V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
July1991
V2EX  ›  宽带症候群

又疯了一个 ip,🧱墙太可恶了

  •  1
     
  •   July1991 · 2022-11-14 09:03:34 +08:00 · 44556 次点击
    这是一个创建于 501 天前的主题,其中的信息可能已经有所发展或是发生改变。

    国庆封了 2 个瓦工 GIA 路线 ip ,都是 443 端口被封,ssh ,80 端口都正常,付费 8.9 刀换了一个 ip 使用正常直到今天早上 8 点阵亡。

    盲猜防火墙是统计了流量来封的,基本上我每个月都花 1000G 左右,换了域名可更长时间才可能被封,如果是早期被封过的域名,换了 ip 也不会存活很久。

    目前有没有可靠的方法?

    第 1 条附言  ·  2022-11-14 10:07:23 +08:00
    1 、目前基本上可以确定就是 over tls 被识别。
    2 、墙不是一直都在封的,可能是某个时间点,目前来看,喜欢早上 8 点左右开始检测,如果在这个点你正在使用,那么很可能被逮住。
    3 、流量统计也可能是。



    第 2 、3 条是自己猜测的,因为有几个服务器,都是一样的协议、配置,封的时候只有使用中的那个被封。
    第 2 条附言  ·  2022-11-14 13:49:30 +08:00
    1 、 2 个瓦工 GIA 被封,换了一个 IP ,今天又被封,一个别家的 vps 也被封了,所以非热门 vps 也会被封,不存在盯上热门机房 ip 段说法。


    2 、换 ss 协议也有被封的。


    3 、看来目前只有套 CDN 或者搭建最新的技术如 naiveproxy 、Tuic / Hysteria 比较稳妥。



    以本人猜测,🧱就是随机抽查,分时间段,逮到疑似的域名,直接封锁端口,甚至 ip 。这就解释了为什么有少数人没事的原因。
    162 条回复    2023-12-22 21:34:45 +08:00
    1  2  
    paullee
        1
    paullee  
       2022-11-14 09:04:54 +08:00
    换个端口就行👀
    to2false
        2
    to2false  
       2022-11-14 09:09:30 +08:00
    1L+1
    wangxinpier
        3
    wangxinpier  
       2022-11-14 09:11:17 +08:00
    我也是发现端口被封,换个端口解决了。。。
    interim
        4
    interim  
       2022-11-14 09:13:37 +08:00
    换个端口,我的 443 被封了,继续拿 8443 跑,然后 443 套了个 CF (速度还不错,能看油管 4k )
    twofox
        5
    twofox  
       2022-11-14 09:13:52 +08:00
    你们都是用来做什么的,为啥可以用这么多流量
    S179276SP
        6
    S179276SP  
       2022-11-14 09:14:49 +08:00
    坐等明年三月看戏。
    hdp5252
        7
    hdp5252  
       2022-11-14 09:16:13 +08:00 via Android
    一天 30g 你开网吧吗?
    shika
        8
    shika  
       2022-11-14 09:20:50 +08:00 via Android
    直接在 80 端口跑
    July1991
        9
    July1991  
    OP
       2022-11-14 09:21:46 +08:00
    @hdp5252
    @twofox

