ISP 是否具有动态封锁端口的能力？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 819 天前的主题，其中的信息可能已经有所发展或是发生改变。

RT ，起因是家里联通宽带有公网 IP ，最近发现路由器映射的端口都不通了，尝试更换别的端口发现都不行（不止 80 、443 、8080 等常见端口）。为了测试 ISP 都封锁了哪些端口，我尝试在路由器大范围映射端口到内网，比如 50000-60000 ，然后在外边通过端口扫描，发现大部分的端口都封闭了，只有某些是开放的，但是开放的这些端口，下次扫描又封闭了，所以考虑他们是否有动态封锁的能力？

端口

封锁

ISP

映射

33 条回复 • 2022-08-24 14:58:35 +08:00

geekvcn

2022-08-19 15:22:33 +08:00 via iPhone

有，但没必要这么做，吃力不讨好

f165af34d4830eeb

2022-08-19 15:24:07 +08:00

有，而且不需要扫描你的端口，dpi 识别 http 入站流量然后封锁对应端口就行。

Windn0

2022-08-19 15:27:11 +08:00 via iPhone

那如果需要直接连家里的服务，需要咋办？

nekolr

2022-08-19 15:28:33 +08:00

@Windn0 对，目前我的服务在外边都连不上家里的服务了，只能内网穿透用

nu11ptr

2022-08-19 15:31:30 +08:00

封端口算好的，http 服务直接开放违反 TOS ，可能停宽带
内网穿透，或者 VPN 回家

ddoyou

2022-08-19 15:33:31 +08:00

哪里这么严格吗？我这只要不是标准端口，随便搞

nekolr

2022-08-19 15:34:29 +08:00

@ddoyou 北京联通

nekolr

2022-08-19 15:36:38 +08:00

@f165af34d4830eeb 不会误封吗，正常上网就不受影响

mikeluckybiy

2022-08-19 15:40:23 +08:00

肯定是有的，封端口很正常，http 基本上不能用，违反 tos

lcy630409

2022-08-19 15:48:23 +08:00

是不是你根本没有把断开打开？

nekolr

2022-08-19 15:52:03 +08:00

@lcy630409 肯定是开了的，因为这个配置我一直没动过，最近才连不上的

f165af34d4830eeb

2022-08-19 16:13:08 +08:00 via iPhone

@nekolr #8 能检测到 http 入站流量就说明你肯定开了 web 服务。之前也有不少人因为路由器 web 管理页面被误杀的。封端口是最轻的，有的地区直接停宽带让你去写保证书。

nekolr

2022-08-19 16:17:39 +08:00

@f165af34d4830eeb 明白了，感谢

hubaq

2022-08-19 16:31:01 +08:00

@nekolr 误封概率很低，直接 rest 入向发起流量就好了

acbot

2022-08-19 18:19:46 +08:00

在 7 层上封禁应用是很多家用路由器都有的功能更不要说电信级设备了。这种常用应用及协议封端口反而是最笨的方法！

Tink

2022-08-19 18:22:54 +08:00 via Android

必须有呀

Windn0

2022-08-19 18:49:15 +08:00 via iPhone

@f165af34d4830eeb 所以家庭网络不能搭建带有网页管理的服务吗？

Mrixianmao

2022-08-19 18:56:55 +08:00

@Windn0 不能

wtks1

2022-08-19 19:27:51 +08:00 via Android

@Windn0 不能的，如果你仔细看合同，里面是有明文规定的

datou

2022-08-19 19:30:32 +08:00

北联的 3333 端口有可能不通

Windn0

2022-08-19 19:48:36 +08:00 via iPhone

非网页的服务入 nas 、emby 啥的呢？

akira

2022-08-19 19:55:28 +08:00

@Windn0 能。但是不能对外网提供 http 服务

TomChaai

2022-08-19 20:49:33 +08:00 via iPhone

目前全网动态流量整形具有瞬间 DPI 识别有害连接并整形的能力，从分析到识别低于一秒，有理由相信执行整形的设备分布于各大节点，但 DPI 检测点不多，基本不过国际出口的话，很少过问。
所以可以做到，但一般不会针对个人国内自用这么管

Goooooos

2022-08-19 20:53:10 +08:00 via Android

我都是开 vpn 先回家

f165af34d4830eeb

2022-08-19 22:23:20 +08:00

@Windn0 #21 不仅是“网页管理”服务，而是所有 http web 服务，nas 、emby 都是包括在内的。如果有连回家的需求最好还是开个 vpn 回去。

f165af34d4830eeb

2022-08-19 22:27:19 +08:00

@Windn0 #21 从安全性角度考虑，走 vpn 连回去也比把 smb 等服务直接暴露在公网上安全。

Ahiok

2022-08-19 23:50:19 +08:00

lsp 是谁

sky96111

2022-08-20 00:06:26 +08:00 via Android

是的。我这里明文 http 不管换什么端口都被立刻阻断，不过并不封端口。只能套 ssh 转发或者 VPN

Marionic0723

2022-08-20 17:00:33 +08:00 via Android

为什么你们都管那么严，我的路由器管理后台在公网开了快两年了也没人管过，还误操作（配错防火墙）把 socks5 代理挂公网上，半个月才发现不对劲，结果也没人管。

respawn

2022-08-21 16:54:01 +08:00

@Marionic0723 用网络资产类工具扫描能发现很多这种情况的路由器，暴露一段时间，大多都沦为僵尸网络一部分

luny

2022-08-24 11:15:38 +08:00

感觉不是被封导致的，有可能是你映射的问题？

nekolr

2022-08-24 11:38:16 +08:00

@luny 映射没问题，主要映射出去的都是 http 服务

nekolr

2022-08-24 11:39:12 +08:00

@luny 然后目前映射出去两个高位端口用来 PT 通信，目前正常工作

luny

2022-08-24 14:58:35 +08:00

http 还是 https ？另外尽量还是不要搞 http 服务，处罚还是比较严的