家网反代暴露端口可能导致封 IPv6 和直连问题

fskemp233

45 天前

我就是用 v6 组播（裸连） iptv 被打了和你说的具体表现为一样。能申请回来吗？

jqknono

45 天前

@fskemp233 我的是过几天后恢复, 看别人的分享重启几次光猫后恢复.

basncy

45 天前

@jqknono 把 IPv6 隐私扩展打开，换 IP 。

sunnysab

45 天前

前几天刚想让 CDN 回源到家里的宽带…折腾了一下午。后来发现，曾经阿里等厂商提供了 API ，拉取边缘节点的 IP ，现在改成了提供 API 判断特定 IP 是否属于他们的边缘节点，导致我不太方便设置路由表，就放弃了。就是怕遇到 OP 这样的情况。

现在更是彻底死了这条心 hhh

Ipsum

45 天前

Cf 回源了，那就直接只准 cf 的 ip 通过啊。怎么会被运营商扫到呢。

jqknono

45 天前

@Ipsum http 和 https hello 报文的 sni 都是明文的, 可能是这样扫到的, 具体怎么扫到的我也不太清楚

chinanala

45 天前

我也是在家里 AIO 主机放了一些网站服务，前面套云厂商的 CDN ，但是我在网关里设置白名单仅放行 CDN 的 ip ，不知道这样能否拦截运营商的内部扫描。

lisonfan

45 天前

都走 Cloudflare 了没用 Cloudflare Tunnel ？

softradio

44 天前

赞同 @lpsum 和 @lisonfan 的方案。

@Ipsum 说的应该是用 iptables/nftable drop 掉所有非 cf 的 IP. 外在表现，跟你在特定端口没有开启 http/htpps 服务是一样的。运营商扫描不到的，sync 都直接丢弃，根本就 sni 明文的问题。

@lisonfan 提到的 Cloudflare Tunnel, 连你宽带没有公网 IPV4 或者 IPV6 都能用。

这两种方案都是安全的。除非运营商做 IP 黒名单----只要你访问 cf 的 IP, 就封你的宽带。

另外，从你帖子的描述来看，封锁似乎是光猫执行的。建议光猫用桥接模式，不要用路由模式了

jqknono

44 天前

@softradio 光猫一直是桥接模式.

@lisonfan 之前用过 warp, 没梯子情况下用不了它, 也就是流量要先走梯子再走 warp. tunnel 还没用过, 打算试一试.

lisonfan

44 天前

@jqknono #10 我的 Tunnel 放在旁路（ Mac mini ）上的，流量走的梯子

Zeaxion

44 天前

关于这个情况，我之前发帖说过，要规避暴露 http/https ，嗅探到之后 server 不能做任何类 http 回复，连状态消息都不能回复，只能回复 empty 或者 connetion reset ，另外有用 ddns 还需要对域名做 icp 备案

ddczl

44 天前

应该是暴露 http/https 导致的，因为我成都联通跟你一样的情况，也是 CF 回源，被联通直接封了 IPv6 ，现在都是用 FRP 了。

yshtcn

44 天前

Cloudflare 你用 Tunnel 啊，其他服务器用 FRP 才是正解。
我这里管的不严，我都不暴露 http 端口了

mh494078416

44 天前

我是 wireguard 组网，加 ecs 上 traefik 统一转发 https 流量到内网 http 服务。目前安全

JensenQian

43 天前

搞个 wireguard 也好，ss 也好。这种东西连回去
安全点，也不会被查到