背景:
- 有一台 NAS ,部署了一些服务,如:immich 、navidrome 、jellyfin 、webdav 等等。
- 常用的也就 immich 、navidrome 、通过 nplayer 连接 webdav 看剧以及 joplin 和 obsidian 备份到 webdav ,流量不大(我认为)。
- PT 流量很少可能月上传不到 100G 程度。
- 使用 CF 的 DDNS 、eu.org 域名、8443 端口,使用 caddy 通过子域区分不同服务,如:
immich.**.eu.org:8443、navidrome.**.eu.org:8443等。- 有 homepage 作为导航页面,提供其他服务的连接的书签。导航页无认证,其他服务均需要 basic auth 。
被打电话要求备案,一共有两次
-
第一次:24 年 12 月,上门检查并要求备案,家里人说进来看了一圈没说什么(我的 NAS 就放在客厅角落地上的),然后给了一张《网站“未备案不接入”告知书》(中国电信成都分公司鲜章,宽带实际所在地为周边区县),要求备案。家人通知我情况后,仅把端口从 8443 改到了 58443 ,继续使用。
-
第二次:25 年 6 月 9 号,接到电话,对方告知身份,并打开录音(通过 iOS 的通话录音提示得知被录音),问我有什么设备,我说有一台 NAS 。要求备案,我问个人使用也要备案吗?回答:需要备案,并在通话过程中得知对方知道我的具体域名为
xxx.eu.org。最后告知如果不备案可能取消公网 IP 甚至关停宽带。
现在采取的措施:
- a.eu.org 域名:打开 cloudflare DNS 保护,将端口改到 2096 ,所有服务通过此域名访问。
- b.eu.org 域名:不启用 DNS 保护,仅 ssh 、vnc 、http 代理使用该域名。
疑问:这样做之后电信是否还会检测到我建站以及我的域名?如果能,还有什么措施能规避检测?
 |
1
pmman 4 天前
要不就用 cloudflare tunnel ,要不就走 zerotier 这种虚拟组网,总之不能有对外暴露的 http 服务
|
 |
2
baobao1270 4 天前
你属于明文 HTTP 被检测到了。
A. 上 TLS+高位端口 B. 上 CF Tunnel C. VPS+FRP 三个方案选一个吧。 |
 |
4
CodersZzz 4 天前
我的电信卡没用,所以联系不上我,直接给我把宽带停了。五一期间没网用。投诉了,然后让我把没有备案的域名解析给删了才能恢复。
最后我是买了个云服务器进行域名备案。云服务器本来用的香港轻量云(不支持备案),后面将自己的东西迁移到国内服务器,进行 ICP 备案,公安备案等。然后二级域名(一般一级域名备案以后,二级域名可以不备案?)做 ddns 映射到家里面 nas 。不知道这样能不能行。 |
 |
5
zooter OP |
 |
6
zblinuxfun 4 天前  1
你应该是给其他人提供服务了吧?如果真的只有你一个人访问,ISP 才懒得管你。
|
 |
7
InDom 4 天前 2
我的天, 居然还有备案后可以使用这个选项, 这才是令我震惊的.
你不用管那些花里胡哨的, 最后是否以 http/s 流量通过 电信宽带流入你家. 跟 DNS 没有半毛钱关系, 只要你是通过 http 流量进来就会被查. 最佳方案是套 vpn 之类的非 http 流量. |
|
8
zblinuxfun 4 天前
7 楼正解,和 DNS 没关系,用 VPN 。
|
|
9
zooter OP @zblinuxfun immich 给家人和朋友用过,用的频率也很低。然后是在外面用 webdav ,同步笔记软件,和看剧。不知道算不算给其他人提供服务
|
 |
13
wxw752 4 天前
成都这么严吗,武汉这边一堆 http 开好几年了也没事
|
|
16
zblinuxfun 4 天前
这个不好说,我之前问上门维修的宽带师傅,路由器、nas 这种管理页面,一般不会管。博客、相册这种应该都不行。检测手段的都是自动探测+人工确认。
我估计你是 webdav 和看剧流量大的,触发了自动探测。 |
 |
17
ZColin 4 天前
你这不加个密分分钟就扫到了。上隧道吧
|
|
18
zblinuxfun 4 天前
如 7 楼所说,家宽应该不允许建站吧?怎么还有备案的选项?
