这是一个创建于 414 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天接到电信电话,说域名没有备案不得开放网站访问,5000 端口跟 5001 端口都被扫到,而且以 ip 加端口方式也不可以,要求立即关闭否则封停宽带,解封也很麻烦。因为动态 IP 不能备案,从 18 年到现在 5 年多时间一直是用的群晖,主要就是工作数据同步比较方便,现在要求停用对自己影响挺大的,有遇到过类似情况的吗?能否分享一下解决方案
第 1 条附言 · 2024-03-14 18:25:15 +08:00
新状态:宽带已经被锁定,已经断网了,已经报修等待解封处理方案
 |
1
Zeaxion 2024-03-12 17:30:39 +08:00 via iPhone
99 一年的机儿整一个,然后去备案
完了关掉外网能看的一切页面 找个 p2p 打洞组网 合理合规保平安 |
 |
2
mantouboji 2024-03-12 17:36:02 +08:00 via iPad  8
就算电信不找你,你这样随随便便就把文件服务器敞开公网访问,本来就是极端危险的行为。
最低限度,你也应该是建一个建一个回自己家的 VPN ,然后一切数据访问都透过这个 VPN 进行。 搞一个 wireguard 又不难。 |
 |
3
tpxcer 2024-03-12 17:36:08 +08:00
哪里
|
 |
4
jjxtrotter 2024-03-12 18:04:01 +08:00 via iPhone
5001 开了好几年了没碰到过。我用的是 godaddy 的域名和群晖官方的域名,都没备案
|
 |
5
dodakt 2024-03-12 18:12:36 +08:00
VPN 解君愁
|
 |
6
loarland 2024-03-12 18:17:53 +08:00
哪个地方的电信这么变态
|
 |
7
bao3 2024-03-12 18:22:44 +08:00
我上海电信,一直开着端口,没什么事
|
 |
8
ainon 2024-03-12 18:34:03 +08:00
价格代理吧,域名解析到代理上,代理选国外的应该就可以了
|
 |
9
gam2046 2024-03-12 18:35:20 +08:00
野路子,试试不承认域名是自己的。
如果依旧要停,那就试试扫一下你的同网段,哪些 IP 开了哪些端口,用你的域名依次都指向过去,然后继续抵赖。 当然啦,如果人家就是不管,我随便注册个域名,然后指向一个国内的 IP ,就可以让你停服务/停宽带二选一,倒是也是个很不错的攻击手段。 |
 |
10
YGBlvcAK 2024-03-12 18:40:52 +08:00 via Android
扫到域名,再尝试访问,再截图,有没有可能是这样?
|
 |
11
v918384 2024-03-12 18:51:31 +08:00
VPN 连回家用,别开 web 服务了,治你分分钟.
|
 |
12
NoOneNoBody 2024-03-12 18:57:37 +08:00
@gam2046 #9
此路不通,原文有这句话,“……而且以 ip 加端口方式也不可以……” |
 |
13
157003892 OP @mantouboji 现在把 web 端口全关了,只留了同步通信端口
|
|
14
157003892 OP |
 |
16
MikuM97 2024-03-12 20:01:21 +08:00
我的方案是部署一个 nginx 反代群晖的 web 页面,只处理特定域名的请求,请求域名不对直接断开连接,根本不返回页面。这样可以抵御一般的暴力全端口扫描,但是如果运营商提前拿到域名了,扫描的时候 Host 头带着你的域名,那也得露馅。白群晖的话直接用 QucickConnect 吧,速度慢点但安全合规。
|
 |
17
bigshawn 2024-03-12 20:47:45 +08:00
杭州电信用了十多年了,稳。
|
 |
18
enjoying 2024-03-12 21:13:14 +08:00
应该不是 IP:PORT 不行吧。是你 IP:PORT 是 web 页面的缘故吧。WG/SSH 这种开了应该没有问题。DDNS 用国外的,也扫不到
|
 |
19
oricole 2024-03-12 21:18:57 +08:00
会不会因为是群晖域名的原因,因为群晖广泛使用主域名都是同一个,高风险,这边自己注册的腾讯域名就不会,用很多年了
|
 |
20
leaves615 2024-03-12 21:57:56 +08:00 2
cloudflare 动态域名,一直很稳定。不要用国内的任何服务,有条件的自己建。
|
 |
21
INW017bzMfgkkYGn 2024-03-12 22:06:52 +08:00
搞个 frp stcp 非常好用
|
 |
23
fortitudeZDY 2024-03-12 22:28:32 +08:00
vpn 最安全省 心,愿意折腾可以自建个 tailscale ,或者我们的 xedge ,如果实在想暴露到公网,也可以用我们 xedge 的内网穿透,群晖上可以用开源 tailscale 对接到 xedge 就可以映射了。
|
 |
24
giffgaffman 2024-03-12 22:29:14 +08:00
三种方案解君愁:DDNS+VPN 、Zerotier 内网穿透、Cloudflare Tunnel ;
|
 |
25
morpheuszero2023 2024-03-12 22:31:52 +08:00
能否说下你有没有使用 PCDN 和 PT 等大流量上传的情况?
