V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
157003892
V2EX  ›  宽带症候群

动态域名开放群晖 web 访问被电信提醒必须关闭否则封停宽带

  •  
  •   157003892 · 2024-03-12 17:26:21 +08:00 · 9825 次点击
    这是一个创建于 382 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天接到电信电话,说域名没有备案不得开放网站访问,5000 端口跟 5001 端口都被扫到,而且以 ip 加端口方式也不可以,要求立即关闭否则封停宽带,解封也很麻烦。因为动态 IP 不能备案,从 18 年到现在 5 年多时间一直是用的群晖,主要就是工作数据同步比较方便,现在要求停用对自己影响挺大的,有遇到过类似情况的吗?能否分享一下解决方案
    第 1 条附言  ·  2024-03-14 18:25:15 +08:00
    新状态:宽带已经被锁定,已经断网了,已经报修等待解封处理方案
    83 条回复    2024-03-23 19:39:09 +08:00
    Zeaxion
        1
    Zeaxion  
       2024-03-12 17:30:39 +08:00 via iPhone
    99 一年的机儿整一个,然后去备案
    完了关掉外网能看的一切页面
    找个 p2p 打洞组网

    合理合规保平安
    mantouboji
        2
    mantouboji  
       2024-03-12 17:36:02 +08:00 via iPad   ❤️ 8
    就算电信不找你,你这样随随便便就把文件服务器敞开公网访问,本来就是极端危险的行为。

    最低限度,你也应该是建一个建一个回自己家的 VPN ,然后一切数据访问都透过这个 VPN 进行。

    搞一个 wireguard 又不难。
    tpxcer
        3
    tpxcer  
       2024-03-12 17:36:08 +08:00
    哪里
    jjxtrotter
        4
    jjxtrotter  
       2024-03-12 18:04:01 +08:00 via iPhone
    5001 开了好几年了没碰到过。我用的是 godaddy 的域名和群晖官方的域名,都没备案
    dodakt
        5
    dodakt  
       2024-03-12 18:12:36 +08:00
    VPN 解君愁
    loarland
        6
    loarland  
       2024-03-12 18:17:53 +08:00
    哪个地方的电信这么变态
    bao3
        7
    bao3  
       2024-03-12 18:22:44 +08:00
    我上海电信,一直开着端口,没什么事
    ainon
        8
    ainon  
       2024-03-12 18:34:03 +08:00
    价格代理吧,域名解析到代理上,代理选国外的应该就可以了
    gam2046
        9
    gam2046  
       2024-03-12 18:35:20 +08:00
    野路子,试试不承认域名是自己的。

