V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
linbenyi
V2EX  ›  宽带症候群

家庭宽带 私设 web 被检测 魔都电信被停宽带

  •  
  •   linbenyi · 2019-10-13 11:13:29 +08:00 via iPad · 128596 次点击
    这是一个创建于 1628 天前的主题,其中的信息可能已经有所发展或是发生改变。
    10 月 11 日,被停宽带,但未收到任何通知。
    10 月 13 日,一万号,存在违规,表示电话不可解,告知去营业厅可解。
    10 月 13 日,去地方营业厅。存在私设 web 服务器,告知需要各区一级营业厅可解。
    10 月 13 日,随驱车 20km,去区域一级营业厅。告知上级通知未下。等领导指示,四十分钟后,告知等地方营厅通知,会有专人上门检查整改,并签订整改协议书,请,回家等消息。
    第 1 条附言  ·  2019-10-16 14:40:24 +08:00
    在等待电信运营商发落的同时,本人也展开了相关法律的学习。
    私设 web 服务导致,可能触犯协议或法规相关条款,进行明晰。
    但是具体的细则判定标准肯定不能在这类方向性的文件里面找到。
    具体情况可能还是扑朔迷离。
    《中国电信股份有限公司上海分公司业务服务协议》
    https://service.sh.189.cn/service/jsp/fault/fwxy.jsp
    《关于防范打击通讯信息诈骗专项行动延期有关工作的通知》
    http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757020/c4770041/content.html
    《中华人民共和国反恐怖主义法》
    http://www.gov.cn/zhengce/2015-12/28/content_5029899.htm
    第 2 条附言  ·  2019-10-17 14:48:57 +08:00
    10 月 17 日 楼主像一个幽怨的小家碧玉,既想着恢复宽带,又不愿意自己再去多问。
    不过,但今天已经忍不了。随再往营业厅询问。顺便吐槽下营业厅的电话是万年不通的。
    营业厅一改一周前的一问三不知。很快就把区域局的相关负责人的电话给了我。
    还故作神秘的小声的问“我最近来问这个的人很多,到底是什么违规啊?”
    我耸耸肩又清了清嗓子回答他“私设 web 服务器”。

    10 月 17 日 来到的区域局,被两位区域局的工程师招待。出示身份证后,他们打印了签字的材料。
    告知我签字后一个工作日便可恢复。如若再犯将被永久封禁处理。
    一份告知“断网”,一份承诺“永不再犯”。随嘱咐我立即关停相关服务,开通过后会立即做检查。由于工作在身,签完便离去了。

    我注意到,电脑屏幕上显示有一张名单,分别包括“域名:端口”“设备号”“户主姓名”等等。但并没有联系方式。
    虽然两位工程师没有明确回答我探查到我私设 web 的具体方法,但仅从屏幕其中我找到可能的两个结论:
    1.如此看来本想着会主动联系我这一点从现实层面就是不可能的了。
    2.域名为我未备案的 威联通 .com 域名。端口为我开的非标准低端口。如此一来明确了。主要针对未备案的 DDNS 人群的事实。

    另外技术人员向我提供了一定要使用服务的“暂时合规的途径”
    1.申请固定 IP 地址。
    2.域名有备案。

    另外还有询问相关规定的参照,回答是“此规定下文时间是 2017 年,本次是首次对违规宽带进行查封”。
    第 3 条附言  ·  2019-10-19 20:31:04 +08:00
    10 月 18 日,自此家庭宽带又重新开通了。光猫的宽带灯又亮了起来。
    十分感谢献计献策的 V2er 的陪伴,一起开脑洞,一起讨论解决的途径,一次尝试探索政策的迷雾。
    无疑本次题主我的过失是重大的。在违反宽带服务的条例,想着方便分享文件就私自开设 web 服务。在这难熬一周期间我也做了深刻的反省。
    对于未来的应对对策,我也想了很多,毕竟拉专线来家里固定 IP 实在是消受不起。我想也没有家庭会这么做的。

    1.所有 NAS 的相关端口都不在光猫做转发。
    2.由于部分应用任然是难以割舍的。我已将威联通的.com 域名转换为了.cn 域名。实名认证过的花生壳照旧。
    3.要开端口的应用也会用 FRP 穿透放到我的主机上面。到时候解析的域名也会放过去。不知道有没有带宽 /价格相对划算的主机商。哪怕限制流量也可以比如哲西那样的。