有可能他们只管你这种让他们赔钱的。 |
 |
26
yxmyxmyyy 2024-03-13 01:39:08 +08:00 via Android
我电信光猫里面自带 ddns 功能能用向日葵 ddns 加端口转发访问
|
 |
27
SculptureSand 2024-03-13 02:01:38 +08:00 via Android
好奇这种能不能直接把路由改的奇怪点
比如/,是无法访问的且不返回 404 但是/123456789 ,才是 web 呢 |
 |
28
mm2x 2024-03-13 08:46:36 +08:00
这个有啥难解决的呢? 群晖不是自带 DDNS 嘛~用它自带的就好了。随便解析。都是备案的。比自己买域名买虚机省心。
|
 |
29
wm5d8b 2024-03-13 08:56:42 +08:00 via Android
@bigshawn 杭州电信也不稳,https 在 ipv6 下可以正常通讯,以前 ipv4 也可以,最近两年 ipv4 会在 tls 握手阶段被重置 tcp 连接,搞得公网 ip 只能拿来连 wireguard
|
 |
30
SenLief 2024-03-13 09:17:49 +08:00
正常只要不开 80 443 应该没问题啊,你有开 pt 或者 pcdn ?
|
 |
31
91pornshanghai 2024-03-13 09:26:49 +08:00
你换一个五位数的端口,直接用 5000 端口电信公司又不傻
|
|
32
91pornshanghai 2024-03-13 09:28:43 +08:00
不过你已经被盯上了还是换个方案,像楼上说的各种代理方式
|
 |
34
XXOO133 2024-03-13 09:58:29 +08:00
话说,你们被打电话或者停机的 DDNS ,都是解析的 IPV4 么?有没有只解析 IPV6 也被关照的?
|
|
39
MikuM97 2024-03-13 10:42:54 +08:00 1
@157003892 如果那有几种可能,一种是运营商部署旁路监听了,分析了外部访问家宽 IP 的流量,从应用层获取了域名信息,一种可能是分析了本地 DNS 服务器的日志,抓取了解析结果为本地家宽 IP 段的 DNS 请求,从请求中获取了域名信息,甚至有可能扫描的时候,从 SSL 握手信息里面获取了证书的域名。建议 web 页面还是套一层 vpn 吧。
|
|
40
mantouboji 2024-03-13 11:14:48 +08:00
OP 这样生活在强国的,居然连一点点起码的安全意识都没有,不仅自己的私有文件服务器在网络上敞开端口裸奔,还明火执仗地用常用端口,甚至还爱国心满满地用什么阿里域名,党和国家不灭你简直是对不起人民。
既然是个小粉红,那就但求多福吧。 |
 |
42
losoft 2024-03-13 11:26:38 +08:00
二级路由,外面端口全部关闭,内网穿透
|
|
43
157003892 OP @XXOO133 算了,不去赌了,WEB 服务已经全关了,已经部署好 wireguard 跟端口代理了,暂时应该是安全的
|
|
45
157003892 OP @mantouboji 主要是当时万网.cn 域名非常便宜,好像首年 20 ,就下手了
|
 |
48
ddczl 2024-03-13 15:12:15 +08:00
我家宽走 IPv6 的 443 端口 2 年了
|
 |
49
MillerD 2024-03-13 15:18:49 +08:00
|
 |
50
totoro625 2024-03-13 15:27:50 +08:00
@txydhr #46 实际使用中,不做新增接入,只要不使用 80/443 是没问题的
检查只检查 www 和裸域,不检查二级域名,只要保证 www 和裸域指向备案商即可 二级域名使用 80/443 及常用端口会被知道使用的域名,具体管不管看运营商 但是没备案的肯定要管的 |
 |
51
ntedshen 2024-03-13 15:31:11 +08:00
我之前是一直开 frp 穿透然后用泛解析挂二级域名。。。
上个月蛋疼实名的问题时候翻日志发现天天有人爆破我。。。 这个月翻了一下猜测主要是公共证书和 dns 泄露。。。 准备这周回去改自签加换复杂域名的。。。 |
 |
52
jamry 2024-03-13 15:53:23 +08:00
换个 5 位数的端口映射,不过你已经被电信盯上,再用映射就难了。
只能改隧道 |
 |
53
JamesR 2024-03-13 16:21:02 +08:00
@leaves615 #20 我用的是买的 ROS 路由器里自带的域名,电信宽带,走的是 HTTPS ,稳定用 8 年了,啥事都没有。
最近换了移动企业带宽,固定 IP ,除了 80 ,443 ,8080 移动默认没给开,旧设备继续接着用,一切正常。 |
 |
55
sarices 2024-03-13 16:36:59 +08:00