    如果依旧要停,那就试试扫一下你的同网段,哪些 IP 开了哪些端口,用你的域名依次都指向过去,然后继续抵赖。

    当然啦,如果人家就是不管,我随便注册个域名,然后指向一个国内的 IP ,就可以让你停服务/停宽带二选一,倒是也是个很不错的攻击手段。
    YGBlvcAK
        10
    YGBlvcAK  
       2024-03-12 18:40:52 +08:00 via Android
    扫到域名,再尝试访问,再截图,有没有可能是这样?
    v918384
        11
    v918384  
       2024-03-12 18:51:31 +08:00
    VPN 连回家用,别开 web 服务了,治你分分钟.
    NoOneNoBody
        12
    NoOneNoBody  
       2024-03-12 18:57:37 +08:00
    @gam2046 #9
    此路不通,原文有这句话,“……而且以 ip 加端口方式也不可以……”
    157003892
        13
    157003892  
    OP
       2024-03-12 19:27:29 +08:00
    @mantouboji 现在把 web 端口全关了,只留了同步通信端口
    157003892
        14
    157003892  
    OP
       2024-03-12 19:29:50 +08:00
    @tpxcer @bao3 成都电信
    @jjxtrotter 也是用了多年,估计是本地通信局改了扫描规则被扫到了
    157003892
        15
    157003892  
    OP
       2024-03-12 19:31:16 +08:00
    @Zeaxion 小鸡方案可能暂时不考虑,我先不开 WEB 端口试试看,估计只能挂代理才比较安全
    MikuM97
        16
    MikuM97  
       2024-03-12 20:01:21 +08:00
    我的方案是部署一个 nginx 反代群晖的 web 页面,只处理特定域名的请求,请求域名不对直接断开连接,根本不返回页面。这样可以抵御一般的暴力全端口扫描,但是如果运营商提前拿到域名了,扫描的时候 Host 头带着你的域名,那也得露馅。白群晖的话直接用 QucickConnect 吧,速度慢点但安全合规。
    bigshawn
        17
    bigshawn  
       2024-03-12 20:47:45 +08:00
    杭州电信用了十多年了,稳。
    enjoying
        18
    enjoying  
       2024-03-12 21:13:14 +08:00
    应该不是 IP:PORT 不行吧。是你 IP:PORT 是 web 页面的缘故吧。WG/SSH 这种开了应该没有问题。DDNS 用国外的,也扫不到
    oricole
        19
    oricole  
       2024-03-12 21:18:57 +08:00
    会不会因为是群晖域名的原因,因为群晖广泛使用主域名都是同一个,高风险,这边自己注册的腾讯域名就不会,用很多年了
    leaves615
        20
    leaves615  
       2024-03-12 21:57:56 +08:00   ❤️ 2
    cloudflare 动态域名,一直很稳定。不要用国内的任何服务,有条件的自己建。
    INW017bzMfgkkYGn
        21
    INW017bzMfgkkYGn  
       2024-03-12 22:06:52 +08:00
    搞个 frp stcp 非常好用
    linhu66
        22
    linhu66  
       2024-03-12 22:18:09 +08:00
    @bao3 我上海电信,一直开着 80 443 端口,没什么事
    fortitudeZDY
        23
    fortitudeZDY  
       2024-03-12 22:28:32 +08:00
    vpn 最安全省 心,愿意折腾可以自建个 tailscale ,或者我们的 xedge ,如果实在想暴露到公网,也可以用我们 xedge 的内网穿透,群晖上可以用开源 tailscale 对接到 xedge 就可以映射了。
    giffgaffman
        24
    giffgaffman  
       2024-03-12 22:29:14 +08:00
    三种方案解君愁:DDNS+VPN 、Zerotier 内网穿透、Cloudflare Tunnel ;
    morpheuszero2023
        25
    morpheuszero2023  
       2024-03-12 22:31:52 +08:00
    能否说下你有没有使用 PCDN 和 PT 等大流量上传的情况?
    有可能他们只管你这种让他们赔钱的。
    yxmyxmyyy
        26
    yxmyxmyyy  
       2024-03-13 01:39:08 +08:00 via Android
    我电信光猫里面自带 ddns 功能能用向日葵 ddns 加端口转发访问
    SculptureSand
        27
    SculptureSand  
       2024-03-13 02:01:38 +08:00 via Android
    好奇这种能不能直接把路由改的奇怪点
    比如/,是无法访问的且不返回 404
    但是/123456789 ,才是 web 呢
    mm2x
        28
    mm2x  
       2024-03-13 08:46:36 +08:00
    这个有啥难解决的呢? 群晖不是自带 DDNS 嘛~用它自带的就好了。随便解析。都是备案的。比自己买域名买虚机省心。
    wm5d8b
        29
    wm5d8b  
       2024-03-13 08:56:42 +08:00 via Android
    @bigshawn 杭州电信也不稳,https 在 ipv6 下可以正常通讯,以前 ipv4 也可以,最近两年 ipv4 会在 tls 握手阶段被重置 tcp 连接,搞得公网 ip 只能拿来连 wireguard
    SenLief
        30
    SenLief  
       2024-03-13 09:17:49 +08:00
    正常只要不开 80 443 应该没问题啊,你有开 pt 或者 pcdn ?
    91pornshanghai
        31
    91pornshanghai  
       2024-03-13 09:26:49 +08:00
    你换一个五位数的端口,直接用 5000 端口电信公司又不傻
    91pornshanghai
        32
    91pornshanghai  
       2024-03-13 09:28:43 +08:00
    不过你已经被盯上了还是换个方案,像楼上说的各种代理方式
    XXOO133
        33
    XXOO133  
       2024-03-13 09:50:06 +08:00
    @MikuM97 悄悄的告诉你,在运营商眼里 QC 也不合规。
    XXOO133
        34
    XXOO133  
       2024-03-13 09:58:29 +08:00
    话说,你们被打电话或者停机的 DDNS ,都是解析的 IPV4 么?有没有只解析 IPV6 也被关照的?
    157003892
        35
    157003892  
    OP
       2024-03-13 10:17:46 +08:00
    @XXOO133 双解析,被扫到的是 v4
    157003892
        36
    157003892  
    OP
       2024-03-13 10:19:10 +08:00
    @SenLief 家宽没有 80 443
    157003892
        37
    157003892  
    OP
       2024-03-13 10:21:26 +08:00
    @oricole 我是自己注册的阿里域名,不是用的 qc
    157003892
        38
    157003892  
    OP
       2024-03-13 10:23:24 +08:00
    @MikuM97 结果就是运营商带着我域名以及对应端口的访问记录告知我违规了,是 12 号晚上 22 点多扫到的
    MikuM97
        39
    MikuM97  
       2024-03-13 10:42:54 +08:00   ❤️ 1
    @157003892 如果那有几种可能,一种是运营商部署旁路监听了,分析了外部访问家宽 IP 的流量,从应用层获取了域名信息,一种可能是分析了本地 DNS 服务器的日志,抓取了解析结果为本地家宽 IP 段的 DNS 请求,从请求中获取了域名信息,甚至有可能扫描的时候,从 SSL 握手信息里面获取了证书的域名。建议 web 页面还是套一层 vpn 吧。
    mantouboji
        40
    mantouboji  
       2024-03-13 11:14:48 +08:00
    OP 这样生活在强国的,居然连一点点起码的安全意识都没有,不仅自己的私有文件服务器在网络上敞开端口裸奔,还明火执仗地用常用端口,甚至还爱国心满满地用什么阿里域名,党和国家不灭你简直是对不起人民。