|
 |
19
dzdh 4 天前
就算是 HTTPS 还是能被抓到 SNI 啊。
理论上除了 tunnel 无解 |
 |
20
Puteulanus 4 天前
确实,没给你直接把宽带嘎了才是最震惊的
|
 |
21
showgood163 4 天前
我的情况和 LZ 类似,自己搭了一个 DNS server 给所有设备提供服务,也有在 443 上的网络服务,如 vaultwarden 等
但我只开了特定端口,DNS 只支持 DOH 443 DOT/DOQ 853 ,并且把本地 ipv4 公网网段禁了 我没有被要求备案 |
 |
22
lujiaxing 4 天前 1
我也是成都电信, 不过我所有的服务都是要 VPN 到自己家才能用的.
|
 |
23
pulutom40 4 天前 via iPhone
没给你直接把宽带嘎了才是最震惊的 +1
居然还能给你提供备案选项,震惊 +2 |
 |
24
duanxianze 4 天前
未备案早晚都会被查,最好的方法是买一个域名,主域名备案,子域名访问到 nas ,不会被查
|
 |
25
wearzdk 4 天前
之前也遇到这样的问题,打电话要求备案,随便找阿里机器做了个备案不久又说备案 ip 不一致,随便应付过去了没管。 后来把端口改到高端口 35000 ,,打电话就说已经备案了然后装不懂,后来就没啥消息了
|
 |
26
zhq566 4 天前 via Android
同坐标。仅用黑裙,top 后缀,https ,高端口没被告知过。使用大概一年半。
|
 |
28
WuSiYu 4 天前
隧道回家吧,不要有 http/s 入站流量,dns 、port knocking 之类的方法估计没用
|
 |
29
jaswer 4 天前
我的方式是一台云服务器,域名备案,然后家里的服务只能被我服务器的 IP 访问,其他的直接 Ban 了。这样应该可以把?
|
 |
30
takanashisakura 4 天前
op 是 ipv4 的公网吗,还是 ipv6 的?之前成都电信 ipv6 公网用 cf 解析到高位端口,快两年无事发生。
|
 |
31
ixiaoyui 4 天前
外面套一层最简单的 ss 即可,端口选高位的
|
 |
32
chinanala 4 天前
@jaswer #29
不行,我刚开始也这么操作的,但流量还是从外部以 HTTP 形式进入家宽,在机器审核面前特征一样的。 所以要么套 VPN (隐藏 Http ,TCP 转 UDP ),要么 FRP (入站改出站) |
 |
33
Kaiyuan 4 天前
不是,你的端口就不能用 5 位数以上的吗?
|
 |
34
robinchina 4 天前
我用的飞牛,绑了个备案过的 com.cn 域名,这域名挺便宜的,一包烟续一年
|
 |
35
frayesshi1 4 天前
一般都是送的路由器的问题吧,要不然不会很快被发现的
|
 |
36
yeh 4 天前
ddns 可以用不影响。
但 http ,https 协议不行。 有公网 ip ,搞个 vmess ss trojan 啥的,先回家,再访问 |
 |
37
catazshadow 4 天前
信息传播流是不可能留给你们的
|
 |
38
lns103 4 天前 via Android
有 v6 被扫的吗,成都电信,我部署的纯 v6+HTTPS
|
 |
39
nicefrp 4 天前
1. 备案域名
2. 用 frp 穿透 3. VPN 其他大佬们补充 |
|
41
pmman 4 天前
@duanxianze 备案域名查的更严,备案这东西不是只备域名就行的
|
 |
42
mooyo 4 天前
用 ip 访问应该暂时是还不需要
|
 |
43
mytsing520 4 天前 1
给你这份通知,是给所有人体面,不体面管局一个通报下来直接局停了
毕竟家宽对外开 Web 本身属于违规行为 |
 |
44
totoro625 4 天前 1
1. 弄个能备案的域名,在腾讯云/阿里云弄个 OSS+CDN 挂个简单的纯文字静态博客,工信部+公安部备案,www 和 @域 全部指向静态博客,挂备案号和指定链接,任何人打电话给你,要求怎么整改就怎么整改,积极配合任何检查