    没开网吧,就 4-5 个人用,刷刷推特,油管,看视频流量当然大啊。。。


    @paullee
    @wangxinpier
    @to2false
    据说换端口到时候直接封 IP 了。。
    wangxinpier
        10
    wangxinpier  
       2022-11-14 09:25:04 +08:00
    目前还没有被封,自用,还好
    Metre
        11
    Metre  
       2022-11-14 09:25:31 +08:00
    @July1991 #9 我觉得封的点可能会不会是在在 4-5 个人用吧? 这 4-5 个人都在一个城市,一个运营商吗?
    sadfQED2
        12
    sadfQED2  
       2022-11-14 09:25:50 +08:00 via Android
    Websocket 协议?按 git hub 的讨论,已经精确识别了,升级版本用 utls 试试
    Yien
        13
    Yien  
       2022-11-14 09:33:07 +08:00 via Android
    v2+ws 套多个 cf 优选+clash 负载均衡
    zhangxh1023
        14
    zhangxh1023  
       2022-11-14 09:34:42 +08:00
    感觉我的搬瓦工 gia 好几年了,基本上很稳定。一直以为是 线路好,现在看起来是我用的流量少,一个月就一两百 G 。
    EastLord
        15
    EastLord  
       2022-11-14 09:36:17 +08:00
    套 CDN
    roding
        16
    roding  
       2022-11-14 09:40:16 +08:00
    我刚买两天,流量才用 5G ,也是今早被封了 443 ,套了个 CF 可以了。搞不懂封的原理。我用 nginx 反代分流,/路径是正常的个人网盘。
    ScepterZ
        17
    ScepterZ  
       2022-11-14 09:40:16 +08:00
    同 443 被封,网上说最近有专门封基于 tls 的协议,所以暂时换了协议用,虽然目标更明显了但是貌似没什么动作
    Kowloon
        18
    Kowloon  
       2022-11-14 09:43:21 +08:00 via iPhone
    恭喜你,就是按流量封的,你单 IP 一个端口往死里跑傻子都能看出来。
    guazila
        19
    guazila  
       2022-11-14 09:43:46 +08:00   ❤️ 1
    套 CDN ,或者用机场作前置代理。但这两种都适合用线路差,便宜的 VPS 来落地。搬瓦工 GIA 用这两种办法太奢侈了,相当于你的线路加成完全没用了。
    lindas
        20
    lindas  
       2022-11-14 09:46:40 +08:00
    端口一天一换
    July1991
        21
    July1991  
    OP
       2022-11-14 10:03:26 +08:00
    @ScepterZ
    @sadfQED2 基本上可以确定就是 over tls 的锅


    @zhangxh1023
    流量也极有可能是关键
    Sekai
        22
    Sekai  
       2022-11-14 10:12:06 +08:00
    好日子还在后头 把 ip 全封完了也就正式开启大局域网时代( doge
    July1991
        23
    July1991  
    OP
       2022-11-14 10:18:04 +08:00
    jurassic2long
        24
    jurassic2long  
       2022-11-14 10:34:34 +08:00
    我就自己用,流量很小,也被封了,但 ipv6 就没封,现在只用 ipv6 了
    darer
        25
    darer  
       2022-11-14 10:38:05 +08:00 via Android
    用的 80 端口 还是我比较勇(
    qwvy2g
        26
    qwvy2g  
       2022-11-14 10:38:07 +08:00 via Android
    也有可能是 ip 段热门程度,热门机房的 ip 段可能会被盯上。
    0o0O0o0O0o
        27
    0o0O0o0O0o  
       2022-11-14 10:39:52 +08:00 via iPhone   ❤️ 2
    443 如果是 websocket 用 nginx 转发一下,proxy_pass 的 location 搞得复杂一些,例如生成个 uuid ,并且不要在任何浏览器直接访问或是发送到聊天工具里,这样所谓主动探测几乎难以实现。

    tls 指纹则看看 utls 和 naiveproxy 等方案。

    那些基于 quic 的工具也部署一些,例如 hysteria 、tuic 。

    还可以尝试 hysteria 近期更新的一个功能 https://hysteria.network/docs/port-hopping/
    AlphaTauriHonda
        28
    AlphaTauriHonda  
       2022-11-14 10:40:45 +08:00 via iPhone   ❤️ 1
    @July1991 既然 TLS over TLS 封的这么快,不如试试 shadowsocks-libev 。
    fairless
        29
    fairless  
       2022-11-14 10:44:07 +08:00
    国庆被封了两次,后来索性直接换成 ss 了,反而用到现在很稳定。over tls 很可能被识别了
    princelai
        30
    princelai  
       2022-11-14 10:49:55 +08:00
    我的两台搬瓦工用了快三年没一点问题,每个月每台流量大概 100-150G,服务器前端 nginx 开 443,遇到 trojan 协议回落到 trojan 的端口,其余的流量都访问本地的静态网站。
    July1991
        31
    July1991  
    OP
       2022-11-14 11:11:02 +08:00
    @0o0O0o0O0o github 讨论貌似 utls 也不能避免指纹

