有效防止端口被封的办法

wwbfred

看来很多人还是不知道，主动探测是封锁的必要条件，开IP白名单即便是你挂最原始的SS也不会被封锁。这个方法至少现在还是有用的。你也不一定非得用iptables写规则，有的VPS服务商提供防火墙直接用就行。自己写规则也不复杂，也就两行规则，我现在就在用。
iptables -t mangle -A PREROUTING -p udp -s 10.0.0.0/24 --dport 8080 -j ACCEPT
iptables -t mangle -A PREROUTING -p udp --dport 8080 -j DROP

wwbfred

davidsky2012 发表于 2022-4-21 21:27
主动探测并不是封锁的必要条件。虽然对大多数协议来说主动探测是封锁的必要条件，但还是有部分协议没有主 ...

你说的这个当然有可能，但这只是理论，没有被观察到被部署。我只碰到过由于流量太大被墙的，包括TLS指纹在内的流量识别技术我暂时还没有碰到过。
就我个人而言，家庭网关上我客户端前置了个Nginx，TLS参数是我自己配的，不存在指纹问题。但手机上我用的就是shadowrocket，这玩意的指纹要想处理早就处理了。
我说的就是一些观察和实验的现状，不是精确的理论分析，你也不需要咬文嚼字。情况在以后当然也有可能发生变化，但到时候再说就行了。

wwbfred

woputby 发表于 2022-4-21 21:22
大佬用debain和nginx的怎么操作？
iptables -t mangle -A PREROUTING -p udp -s 10.0.0.0/24 --dport 808 ...

这是系统级的东西，直接输命令就行了，和Nginx无关。
第一行是放行10.0.0.0/24对UDP8080端口的访问，第二行是拒绝所有IP对UDP8080端口的访问。由于iptables是按序执行，两条加到一起就是放行10.0.0.0/24拒绝其他IP。

wwbfred

akkba 发表于 2022-4-21 21:34
有用的, 嘿嘿, 别声张

有什么不能声张的，他们超算没那么猛，只靠流量分析假正率肯定是下不来才有了这个策略。我认为这个策略短期内很难产生变化。

wwbfred

sai 发表于 2022-4-21 23:12
如果我使用ss是TCP吧，另外这10.0.0.0/24只是举例不是实际操作用到的吧。我如果要连接ssh22端口会失败吗 ...

ss是tcp走tcp，udp走udp。用之前最好学一下iptables怎么用，然后多试试就知道了。把自己关外面也没事，只输入命令不固化的话重启就失效了。