多少网站都在用 cloudflare ，这一下子也相当于墙了海量的网站，触目惊心

xyjincan

2022-05-11 20:45:18 +08:00 via Android

有没有服务器测试让大家见识一下

wske

2022-05-11 21:05:53 +08:00 via Android

你做了什么测试，测试方法是什么应该说清楚。
上来就摆结论，说服力不够。

smileawei

2022-05-11 21:12:43 +08:00

如果是 sni 阻断。那是不是伪造成和 www.qq.com 这类的站点就可以绕过。当然证书你可以选择自签名

geekvcn

2022-05-11 22:17:55 +08:00

@smileawei 脱裤子放屁，sni 阻断直接升级到 TLS1.3 就能避免的东西

a8Fy37XzWf70G0yW

2022-05-11 22:21:08 +08:00

@geekvcn 仁兄，我上網搜尋了才知：TLS1.3 和 TLS1.3 ESNI 是不同的意思，ESNI 只是一個可選標準而已。

geekvcn

2022-05-11 23:54:34 +08:00 via Android

@viberconnection 你用什么搜索引擎能搜出这种结果？ TLS1.3 强制采用 ECHDE 握手算法，你说的 ESNI 是 TLS1.3 没出来前，给 TLS1.2 打的补丁，需要浏览器支持，当时是火狐的方案，现在早就被 ECH 替代了。

Buges

2022-05-12 01:46:03 +08:00 via Android

@geekvcn ESNI 虽然过时了，但继任的 ECH 也只是 tls1.3 的可选扩展而已。用现代浏览器打开 https://www.cloudflare.com/cdn-cgi/trace
你会看到
tls=TLSv1.3
sni=plaintext

danhuang

2022-05-12 10:38:32 +08:00

@ruixue 域名未备案，仅临时调成上海 IP

ruixue

2022-05-12 10:42:48 +08:00

@danhuang 没备案的域名解析到国内的 ip 时间长了就会阻断了，即使短时间内没有阻断，那也和泉州的墙没啥关系

ruixue

2022-05-12 10:53:09 +08:00

@danhuang 国内的机房对未备案的域名都有监测阻断机制，如果要做测试，国内 ip 的参考价值不大，更何况大家担心的是访问国外的互联网而不是访问国内，所以理应都用国外的 ip 做对照测试

z919126592

2022-05-12 11:06:44 +08:00 via iPhone

上海当然不阻断，只有境外阻断。可以随便找个境外 IP 解析测试。
另外经过我三天以来的连续测试，连续的请求中说有部分会漏掉而可以达到部分请求不被阻断正常连接，可能是过滤设备性能不够用。

z919126592

2022-05-12 11:09:07 +08:00 via iPhone

@smileawei 是的

takeshima

2022-05-12 14:21:05 +08:00

@geekvcn TLS 1.3 没有强制 ECH ，cloudflare 都才支持 ECH 没多久，Google 早就支持 TLS 1.3 了，你看你访问 google 能绕开 SNI 阻断吗？

LnTrx

2022-05-12 17:14:42 +08:00

> 由于 cloud flare 大部分 ip 已上黑名单

小部分是哪些？

smileawei

2022-05-12 21:57:00 +08:00

@geekvcn #8 那不如直接不用 tls 伪装的协议得了。

swiftg

2022-05-13 08:43:49 +08:00 via iPhone

楼主都没搞懂墙在哪里，源站在上海的话流量都不经过墙，墙怎么给你阻断？

swiftg

2022-05-13 08:51:41 +08:00 via iPhone

都不需要自己注册域名和买服务器，随便找一个有 https 网页服务的海外 ip ，比如 cf 的 ip ，curl 命令加上任意白名单外的域名，看看有没有被 sni 阻断

AII

2022-05-14 13:26:54 +08:00

@swiftg 这楼主是当师爷的好材料，装糊涂的天才。拿国内 IP 测墙真的牛批。

@geekvcn Google 早就启用 TLS 1.3 了，你现在去找个 443 开着的 GWS IP ，用 hosts 解析过去看看能连不能。

butanediol2d

2022-05-16 13:29:32 +08:00

@AII #22
@swiftg #20

虽然楼主的测试可能不是很严谨，但我觉得国内 IP 这个测试也不是没有用处啊。

如果国内 IP 没有墙，那对于目前很多人用的国内机中转的翻墙方式来说并无太大影响。
如果国内 IP 都按白名单来，那才是没有办法了吧。

swiftg

2022-05-16 18:29:46 +08:00 via iPhone

@butanediol2d 国内 IP 肯定没墙啊，还用测么？墙只存在于流量出入境的地方，就像国内省和省之间没有边境检查站一样。拿国内 IP 去测试墙非蠢即坏