    既然是个小粉红,那就但求多福吧。
    XXOO133
        41
    XXOO133  
       2024-03-13 11:18:52 +08:00
    @157003892 所以,换个思路就是,只解析 IPV6 就不会被盯上了,是不?
    losoft
        42
    losoft  
       2024-03-13 11:26:38 +08:00
    二级路由,外面端口全部关闭,内网穿透
    157003892
        43
    157003892  
    OP
       2024-03-13 11:54:26 +08:00
    @XXOO133 算了,不去赌了,WEB 服务已经全关了,已经部署好 wireguard 跟端口代理了,暂时应该是安全的
    157003892
        44
    157003892  
    OP
       2024-03-13 11:56:30 +08:00
    @MikuM97 已经套好了,具体原因看有没有运营商的朋友来解释
    157003892
        45
    157003892  
    OP
       2024-03-13 11:58:11 +08:00
    @mantouboji 主要是当时万网.cn 域名非常便宜,好像首年 20 ,就下手了
    txydhr
        46
    txydhr  
       2024-03-13 14:23:05 +08:00 via iPhone
    @Zeaxion 理论上并不合规,家宽开放 web 还需要在中国电信新增接入
    txydhr
        47
    txydhr  
       2024-03-13 14:24:17 +08:00 via iPhone   ❤️ 2
    @157003892 这种人别理
    ddczl
        48
    ddczl  
       2024-03-13 15:12:15 +08:00
    我家宽走 IPv6 的 443 端口 2 年了
    MillerD
        49
    MillerD  
       2024-03-13 15:18:49 +08:00
    @XXOO133 #34
    @157003892 #35