    naiveproxy 感觉没有好用的客户端,而且可选择的比较少,我去了解一下 hysteria 、tuic ,感谢。


    @AlphaTauriHonda ss N 年前就感觉不行了,现在还可?
    villivateur
        32
    villivateur  
       2022-11-14 11:20:27 +08:00
    @July1991 ss 现在都非常坚挺。当然跟线路、运营商也有关
    juded
        33
    juded  
       2022-11-14 11:24:14 +08:00
    和你的主机商家也有关。部分商家的 ip 段会被重点关注。
    kokutou
        34
    kokutou  
       2022-11-14 11:24:59 +08:00 via Android
    @July1991
    我这 ss 小流量没问题,大流量就封了
    photon006
        35
    photon006  
       2022-11-14 11:26:24 +08:00   ❤️ 2
    套 cf cdn 可解,不要暴露自己 vps 公网 ip ,套 cdn 隐藏起来,vless + tls + websocket 很稳,10 月 3 号大面积封锁 tls 443 都没事,参考事件: https://github.com/net4people/bbs/issues/129

    还能用 warp 脚本通过 wireguard 接入 cf warp 网络更换公网 ip 、解锁 netflix

    我测试成都联通、移动、电信都支持油管 4k ,速度还行。
    tool2d
        36
    tool2d  
       2022-11-14 11:27:19 +08:00
    楼主标题党啊,明明是端口被封,换个端口就可以了。

    这不算 IP 被封。
    July1991
        37
    July1991  
    OP
       2022-11-14 11:28:04 +08:00
    @photon006 cf 居然这么快
    LZSZ
        38
    LZSZ  
       2022-11-14 11:29:55 +08:00
    我觉得玩推特容易被墙 ,看新闻每次抓到翻墙的几乎都是玩推特发 ZZ 内容的。
    Sekai
        39
    Sekai  
       2022-11-14 11:32:05 +08:00
    @photon006 现在还是用 x-ui 还是有别的脚本?很久没折腾了
    siknet
        40
    siknet  
       2022-11-14 11:38:06 +08:00
    换 naive
    raysonx
        41
    raysonx  
       2022-11-14 11:38:25 +08:00
    不知道题主用的什么协议,怎么配置的。
    如果被封说明协议已经被识别了或者 IP 段被重点关注了。不管怎么说,还依然使用之前的方式风险是很大的。
    如果用 tls 可以试试 xray 最新版本的 xtls-rpxp-vision 流控。
    July1991
        42
    July1991  
    OP
       2022-11-14 11:47:56 +08:00
    @LZSZ 推只看不发。

    @raysonx ws+tils+nginx
    photon006
        43
    photon006  
       2022-11-14 11:48:14 +08:00   ❤️ 2
    @Sekai

    我没用第三方脚本,直接官方镜像起一个 docker 容器:

    docker run -d --name v2ray --restart=always -e TZ=Asia/Shanghai -p 127.0.0.1:22000:22000 -v /opt/v2ray/config.json:/etc/v2ray/config.json v2fly/v2fly-core


    起一个 nginx ,挂一个假网站,梯子流量走 websocket:

    docker run -d --restart=always --name nginx -v /opt/nginx/nginx.conf:/etc/nginx/nginx.conf:ro -v /opt/nginx/conf.d:/etc/nginx/conf.d:ro --network=host nginx

    ```
    upstream v2ray {
    server 127.0.0.1:22000;
    #server 10.0.0.228:22000;
    #server 10.0.0.168:22000;
    }

    location / {
    proxy_read_timeout 60m;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-Proto https;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection $connection_upgrade;
    proxy_redirect off;
    proxy_pass http://127.0.0.1:8080;
    }

