时至今日,nat2 都被认为是 easynat ,你还对 nat1 端口号不一致这么多事…… 华为对 cgnat 给的建议是 10-20 户一个公网 ip ,你觉得有可能让你端口号一致?
b 不能web开放端口。
###UDP 限制
软路由QOS转发也是问题。
不能使用未备案域名,所以可能要配置fengidea的域名了。
更新?不用域名做ddns的解析,直接上传oss的hosts。。。
建立私有dns-nacos。。consul
有域名吗?这个域名备案过么?备案的 IP 地址是你实际使用的家庭宽带 IP 地址么? 上述三个问题,任意一个为 no 的话,只要检测到,直接封。 有专门的的系统在 7x24 不断做监测+人工审核的。 btw: 连职能部门的网站,也照封不误。
我咨询的电信那个负责人是这么说的,监控 nas 远程 web 登录路由器都算的。FTP 他说文件里没有说明,所以不在打机范围。
这个是十一上来的文件,观察段时间看看 具体执行到什么程度 我比较好奇的是既然是工信部下的命令,为什么网上都查不到相关文件呢
我也中招了,家里就开放了群晖和 esxi 的管理后台页面,还买了个腾讯云的域名,绑了自家 ip,两年了都好好的,今天打电话给我妈说非法网站,要停我家宽带,我妈还以为我做了什么违法的事情,给我一顿乱批。。。。(上海郊区电信)
会被封应该是确定的,我列 2 和 3 的用意是: 如果 2 可以 3 不行那就得嗅探你的流量发现的 如果 2 不行 3 可以那就是 ns 反查家宽 IP 段发现的
输网址是不能直接打开的,因为是高位端口。所以他还得查日志或端口扫描。 而且除非你用 ISP 的 DNS,否则他得知域名就表明他进行了反查。 并且如果他反查得知域名了,是否会放过非 Web 服务?
总而言之,在有私用 Web 服务的情况下,是不允许 IP 绑了域名(即使不通过域名访问),还是不允许头里有域名的 http 流量(即使域名不存在,是写到 hosts 里的)
跟楼主一样,认为我私自假设 web 服务器;是的,ping 不通他就认为整改完成了,但因为我当时不在家所以没有询问细节,家人拍下了电信在电脑上的操作记录 @stille 我其实比较怀疑 dnspod,但又不太能解释为什么二级域名没在名单上;至于为什么盯上我,我感觉 PT 大流量应该是个比较大的原因,猜测 大流量+未备案域名访问 这两样都对上了的话,就该警告信了
@@@@ 将备案域名做cname转到1分钟的ttl上,这样避过了ttl限制。
kao! 昨天我们公司的电信宽带也被封了,打一万号根本就不知道有这回事,让电信小工上门来看了,电信小工电话打了半天也没查出原因就知道宽带被停了,后来查了很久电信那边才给出原因说是绑定域名违法所以宽带被封了。感觉电信内部很混乱,连他们内部很多部门都不知道有这回事的,其余上次看到这个帖子和接到客服经理电话后我已经给解绑域名了,可还是被说违法绑定,真是日了。莫名其妙的 目前上海也就上海电信有这方面的动作,上海联通和上海移动还有其它运营商好像没有这方面的动
我有个公网固定 IP 就是被恶意绑定了域名然后让电信封了
考虑不开dmz,不开wireguard,只用udp2raw端口访问。
我还是有备案的域名解析到家用宽带 IP 上都给封了,更别说没备案的域名了,长期用而且流量大的封的贼快。
设置IP白名单!!!然后定时刷新。
我一边是北方联通,另一边是南方电信…使用 iperf3 测试,如果任由它跑满很快速度就会掉到 0kbps,但是可以使用 wondersharp 对虚拟网卡限速,白天限制 30Mbps 的上行,晚上 15 左右 Mbps 的上行可以避免一下断流..
- 亲身经历,19 年手机移动网络用 L2TP VPN 走家里的 NAS 来 FQ 用了几个月就被请喝咖啡了,所以那些安利开 VPN 连 NAS 的,别以为大局域网技术不行查不到,只是还没到查你的时候而已
尝试解决方案
在外网控制家庭设备,是一种正常合理的需求。由于可以避免中心服务器的故障和延迟,现代前端技术的发达、便捷,以及跨设备、跨系统兼容等优势,许多网络设备和应用都通过网页方式直接访问、控制。 可是,这样的模式最近面临了新的问题。过去家宽封禁了 80/443 端口,就算禁了 Web。而根据论坛网友的报告,现在似乎只要同时满足以下条件,就很可能会被“关照”:
- 上海 /深圳 电信的 家宽 /商宽 用户,且获得了公网 IPv4
- 存在任一解析结果指向该 IP 的域名(含子域名),且这对关系未经系统备案
- 用户的 IP 存在任意一个向外部开放的端口,且能给出符合 HTTP 特征的响应
随着法制观念的深入,如果规定合理,大家并不会排斥。然而想适应新的变化,目前还存在着不小的问题:
- 为避免域名解析,直接用 IP 访问。然而手动查询最新的 IP 地址十分麻烦,也很难实现可被浏览器信任的 HTTPS。(其实 IP 访问严格来讲也要备案)
- 为避免网页特征,通过 VPN 进入内网。然而 VPN 类解决方案往往需要安装和开启额外的客户端,为避免所有本地流量都走 VPN 还要进一步的配置,相比能跨设备、跨系统快捷访问的网页麻烦不少。(自建 VPN 也存在着合规的风险)
- 为避免合规风险,正式申请备案。这对于有固定 IP 的商宽是可行的。然而家宽是动态 IP,目前不存在合规可行的备案方式。
除了上述提到的几类解决方案,不知道是否还有其他便于 外网控制家庭设备 的思路?欢迎讨论
抛砖引玉一下,个人感觉不依赖域名解析的 IP 地址记录或许是一种解决方案。(不过还是有上述方案的影子) 这个方案包括以下部分:
- 一个在境内外都可以免费托管的静态页面
- 一个可实时更新和在线查询的 IP 地址记录
当用户访问页面时,js 自动查询 IP 地址,然后跳转或在框架里显示网页,亦或者是直接用 jsproxy。 IP 地址在线记录的方式有很多。除了用免费的数据库服务,其实还可以写死在网页里,然后用一个自动化的更新 + git push 维护。
为了防止非用户主动访问 IP,可以用 js 实现类似 port knocking 的机制。这样直接访问网页端口可以做到无任何响应。 为了规避 http 特征,或许也可以进一步发展基于 js 的无客户端代理机制。(服务端在家庭的网络设备)
不过,跳转或框架显示似乎不太好解决 https,而目前 jsproxy 似乎也还不够完善。
