Dyskusja o zgodności prawnej odwrotnego proxy w sieci domowej

Omówienie potencjalnych problemów zgodności prawnej i rozwiązań związanych z używaniem usług odwrotnego proxy w szerokopasmowym dostępie domowym
Tags:
Categories:

Tło

Około 90 dni temu napotkałem problem z połączeniem IPv6 w sieci China Telecom w prowincji Hubei. Po długotrwałych obserwacjach i analizach, podsumowuję poniższe doświadczenia.

Analiza problemu

Pierwotnie podejrzewane dwa możliwe powody:

  1. Wykrywanie wykorzystania PCDN

    • Nie używam aktywnie PCDN
    • Tylko minimalne pobieranie plików BT
    • Wdrożono ograniczenie szybkości wysyłania, ale problem nadal występuje

  2. Serwer domowy jako źródło bloga

    • Określony port przez regułę powrotu do źródła Cloudflare
    • Może zostać uznane przez operatora za “działalność komercyjną”

Po trzech miesiącach weryfikacji, problem najprawdopodobniej wynika z otwarcia portów HTTP/HTTPS w sieci publicznej.

Konkretne objawy

  1. Nieprawidłowy stan IPv6:

    • Można uzyskać prefiks /56
    • Urządzenia mogą uzyskać globalny adres IPv6
    • Ale nie mogą uzyskać dostępu do Internetu
    • Tylko router pracujący w trybie mostu (bridge) na światłowodzie może normalnie korzystać z IPv6

  2. Nieprawidłowe połączenie Tailscale:

    • Serwer źródłowy pokazuje połączenie bezpośrednie, ale opóźnienie jest nieprawidłowe (około 400 ms)
    • Inne urządzenia łączą się przez pośrednika, ale opóźnienie jest niższe (około 80 ms)

Analiza strategii operatora

W niektórych regionach operatorzy China Telecom stosują obniżenie jakości usług dla częstych przychodzących połączeń HTTP/HTTPS:

  1. Obniżenie jakości usług IPv6

    • Normalne przydzielanie adresów
    • Brakujące tablice routingu
    • Rzeczywista niemożność połączenia się z Internetem

  2. Ograniczenia połączeń P2P

    • Tailscale pokazuje połączenie bezpośrednie
    • Rzeczywiste opóźnienie wysokie
    • Ograniczona przepustowość

Rozwiązania

  1. Wyłączanie usług odwrotnego proxy:

    • Zatrzymanie odwrotnego proxy Cloudflare/Alibaba Cloud ESA
    • Wielokrotne ponowne uruchomienie routera może przywrócić normalną pracę

  2. Zapobieganie skanowaniu domen: Unikaj używania następujących popularnych subdomen:

    - home.example.com
- ddns.example.com
- dev.example.com
- test.example.com

  3. Najlepsze praktyki:

    • Używanie GUID do generowania losowych subdomen
    • Unikanie używania regularnych lub popularnych nazw subdomen
    • Regularna zmiana domeny w celu zmniejszenia ryzyka skanowania