移动家宽还有随机屏蔽 80/443 端口的吗。。

4 天前
 yjqwyc

家里的 NAS 一直通过移动宽带的 ipv6 访问,这几天突然连不上了,出现了很诡异的情况,拼尽全力无法战胜,拜托各位指教。

使用 itdog 测试,80/443 端口只有 20%的节点能访问上,其他端口( 81 、8000 ) 100%节点能正常访问。

https://imgur.com/a/kkMYhgV

甚至两台 vps ,ip 地址类似,一个 ip aaa:bbb:0:161::****:****,一个aaa:bbb:0:163::****:****,会有其中一台无法访问。重启光猫获取新的 ipv6 前缀,还可能出现 161 、163 同时无法访问(没有出现过同时可以访问的情形)。

从这两台服务器traceroute -T -p80的结果区别在第 14 跳,aaaa是光猫,bbbb是 nas

13  2409:8a20:****:****:****:****:****:aaaa  199.303 ms  219.696 ms  209.942 ms
14  * * *

13  2409:8a20:****:****:****:****:****:aaaa  207.830 ms  180.326 ms  206.870 ms
14  2409:8a20:****:****:****:****:****:bbbb  180.203 ms  201.113 ms  212.785 ms

目前想过的可能性

  1. 光猫防火墙问题:都关了,光猫简单的防火墙规则不太可能有随机限制。排除。
  2. QOS 流量限制:如果一个节点无法访问这台 nas ,那它将一直无法访问。排除。
  3. 针对特定运营商的屏蔽(大内网):itdog 测试结果中电信、联通、移动各有一部分无法访问。排除。
  4. nas 设置问题:开 81/8000 端口,完全正常访问。相同光猫下其他设备开 80 端口,问题一样。排除。

难道真的有随机屏蔽???

2569 次点击
所在节点    NAS
25 条回复
gentrydeng
4 天前
居然还有地区的宽带没有默认屏蔽 80 、443 端口的?
yjqwyc
4 天前
@gentrydeng 江苏移动,v6 一直可以访问 80 、443
WuDiHaiTai
4 天前
为啥要用 80/443 ,不封我也不敢用啊,想经历以上笔录我看过与我说的相符吗?
lekai63
4 天前
同三楼。

弄个国内 frp 又不花钱( natfrp 有提供)。再不行 弄 CF tunnel 也行啊。

流量大,要看片?那自家搭 ss server ,然后直连他。隐私又环保
yjqwyc
4 天前
@WuDiHaiTai @lekai63 内网服务大部分都通过 tailscale 访问,443 端口开的服务是为了应急+随处访问。

发帖是想请教一下是否真的有这种奇怪随机屏蔽,还是单纯网络设置的问题。
lekai63
4 天前
@yjqwyc #5 我不是移动宽带。 我是电信,前几天折腾转发遇到过类似情况:

背景:
一台双栈 VPS:监听 ipv6 的 http 联入,然后 realm 直接转发给家里的小主机。
家里小主机:电信宽带。ipv4 + ipv6 公网。一个 websocket 服务直接开在[::]:80

经过:
第一天(还是第一次 忘了) realm 成功转发到家里的 ws 。
次日,未改任何配置情况下,失效。

结合 v 站还是哪里,一位兄弟说的:运营商是镜像你的流量分析,而非扫描端口。考虑了下,就还是用 frp/rathole 作内网穿透来用了。
MacsedProtoss
4 天前
80 443 理论上应该是全都屏蔽的
什么应急/随处访问 这种需求也不是用直接开放 web 端口来解决的,直接开放 web ,被扫到就停你宽带
你有公网的话正确方案是搞正向代理回去,可达性正向代理和直接暴露 web 没有任何区别,如果想要两种方案备用,就应该一个直连正向代理+一个 rathole 之类的服务器中转来解决
yjqwyc
4 天前
aaa:bbb:0:163::****:****这台 vps 下分配到 3 个 ipv6 地址,都是 aaa:bbb:0:163::开头,其中一个能访问,另外两个不行。

光猫下设备( A )和另一台设备( B )都开了 80 端口,ipv6 前缀相同。163vps 能访问 A 不能访问 B ,161vps A 、B 均不能访问。

更加诡异了😂
linuxsir2020
4 天前
开放 80 ,443 服务,理论上没备案的话 ISP 就给封了啊。。。
totoro625
4 天前
同江苏移动,一个月前 80/443 被封了 /t/1121687
P945
4 天前
家宽你还想用 80/443 。群晖被扫到都警告。
yjqwyc
4 天前
@linuxsir2020 封不应该是全部都无法访问吗,为什么 itdog 测试下来有 20%节点能访问,我的两台 vps 一台可以访问一台不可以访问,光猫重新拨号分配的前缀变化之后原先能访问的又不能访问了,不能访问的变得可以访问??
Autonomous
3 天前
不敢用 443 ,扫到就关停。
234ygg
3 天前
家用不管部署什么东西,就只应该开一个 vpn 端口,
其他服务全部基于 vpn 访问,
不用搞证书省事儿,安全性还更高,更不用写保证书
xqzr
3 天前
能到 aaaa (光猫)大概率不是 ISP 屏蔽,更多的是回程路由问题。使用“路由跟踪”到 VPS
WhatTheBridgeSay
3 天前
@gentrydeng #1 很多地方的 V6 没有屏蔽 80443
feitxue
3 天前
封不应该是全部都无法访问吗
-- 也不是.ipv6 本来就是后来者,监管是一步步完善的,设备也可能是一步步采购的.
运营商通常通过 ​​BRAS (宽带远程接入服务器)​​ 或配套的 ​​策略控制系统​​(如 PCRF/DPI )来实施端口封禁策略。
不同 BRAS 设备或不同区域可能运行不同版本的软件或配置模板,导致策略未全网统一生效。
这个问题本质是 ​​技术迭代期​​( IPv6 管控工具不完善)、 ​​策略割裂​​( IPv4/IPv6 独立管理)和 ​​资源分配优先级​​( IPv6 管控投入不足)共同导致的结果
microscopec
3 天前
80 443 留个心眼装个蜜罐吧,否则被攻击成筛子了
Cu635
2 天前
随机屏蔽?确定不是一直屏蔽?
abolast
2 天前
一直都是公司 ipv4 访问家里的移动公网 ipv6 的服务,中间是有一个 cloudfire 的 cdn ,看来我是比较幸运的地区。要不是公司不支持 ipv6 的话,直接访问就行了,不需要有一层 cdn

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://yangjunhui.monster/t/1130831

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX