V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
157003892
V2EX  ›  宽带症候群

动态域名开放群晖 web 访问被电信提醒必须关闭否则封停宽带

  •  
  •   157003892 · 282 天前 · 8808 次点击
    这是一个创建于 282 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天接到电信电话,说域名没有备案不得开放网站访问,5000 端口跟 5001 端口都被扫到,而且以 ip 加端口方式也不可以,要求立即关闭否则封停宽带,解封也很麻烦。因为动态 IP 不能备案,从 18 年到现在 5 年多时间一直是用的群晖,主要就是工作数据同步比较方便,现在要求停用对自己影响挺大的,有遇到过类似情况的吗?能否分享一下解决方案
    第 1 条附言  ·  280 天前
    新状态:宽带已经被锁定,已经断网了,已经报修等待解封处理方案
    83 条回复    2024-03-23 19:39:09 +08:00
    Zeaxion
        1
    Zeaxion  
       282 天前 via iPhone
    99 一年的机儿整一个,然后去备案
    完了关掉外网能看的一切页面
    找个 p2p 打洞组网

    合理合规保平安
    mantouboji
        2
    mantouboji  
       282 天前 via iPad   ❤️ 8
    就算电信不找你,你这样随随便便就把文件服务器敞开公网访问,本来就是极端危险的行为。

    最低限度,你也应该是建一个建一个回自己家的 VPN ,然后一切数据访问都透过这个 VPN 进行。

    搞一个 wireguard 又不难。
    tpxcer
        3
    tpxcer  
       282 天前
    哪里
    jjxtrotter
        4
    jjxtrotter  
       282 天前 via iPhone
    5001 开了好几年了没碰到过。我用的是 godaddy 的域名和群晖官方的域名,都没备案
    dodakt
        5
    dodakt  
       282 天前
    VPN 解君愁
    loarland
        6
    loarland  
       282 天前
    哪个地方的电信这么变态
    bao3
        7
    bao3  
       282 天前
    我上海电信,一直开着端口,没什么事
    ainon
        8
    ainon  
       282 天前
    价格代理吧,域名解析到代理上,代理选国外的应该就可以了
    gam2046
        9
    gam2046  
       282 天前
    野路子,试试不承认域名是自己的。

    如果依旧要停,那就试试扫一下你的同网段,哪些 IP 开了哪些端口,用你的域名依次都指向过去,然后继续抵赖。

    当然啦,如果人家就是不管,我随便注册个域名,然后指向一个国内的 IP ,就可以让你停服务/停宽带二选一,倒是也是个很不错的攻击手段。
    YGBlvcAK
        10
    YGBlvcAK  
       282 天前 via Android
    扫到域名,再尝试访问,再截图,有没有可能是这样?
    v918384
        11
    v918384  
       282 天前
    VPN 连回家用,别开 web 服务了,治你分分钟.
    NoOneNoBody
        12
    NoOneNoBody  
       282 天前
    @gam2046 #9
    此路不通,原文有这句话,“……而且以 ip 加端口方式也不可以……”
    157003892
        13
    157003892  
    OP
       282 天前
    @mantouboji 现在把 web 端口全关了,只留了同步通信端口
    157003892
        14
    157003892  
    OP
       282 天前
    @tpxcer @bao3 成都电信
    @jjxtrotter 也是用了多年,估计是本地通信局改了扫描规则被扫到了
    157003892
        15
    157003892  
    OP
       282 天前
    @Zeaxion 小鸡方案可能暂时不考虑,我先不开 WEB 端口试试看,估计只能挂代理才比较安全
    MikuM97
        16
    MikuM97  
       282 天前
    我的方案是部署一个 nginx 反代群晖的 web 页面,只处理特定域名的请求,请求域名不对直接断开连接,根本不返回页面。这样可以抵御一般的暴力全端口扫描,但是如果运营商提前拿到域名了,扫描的时候 Host 头带着你的域名,那也得露馅。白群晖的话直接用 QucickConnect 吧,速度慢点但安全合规。
    bigshawn
        17
    bigshawn  
       282 天前
    杭州电信用了十多年了,稳。
    enjoying
        18
    enjoying  
       282 天前
    应该不是 IP:PORT 不行吧。是你 IP:PORT 是 web 页面的缘故吧。WG/SSH 这种开了应该没有问题。DDNS 用国外的,也扫不到
    oricole
        19
    oricole  
       282 天前
    会不会因为是群晖域名的原因,因为群晖广泛使用主域名都是同一个,高风险,这边自己注册的腾讯域名就不会,用很多年了
    leaves615
        20
    leaves615  
       282 天前   ❤️ 2
    cloudflare 动态域名,一直很稳定。不要用国内的任何服务,有条件的自己建。
    INW017bzMfgkkYGn
        21
    INW017bzMfgkkYGn  
       282 天前
    搞个 frp stcp 非常好用
    linhu66
        22
    linhu66  
       282 天前
    @bao3 我上海电信,一直开着 80 443 端口,没什么事
    fortitudeZDY
        23
    fortitudeZDY  
       282 天前
    vpn 最安全省 心,愿意折腾可以自建个 tailscale ,或者我们的 xedge ,如果实在想暴露到公网,也可以用我们 xedge 的内网穿透,群晖上可以用开源 tailscale 对接到 xedge 就可以映射了。
    giffgaffman
        24
    giffgaffman  
       282 天前
    三种方案解君愁:DDNS+VPN 、Zerotier 内网穿透、Cloudflare Tunnel ;
    morpheuszero2023
        25
    morpheuszero2023  
       282 天前
    能否说下你有没有使用 PCDN 和 PT 等大流量上传的情况?
    有可能他们只管你这种让他们赔钱的。
    yxmyxmyyy
        26
    yxmyxmyyy  
       281 天前 via Android
    我电信光猫里面自带 ddns 功能能用向日葵 ddns 加端口转发访问
    SculptureSand
        27
    SculptureSand  
       281 天前 via Android
    好奇这种能不能直接把路由改的奇怪点
    比如/,是无法访问的且不返回 404
    但是/123456789 ,才是 web 呢
    mm2x
        28
    mm2x  
       281 天前
    这个有啥难解决的呢? 群晖不是自带 DDNS 嘛~用它自带的就好了。随便解析。都是备案的。比自己买域名买虚机省心。
    wm5d8b
        29
    wm5d8b  
       281 天前 via Android
    @bigshawn 杭州电信也不稳,https 在 ipv6 下可以正常通讯,以前 ipv4 也可以,最近两年 ipv4 会在 tls 握手阶段被重置 tcp 连接,搞得公网 ip 只能拿来连 wireguard
    SenLief
        30
    SenLief  
       281 天前
    正常只要不开 80 443 应该没问题啊,你有开 pt 或者 pcdn ?
    91pornshanghai
        31
    91pornshanghai  
       281 天前
    你换一个五位数的端口,直接用 5000 端口电信公司又不傻
    91pornshanghai
        32
    91pornshanghai  
       281 天前
    不过你已经被盯上了还是换个方案,像楼上说的各种代理方式
    XXOO133
        33
    XXOO133  
       281 天前
    @MikuM97 悄悄的告诉你,在运营商眼里 QC 也不合规。
    XXOO133
        34
    XXOO133  
       281 天前
    话说,你们被打电话或者停机的 DDNS ,都是解析的 IPV4 么?有没有只解析 IPV6 也被关照的?
    157003892
        35
    157003892  
    OP
       281 天前
    @XXOO133 双解析,被扫到的是 v4
    157003892
        36
    157003892  
    OP
       281 天前
    @SenLief 家宽没有 80 443
    157003892
        37
    157003892  
    OP
       281 天前
    @oricole 我是自己注册的阿里域名,不是用的 qc
    157003892
        38
    157003892  
    OP
       281 天前
    @MikuM97 结果就是运营商带着我域名以及对应端口的访问记录告知我违规了,是 12 号晚上 22 点多扫到的
    MikuM97
        39
    MikuM97  
       281 天前   ❤️ 1
    @157003892 如果那有几种可能,一种是运营商部署旁路监听了,分析了外部访问家宽 IP 的流量,从应用层获取了域名信息,一种可能是分析了本地 DNS 服务器的日志,抓取了解析结果为本地家宽 IP 段的 DNS 请求,从请求中获取了域名信息,甚至有可能扫描的时候,从 SSL 握手信息里面获取了证书的域名。建议 web 页面还是套一层 vpn 吧。
    mantouboji
        40
    mantouboji  
       281 天前
    OP 这样生活在强国的,居然连一点点起码的安全意识都没有,不仅自己的私有文件服务器在网络上敞开端口裸奔,还明火执仗地用常用端口,甚至还爱国心满满地用什么阿里域名,党和国家不灭你简直是对不起人民。

    既然是个小粉红,那就但求多福吧。
    XXOO133
        41
    XXOO133  
       281 天前
    @157003892 所以,换个思路就是,只解析 IPV6 就不会被盯上了,是不?
    losoft
        42
    losoft  
       281 天前
    二级路由,外面端口全部关闭,内网穿透
    157003892
        43
    157003892  
    OP
       281 天前
    @XXOO133 算了,不去赌了,WEB 服务已经全关了,已经部署好 wireguard 跟端口代理了,暂时应该是安全的
    157003892
        44
    157003892  
    OP
       281 天前
    @MikuM97 已经套好了,具体原因看有没有运营商的朋友来解释
    157003892
        45
    157003892  
    OP
       281 天前
    @mantouboji 主要是当时万网.cn 域名非常便宜,好像首年 20 ,就下手了
    txydhr
        46
    txydhr  
       281 天前 via iPhone
    @Zeaxion 理论上并不合规,家宽开放 web 还需要在中国电信新增接入
    txydhr
        47
    txydhr  
       281 天前 via iPhone   ❤️ 2
    @157003892 这种人别理
    ddczl
        48
    ddczl  
       281 天前
    我家宽走 IPv6 的 443 端口 2 年了
    MillerD
        49
    MillerD  
       281 天前
    @XXOO133 #34
    @157003892 #35

    同成都电信 只 ddns 了 ipv6 地址 大概半年了吧 目前没问题
    只是偶尔在媳妇儿家的时候连回家看电视
    totoro625
        50
    totoro625  
       281 天前
    @txydhr #46 实际使用中,不做新增接入,只要不使用 80/443 是没问题的
    检查只检查 www 和裸域,不检查二级域名,只要保证 www 和裸域指向备案商即可
    二级域名使用 80/443 及常用端口会被知道使用的域名,具体管不管看运营商
    但是没备案的肯定要管的
    ntedshen
        51
    ntedshen  
       281 天前
    我之前是一直开 frp 穿透然后用泛解析挂二级域名。。。
    上个月蛋疼实名的问题时候翻日志发现天天有人爆破我。。。

    这个月翻了一下猜测主要是公共证书和 dns 泄露。。。
    准备这周回去改自签加换复杂域名的。。。
    jamry
        52
    jamry  
       281 天前
    换个 5 位数的端口映射,不过你已经被电信盯上,再用映射就难了。
    只能改隧道
    JamesR
        53
    JamesR  
       281 天前
    @leaves615 #20 我用的是买的 ROS 路由器里自带的域名,电信宽带,走的是 HTTPS ,稳定用 8 年了,啥事都没有。
    最近换了移动企业带宽,固定 IP ,除了 80 ,443 ,8080 移动默认没给开,旧设备继续接着用,一切正常。
    chfight
        54
    chfight  
       281 天前
    @157003892 #13 群晖的 web 端口不是跟照片视频这些数据同步的端口一样的吗?
    sarices
        55
    sarices  
       281 天前
    很多解决办法,tailscale/自建 headscale zerotier/自建 planet frp 蒲公英 clouflare tunnel 等等,也可以最简单的找个服务器,用 ssh 把 5000 端口帮到服务器上面
    itsjoke
        56
    itsjoke  
       281 天前
    @157003892 028 没这么夸张吧,印象中用了几年了。哪个区这么夸张?
    pmman
        57
    pmman  
       281 天前 via Android
    @157003892 cn 域名等于自首
    VIVIANSNOW
        58
    VIVIANSNOW  
       281 天前
    @SculptureSand 上欺骗呗。多一层
    kincaid
        59
    kincaid  
       281 天前
    楼主哪里的?我最近也碰到两个人说这件事,看起来不是个例
    hobbit236
        60
    hobbit236  
       281 天前
    坐标南大门看门狗,朋友家的电信公网被这个理由短时间内收回了三次,说再开还封,但是同城的我 traefik 反代 6443 端口稳定运行最起码两年有余了,其他端口在防火墙里都没开放。
    hobbit236
        61
    hobbit236  
       281 天前
    同感,都用这些东西了,为啥还要去阿里解析 cloudflare 不行么? 非要用 5000 5001 就差 80 443 了 20000-60000 里很多可选的·····
    txydhr
        62
    txydhr  
       281 天前 via iPad
    @totoro625 像华为云文档写的是二级域名指向自己,也必须新增接入。关于端口,看每个服务商怎么理解了。不要用理工思维去理解行政/法律/社会问题,除非明确规定,歧义很小的问题,其他都是靠拉扯,这个世界就是这样。
    Zeaxion
        63
    Zeaxion  
       280 天前
    @157003892 我已经关掉了所有从外访问的页面,其实也不是关,而是不正确的请求,全部丢弃,有必要存续的页面通过已备案主机中转,其他隐形服务照常可用
    XXOO133
        64
    XXOO133  
       280 天前
    @itsjoke 028 近期就是这么夸张,是近 10 年来管得最严的时候,而且不敢保证以后会不会更严(我觉得一阵风式的肯可能性要大点,就看什么时候结束)。
    ztlong
        65
    ztlong  
       280 天前
    @Zeaxion 老哥,能否分享一下如何做到鉴别不正确的请求丢弃
    157003892
        66
    157003892  
    OP
       280 天前
    新状态:宽带已经被锁定,已经断网了,已经报修等待解封处理方案
    Zeaxion
        67
    Zeaxion  
       280 天前 via iPhone   ❤️ 1
    @SculptureSand 可以,前置 nginx ,只开 https ,path 改奇怪点,非对应 path 无应答
    Zeaxion
        68
    Zeaxion  
       280 天前 via iPhone
    @ztlong 前置加 if 判定规则啊,把 return 自定义为丢弃
    jcxq5200
        69
    jcxq5200  
       280 天前 via iPhone
    成都公共场所的开放 Wi-Fi 都要监管审计了
    jinercsm
        70
    jinercsm  
       279 天前
    坐标广西,昨天公网 ip 被 ban 了,装维给我看了文件也是使用了未备案域名,说整改后可以恢复
    xdzhang
        71
    xdzhang  
       278 天前
    我成都电信很多年了都稳当呢,一直高端口,啥都别用默认端口啊!
    hubaq
        72
    hubaq  
       278 天前   ❤️ 1
    @gam2046
    @YGBlvcAK
    @MikuM97
    @SculptureSand
    @157003892

