关于泉州白名单，有几点纠正一下

以下为个人测试结果，如有错误，欢迎纠错。

首先并非网传的仅备案那么玄乎，经测试，机制为 ip 黑名单，直接阻断，可以通过换 ip 解决。

以一个刚注册的域名为例，源站香港加 cloudflare free cdn ，阻断源站上海不加 cdn ，不阻断。由于 cloud flare 大部分 ip 已上黑名单，所以才会有网传的白名单这种结论。

解决方案 1 。中转 2.ipv6

V1Eerie

2022-05-11 20:16:27 +08:00

sni 阻断是已经运用的成熟技术，目前在泉州地区存在针对未备案域名的阻断即所谓的白名单

ruixue

2022-05-11 20:42:48 +08:00

“源站上海不加 cdn ，不阻断”

？？源站在上海说明 ip 在国内且域名有备案，怎么能得出不存在 sni 阻断的结论的

而且，“cloudflare 大部分 ip 已上黑名单”已经够可怕了好吧，全球多少网站都在用 cloudflare ，这一下子也相当于墙了海量的网站，触目惊心

wske

2022-05-11 21:05:53 +08:00

你做了什么测试，测试方法是什么应该说清楚。
上来就摆结论，说服力不够。

smileawei

2022-05-11 21:12:43 +08:00

如果是 sni 阻断。那是不是伪造成和 www.qq.com 这类的站点就可以绕过。当然证书你可以选择自签名

viberconnection

2022-05-11 22:21:08 +08:00

@geekvcn 仁兄，我上網搜尋了才知：TLS1.3 和 TLS1.3 ESNI 是不同的意思，ESNI 只是一個可選標準而已。

geekvcn

2022-05-11 23:54:34 +08:00

@viberconnection 你用什么搜索引擎能搜出这种结果？ TLS1.3 强制采用 ECHDE 握手算法，你说的 ESNI 是 TLS1.3 没出来前，给 TLS1.2 打的补丁，需要浏览器支持，当时是火狐的方案，现在早就被 ECH 替代了。

Buges

2022-05-12 01:46:03 +08:00

@geekvcn ESNI 虽然过时了，但继任的 ECH 也只是 tls1.3 的可选扩展而已。用现代浏览器打开 https://www.cloudflare.com/cdn-cgi/trace
你会看到
tls=TLSv1.3
sni=plaintext

ruixue

2022-05-12 10:42:48 +08:00

@danhuang 没备案的域名解析到国内的 ip 时间长了就会阻断了，即使短时间内没有阻断，那也和泉州的墙没啥关系

ruixue

2022-05-12 10:53:09 +08:00

@danhuang 国内的机房对未备案的域名都有监测阻断机制，如果要做测试，国内 ip 的参考价值不大，更何况大家担心的是访问国外的互联网而不是访问国内，所以理应都用国外的 ip 做对照测试

z919126592

2022-05-12 11:06:44 +08:00

上海当然不阻断，只有境外阻断。可以随便找个境外 IP 解析测试。
另外经过我三天以来的连续测试，连续的请求中说有部分会漏掉而可以达到部分请求不被阻断正常连接，可能是过滤设备性能不够用。

takeshima

2022-05-12 14:21:05 +08:00

@geekvcn TLS 1.3 没有强制 ECH ，cloudflare 都才支持 ECH 没多久，Google 早就支持 TLS 1.3 了，你看你访问 google 能绕开 SNI 阻断吗？

swiftg

2022-05-13 08:43:49 +08:00

楼主都没搞懂墙在哪里，源站在上海的话流量都不经过墙，墙怎么给你阻断？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.