很多解决办法,tailscale/自建 headscale zerotier/自建 planet frp 蒲公英 clouflare tunnel 等等,也可以最简单的找个服务器,用 ssh 把 5000 端口帮到服务器上面
|
 |
58
VIVIANSNOW 2024-03-13 17:38:40 +08:00
@SculptureSand 上欺骗呗。多一层
|
 |
59
kincaid 2024-03-13 17:38:59 +08:00
楼主哪里的?我最近也碰到两个人说这件事,看起来不是个例
|
 |
60
hobbit236 2024-03-13 17:39:55 +08:00
坐标南大门看门狗,朋友家的电信公网被这个理由短时间内收回了三次,说再开还封,但是同城的我 traefik 反代 6443 端口稳定运行最起码两年有余了,其他端口在防火墙里都没开放。
|
|
61
hobbit236 2024-03-13 17:43:56 +08:00
同感,都用这些东西了,为啥还要去阿里解析 cloudflare 不行么? 非要用 5000 5001 就差 80 443 了 20000-60000 里很多可选的·····
|
 |
62
txydhr 2024-03-13 19:42:20 +08:00 via iPad
@totoro625 像华为云文档写的是二级域名指向自己,也必须新增接入。关于端口,看每个服务商怎么理解了。不要用理工思维去理解行政/法律/社会问题,除非明确规定,歧义很小的问题,其他都是靠拉扯,这个世界就是这样。
|
|
63
Zeaxion 2024-03-14 09:56:26 +08:00
@157003892 我已经关掉了所有从外访问的页面,其实也不是关,而是不正确的请求,全部丢弃,有必要存续的页面通过已备案主机中转,其他隐形服务照常可用
|
|
64
XXOO133 2024-03-14 10:03:07 +08:00
@itsjoke 028 近期就是这么夸张,是近 10 年来管得最严的时候,而且不敢保证以后会不会更严(我觉得一阵风式的肯可能性要大点,就看什么时候结束)。
|
|
66
157003892 OP 新状态:宽带已经被锁定,已经断网了,已经报修等待解封处理方案
|
|
67
Zeaxion 2024-03-14 20:37:33 +08:00 via iPhone 1
@SculptureSand 可以,前置 nginx ,只开 https ,path 改奇怪点,非对应 path 无应答
|
 |
69
jcxq5200 2024-03-14 21:54:50 +08:00 via iPhone
成都公共场所的开放 Wi-Fi 都要监管审计了
|
 |
70
jinercsm 2024-03-16 00:15:10 +08:00
坐标广西,昨天公网 ip 被 ban 了,装维给我看了文件也是使用了未备案域名,说整改后可以恢复
|
 |
71
xdzhang 2024-03-16 10:52:46 +08:00
我成都电信很多年了都稳当呢,一直高端口,啥都别用默认端口啊!
|
 |
72
hubaq 2024-03-16 22:26:07 +08:00 1
@gam2046
@YGBlvcAK @MikuM97 @SculptureSand @157003892 这个问题 V2 已经讨论过很多了,都是基于 DPI 检测,最简单安装个 winshark 都能看到是不是 http 协议 |
|
79
Zeaxion 2024-03-18 14:51:30 +08:00
@ztlong 关掉 http 明文,去掉 html 首页,也可以保留,但是不能 index 主页,设置专用 path ,启用 https ,然后写 if 规则,判定仅允许访问什么,不符合一个或多个判定进行丢弃,或者,转发给一个啥也有没的,比如转给一个自购域名,但下面无任何解析内容,或者 localhost
|
 |
81
wanwaneryide 2024-03-19 10:26:40 +08:00
电信宽带+阿里云的 ddns+群辉 5000 端口和若干服务端口,稳定了两三年,暂时没被告警
|
 |
82
sp670 2024-03-20 13:00:11 +08:00
@JamesR 我也是 ROS 自带 DDNS ,然后我的域名挂在 CF 上是指向我在海外 VPS 上的博客,二级域名才用 CNAME 指向 ROS 自带 DDNS 连回家
文件服务器直接开端口,用 ROS 端口转发到 NAS ,WEB 页面套了泛域名的 SSL 证书,目前已经运行了 8 年了没啥事 |
|
83
157003892 OP @sp670 看运营商咋想,想重点照顾的话全端口来一遍。反正家宽有传入流量跟 ip 反查不难,dns 记录也很好匹配
|
 |
84
liuzimin 14 天前
啊这,我以为运营商只关照 5000 端口,原来 5001 也关照啊。。。
|
Select Language