    在私设这一尺度上 V2er 讨论非常热烈,真的不希望各位再做非常不利的揣测,毕竟这也不符合事实。很多事情遇到就遇到了,大家走一步看一步吧。
    429 条回复    2020-05-04 02:04:07 +08:00
    1  2  3  4  5  
    cnterran123
        401
    cnterran123  
       2019-11-18 23:36:01 +08:00
    @finallyeva 请问你被封了后是怎么解决的啊?现在强制要我花 1w 多升级专线,气死了。
    finallyeva
        402
    finallyeva  
       2019-11-19 14:15:54 +08:00
    @cnterran123 找电信客服经理要解封申请书,有多 IP 的直接换个 IP 上去,反正沙雕电信只知道封你这一个 IP,不会封一段,沙雕电信还真是强制检测,扫到域名帮 IP 就封,这尼玛几年前被释放的 IP 绑到一个域名上去了,我申请了宽带正好用到这个域名,就被电信瞬间封了,刚开通就封了,屌炸天,最后还是去域名商那里找到那个注册域名的让他解绑才搞定,电信反正一句话"这个我们也没办法的呀,要么你重新弄一根,要么你找这个域名的人去,我们也没有办法的呀",然后我解了就去工信部投诉了 233
    cnterran123
        403
    cnterran123  
       2019-11-19 17:10:58 +08:00
    @finallyeva 好的感谢感谢🙏不知道解封要多久,我们的网络是外包的,外包公司估计不太愿意给我去联系电信,就知道让我加钱上专线,真的被牵着走,气的不行。
    v66ex
        404
    v66ex  
       2019-11-20 23:53:33 +08:00
    @xenme 请教下,连了酸酸,怎么访问内网的机器呢?酸酸不是 vpn 啊
    xenme
        405
    xenme  
       2019-11-21 06:55:19 +08:00 via iPhone
    @v66ex 类似你上 YTB,加上规则
    YTB 走买的酸酸,NAS.Local 走回家的酸酸,爱奇艺直连等等
    shmilypeter
        406
    shmilypeter  
       2019-11-21 14:22:52 +08:00
    这么一搞 NAS 外网访问等于废了
    lc7029
        407
    lc7029  
       2019-11-25 08:08:51 +08:00 via iPhone
    @aru 没用,只要开 http 和 https 服务就会被停,不管你用哪个端口,也不管状态码是多少
    fcymk2
        408
    fcymk2  
       2019-12-02 20:37:33 +08:00
    如果不绑定域名, 是不是就没事了?
    linbenyi
        409
    linbenyi  
    OP
       2019-12-03 20:29:33 +08:00
    @fcymk2 怎么说?解析但是用 IP 访问?或者把 IP 通过别的方法上传?
    Neddos
        410
    Neddos  
       2019-12-05 11:41:36 +08:00
    成都电信,刚被 ban
    自己拿 omv 做了个 NAS,路由器里配成了 DMZ,同时 nas 里还有 pi-hole,后者图省事,用的 docker 搭建,端口是默认的 80
    通知我的那小哥态度还挺好,先打第一个电话说违规,过了两分钟又打了电话问我能不能关域名解析,还以为 xxxxxxx...
    linbenyi
        411
    linbenyi  
    OP
       2019-12-05 14:27:42 +08:00
    @Neddos 关于封宽带的事情,渐渐做的规范了。主要还是要在意域名的问题。另外 80 ?真的吗?所以是用域名找到你的还是宽带端口呢?
    Neddos
        412
    Neddos  
       2019-12-10 13:22:11 +08:00
    @linbenyi 不清楚,联系我的那位小哥不是技术人员,不知道具体的情况,只是作为中间的传达者。80 端口,确信,我自己访问过,是 pi-hole 的页面,但是没有 css 加载出来。回头我再研究研究怎么隐藏吧。
    linbenyi
        413
    linbenyi  
    OP
       2019-12-10 16:41:56 +08:00
    对的他们会有张表。有端口号,里面的登陆路径也会有的。Pi-hole 好用吗?过滤广告?这个为啥要开公网呢?
    CrazyBoyFeng
        414
    CrazyBoyFeng  
       2019-12-20 02:37:42 +08:00
    由以上讨论得知,他们能探测到非标准端口。而且所有被查的都用到了绑定(未备案)域名。所以对于探测方法我的猜测是:先列出所有(国内)未备案的 IP 地址,然后反查这些 IP 有没有绑定域名,如果绑定有域名,然后通过 HTTP HEADER 方式扫描这个 IP 的所有端口。或者遍历 DNS 数据库,查找指向(国内)未备案 IP 地址的域名,然后通过 HTTP HEADER 方式扫描这个 IP 的所有端口。
    那么也许以下使用方式不会被查到:
    1.IP 不直接绑定 DDNS。找个可以用脚本更新 URL 跳转记录的 DDNS,301 跳转到用 IP 访问的 URL 上。
    2.弃用 IPv4,改用 IPv6。目前未曾听闻 IPv6 被查。没有 IPv6 的跟运营商要。家里的路由器或者光猫也要支持 IPv6。但如果客户端没有 IPv6,那么可以用 CDN 之类的做反代。
    3.弃用 HTTP,改用 HTTPS。HTTP HEADER 这种检测方式不能检测出 HTTPS。但 443 端口能通也确实可疑,最好开非标准端口的 HTTPS。
    SLboat
        415
    SLboat  
       2019-12-21 19:54:18 +08:00   ❤️ 1
    试试我的法子...https://v2ex.com/t/631104#reply1
    linbenyi
        416
    linbenyi  
    OP