    # ws path
    location /G3XdhUTa9Xv5jp9F {
    proxy_http_version 1.1;
    proxy_set_header Host $http_host;
    #proxy_buffering off;
    proxy_redirect off;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection $connection_upgrade;
    proxy_set_header Origin "";
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_socket_keepalive on;
    proxy_read_timeout 1m;
    proxy_pass http://v2ray;
    }
    ```

    域名由 cf 解析,A 记录指向你的服务器,一定点亮橙色图标开启 cdn 隐藏 vps 公网 ip 。
    AlphaTauriHonda
        44
    AlphaTauriHonda  
       2022-11-14 11:51:11 +08:00 via iPhone   ❤️ 1
    @July1991 别用会被主动探测有漏洞的版本就行了。
    可以用 shadowsocks-libev 的 v3.3.5 ,或者 https://github.com/Jigsaw-Code/outline-server ,还要选择 AEAD ciphers 。设置错了,或者用有漏洞的版本都会被封。

    你也可以试试 Vmess 的 mKCP 传输,设置一个 Seed 。不设置 Seed 的 mKCP 也是必封。

    @villivateur 我觉得还有很多人在用错误的版本,或者没用 AEAD ciphers 。
    estk
        45
    estk  
       2022-11-14 11:52:04 +08:00 via Android
    甲骨文免费机用了一年多一直很稳
    sadfQED2
        46
    sadfQED2  
       2022-11-14 12:04:13 +08:00 via Android
    应该不是流量统计,我也是 websocket tls 被封,换成非 tls 加密,目前一个月了没被封,每个月也是 1000g 流量左右
    raysonx
        47
    raysonx  
       2022-11-14 12:18:01 +08:00
    @July1991 根据目前的信息推测,这种配置产生的 TLS over TLS 流量可能会被识别,建议试试我上面说的 XTLS Vision 流控。

    @AlphaTauriHonda 最新的 2022-blake3-chacha20-poly1305 cipher 个人感觉更稳。

    不论用何种方式,都建议在远端配置禁止国内出站方向的流量。
    IDAEngine
        48
    IDAEngine  
       2022-11-14 12:20:56 +08:00
    你机房的问题,机房的 IP 段在黑名单
    v2exe2v
        49
    v2exe2v  
       2022-11-14 12:31:21 +08:00
    @sadfQED2 什么 vps 求问
    HolaPz
        50
    HolaPz  
       2022-11-14 12:39:05 +08:00   ❤️ 4
    @AlphaTauriHonda 你还别说 我一个 Trojan 的机器 443 被封 我就想试一试 SS 结果把我用了一年多的 IP 直接墙了 半个月了都
    herozzm
        51
    herozzm  
       2022-11-14 12:43:50 +08:00 via Android
    最好用>=2 线路做负载,不要把流量往一条线路灌,流量一大,达到封锁线就 over 了
    herozzm
        52
    herozzm  
       2022-11-14 12:44:56 +08:00 via Android
    梯子不要给别人用,人多了特征太明显了
    charlieethan
        53
    charlieethan  
       2022-11-14 12:48:01 +08:00
    如果想求稳的话,建议 CN2/9929 线路用 naiveproxy ,普通线路用 Tuic / Hysteria
    DearMark
        54
    DearMark  
       2022-11-14 12:51:01 +08:00   ❤️ 1
    它不是墙,叫他(她):天网
    fork3rt
        55
    fork3rt  
       2022-11-14 13:00:28 +08:00
    别用 BWH 就行
    Aixtuz
        56
    Aixtuz  
       2022-11-14 13:07:06 +08:00
    @HolaPz
    +1
    两种同时开着,自用查资料,月流量几个 G 。
    先是 Trojan 封端口,后是 ss-libev+AEAD 封 IP ,
    前几年的封禁高峰期,确实幸存了,但这次就完蛋了。
    所以上面的兄弟,不能因为幸存几次就确信没事了。
    如果是根据流量,那我几个 G 都被封,这个流量界限也很低了吧...
    tyhunter
        57
    tyhunter  
       2022-11-14 13:09:49 +08:00
    热门机房都是整段 IP 封的,所以并不是你的方式有问题,换机场或者类似龟壳这种无限换 IP 的比较稳一点
    star7th
        58
    star7th  
       2022-11-14 13:11:40 +08:00
    我感觉很可能跟你分享出去给其他人用有关系。我是 v2ray 的 websocket 方式,四年来,只换过一次 ip ,其他情况最多有些干扰,但没被封过。
    star7th
        59
    star7th  
       2022-11-14 13:12:32 +08:00
    补充一下,我只给自己自用,不提供他人使用。
    ashong
        60
    ashong  
       2022-11-14 13:14:11 +08:00
    现在的各种工具还没有实现动态端口的, 加个 http 通道传递端口信息即可
    tulongtou
        61
    tulongtou  
       2022-11-14 13:18:55 +08:00
    443 ws+lts 从来没有被封过,最近换了 quic+lts 还没有被封。日本软银机房。和 56 楼一样,只有自己用。
    yopv2
        62
    yopv2  
       2022-11-14 13:29:28 +08:00
    公司内部使用 quic+lts N 年了 没有被封
    citydog
        63
    citydog  
       2022-11-14 13:30:11 +08:00
    都知道用搬瓦工,为啥不知道用搬瓦工的 JustMySocks ?自动更好被墙的 ip
    guanhui07
        64
    guanhui07  
       2022-11-14 13:31:03 +08:00 via iPhone
    换个端口
    chendl111
        65
    chendl111  
       2022-11-14 13:36:31 +08:00
    @July1991 我 1 个人 50G 都用不完
    majula
        66
    majula  
       2022-11-14 13:38:06 +08:00
    aHR0cHM6Ly9ob3N0bG9jLmNvbS90aHJlYWQtMTA4MjMzMC0xLTEuaHRtbA==
    leefor2020
        67
    leefor2020  
       2022-11-14 13:41:12 +08:00
    @fork3rt ,现在还有啥其他的提供日本软银线路的 VPS 吗
    garipan
        68
    garipan  
       2022-11-14 13:51:15 +08:00
    @photon006 GIA 这种优质线路 套了 CDN 属于浪费。我和 LZ 一模一样情况。Vmess+TLS+Nginx 流量一大就封端口。每天早上执行。
    garipan
        69
    garipan  
       2022-11-14 13:53:52 +08:00
    @citydog 我个人不用 JustMySocks 是因为觉得太浪费 IP 了,无脑暴力轰炸地址,让本就不充裕的 IPv4 地址雪上加霜……Vultr 当年就是因为太多中国人用来无脑暴力翻,导致现在上面的 IP ,20 个里面有 19 个都是坏的。
    sadfQED2
        70
    sadfQED2  
       2022-11-14 13:56:34 +08:00 via Android
    @v2exe2v 一样的,搬瓦工 gia
    photon006
        71
    photon006  
       2022-11-14 14:00:00 +08:00
    @garipan 套 cdn 的一个重要目的是隐藏公网 ip ,从安全方面考虑不用担心被封,我甲骨文小鸡稳定运行 9 个月从来不考虑被封,至于速度,能同时支持几台设备看油管 4k 足够了,再快也没啥意义,就好比 4g 够用的情况追求 5g 那样无聊。
    zxbiao
        72
    zxbiao  
       2022-11-14 14:15:07 +08:00
    搬瓦工的 IP 可是热门封锁的 IP 段和商家。。。
    还有,能尽量不依赖一键包的就不要用一键包,参考别人的配置然后自己编写 config ,这样你就会对这个工具的配置文件有了深刻的了解了。
    我折腾了一段时间后,现在实现了多个服务器随机负载+透明网关
    记得要屏蔽回国流量
    记得要屏蔽回国流量
    记得要屏蔽回国流量
    zxbiao
        73
    zxbiao  
       2022-11-14 14:20:44 +08:00
    @roding #16 有屏蔽回国流量吗?
    wxw752
        74
    wxw752  
       2022-11-14 14:36:37 +08:00
    @estk 甲骨文我和兄弟的四台,就这俩月阵亡三个 IP 了。目前仅存一个
    LXGMAX
        75
    LXGMAX  
       2022-11-14 14:59:31 +08:00
    和机子地区也有关系,IP 要是在热门地区比如 LA 那就是重点关照对象
    Sekai
        76
    Sekai  
       2022-11-14 15:17:00 +08:00
    @photon006 感谢 不过稍微有点疑惑的是开启云朵之后在访问一些 ip 检测网站的时候还是能够显示我的源 ip ,这种情况算正常?
    estk
        77
    estk  
       2022-11-14 15:23:57 +08:00
    @wxw752 #74
    可能他用力过猛。我两个账号 7 台机器一直生龙活虎
    photon006
        78
    photon006  
       2022-11-14 15:27:31 +08:00
    @Sekai 你访问经过梯子的目标网站当然知道你的源 ip ,但 gfw 不知道你访问的梯子 ip ,他只知道你访问了 cf cdn ,流量路径差不多是这样:

