这是一个创建于 235 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天接到电信电话,说域名没有备案不得开放网站访问,5000 端口跟 5001 端口都被扫到,而且以 ip 加端口方式也不可以,要求立即关闭否则封停宽带,解封也很麻烦。因为动态 IP 不能备案,从 18 年到现在 5 年多时间一直是用的群晖,主要就是工作数据同步比较方便,现在要求停用对自己影响挺大的,有遇到过类似情况的吗?能否分享一下解决方案
第 1 条附言 · 233 天前
新状态:宽带已经被锁定,已经断网了,已经报修等待解封处理方案
83 条回复 • 2024-03-23 19:39:09 +08:00
 |
1
Zeaxion 235 天前 via iPhone
99 一年的机儿整一个,然后去备案
完了关掉外网能看的一切页面 找个 p2p 打洞组网 合理合规保平安 |
 |
2
mantouboji 235 天前 via iPad  8
就算电信不找你,你这样随随便便就把文件服务器敞开公网访问,本来就是极端危险的行为。
最低限度,你也应该是建一个建一个回自己家的 VPN ,然后一切数据访问都透过这个 VPN 进行。 搞一个 wireguard 又不难。 |
 |
3
tpxcer 235 天前
哪里
|
 |
4
jjxtrotter 235 天前 via iPhone
5001 开了好几年了没碰到过。我用的是 godaddy 的域名和群晖官方的域名,都没备案
|
 |
5
dodakt 235 天前
VPN 解君愁
|
 |
6
loarland 235 天前
哪个地方的电信这么变态
|
 |
7
bao3 235 天前
我上海电信,一直开着端口,没什么事
|
 |
8
ainon 235 天前
价格代理吧,域名解析到代理上,代理选国外的应该就可以了
|
 |
9
gam2046 235 天前
野路子,试试不承认域名是自己的。
如果依旧要停,那就试试扫一下你的同网段,哪些 IP 开了哪些端口,用你的域名依次都指向过去,然后继续抵赖。 当然啦,如果人家就是不管,我随便注册个域名,然后指向一个国内的 IP ,就可以让你停服务/停宽带二选一,倒是也是个很不错的攻击手段。 |
 |
10
YGBlvcAK 235 天前 via Android
扫到域名,再尝试访问,再截图,有没有可能是这样?
|
 |
11
v918384 235 天前
VPN 连回家用,别开 web 服务了,治你分分钟.
|
 |
12
NoOneNoBody 235 天前
@gam2046 #9
此路不通,原文有这句话,“……而且以 ip 加端口方式也不可以……” |
 |
13
157003892 OP @mantouboji 现在把 web 端口全关了,只留了同步通信端口
|
|
14
157003892 OP |
 |
16
MikuM97 235 天前
我的方案是部署一个 nginx 反代群晖的 web 页面,只处理特定域名的请求,请求域名不对直接断开连接,根本不返回页面。这样可以抵御一般的暴力全端口扫描,但是如果运营商提前拿到域名了,扫描的时候 Host 头带着你的域名,那也得露馅。白群晖的话直接用 QucickConnect 吧,速度慢点但安全合规。
|
 |
17
bigshawn 235 天前
杭州电信用了十多年了,稳。
|
 |
18
enjoying 235 天前
应该不是 IP:PORT 不行吧。是你 IP:PORT 是 web 页面的缘故吧。WG/SSH 这种开了应该没有问题。DDNS 用国外的,也扫不到
|
 |
19
oricole 235 天前
会不会因为是群晖域名的原因,因为群晖广泛使用主域名都是同一个,高风险,这边自己注册的腾讯域名就不会,用很多年了
|
 |
20
leaves615 234 天前 2
cloudflare 动态域名,一直很稳定。不要用国内的任何服务,有条件的自己建。
|
 |
21
INW017bzMfgkkYGn 234 天前
搞个 frp stcp 非常好用
|
 |
23
fortitudeZDY 234 天前
vpn 最安全省 心,愿意折腾可以自建个 tailscale ,或者我们的 xedge ,如果实在想暴露到公网,也可以用我们 xedge 的内网穿透,群晖上可以用开源 tailscale 对接到 xedge 就可以映射了。
|
 |
24
giffgaffman 234 天前
三种方案解君愁:DDNS+VPN 、Zerotier 内网穿透、Cloudflare Tunnel ;
|
 |
25
morpheuszero2023 234 天前
能否说下你有没有使用 PCDN 和 PT 等大流量上传的情况?
有可能他们只管你这种让他们赔钱的。 |
 |
26
yxmyxmyyy 234 天前 via Android
我电信光猫里面自带 ddns 功能能用向日葵 ddns 加端口转发访问
|
 |
27
SculptureSand 234 天前 via Android
好奇这种能不能直接把路由改的奇怪点
比如/,是无法访问的且不返回 404 但是/123456789 ,才是 web 呢 |
 |
28
mm2x 234 天前
这个有啥难解决的呢? 群晖不是自带 DDNS 嘛~用它自带的就好了。随便解析。都是备案的。比自己买域名买虚机省心。
|
 |
29
wm5d8b 234 天前 via Android
@bigshawn 杭州电信也不稳,https 在 ipv6 下可以正常通讯,以前 ipv4 也可以,最近两年 ipv4 会在 tls 握手阶段被重置 tcp 连接,搞得公网 ip 只能拿来连 wireguard
|
 |
30
SenLief 234 天前
正常只要不开 80 443 应该没问题啊,你有开 pt 或者 pcdn ?
|
 |
31
91pornshanghai 234 天前
你换一个五位数的端口,直接用 5000 端口电信公司又不傻
|
|
32
91pornshanghai 234 天前
不过你已经被盯上了还是换个方案,像楼上说的各种代理方式
|
 |
34
XXOO133 234 天前
话说,你们被打电话或者停机的 DDNS ,都是解析的 IPV4 么?有没有只解析 IPV6 也被关照的?
|
|
39
MikuM97 234 天前 1
@157003892 如果那有几种可能,一种是运营商部署旁路监听了,分析了外部访问家宽 IP 的流量,从应用层获取了域名信息,一种可能是分析了本地 DNS 服务器的日志,抓取了解析结果为本地家宽 IP 段的 DNS 请求,从请求中获取了域名信息,甚至有可能扫描的时候,从 SSL 握手信息里面获取了证书的域名。建议 web 页面还是套一层 vpn 吧。
|
|
40
mantouboji 234 天前
OP 这样生活在强国的,居然连一点点起码的安全意识都没有,不仅自己的私有文件服务器在网络上敞开端口裸奔,还明火执仗地用常用端口,甚至还爱国心满满地用什么阿里域名,党和国家不灭你简直是对不起人民。
既然是个小粉红,那就但求多福吧。 |
 |
42
losoft 234 天前
二级路由,外面端口全部关闭,内网穿透
|
|
45
157003892 OP @mantouboji 主要是当时万网.cn 域名非常便宜,好像首年 20 ,就下手了
|
 |
48
ddczl 234 天前
我家宽走 IPv6 的 443 端口 2 年了
|
 |
50
totoro625 234 天前
@txydhr #46 实际使用中,不做新增接入,只要不使用 80/443 是没问题的
检查只检查 www 和裸域,不检查二级域名,只要保证 www 和裸域指向备案商即可 二级域名使用 80/443 及常用端口会被知道使用的域名,具体管不管看运营商 但是没备案的肯定要管的 |
 |
51
ntedshen 234 天前
我之前是一直开 frp 穿透然后用泛解析挂二级域名。。。
上个月蛋疼实名的问题时候翻日志发现天天有人爆破我。。。 这个月翻了一下猜测主要是公共证书和 dns 泄露。。。 准备这周回去改自签加换复杂域名的。。。 |
 |
52
jamry 234 天前
换个 5 位数的端口映射,不过你已经被电信盯上,再用映射就难了。
只能改隧道 |
 |
53
JamesR 234 天前
@leaves615 #20 我用的是买的 ROS 路由器里自带的域名,电信宽带,走的是 HTTPS ,稳定用 8 年了,啥事都没有。
最近换了移动企业带宽,固定 IP ,除了 80 ,443 ,8080 移动默认没给开,旧设备继续接着用,一切正常。 |
 |
55
sarices 234 天前
很多解决办法,tailscale/自建 headscale zerotier/自建 planet frp 蒲公英 clouflare tunnel 等等,也可以最简单的找个服务器,用 ssh 把 5000 端口帮到服务器上面
|
 |
58
VIVIANSNOW 234 天前
@SculptureSand 上欺骗呗。多一层
|
 |
59
kincaid 234 天前
楼主哪里的?我最近也碰到两个人说这件事,看起来不是个例
|
 |
60
hobbit236 234 天前
坐标南大门看门狗,朋友家的电信公网被这个理由短时间内收回了三次,说再开还封,但是同城的我 traefik 反代 6443 端口稳定运行最起码两年有余了,其他端口在防火墙里都没开放。
|
|
61
hobbit236 234 天前
同感,都用这些东西了,为啥还要去阿里解析 cloudflare 不行么? 非要用 5000 5001 就差 80 443 了 20000-60000 里很多可选的·····
|
 |
62
txydhr 234 天前 via iPad
@totoro625 像华为云文档写的是二级域名指向自己,也必须新增接入。关于端口,看每个服务商怎么理解了。不要用理工思维去理解行政/法律/社会问题,除非明确规定,歧义很小的问题,其他都是靠拉扯,这个世界就是这样。
|
|
66
157003892 OP 新状态:宽带已经被锁定,已经断网了,已经报修等待解封处理方案
|
|
67
Zeaxion 233 天前 via iPhone 1
@SculptureSand 可以,前置 nginx ,只开 https ,path 改奇怪点,非对应 path 无应答
|
 |
69
jcxq5200 232 天前 via iPhone
成都公共场所的开放 Wi-Fi 都要监管审计了
|
 |
70
jinercsm 231 天前
坐标广西,昨天公网 ip 被 ban 了,装维给我看了文件也是使用了未备案域名,说整改后可以恢复
|
 |
71
xdzhang 231 天前
我成都电信很多年了都稳当呢,一直高端口,啥都别用默认端口啊!
|
 |
72
hubaq 230 天前 1
@gam2046
@YGBlvcAK @MikuM97 @SculptureSand @157003892 这个问题 V2 已经讨论过很多了,都是基于 DPI 检测,最简单安装个 winshark 都能看到是不是 http 协议 |
|
79
Zeaxion 229 天前
@ztlong 关掉 http 明文,去掉 html 首页,也可以保留,但是不能 index 主页,设置专用 path ,启用 https ,然后写 if 规则,判定仅允许访问什么,不符合一个或多个判定进行丢弃,或者,转发给一个啥也有没的,比如转给一个自购域名,但下面无任何解析内容,或者 localhost
|
 |
81
wanwaneryide 228 天前
电信宽带+阿里云的 ddns+群辉 5000 端口和若干服务端口,稳定了两三年,暂时没被告警
|
Select Language