       2019-12-23 09:57:31 +08:00 via iPad
    我觉得不存在扫描这一步。封禁的单子上会详细写明页面的入口。有些路径很深的。
    CrazyBoyFeng
        417
    CrazyBoyFeng  
       2019-12-28 15:30:40 +08:00
    @linbenyi 如果页面没公开分享过的话,那就肯定是分析了你的上行流量。因为 http 是明文的,所以找出访问地址并不难。
    loudylee
        418
    loudylee  
       2020-02-21 20:47:45 +08:00
    我是我家宽带去年 10 月中旬封的了,坐标松江 jt。
    我群晖开了 5000 5001 用来 web 登录。另外开了 webdav
    日常主力在用 webdav 传输文件。用 synology driver 同步文档。
    另外 dock 装了人人影视,日常要用 web 做管理。ddns 用的是群晖自带的,路由器上绑了一个 3322 的,但不是主力用。
    所有的端口映射都是放在路由器上做的,光猫只做了桥接。
    十月下旬签了协议后的第二天我就把宽带注销了。然后装了联通宽带。用了三个月发发现
    联通不但便宜包年 600,上行带宽弹性很大(装宽带的时候我请安装小哥喝可乐,他给我上行开到了 50M ),下行对比电信可以跑满 300m 带宽。尤其迅雷,下载的时候 25MB,真是爽。
    webdav 因为是刚需,一直用到现在没问题。剩下的服务我都是 vpn 回家在登录内网操作。
    公司的联通宽带也绑了公司的二级域名用到现在也没问题,所以,能换联通和移动宽带的还是换了吧。
    linbenyi
        419
    linbenyi  
    OP
       2020-02-23 11:07:24 +08:00
    @loudylee 小区的确有移动的。但是始终下不了决心在装一条。毕竟国际端口的原因。(都懂的)。webdav 我没接触过。但我在网上查到的是( HTTP 的扩充服务)所以感觉上觉得好危险的说。看到上行能开到 50.我的反应是( WO CAO ...CAO ...CAO ...)别说请可乐了。
    公司绑二级的操作看着也好危险。您莫不是认识 jt 的 unicom 的人。哈哈(不过我们 OlympicG 也没有)。
    CoolkHz
        420
    CoolkHz  
       2020-03-07 17:06:43 +08:00
    直接 ip 解析就没事了吧 ip 有备案的话
    yulei199309
        421
    yulei199309  
       2020-03-16 13:03:28 +08:00
    @Redmi2020 你们公司用的域名备案了吗?
    walker2laok
        422
    walker2laok  
       2020-03-17 16:56:41 +08:00
    可以考虑整个物-连-网来替代宽带,然后最坏的打算就是物联网卡被封.网速受限制,免实名的,无缝切换一张新卡就完事了
    唯一的缺点:流量不能像宽带那般任性!
    wzhb
        423
    wzhb  
       2020-04-20 20:29:17 +08:00
    请问现在如何了?还会封吗
    linbenyi
        424
    linbenyi  
    OP
       2020-04-28 09:22:08 +08:00
    @walker2laok 怎么做到呢?比如用没有流量限制的联通物联网手机卡?这个平台资费如何呢?
    @wzhb 不清楚了。zerotire 赞的 frp 也蛮甜的。用起来还蛮舒服的。这两年估计我都可以不思进取了。
    Neddos
        425
    Neddos  
       2020-04-29 10:44:33 +08:00
    @linbenyi pi-hole 只是附加的功能,开公网 dmz 主要是给 ssh/sftp 用的,远程访问 nas 里的东西。
    walker2laok
        426
    walker2laok  
       2020-04-29 14:54:09 +08:00
    @linbenyi 用个旧手机(电池容易热坏)或者买个卡托来发射热点(华为的 E8372h 耐用,现在我家里的上网 WiFi 就用的这种形式),一般 29 、30 左右 100G 流量的.
    wzhb
        427
    wzhb  
       2020-05-01 13:38:44 +08:00
    @linbenyi 我是个小白,每次都是找教程,好不容易搞了个 ddns,如果不能用简直要逼疯我。frp 要搭服务器,我把自己的东西通过别人服务器(私人)连接有点慌啊。请问咋把 nas 藏在路由器后面?是不是就是内网穿透?谢谢
    linbenyi
        428
    linbenyi  
    OP
       2020-05-01 20:59:11 +08:00
    @wzhb 我也是小白。放在路由后面端口转发就行了。现在家里光猫直接 upnp 。我 NAS 的 SSH 登录页会被扫描。哲西云的 FRP 暴露在公网上被扫了弱口令。虽然密码没那么容易被猜到。但是服务器报警也是很烦人的。然后一大串被试过的弱口令显示出来。弄坏了心情。还是用自己的服务器吧。这个事情有个学习曲线的。好在所有问题搜索引擎几乎都能解答。
    @Neddos dmz 哇。全转发了哇。
    @walker2laok 最近弄了 giffgaff 用来收收短信。物联网手机卡会拿到公网 IP?
    Neddos
        429
    Neddos  
       2020-05-04 02:04:07 +08:00
    @linbenyi 准备等疫情过了,能返校了,回去把京东云无线宝弄成 DMZ 主机。NAS 的远程访问准备试试 N2N
    1  2  3  4  5  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2484 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 16:02 · PVG 00:02 · LAX 09:02 · JFK 12:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.