    手机 > 软路由( ssr-plus: vless )> 运营商 > gfw > cf cdn > oracle vps (nginx > v2fly-core) > cf warp > target website

    cf warp 看情况要不要用,每个人需要不一样。
    DokiDokiSophon
        79
    DokiDokiSophon  
       2022-11-14 15:34:06 +08:00 via Android
    在用 naiveproxy 续命中。。。
    wpaygp
        80
    wpaygp  
       2022-11-14 15:40:42 +08:00
    @photon006 CF ip 你有优选吗?
    photon006
        81
    photon006  
       2022-11-14 15:44:09 +08:00
    @wpaygp 没有,3 个运营商都测了,都能油管 4k ,还是几台设备同时看。
    wpaygp
        82
    wpaygp  
       2022-11-14 15:48:42 +08:00
    @photon006 羡慕···用的哪家 VPS
    photon006
        83
    photon006  
       2022-11-14 15:49:34 +08:00
    @wpaygp 白嫖的甲骨文 amd64
    hoky
        84
    hoky  
       2022-11-14 15:56:28 +08:00
    楼主如果是瓦工绝版的,出的话我占个位。

    我的瓦工 2 台一直很稳,就是流量不够用。
    wpaygp
        85
    wpaygp  
       2022-11-14 16:01:29 +08:00
    @photon006 优秀
    July1991
        86
    July1991  
    OP
       2022-11-14 16:02:27 +08:00
    @zxbiao “记得要屏蔽回国流量” 怎么屏蔽呢,屏蔽后国内是不是不能访问 vps 了?我机子上还有一些别的服务在跑,比如博客,屏蔽了就访问不了吧?


    @hoky 不是绝版,149 刀的年付。
    garipan
        87
    garipan  
       2022-11-14 16:05:32 +08:00
    @photon006 话说,你套完 CDN 延迟如何?因为目前并不封 IP ,只封端口,本来 Nginx+WS+TLS 这一套下来 延迟就已经很高了,个人感觉套 CDN 不是一个高性价比的终极解决方案。我现在还是想知道有没有更优雅、更简短快速高效的方案。
    photon006
        88
    photon006  
       2022-11-14 16:13:48 +08:00
    @garipan

