未北岸国内服务器与 TLS 流量问题请教

315 天前
 MFWT

国内服务器建站要北岸,笔者见到的基本上是不北岸就不开放 80/443 ,或者不让解析域名(会检测 Host 和 SNI )去访问

现在我有一个问题就是,我在国内服务器上有一个基于 tls 的服务,不对外开放。如果我直接用 IP 访问,会被北岸墙拦下来吗?还是说有更好的解决办法?

具体来说就是:

  1. 比如说我这个 TLS 服务是 OpenVPN 之类的 SSL VPN ,或者说是 headscale 的 DERP ,又或者是开启了 TLS 的 RDP ,可以使用非 80/443 端口
  2. 证书的话问题不大,我一般是用自签名证书(用在自己所用的设备上,信任自己的 CA 跟证书),IP 证书和域名证书都能签
  3. 笔者印象中好像有那么一个情况:把国内机器的 IP 解析到一个域名上,用域名访问 rdp 会失败,但是直接敲 IP 访问 rdp 就能连上,笔者估计,这个可能也是因为 RDP 的 tls 流量被北岸墙给拦下来了,不知道猜测的对不对?
  4. 笔者目前在套路云广州服务器上有一个 headscale ,是直接敲 IP 加非标端口访问的,已经稳定使用几个月了。但是因为是 http 流量,所以不确定能不能对此作为参考

望不吝赐教

3227 次点击
所在节点    宽带症候群
28 条回复
gentrydeng
315 天前
其他的自我阉割也就算了,“备案”也需要脱敏?

这种东西没人说得准,朝令夕改的东西,自己试试就知道了。
MFWT
315 天前
@gentrydeng 原文就是备案,但是发出来的时候被 v 站给夹 Chamber 去了,为避免麻烦改成北岸算了
xqzr
315 天前
IP 访问不会

ZeroSSL 可以签发 受信任的 IP 证书
SenLief
315 天前
ip 是可以的,备案的是域名。
Tufutogo
315 天前
说下我个人使用经验:
1 ,域名在腾讯云买的有备,NS 放在 CF ,
2 ,域名解析到的机器是腾讯云的国内机。没有用 80/443 的端口,没有放网站,当跳板机用的。
3 ,使用域名来 ssh 或者 rdp 上述的机器没问题,已经三年多了。
OutOfMemoryError
315 天前
@Tufutogo #5 非 443/80 是不受到备案管制的嘛
MFWT
315 天前
@xqzr 主要是考虑到自用服务,那么就懒得找 ZeroSSL 了,直接安装自签名 CA+自己签证书就好了,问题不大
dann73580
315 天前
用 ip 是没啥问题的,ip+高位端口吧,大厂不知道,但是小厂国内机器是没啥问题的,稳定很久了
hzcer
315 天前
3. 阿里云上海有此情况
datou
315 天前
headscale 属于 VPN 服务吧

按照国内各大云计算服务的用户协议来说都是禁止的
sNullp
315 天前
说真的,我不知道 V 站现在为什么还搞这么不透明的敏感词审查。要么就公开提示哪些词语不能用,要么就不要搞。这么偷偷夹文章很无聊。
dyv9
315 天前
人家是想“管理”,你不对公众提供内容服务,就不是它管理的目标,所以只对域名和标准端口限制,尽量又管理又少点干涉不提供对外服务的其它服务器。这不是理性吗?难道希望没手续全部封了?
ttvast
314 天前
任何端口只要提供网页服务,就需要备案。 比如 linux 安装 apache 后默认的页面,也是网页,不管你是啥端口,都不行
HitouchiMi
314 天前
https 流量是无法嗅探的,他看到的只是 tls 流量,所以他无法从流量上判断你的 tls 是网页访问还是其他服务,只能从 tls 里的 sni 来判断你做的是域名访问。然后有的是拿到域名主动发起 https 尝试访问来判断是不是 http 服务。前者暂时无解,后者非 http 服务就能逃过一劫。具体哪种就得自己试了。纯 IP 访问目前除了端口,没有限制。
xqzr
314 天前
@HitouchiMi alpn?
MFWT
314 天前
@ttvast 是,但是我这个端口,它不提供网页服务,就比如我例子里面的 OpenVPN
MFWT
314 天前
@HitouchiMi 所以我在考虑他会不会一刀切,对所有未备案域名的 tls 流量给砍掉(所以我目前用的是 IP 证书,暂时还相安无事)
MFWT
314 天前
@HitouchiMi

后者的话,其实我也做过一点实验,就我之前在别的主题里面提到过的,nginx 对于非指定路径的请求(以及非法请求)直接断开连接( return 444 ),不回复任何消息。至少从直观来看,这个端口除非访问到正确路径(或者有可能是正确的 http 头),不然发什么数据都会直接断开连接
busier
314 天前
不行的!

我试过,未备案阿里云,https/443 端口,做了双向证书验证,相当于都不是可以公开访问的 web 服务器,刚配置好可以用,1 天就被阻断。
busier
314 天前
补充上面:只用 IP 访问,未绑定域名的!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1015342

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX