这是一个创建于 41 天前的主题,其中的信息可能已经有所发展或是发生改变。
此贴 90 天前我发了帖子湖北电信 ipv6 连不到网络了
当时怀疑两种可能,
- 一是被检测到 pcdn, 但我没有主动用 pcdn, 只是有些 bt 下载. 后续做了上传限速, 但原因似乎不在此.
- 二是将博客的源站放在家里的服务器上, 通过 cloudflare 的回源规则指定端口回源, 按运营商定义可能相当于"商用".
经过三个月的尝试发现, 更可能是由于暴露端口提供 http/https 服务引起.
不管是 http 还是 https 的回源规则, 任意端口, 都可能引起隔天封 ipv6. 并且 tailscale 无法真实直连.
具体表现为:
- ipv6 仍然可以获得 56 前缀, 各设备都可以获得全局 ipv6 分配, 但是无法外访.
- 桥接在光猫上的路由器的 ipv6 可以外访.
- 除了暴露端口的源站服务器可以在 tailscale 中测试显示直连, 其它设备都无法显示直连.
- tailscale 测试, 源站服务器显示直连, 却有 400ms 左右延迟. 其它设备走的中继, 半个中国的往返延迟只有 80ms.
 |
1
fskemp233 41 天前
我就是用 v6 组播(裸连) iptv 被打了 和你说的具体表现为一样。 能申请回来吗?
|
 |
4
sunnysab 41 天前
前几天刚想让 CDN 回源到家里的宽带…折腾了一下午。后来发现,曾经阿里等厂商提供了 API ,拉取边缘节点的 IP ,现在改成了提供 API 判断特定 IP 是否属于他们的边缘节点,导致我不太方便设置路由表,就放弃了。就是怕遇到 OP 这样的情况。
现在更是彻底死了这条心 hhh |
 |
5
Ipsum 41 天前
Cf 回源了,那就直接只准 cf 的 ip 通过啊。怎么会被运营商扫到呢。
|
 |
7
chinanala 41 天前
我也是在家里 AIO 主机放了一些网站服务,前面套云厂商的 CDN ,但是我在网关里设置白名单仅放行 CDN 的 ip ,不知道这样能否拦截运营商的内部扫描。
|
 |
8
lisonfan 41 天前
都走 Cloudflare 了没用 Cloudflare Tunnel ?
|
 |
9
softradio 40 天前
赞同 @lpsum 和 @lisonfan 的方案。
@Ipsum 说的应该是用 iptables/nftable drop 掉 所有非 cf 的 IP. 外在表现,跟你在特定端口没有开启 http/htpps 服务 是一样的。运营商扫描不到的,sync 都直接丢弃,根本就 sni 明文的问题。 @lisonfan 提到的 Cloudflare Tunnel, 连你宽带没有 公网 IPV4 或者 IPV6 都能用。 这两种方案都是安全的。 除非运营商做 IP 黒名单----只要你访问 cf 的 IP, 就封你的宽带。 另外,从你帖子的描述来看, 封锁似乎是光猫执行的。建议 光猫用桥接模式,不要用路由模式了 |
 |
10
jqknono OP |
 |
12
Zeaxion 40 天前
关于这个情况,我之前发帖说过,要规避暴露 http/https ,嗅探到之后 server 不能做任何类 http 回复,连状态消息都不能回复,只能回复 empty 或者 connetion reset ,另外有用 ddns 还需要对域名做 icp 备案
|
 |
13
ddczl 40 天前
应该是暴露 http/https 导致的,因为我成都联通跟你一样的情况,也是 CF 回源,被联通直接封了 IPv6 ,现在都是用 FRP 了。
|
 |
14
yshtcn 40 天前
Cloudflare 你用 Tunnel 啊,其他服务器用 FRP 才是正解。
我这里管的不严,我都不暴露 http 端口了 |
 |
15
mh494078416 40 天前
我是 wireguard 组网,加 ecs 上 traefik 统一转发 https 流量到内网 http 服务。目前安全
|
 |
16
JensenQian 39 天前
搞个 wireguard 也好,ss 也好。这种东西连回去
安全点,也不会被查到 |
Select Language