未北岸国内服务器与 TLS 流量问题请教

2024-02-11 18:26:15 +08:00
MFWT  MFWT

国内服务器建站要北岸,笔者见到的基本上是不北岸就不开放 80/443 ,或者不让解析域名(会检测 Host 和 SNI )去访问

现在我有一个问题就是,我在国内服务器上有一个基于 tls 的服务,不对外开放。如果我直接用 IP 访问,会被北岸墙拦下来吗?还是说有更好的解决办法?

具体来说就是:

  1. 比如说我这个 TLS 服务是 OpenVPN 之类的 SSL VPN ,或者说是 headscale 的 DERP ,又或者是开启了 TLS 的 RDP ,可以使用非 80/443 端口
  2. 证书的话问题不大,我一般是用自签名证书(用在自己所用的设备上,信任自己的 CA 跟证书),IP 证书和域名证书都能签
  3. 笔者印象中好像有那么一个情况:把国内机器的 IP 解析到一个域名上,用域名访问 rdp 会失败,但是直接敲 IP 访问 rdp 就能连上,笔者估计,这个可能也是因为 RDP 的 tls 流量被北岸墙给拦下来了,不知道猜测的对不对?
  4. 笔者目前在套路云广州服务器上有一个 headscale ,是直接敲 IP 加非标端口访问的,已经稳定使用几个月了。但是因为是 http 流量,所以不确定能不能对此作为参考

望不吝赐教

3433 次点击
所在节点   宽带症候群  宽带症候群
28 条回复
gentrydeng
gentrydeng
2024-02-11 19:13:01 +08:00
其他的自我阉割也就算了,“备案”也需要脱敏?

这种东西没人说得准,朝令夕改的东西,自己试试就知道了。
MFWT
MFWT
2024-02-11 19:20:41 +08:00
@gentrydeng 原文就是备案,但是发出来的时候被 v 站给夹 Chamber 去了,为避免麻烦改成北岸算了
xqzr
xqzr
2024-02-11 19:52:48 +08:00
IP 访问不会

ZeroSSL 可以签发 受信任的 IP 证书
SenLief
SenLief
2024-02-11 20:01:52 +08:00
ip 是可以的,备案的是域名。
Tufutogo
Tufutogo
2024-02-11 20:15:06 +08:00
说下我个人使用经验:
1 ,域名在腾讯云买的有备,NS 放在 CF ,
2 ,域名解析到的机器是腾讯云的国内机。没有用 80/443 的端口,没有放网站,当跳板机用的。
3 ,使用域名来 ssh 或者 rdp 上述的机器没问题,已经三年多了。
OutOfMemoryError
OutOfMemoryError
2024-02-11 20:16:15 +08:00
@Tufutogo #5 非 443/80 是不受到备案管制的嘛
MFWT
MFWT
2024-02-11 21:14:27 +08:00
@xqzr 主要是考虑到自用服务,那么就懒得找 ZeroSSL 了,直接安装自签名 CA+自己签证书就好了,问题不大
dann73580
dann73580
2024-02-12 00:12:47 +08:00
用 ip 是没啥问题的,ip+高位端口吧,大厂不知道,但是小厂国内机器是没啥问题的,稳定很久了
hzcer
hzcer
2024-02-12 02:46:02 +08:00
3. 阿里云上海有此情况
datou
datou
2024-02-12 02:47:29 +08:00
headscale 属于 VPN 服务吧

按照国内各大云计算服务的用户协议来说都是禁止的
sNullp
sNullp
2024-02-12 07:39:50 +08:00
说真的,我不知道 V 站现在为什么还搞这么不透明的敏感词审查。要么就公开提示哪些词语不能用,要么就不要搞。这么偷偷夹文章很无聊。
dyv9
dyv9
2024-02-12 08:34:17 +08:00
人家是想“管理”,你不对公众提供内容服务,就不是它管理的目标,所以只对域名和标准端口限制,尽量又管理又少点干涉不提供对外服务的其它服务器。这不是理性吗?难道希望没手续全部封了?
ttvast
ttvast
2024-02-12 11:25:37 +08:00
任何端口只要提供网页服务,就需要备案。 比如 linux 安装 apache 后默认的页面,也是网页,不管你是啥端口,都不行
HitouchiMi
HitouchiMi
2024-02-12 13:19:56 +08:00
https 流量是无法嗅探的,他看到的只是 tls 流量,所以他无法从流量上判断你的 tls 是网页访问还是其他服务,只能从 tls 里的 sni 来判断你做的是域名访问。然后有的是拿到域名主动发起 https 尝试访问来判断是不是 http 服务。前者暂时无解,后者非 http 服务就能逃过一劫。具体哪种就得自己试了。纯 IP 访问目前除了端口,没有限制。
xqzr
xqzr
2024-02-12 16:41:35 +08:00
@HitouchiMi alpn?
MFWT
MFWT
2024-02-12 17:10:28 +08:00
@ttvast 是,但是我这个端口,它不提供网页服务,就比如我例子里面的 OpenVPN
MFWT
MFWT
2024-02-12 17:11:11 +08:00
@HitouchiMi 所以我在考虑他会不会一刀切,对所有未备案域名的 tls 流量给砍掉(所以我目前用的是 IP 证书,暂时还相安无事)
MFWT
2024-02-12 17:14:13 +08:00
@HitouchiMi

后者的话,其实我也做过一点实验,就我之前在别的主题里面提到过的,nginx 对于非指定路径的请求(以及非法请求)直接断开连接( return 444 ),不回复任何消息。至少从直观来看,这个端口除非访问到正确路径(或者有可能是正确的 http 头),不然发什么数据都会直接断开连接
busier
2024-02-12 19:33:40 +08:00
不行的!

我试过,未备案阿里云,https/443 端口,做了双向证书验证,相当于都不是可以公开访问的 web 服务器,刚配置好可以用,1 天就被阻断。
busier
2024-02-12 19:36:54 +08:00
补充上面:只用 IP 访问,未绑定域名的!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1015342

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX