有用NAS被联通以安全为由要求停止使用的吗?
<>问题分析:
大哥,你这个玩法的是跳着脚的在商和管局头上拉屎啊!
我也有公网IPv4和IPv6,但是我看了你的描述,你的胆量是的大啊,就算是联通能给你睁一只眼闭一只眼,管局发现了以后可不会这样的松口的,你这是让管局给联通找麻烦,联通肯定不会乖乖吃这个哑巴亏,况且你私建端口本来就是违规使用宽带的,这样做本身还是影响联通的切身利益的做法,你这不是给联通找不痛快吗,联通就是想对你睁一只眼闭一只眼,他也难啊,怎么可能不来找你呢?
我给你分析分析,你好好看看你干了啥:
你这不是是啥,联通和上级管局都会去拉数据抽查看看有没有私建站点的,人家不管你是不是用的NAS、主机还是,总之在数据端看你有上行流量立马就能识别出来,你就算备案了域名再做DDNS,你还提供了we服务出来,那也是违反了联通规定的,对于联通来说你属于使用家庭宽带去做应该是专线宽带做的事情,使用家庭宽带开立站点,你这属于违反开通宽带时的那份服务协议了。联通找你告诉你让你关停私建服务,否则给你断网这个事基本上是没有违反什么规定的。
插眼更新:
如果商不尽告知义务直接封停宽带,这就属于商违规,属于侵害消费者权益的行为。断网之前必须尽到提前通知的义务,否则用户有权对商的这种侵权行为进行投诉。
给你捋一捋:
1、你域名:5000端口直接访问群晖,事实上属于提供公开的网络服务,属于;
2、你了域名也做了备案,做了DDNS解析,属于要做公开网络服务了。
<>而另外很多人可能不知道的是,提供网络服务的机房也是要备案的,这个备案一般是一组备案过的分配到机房的IP网段。而你用的是家宽IP去绑定域名,你做的这个事情管局是一定会找到联通头上,联通不想细查也得查,最终查到你头上,甚至对于联通来说想对你睁一只眼闭一只眼的机会都没有。联通通知你要么开专线宽带备案做服务,要么关停服务。
那是不是没办法了呢?也不是。
<>解决方案:
一般来说,如果你想给自己提供家庭NAS服务,只是自己和少数几个人用那就请不要再用DDNS+这条让自己服务暴露在公网上的技术路线了,由于的明文发送的性质,管局那边是很容易查出来的。对于联通来说,你也不要这么做了,因为他们认为你在使用家庭宽带做专线宽带的业务,属于用户违约。第二,流量是明文,一拉数据查一个准,最起码要有一个签名的s服务端口。第三,端口往20000以上开,而且端口号一定要特别的无规律,如说像21365,35712这样的看起来很随机很人畜无害的的端口号。不要出现跟80、8080、443、5000、5443、8000、18080、18443等等这样容易让人认出来的端口号,端口流量一定要至少有TLS加密才行。
但是注意了,由于你现在是已经被发现使用家宽做we服务,上面这条路子很有可能是行不通了。尽管对端口进行s加密,但是如果有管局的人员审核流量时留点心眼,也是会发现你提供了s端口服务的,还会给你再下通知的,到时候给你断网是的就难受了,到时候还得给联通打申请,写保证书等等才能给你开通。
<>建议:
所以我的建议是,如果你的NAS,仅限几个固定的几台主机使用,并且很少用使用的话,那我强烈建议不要对公网绑定任何域名,并且不要用任何方式如DMZ主机,路由器端口映射的方式暴露NAS服务端口。
最建议你在NAS上安装一个类似zerotier、tailscale或者netirds这样的SD-WAN服务,这样你可以在不对公网公开任何服务的同时,可以异地组建一张你的任何地方的主机到你的NAS的虚拟局域网,全程使用虚拟局域网去访问,这张虚拟局域网的拓扑结构还是那种混合型直连拓扑结构,P2P连接高速快捷还保密,外界看到你的这些主机和NAS之间只是UDP二进制数据在传输,丝毫不会认为这是提供了we的服务端口,只要不是对外公开发布的we服务端口的协议无论是管局还是联通都不会去干涉的,他们拉数据报告只是看到这是一个普通应用的常规数据业务,是不会找到你头上来的。
<>结论:
题主这么做看出来有一定的技术方面的了解,但是对管局还有联通的一些规定和特色性的要求了解不多,这样容易踩坑,如果不是很小心的话还有可能惹祸上身的。
更新一下:
最近有的地方商疯狂封一些使用PCDN和NAS的宽带,而很多是只是用NAS用户也被封了,封停宽带的时候连告知都没有,一声不吭就给封停了,这种情况是商违反消费者权益的做法,不尽告知义务而直接封宽带的情况,该投诉投诉,不解决问题,不给出封停的理由就可以考虑先投诉到商投诉,如果不解决问题就投诉到工信部。商不尽告知义务直接封停是一种侵害消费者权益的行为,消费者理应去。
20240712更新:
1、DDNS不违规,你通过DDNS在家中搭建wireguard或者OpenVPN的这些作都不违规,都不违规,都不违规。注意,违规的是直接暴露we端口提供服务,并不是说DDNS违规或者备案的问题,问题在于是否提供服务。仅仅作DDNS都没事,你要做监控录像机需要外网IP或者DDNS域名等等这些都是正常需求,搭建自用OpenVPN连接家庭网也是正常需求,都不违规,违规的是你直接使用这个DDNS域名开we端口公开直访。但是假如说你有某些理由不得不开we端口,那请你,一定一定要开s,一定要开s,并且内容访问一定一定要加权限访问,必须要有用户权限模块,这是最接近红线但是相对来说没有直接端口那样容易被发现了。
2、前两天工信微报公众号发布了要逐步减少NAT44网络设备数量,这意味着IPv6的过渡期可能要迎来下一阶段,那就是要准备IPv6全面化,外网内网设备将加速迎来全面的IPv6时代,有好处也有风险。这意味着要准备全面支持内网IPv6的PD前缀下发的设备,并且会要求商,云计算服务商都要加速支持IPv6,届时IPv6的设备间的直接互访将会越来越近,同时We端口的风险问题也可能要更加留意。当然了,以后很有可能会在家宽IP的we端口这方面有一些政策调整,也未可知。但是就现在而言,无论是不是IPv6,自用we服务或者NAS设备,无论有没有使用DDNS绑定,请尽量使用wireguard或者OpenVPN进行内网访问。
当全面的IPv6支持之时,所有的设备均会暴露到公网上,所有设备将会被主干网可访问,这时就一定要留意好自己使用的路由器设备,是否支持IPv6防火墙,有需求的人请一定要严格关注IPv6防火墙功能。如果希望外网对自家网络设备的访问,请考虑打开IPv6防火墙,并继续使用wireguard类或者OpenVPN进行访问。如果你精通技术或者有外网访问内网资源需求,那么可以考虑关闭IPv6防火墙。
更新:
群晖NAS的文件分享是不违规的,那个东西本质上是内网穿透,而不是直接访问。
参考文献:
工信部、中央网信办组织开展“网络去NAT”专项工作进一步深化IPv6部署应用