    同成都电信 只 ddns 了 ipv6 地址 大概半年了吧 目前没问题
    只是偶尔在媳妇儿家的时候连回家看电视
    totoro625
        50
    totoro625  
       2024-03-13 15:27:50 +08:00
    @txydhr #46 实际使用中,不做新增接入,只要不使用 80/443 是没问题的
    检查只检查 www 和裸域,不检查二级域名,只要保证 www 和裸域指向备案商即可
    二级域名使用 80/443 及常用端口会被知道使用的域名,具体管不管看运营商
    但是没备案的肯定要管的
    ntedshen
        51
    ntedshen  
       2024-03-13 15:31:11 +08:00
    我之前是一直开 frp 穿透然后用泛解析挂二级域名。。。
    上个月蛋疼实名的问题时候翻日志发现天天有人爆破我。。。

    这个月翻了一下猜测主要是公共证书和 dns 泄露。。。
    准备这周回去改自签加换复杂域名的。。。
    jamry
        52
    jamry  
       2024-03-13 15:53:23 +08:00
    换个 5 位数的端口映射,不过你已经被电信盯上,再用映射就难了。
    只能改隧道
    JamesR
        53
    JamesR  
       2024-03-13 16:21:02 +08:00
    @leaves615 #20 我用的是买的 ROS 路由器里自带的域名,电信宽带,走的是 HTTPS ,稳定用 8 年了,啥事都没有。
    最近换了移动企业带宽,固定 IP ,除了 80 ,443 ,8080 移动默认没给开,旧设备继续接着用,一切正常。
    chfight
        54
    chfight  
       2024-03-13 16:33:10 +08:00
    @157003892 #13 群晖的 web 端口不是跟照片视频这些数据同步的端口一样的吗?
    sarices
        55
    sarices  
       2024-03-13 16:36:59 +08:00
    很多解决办法,tailscale/自建 headscale zerotier/自建 planet frp 蒲公英 clouflare tunnel 等等,也可以最简单的找个服务器,用 ssh 把 5000 端口帮到服务器上面
    itsjoke
        56
    itsjoke  
       2024-03-13 17:12:50 +08:00
    @157003892 028 没这么夸张吧,印象中用了几年了。哪个区这么夸张?
    pmman
        57
    pmman  
       2024-03-13 17:17:55 +08:00 via Android
    @157003892 cn 域名等于自首
    VIVIANSNOW
        58
    VIVIANSNOW  
       2024-03-13 17:38:40 +08:00
    @SculptureSand 上欺骗呗。多一层
    kincaid
        59
    kincaid  
       2024-03-13 17:38:59 +08:00
    楼主哪里的?我最近也碰到两个人说这件事,看起来不是个例
    hobbit236
        60
    hobbit236  
       2024-03-13 17:39:55 +08:00
    坐标南大门看门狗,朋友家的电信公网被这个理由短时间内收回了三次,说再开还封,但是同城的我 traefik 反代 6443 端口稳定运行最起码两年有余了,其他端口在防火墙里都没开放。
    hobbit236
        61
    hobbit236  
       2024-03-13 17:43:56 +08:00
    同感,都用这些东西了,为啥还要去阿里解析 cloudflare 不行么? 非要用 5000 5001 就差 80 443 了 20000-60000 里很多可选的·····
    txydhr
        62
    txydhr  
       2024-03-13 19:42:20 +08:00 via iPad
    @totoro625 像华为云文档写的是二级域名指向自己,也必须新增接入。关于端口,看每个服务商怎么理解了。不要用理工思维去理解行政/法律/社会问题,除非明确规定,歧义很小的问题,其他都是靠拉扯,这个世界就是这样。
    Zeaxion
        63
    Zeaxion  
       2024-03-14 09:56:26 +08:00
    @157003892 我已经关掉了所有从外访问的页面,其实也不是关,而是不正确的请求,全部丢弃,有必要存续的页面通过已备案主机中转,其他隐形服务照常可用
    XXOO133
        64
    XXOO133  
       2024-03-14 10:03:07 +08:00
    @itsjoke 028 近期就是这么夸张,是近 10 年来管得最严的时候,而且不敢保证以后会不会更严(我觉得一阵风式的肯可能性要大点,就看什么时候结束)。
    ztlong
        65
    ztlong  
       2024-03-14 10:21:04 +08:00
    @Zeaxion 老哥,能否分享一下如何做到鉴别不正确的请求丢弃
    157003892
        66
    157003892  
    OP
       2024-03-14 18:24:04 +08:00
    新状态:宽带已经被锁定,已经断网了,已经报修等待解封处理方案
    Zeaxion
        67
    Zeaxion  
       2024-03-14 20:37:33 +08:00 via iPhone   ❤️ 1
    @SculptureSand 可以,前置 nginx ,只开 https ,path 改奇怪点,非对应 path 无应答
    Zeaxion
        68
    Zeaxion  
       2024-03-14 20:40:00 +08:00 via iPhone
    @ztlong 前置加 if 判定规则啊,把 return 自定义为丢弃
    jcxq5200
        69
    jcxq5200  
       2024-03-14 21:54:50 +08:00 via iPhone
    成都公共场所的开放 Wi-Fi 都要监管审计了
    jinercsm
        70
    jinercsm  
       2024-03-16 00:15:10 +08:00
    坐标广西,昨天公网 ip 被 ban 了,装维给我看了文件也是使用了未备案域名,说整改后可以恢复
    xdzhang
        71
    xdzhang  
       2024-03-16 10:52:46 +08:00
    我成都电信很多年了都稳当呢,一直高端口,啥都别用默认端口啊!
    hubaq
        72
    hubaq  
       2024-03-16 22:26:07 +08:00   ❤️ 1
    @gam2046
    @YGBlvcAK
    @MikuM97
    @SculptureSand
    @157003892

