关于 "家宽不允许开设 Web 服务" 限制的一些解读

TL;DR: 为避免不必要的麻烦，请不要在家宽的任何端口直接暴露 HTTP(S) 服务；请使用 Tailscale / ZeroTier 。

最近看到有些朋友因为使用家宽 v4 / v6 在高端口开 HTTP(S) 服务被运营商掐网，要求签保证书不允许架设网站。

本次以我和广东移动客户经理沟通的内容为基础，简单解读一下该限制到底是如何被执行的。

叠个甲，这些内容可能并不适用于其它省份和 / 或其它运营商，也仅仅是个人意见，仅供参考。本文也并不涉及 BT / PT / PCDN 相关，仅讨论 "架设 Web 服务" 这一行为。

首先上一张截取自广东移动政企 "互联网 ICP 备案需要的资料说明" 的，现时常见需备和不需备案的情况：

这张图里有些术语并没有清晰给出解释，因此以下的内容是根据我和客户经理讨论过后的扩充和规范化解释。

总结来说，对于服务器任意端口发送 HTTP(S) 请求，能获得表示服务器已完成响应的返回码的情况，那么就需要备案。

用大白话讲就是，只要使用浏览器 + HTTP(S) 协议请求该 IP / 域名的任意端口，能获得任意并非浏览器自带错误页面的返回码，那么就需要备案；其余情况则不需要备案。

详细解释:

• 任何使用 TCP 80 / 8080 / 443 / 8443 的服务 -> 需要备案
• 发送 HTTP(S) 请求到任意端口，返回 2xx / 3xx / 4xx / 5xx -> 需要备案
• 如图中所述使用 IP / 域名 连接 App 、POS 机、监控等，但是使用 HTTP(S) 协议 -> 需要备案
• 返回 Connection Closed (Nginx 444) / HTTP2 Protocol Error / SSL Unrecognized Name Alert -> 不需要备案
• 不是 HTTP(S) 协议 (如 FTP) -> 不需要备案
• 通过 HTTP 101 Switch Protocol 转到 Websocket ，用来连接 App ，同时主动关闭任何其余的无效 WebSocket Upgrade 请求，且全程不使用 80 / 8080 / 443 / 8443 端口 -> 不需要备案（这是允许使用 HTTP 协议的唯一例外情况）

因此，如果以 "只是暴露路由器面板 / 个人网盘" 等理由尝试去绕过该限制的话，最后的结果大概率还是吃封停。

同时，对于 HTTP(S) 以外的协议，广移方面则几乎不予理会。

补充解释：

备注中的 "不需备案情况申请端口开通，需客提供不涉及网页或网站建设承诺书"：这个很难办下来，就算批下来也会监控 HTTP(S) 入站使用情况，不建议钻这个空子。

对于基于 UDP 的 QUIC HTTP/3 ，指南中并没有详细说明，实际上广移政企也没有限制 80 / 443 等端口的 UDP 入站。使用 UDP 入站代替理论上可行，然而考虑到实际使用中 HTTP/3 无法脱离传统的基于 TCP 的协议运行，实际配置成本较高，且可能并不稳定。

个人的一些小想法：

假设你需要从外部公网环境访问家中的内容的话，哪怕没有对于建站方面的限制，直接将内部的服务暴露在外部网络都是有很高风险的。既然已经有一个可以直接暴露在公网的端口了，为什么不考虑下异地组网的方案呢？

（其它想到再补充……）