Discussion sur la conformité du reverse proxy en réseau domestique

Discussion sur les problèmes de conformité potentiels lors de l’utilisation de services de reverse proxy sur la bande passante domestique et leurs solutions
Tags:
Categories:

Contexte

Il y a environ 90 jours, j’ai rencontré un problème de connexion IPv6 avec China Telecom du Hubei. Après une longue observation et une analyse approfondie, voici le résumé de mon expérience.

Analyse du problème

Deux causes possibles initialement suspectées :

  1. Détection de l’utilisation de PCDN

    • Bien que je n’utilise pas activement PCDN
    • Seulement quelques téléchargements BT
    • La limitation de débit en upload a été mise en place, mais le problème persiste

  2. Serveur domestique utilisé comme source de blog

    • Spécification du port via les règles de retour source de Cloudflare
    • Pourrait être jugé comme un « comportement commercial » par l’opérateur

Après trois mois de validation, le problème provient plus probablement de l’ouverture de ports HTTP/HTTPS vers le réseau public.

Manifestations spécifiques

  1. État IPv6 anormal :

    • Obtention possible du préfixe /56
    • Les appareils peuvent obtenir des adresses IPv6 globales
    • Mais impossible d’accéder à Internet
    • Seul le routeur en mode pont du modem peut utiliser normalement IPv6

  2. Connexion Tailscale anormale :

    • Le serveur source affiche une connexion directe mais avec une latence anormale (environ 400ms)
    • Les autres appareils se connectent via relais, mais avec une latence plus faible (environ 80ms)

Analyse de la stratégie de l’opérateur

Certains opérateurs de télécommunications régionaux appliquent des mesures de dégradation de service aux connexions HTTP/HTTPS entrantes fréquentes :

  1. Dégradation du service IPv6

    • Attribution d’adresses normale
    • Table de routage manquante
    • Impossible de se connecter réellement à Internet

  2. Restrictions de connexion P2P

    • Tailscale affiche une connexion directe
    • Latence élevée en réalité
    • Bande passante limitée

Solutions

  1. Désactiver le service de reverse proxy :

    • Arrêter Cloudflare/ESA reverse proxy d’Alibaba Cloud
    • Redémarrer plusieurs fois le routeur pour retrouver la normale

  2. Prévention du balayage de noms de domaine : Éviter d’utiliser les sous-domaines courants suivants :

    - home.example.com
- ddns.example.com
- dev.example.com
- test.example.com

  3. Meilleures pratiques :

    • Utiliser GUID pour générer des sous-domaines aléatoires
    • Éviter d’utiliser des noms de sous-domaines réguliers ou courants
    • Changer régulièrement de nom de domaine pour réduire le risque d’être balayé