    这个问题 V2 已经讨论过很多了,都是基于 DPI 检测,最简单安装个 winshark 都能看到是不是 http 协议
    uniqueman
        73
    uniqueman  
       2024-03-17 11:25:54 +08:00
    @linhu66 上海不封 80 和 443 ?
    linhu66
        74
    linhu66  
       2024-03-17 11:51:08 +08:00
    @uniqueman v4+v6 都不封
    157003892
        75
    157003892  
    OP
       2024-03-17 22:04:41 +08:00
    @xdzhang 改了配置,不放心端口咯,短期被盯上了
    MikuM97
        76
    MikuM97  
       2024-03-18 11:27:27 +08:00
    @157003892 最后 OP 的宽带恢复了吗?公网 IP 有没有被收?
    ztlong
        77
    ztlong  
       2024-03-18 11:41:26 +08:00
    @Zeaxion return 444 ?还是有其他的语法
    ChenSino
        78
    ChenSino  
       2024-03-18 13:42:47 +08:00
    @linhu66 上海电信,80 443 都不封? 666
    Zeaxion
        79
    Zeaxion  
       2024-03-18 14:51:30 +08:00
    @ztlong 关掉 http 明文,去掉 html 首页,也可以保留,但是不能 index 主页,设置专用 path ,启用 https ,然后写 if 规则,判定仅允许访问什么,不符合一个或多个判定进行丢弃,或者,转发给一个啥也有没的,比如转给一个自购域名,但下面无任何解析内容,或者 localhost
    157003892
        80
    157003892  
    OP
       2024-03-18 19:03:59 +08:00
    @MikuM97 填个承诺书,恢复了,看起来是内部处理流程
    wanwaneryide
        81
    wanwaneryide  
       2024-03-19 10:26:40 +08:00
    电信宽带+阿里云的 ddns+群辉 5000 端口和若干服务端口,稳定了两三年,暂时没被告警
    sp670
        82
    sp670  
       2024-03-20 13:00:11 +08:00
    @JamesR 我也是 ROS 自带 DDNS ,然后我的域名挂在 CF 上是指向我在海外 VPS 上的博客,二级域名才用 CNAME 指向 ROS 自带 DDNS 连回家
    文件服务器直接开端口,用 ROS 端口转发到 NAS ,WEB 页面套了泛域名的 SSL 证书,目前已经运行了 8 年了没啥事
    157003892
        83
    157003892  
    OP
       2024-03-23 19:39:09 +08:00
    @sp670 看运营商咋想,想重点照顾的话全端口来一遍。反正家宽有传入流量跟 ip 反查不难,dns 记录也很好匹配
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1257 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 38ms · UTC 17:41 · PVG 01:41 · LAX 10:41 · JFK 13:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.