    坐标成都,随手测一下,ping 我的域名,也就是本机到 cf cdn 之间耗时

    移动:215ms
    电信:200ms
    联通:177ms

    cf cdn 到东京甲骨文应该很快可以忽略不计。

    另外我用 hk 小鸡自建 adguardhome ,所有 dns 通过 doh 加密查询防止运营商、gfw 偷窥,本机到 hk 小鸡的延迟只有 40-60ms ,整体体验没有收费机场快,还能接受,自用稳定性高,不像机场节点三天两头崩。
    snowish
        89
    snowish  
       2022-11-14 16:16:55 +08:00   ❤️ 1
    SSL 端口被封,IP 没被封,这是最近方校长的操作。通过我近一个月的观察,发现被封规律是这样的:
    1 、服务器在北美;
    2 、V2 或 Xray 在前端;
    3 、Nginx 或 Caddy 在后端;
    4 、不管是 443 ,还是 8443 ,还是更换更高位的端口,都被封;
    5 、被封时间不确定。上午,下午,早上,晚上,都有;
    6 、大流量,小流量,都被封,只要有连接,就容易被封;
    7 、与 SSL 证书签发机构、签发方式等无关;
    8 、服务端部署方式是一键脚本还是 step by step ,都容易被封;
    9 、国内城市、运营商无关,都容易被封。

    于是,我做了个小小的调整。目前帮国内亲友管着很多台 vps ,都做了重新配置后稳定运行将近 1 个月,说明暂时是可行的,等哪天还被封,我再上来给大家汇报。

    以 xray+nginx 为例:
    调整为 Nginx 在前端,监听多个 SSL 端口:443 端口和其他端口 XXXXX 。

    我当时做这样的调整,也不知道有这个玄机。配了两个端口,让他们只改端口号,其他参数不变,然后新增了一个 ws 套 cdn 的。我告诉他们,当你发现直连这个不行时,切换到 cdn 这个有可能会变慢,但至少可以保证还能外出。结果,没有一个人说直连被封。

    怎么改,请看我之前的 post:
    https://www.v2ex.com/t/892136
    如果需要更详细的 conf 和 json 文件,电报上找我。
    levenwindy
        90
    levenwindy  
       2022-11-14 16:18:15 +08:00 via Android
    @LZSZ 只要是国内手机号注册的推,脸,就一定能查到你,还有 TG
    davelm
        91
    davelm  
       2022-11-14 16:30:21 +08:00
    WS 套 CDN,虽然延迟高,但是速度还行啊,一个月下来平均 2T 的流量
    反正就是只要不对延迟有高要求,套 cdn 还是不错的
    roding
        92
    roding  
       2022-11-14 16:47:51 +08:00
    @zxbiao 屏蔽回国流量是怎么弄,刚玩几天,不是太熟。
    roding
        93
    roding  
       2022-11-14 16:52:59 +08:00
    @snowish 我用了 nginx 做反代,xray 是路径分流的。服务器在北美,也只是坚持了两天。现在落地机做端口转发,把流量转到 443 ,就算换端口也是客户端换一下就好了。
    zxbiao
        94
    zxbiao  
       2022-11-14 17:28:29 +08:00   ❤️ 1
    @July1991 #86
    @roding #92

    如果是用 V2RAY 系的工具搭建,
    可以在 config.json 的 routing-rules 尾部加入
    ----------------------------------
    // 屏蔽中国 IP 和私有 IP
    {
    "type": "field",
    "ip":
    [
    "geoip:cn",
    "geoip:private"
    ],
    "outboundTag": "cnblock"
    }
    ----------------------------------

    在 outbounds 尾部加入

    ----------------------------------
    // 屏蔽中国 IP 和私有 IP
    {
    "protocol": "blackhole",
    "settings":
    {
    "response":
    {
    "type": "http"
    }
    },
    "tag": "cnblock"
    }
    ----------------------------------

