Discussione sulla conformità del reverse proxy nelle reti domestiche

Esplora i potenziali problemi di conformità e le soluzioni quando si utilizzano servizi di reverse proxy su connessioni domestiche a banda larga
Tags:
Categories:

Sfondo

Circa 90 giorni fa, ho riscontrato un problema di connettività IPv6 con China Telecom Hubei. Dopo un’osservazione e un’analisi a lungo termine, riassumo qui la seguente esperienza.

Analisi del problema

Due possibili cause inizialmente sospettate:

  1. Rilevamento dell’uso di PCDN

    • Sebbene non abbia utilizzato attivamente il PCDN
    • C’erano solo piccole quantità di download BT
    • È stata implementata la limitazione della velocità di upload, ma il problema persisteva

  2. Server domestico come sito di origine per il blog

    • Specifica della porta tramite le regole di origine di Cloudflare
    • Potrebbe essere stato giudicato dall’operatore come “comportamento commerciale”

Dopo tre mesi di verifica, il problema è più probabile che derivi dall’apertura delle porte dei servizi HTTP/HTTPS alla rete pubblica.

Manifestazioni specifiche

  1. Stato IPv6 anomalo:

    • È possibile ottenere un prefisso /56
    • I dispositivi possono ottenere indirizzi IPv6 globali
    • Ma non è possibile accedere alla rete esterna
    • Solo il router in bridge con il modem ottico può utilizzare normalmente l’IPv6

  2. Anomalia di connessione Tailscale:

    • Il server di origine mostra una connessione diretta ma con latenza anomala (circa 400ms)
    • Altri dispositivi si connettono tramite relay, ma con latenza inferiore (circa 80ms)

Analisi delle strategie degli operatori

In alcune regioni, gli operatori telefonici adottano misure di degrado del servizio per frequenti connessioni in entrata HTTP/HTTPS:

  1. Riduzione del servizio IPv6

    • Assegnazione dell’indirizzo normale
    • Mancanza della tabella di routing
    • Impossibilità di connessione effettiva

  2. Limitazioni delle connessioni P2P

    • Tailscale mostra una connessione diretta
    • Alta latenza effettiva
    • Larghezza di banda limitata

Soluzioni

  1. Disattivare il servizio di reverse proxy:

    • Disabilitare il reverse proxy di Cloudflare/Alibaba Cloud ESA
    • Il normale funzionamento può essere ripristinato dopo aver riavviato il router più volte

  2. Prevenzione della scansione dei domini: Evitare l’uso dei seguenti sottodomini comuni:

    - home.example.com
- ddns.example.com
- dev.example.com
- test.example.com

  3. Best practice:

    • Utilizzare GUID per generare sottodomini casuali
    • Evitare nomi di sottodomini regolari o comuni
    • Cambiare regolarmente il dominio per ridurre il rischio di essere scansionati