家庭ネットワークのリバースプロキシに関するコンプライアンス検討

家庭ブロードバンドでリバースプロキシサービスを使用する際のコンプライアンス問題と解決策について検討
Tags:
Categories:

背景

約90日前、私は湖北電信のIPv6接続不能問題に遭遇しました。長期的な観察と分析を経て、以下の経験をまとめました。

問題分析

当初疑われた2つの可能性:

  1. PCDN使用検知

    • PCDNは積極的に使用していません
    • 少量のBTダウンロード行為のみ
    • アップロード速度を制限していますが、問題は依然として存在

  2. 家庭サーバーをブログのオリジンとして使用

    • Cloudflareのオリジンルールでポートを指定
    • ISPにより「商用行為」と判断された可能性

3か月にわたる検証の結果、問題はHTTP/HTTPSサービスポートをパブリックネットワークに開放したことにあると考えられます。

具体的症状

  1. IPv6状態異常:

    • /56プレフィックスを取得可能
    • デバイスがグローバルIPv6アドレスを取得可能
    • 外部ネットワークにアクセスできない
    • 光回線モデムをブリッジモードにしたルーターのみIPv6が正常に使用可能

  2. Tailscale接続異常:

    • オリジンサーバーが直結を示すが遅延が異常(約400ms)
    • 他のデバイスはリレー経由で接続するが、遅延は低く(約80ms)

ISPポリシー分析

一部地域の電信事業者は頻繁なHTTP/HTTPSインバウンド接続に対してサービスクォリティ低下措置を講じています:

  1. IPv6サービスの品質低下

    • アドレス割当は正常
    • ルーティングテーブルが欠如
    • 実際にはインターネットに接続できない

  2. P2P接続制限

    • Tailscaleが直結を表示
    • 実際の遅延が高い
    • 帯域が制限されている

解決策

  1. リバースプロキシサービス停止:

    • Cloudflare/阿里雲ESAプロキシの停止
    • ルーターを複数回再起動することで正常に戻る

  2. ドメイン名スキャン防止: 以下の一般的なサブドメイン名の使用を避ける:

    - home.example.com
- ddns.example.com
- dev.example.com
- test.example.com

  3. 最適プラクティス:

    • GUIDを使用してランダムなサブドメイン名を生成
    • 規則的または一般的なサブドメイン名の使用を避ける
    • スキャンリスクを低下させるために定期的にドメイン名を変更