    这个屏蔽回国流量,仅在使用科学时生效,不影响其他国内直连。
    至于为什么要屏蔽回国流量,是以防不小心全局出国之后,部分流量出口转内销或国内某些大厂配合防火墙搞事(说的就是某些安全软件,会扫描机器是否开了代理,然后通过代理访问特定的 IP 或域名),从而避免被防火墙怀疑是代理服务器。
    lp7631010
        95
    lp7631010  
       2022-11-14 17:37:31 +08:00
    我的 vir 3.99 刀的腊鸡机,用 3 年了依旧坚挺
    zxbiao
        96
    zxbiao  
       2022-11-14 17:40:10 +08:00
    @zxbiao #94
    已知 X-UI 的默认设置是没有屏蔽回国的流量的,而且 GitHub 的源码上次更新已经是 2022.4.28 ,release 最后更新是 2021.8.25 。
    followztx
        97
    followztx  
       2022-11-14 17:46:53 +08:00   ❤️ 16
    3 亿浏览外网的大陆人,10 多年来每人平均被墙耗费 1 天(配置代理、延迟、断网)。
    1 条人命 3 万多天,方滨兴的一个想法上万人的生命陪葬。
    楼上楼下的所有人,被 GFW 谋杀的时间有少于 5 天的吗?
    MrKrabs
        98
    MrKrabs  
       2022-11-14 17:56:32 +08:00   ❤️ 1
    我 ss+ipv6 随便跑
    snowish
        99
    snowish  
       2022-11-14 18:08:28 +08:00
    以下是我的 nginx conf 配置:

    server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    ssl_certificate /certs/fuckfang.ri.cer; //修改为你的证书路径
    ssl_certificate_key /certs/fuckfang.ri.key; //修改为你的 key 路径
    ssl_protocols TLSv1.3;
    ssl_ecdh_curve X25519:P-256:P-384:P-521;
    server_name www.fuckfang.ri; //修改为你的域名
    index index.html index.htm;
    root /www/xray_web; //修改为你的 web 路径,或者随便
    error_page 400 = /400.html;

    # Config for 0-RTT in TLSv1.3
    ssl_early_data on;
    ssl_stapling on;
    ssl_stapling_verify on;
    add_header Strict-Transport-Security "max-age=63072000" always;

    location /fuckfang/ //修改为你的路径
    {
    proxy_redirect off;
    proxy_pass http://127.0.0.1:47141; //修改为你的 Xray 监听端口
    proxy_http_version 1.1;
    proxy_set_header X-Real-IP \$remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_set_header Host $http_host;
    # Config for 0-RTT in TLSv1.3
    proxy_set_header Early-Data $ssl_early_data;
    }
    }

    server {
    listen xxxxx ssl http2; //这段 server 完全复制上面的,仅修改 xxxxx 端口号
    listen [::]:xxxxx ssl http2;
    ssl_certificate /certs/fuckfang.ri.cer; //修改为你的证书路径
    ssl_certificate_key /certs/fuckfang.ri.key; //修改为你的 key 路径
    ssl_protocols TLSv1.3;
    ssl_ecdh_curve X25519:P-256:P-384:P-521;
    server_name www.fuckfang.ri; //修改为你的域名
    index index.html index.htm;
    root /www/xray_web; //修改为你的 web 路径,或者随便
    error_page 400 = /400.html;

    # Config for 0-RTT in TLSv1.3
    ssl_early_data on;
    ssl_stapling on;
    ssl_stapling_verify on;
    add_header Strict-Transport-Security "max-age=63072000" always;

    location /fuckfang/ //修改为你的路径
    {
    proxy_redirect off;
    proxy_pass http://127.0.0.1:47141; //修改为你的 Xray 监听端口
    proxy_http_version 1.1;
    proxy_set_header X-Real-IP \$remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_set_header Host $http_host;
    # Config for 0-RTT in TLSv1.3
    proxy_set_header Early-Data $ssl_early_data;
    }
    }

    server {
    listen 80;
    listen [::]:80;
    server_name www.fuckfang.ri; //修改为你的域名
    return 301 https://$http_host$request_uri;
    }
    diguoemo
        100
    diguoemo  
       2022-11-14 18:17:47 +08:00 via Android
    目前 ipv6 基本没有识别,可以裸奔 ss 协议,https 也不会封端口
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   5350 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 42ms · UTC 06:01 · PVG 14:01 · LAX 23:01 · JFK 02:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.