2. 添加三级域名泛解析到 127.0.0.1 ,抵抗域名扫描 3. 用四级子域名指向自己家的各种服务,nginx 配置好 http 的 444 和 https 的 ssl_reject_handshake (防止猜测域名) 4. 搭配高位端口,不要用尾号 80 、443 、00 、01 、52 、53 、82 、83 、86 、87 、95 、96 这些,实在不行生成一个随机数也行啊,别把人当傻子 5. 申请 ssl 证书的时候使用泛解析申请证书,千万不要使用独立子域名申请(一堆无聊的人定向爆破) 例如可以申请若干*.abc.example.com;*.233.example.com;*.example.example.com 6. 进阶:配置 IP 白名单、屏蔽指定区域 IP 、设置蜜罐网站、自建 CA 使用自定义证书、自建 DOH |
 |
45
programApe 4 天前
@CodersZzz 可以的,我备案域名这么用了最少 6 年了没找过我
|
 |
46
MADBOB 4 天前 via iPhone
弄个国内云服务器把域名备案了,便宜的域名一年也就十几/几十块钱。然后最多让你签个承诺书,后面就不管你,我这样用了六七年都没事,四位数端口都是
|
 |
47
damichifan 4 天前
前几年黑群晖火的时候,很多人买域名导航到自己黑群晖,基本都被警告,记住,凡是网站均可能挂口号,所以全是要备案,或者封杀
|
 |
48
guanzhangzhang 4 天前
异地组网阿,怎么都这么喜欢把 web 暴漏在公网上或者 frp 端口映射
|
|
49
zooter OP |
 |
50
yulgang 4 天前
只能使用 Tunnel
|
|
51
zooter OP 谢谢大家的回复
为什么一定要暴露 http/https 到公网? - 方便家里人和朋友使用共享的相册,以及在公司或外面同步 joplin/obsidian 到 webdav 目前准备采取以下措施规避: 1. 共享相册和 joplin/obsidian 使用的 webdav,使用 CF tunnel 2. 其他只有我自己用的服务,通过 vpn 连回家再用 3. ssh ,vnc 保留直连 这样还会有问题不? |
 |
52
jmxct520 4 天前
建站绑定域名这个就没得说,没办法
|
 |
53
jstony 4 天前
你既然是自己用,套个 cf tunnel 啊,直接明目张胆的 http 那不是等着给人抓小辫子。
|
 |
54
orionl 3 天前
你既然都用 caddy 了,上最新的版本呢。用 http3 来做服务,目前没看到有啥事。
最新的 caddy 有 ECH ,你自己折腾下呗。 |
 |
55
jackerbauer 3 天前
搞个穿透就可以了,这么麻烦
|
 |
56
feixiangde110 3 天前 via Android
@InDom 因为关停和要求你停止解析的依据是未备案不得对外提供 web 服务,所以会给你说备案后才能使用。但你去备案的时候就会告知你备案需要是固定 ip 才行让你加钱上专线🤭
|
 |
57
czk1997 3 天前 1
备不备案是一方面,主要安全性太差了……
最好直接 ddns + wireguard ,现在各种工具都支持 wireguard ,直接配置策略,让内网直接通了就行了。 |
 |
58
ahjsrhj 3 天前
推荐一个自用的方案
家庭内网部署 ss-server 暴露端口到公网 需要公网访问的设备安装对应客户端(clash/surge 等)将家庭内网 ip 通过 ss 代理访问 家庭内网可以改成 10.x.x.x 这种不常用的网段避免跟外面 wifi 局域网(比如公司的内网)冲突 |
 |
59
xiyuesaves 3 天前
同成都,但我是联通宽带,有公网 v4 ,也在 nas 上搭建了一堆 web 服务,不过是已备案域名+TLS+高位端口,还在用 sunshine 串流游戏电脑到公司摸鱼,目前还没有被联通通知过,试试买一个最便宜的 top 域名备案看看还管不管呢?
|
 |
60
jcxq5200 3 天前 via iPhone
@xiyuesaves 之前飞牛影视用 ddns 解析,成都联通宽带,晚上朋友看剧卡的无法,联通跨网限速太厉害了
|
 |
61
dosmlp 3 天前
还是搞个 vpn 保险点,域名访问就有被检测到的风险
|
 |
62
xiamy1314 3 天前
家宽建站,还备案?钓鱼吗?