    这个问题 V2 已经讨论过很多了,都是基于 DPI 检测,最简单安装个 winshark 都能看到是不是 http 协议
    uniqueman
        73
    uniqueman  
       277 天前
    @linhu66 上海不封 80 和 443 ?
    linhu66
        74
    linhu66  
       277 天前
    @uniqueman v4+v6 都不封
    157003892
        75
    157003892  
    OP
       277 天前
    @xdzhang 改了配置,不放心端口咯,短期被盯上了
    MikuM97
        76
    MikuM97  
       276 天前
    @157003892 最后 OP 的宽带恢复了吗?公网 IP 有没有被收?
    ztlong
        77
    ztlong  
       276 天前
    @Zeaxion return 444 ?还是有其他的语法
    ChenSino
        78
    ChenSino  
       276 天前
    @linhu66 上海电信,80 443 都不封? 666
    Zeaxion
        79
    Zeaxion  
       276 天前
    @ztlong 关掉 http 明文,去掉 html 首页,也可以保留,但是不能 index 主页,设置专用 path ,启用 https ,然后写 if 规则,判定仅允许访问什么,不符合一个或多个判定进行丢弃,或者,转发给一个啥也有没的,比如转给一个自购域名,但下面无任何解析内容,或者 localhost
    157003892
        80
    157003892  
    OP
       276 天前
    @MikuM97 填个承诺书,恢复了,看起来是内部处理流程
    wanwaneryide
        81
    wanwaneryide  
       275 天前
    电信宽带+阿里云的 ddns+群辉 5000 端口和若干服务端口,稳定了两三年,暂时没被告警
    sp670
        82
    sp670  
       274 天前
    @JamesR 我也是 ROS 自带 DDNS ,然后我的域名挂在 CF 上是指向我在海外 VPS 上的博客,二级域名才用 CNAME 指向 ROS 自带 DDNS 连回家
    文件服务器直接开端口,用 ROS 端口转发到 NAS ,WEB 页面套了泛域名的 SSL 证书,目前已经运行了 8 年了没啥事
    157003892
        83
    157003892  
    OP
       271 天前
    @sp670 看运营商咋想,想重点照顾的话全端口来一遍。反正家宽有传入流量跟 ip 反查不难,dns 记录也很好匹配
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1415 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 17:21 · PVG 01:21 · LAX 09:21 · JFK 12:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.