V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
通过以下 Referral 链接购买 DigitalOcean 主机,你将可以帮助 V2EX 持续发展
DigitalOcean - SSD Cloud Servers
dai201617
V2EX  ›  VPS

[求助] 关于 vps 的端口问题

  •  
  •   dai201617 · 2018-12-10 16:26:03 +08:00 · 661 次点击
    这是一个创建于 2174 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今年十月份在 digital ocean 搭的 5 刀 /月的 vps,一个人用之前一直没问题,但今天发现连接 Google 时超时,ss 的日志也显示 time out。用站长之家的端口扫描工具扫描显示我所有端口都被关闭了,但是登陆 do 的控制台发现这些端口都处于监听状态。小白不懂端口关闭是啥意思,求教 v 站大佬可能的原因以及解决办法。

    9 条回复    2018-12-14 21:48:07 +08:00
    DGideas
        1
    DGideas  
       2018-12-10 17:58:54 +08:00   ❤️ 1
    最近几天大量服务器被墙了。

    通过国内网站(比如站长之家)扫描你的端口,关闭的意思是端口不可到达,或者端口在服务器端没有程序监听或者做响应。

    你可以在 https://www.yougetsignal.com/tools/open-ports/等国外网站进行同样的端口扫描操作,如果你发现类似于'Port XYZ is open'的提示,说明你的服务器被 GFW 关注了。

    GFW 使用 TCP 阻断技术对部分服务器进行封禁
    DGideas
        2
    DGideas  
       2018-12-10 18:01:16 +08:00   ❤️ 1
    上边的网址是只到 open-ports/,请自己改一下
    jasminnoir
        3
    jasminnoir  
       2018-12-11 09:18:42 +08:00
    那个网页只是普通的端口扫描,和墙有什么关系...
    DGideas
        4
    DGideas  
       2018-12-11 09:29:31 +08:00   ❤️ 1
    @jasminnoir 目前墙对大部分挂载 Shadowsocks 和 openVPN 等服务的服务器采用的是 TCP 阻断,换句话说,就是 Ping 能联通,但是访问任一 TCP 端口都不可达。之前依靠检查是否 Ping 可达的方法已经不能使用
    dai201617
        5
    dai201617  
    OP
       2018-12-14 15:04:09 +08:00
    @DGideas 感谢。
    很不幸目前所有的端口测试都是 open,昨天看了一下确实现在用的是 tcp 阻断。
    请问能不能 新开一个 port 然后修改 ssh 端口为新开端口 继续使用?
    或者请问有什么不用换 ip 的方法可以使 vps 继续使用,因为个人网站用这个 ip 搭建的,现在在国内又上不了。
    DGideas
        6
    DGideas  
       2018-12-14 17:00:40 +08:00
    @dai201617 不能,因为目前的情况如果是 TCP 阻断的话,阻断的是所有 TCP 端口的连接。这样做的意义在于不希望用户通过更换端口号的方式对封禁进行规避。

    目前来看,除了等待 GFW 在一定时间后(根据其他网友的反馈,可能是数周时间)自动解除封禁以外没有其他可以从大陆地区直接连接服务器的方法。我没有使用过 DigitalOcean,不过大多数服务器提供商都会提供有后台管理面板,你应该可以从管理面板中把服务器的文件下载下来。这样走的是 DigitalOcean 的渠道,而不是直接连接你的服务器。要注意,有的云服务器提供商提供免费或者付费更换 IP 的服务,由于 GFW 对于 TCP 阻断是基于 IP 地址的,所以更换 IP 后你的服务器应该可以在大陆地区通过新 IP 地址直接连接。

    我感兴趣你在你的服务器上搭建了何种服务导致封禁呢?它是如何配置的?
    DGideas
        7
    DGideas  
       2018-12-14 17:02:54 +08:00
    @dai201617 看到你的第一条帖子了,如果是 SS 的话,加密方式请不要使用 rc4-md5 等方式。出于一些原因这样的加密方式已经不再安全,推荐使用下面四种密码算法之一:chacha20-ietf-poly1305,aes-256-gcm,aes-192-gcm 以及 aes-128-gcm。
    dai201617
        8
    dai201617  
    OP
       2018-12-14 19:56:08 +08:00
    @DGideas
    明白了,谢谢。
    只是用了 ss (用的秋水逸冰的一键脚本)+bbr 加速和 wordpress。今天看了下,我在 do 的两个 vps 都挂了,应该是最近封禁力度加大了。

    加密方式用的默认的 aes-256-cfb。目前的解决方法是新建一个 vps,将原有 vps 数据迁移到新的 vps 上。
    新搭建的 vps 会使用 ipv6+动态 ip 等方式,不知道还会不会那么容易被封。
    谢谢
    DGideas
        9
    DGideas  
       2018-12-14 21:48:07 +08:00
    @dai201617 感谢你的回复。

    新的 vps 加密方式可以试试 chacha20-ietf-poly1305,这个应该比较安全。我目前的几台服务器用的加密方式也是 aes-256-cfb,正在考虑换到 chacha20-ietf-poly1305,但是由于使用的人数较多,我也正在逐步迁移至新的 SS 连接配置中。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2871 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 06:58 · PVG 14:58 · LAX 22:58 · JFK 01:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.