|
 |
63
back0893 3 天前
不知道 我用的 ddns 就走 ssh
|
 |
64
imrei 3 天前
使用 cloudflare tunnel 会慢,但安全。要么就是 cloudflare 隐藏端口功能,本低网站开放 80 、443 除外的端口,最好五位数以后的端口
|
 |
65
lunafreya 3 天前 via iPhone
ccp 是人类的毒瘤
|
 |
67
luis330 3 天前
自己的域名是不可能 DDNS 国内的。
DDNS 是不可能不用的,用就是第三方,xxx.myqnapcloud.com 不是我的域名,备不备不影响我。 另外常规服务也不可能走 xxx.myqnapcloud.com ,这个就是用来让 WireGuard 连接的,之后那就随意了。 |
|
68
chinanala 3 天前
@totoro625 #44
有心理安慰作用,但意义不大。 运营商旁路信道监控,机器审核流量先打可疑标,筛出 web 入站流量信息,汇报到安全合规部门。 后台人员不会去测试你的网站是否能访问,根据系统提示的名单上报,领导签字就生成通报名单了。 当然每个地区运营商的管理口径有高有低,没被查的只是幸存者偏差罢了。 终极措施:还是套 VPN 加密,套 FRP 中转。 |
|
69
xiyuesaves 3 天前
@jcxq5200 我这没什么感觉欸,家里联通公司移动,sunshine 能跑满 30M 的上传带宽,延迟只有十几毫秒
|
 |
70
Canight 3 天前
那....为什么不备案呢,有啥理由不,好像也不花钱吧
|
|
71
totoro625 3 天前
@feixiangde110 #56 原则上备案是绑定域名和 IP ,实际执行上因为 CDN 服务,没有强制要求
监管上,只要域名备案,就自动放行(目前只有阿里云必须额外接入备案,否则备案域名无法用于服务器,但是可以用于 CDN ) 所以只要买一个服务器,就可以用那台服务器的 IP 备案,备案完成删除即可 |
 |
72
xiaoz 3 天前
你上面的方法估计没用,回源的时候依然是 HTTP 协议,那么可能还是被检测到,建议的解决方案如下。
方案一:内网部署 wireguard ,所有服务不对外暴露,然后用 wireguard 连接到内网,还安全,就是可能没以前那么方便。 方案二:妥协,老老实实备案,或者用你朋友备案过的域名。 |
|
73
totoro625 3 天前
@chinanala #68 非程序员行业
自认为只要用公网 IP ,不管你是 HTTPS 协议,还是 VPN 协议,或者 Tailscale 打洞,都可以归类于加密协议 那么用 HTTPS 回家和用 Trojan 回家,没有本质上的差异 |
 |
75
Hookery 3 天前
大流量 VPN ,小流量可以搞个中转机
|
 |
76
stillwaiting 3 天前
我群晖用了有 6 年了(阿里云国际版买的域名+ddns ) 没收到过,是现在严了么
|
 |
77
lqu3j 3 天前
同成都电信, 我刚刚也被打电话,但是没说清到底是什么。 一会儿说 PCDN , 一会儿说什么叔叔和通管局,然后又说啥访问国外网站。具体问他具体是什么,他说他只是一个运维师傅,只是带话。
|
 |
78
dfdd1811 3 天前
http ?端口还带 443 啊
自己就隧道或者 ss 回家,有访问需求就套 https ,然后高位端口,你都开端口给小白用了,带 443 的和 48254,53789 ,这种随便编的数字有什么区别。人运营商都不看你 http 里的内容,看你开的 443 就过来诈你了... |
 |
79
cat9life 3 天前
赚大了。家庭宽带根本就不允许开网站的吧。居然还能备案成正规军
|
|
80
chinanala 3 天前
@totoro625 #73
风险值云泥之别,家宽在 [应用层] 对外提供 HTTP (相当于裸奔)/HTTPs (漏 sni ),流量特征太明显,看运营商心情封不封。使用 UDP 层协议把流量加密混淆后,运营商网关筛选风险流量相当于大海捞针,不是做不到,而是没法大面积抓包解密。 |
 |
81
zhangfeiwudi 3 天前
@WuSiYu 上隧道是用 tailscale 之类的吗
|
 |
82
Ipsum 3 天前 via Android 1
没直接给你拉闸才是奇怪。
|
|
83
WuSiYu 2 天前
@zhangfeiwudi 对
|
|
84
feixiangde110 2 天前 via Android
@totoro625 只有云厂商会自动放行在自己那里备案的域名,你拿个在阿里云备案的域名解析到阿里云的任意 ip 随便你玩,你要是解析到腾讯云的 ip 立马就会被阻挡要求你去腾讯云再做备案接入。解析到运营商 ip 上不去做接入备案,都是打擦边球纯看运营商想不想处理你,前段时间成都电信就关停了我们专线部分 ip 的 80 和 443 端口,理由就是我们接入备案上只有一个 ip ,剩下的 ip 没做接入备案被系统稽核了🤭
|
|
85
totoro625 2 天前
@feixiangde110 #84 那你们的业务不能套 CDN 或者防火墙了吗?
CDN 和防火墙的 IP 是经常变化的,不可能给你用作备案 另外你这个是在运营商做的专线备案?你们公司是比较大的了,小公司运营商不给做接入备案服务的 我有两个备案域名,其中一个只做了腾讯云的备案,另一个做了腾讯+阿里的备案 然后我同时用了腾讯云、阿里云、百度云、华为云、又拍云的 CDN ,腾讯云、阿里云、华为云的服务器 目前我遇到的,已备案的域名未接入的情况下只有指向阿里云服务器会被阻拦 而国内所有的 CDN 包括阿里云是可以不做接入直接放行的 理论上都应该做了接入才能使用,但是目前放的比较宽 |
Select Language