家庭網路反向代理的合規性探討
探討家庭寬頻使用反向代理服務時可能遇到的合規性問題及解決方案
Categories:
背景
約 90 天前,我遇到了湖北電信 IPv6 無法連接的問題。經過長期觀察和分析,現總結出以下經驗。
問題分析
最初懷疑的兩個可能原因:
-
PCDN 使用檢測
- 雖未主動使用 PCDN
- 僅有少量 BT 下載行為
- 已實施上傳限速,但問題仍然存在
-
家庭伺服器作為部落格源站
- 透過 Cloudflare 回源規則指定埠
- 可能被營運商判定為「商用行為」
經過三個月的驗證,問題更可能源於向公網開放 HTTP/HTTPS 服務埠。
具體表現
-
IPv6 狀態異常:
- 可獲得 /56 前綴
- 設備能取得全域 IPv6 地址
- 但無法存取外網
- 僅光貓橋接的路由器可正常使用 IPv6
-
Tailscale 連接異常:
- 源站伺服器顯示直連但延遲異常(約 400ms)
- 其他設備經中繼連接,反而延遲更低(約 80ms)
營運商策略分析
部分地區電信營運商對頻繁入站 HTTP/HTTPS 連接採取服務降級措施:
-
IPv6 服務降級
- 分配地址正常
- 路由表缺失
- 實際無法聯網
-
P2P 連接限制
- Tailscale 顯示直連
- 實際延遲高
- 帶寬受限
解決方案
-
關閉反向代理服務:
- 停用 Cloudflare/阿里雲 ESA 反代
- 多次重啟路由器後可恢復正常
-
防範網域掃描: 避免使用以下常見子網域:
- home.example.com - ddns.example.com - dev.example.com - test.example.com -
最佳實務:
- 使用 GUID 生成隨機子網域
- 避免使用規律性或常見的子網域命名
- 定期更換網域以降低被掃描風險