论如何伪装家庭宽带 HTTP 服务

前提是咋得出的？

随便买个 vps，然后反代给 adsl，其他一律拒绝，这样应该没问题

@herozzm 反代也过不了包检测
现成的 frp 啥的不就好了 还靠谱

有一个思路：
1.建立一个独立的 TCP 服务端，只接收数据，然后识别 GET 路径的字符串，当字符串是特定字符串时，把这个请求的 IP 加入防火墙里面(有效期可以自己设定)，允许它访问所有 HTTP/S 服务。
这样即使被扫描，也只会被扫描到那个没有任何数据返回的 TCP 端口。

2.打开 HTTP/S 之前需要先打开另一个端口的网页 http://xxxx:1234/keyword，然后关闭这个这个假网页，再打开正常运行的 HTTP/S 服务即可。

3.当然有个问题是，在复杂的网络环境，比如长城宽带，你打开这两个端口的源 IP 可能不一样，导致加入防火墙的 IP 地址对于 HTTP/S 服务来说无效。

@takitooru 这思路 20 年前就有了，port knocking，两个 iptables 命令就可以搞定。

买一台阿里云，用 openvpn 桥接起来问题不就解了

@myqoo #5 我稍微看了下 端口敲门，按照指定顺序端口连接的做法适合机器去访问，不适合人去操作。识别 http get 的路径只需要用户用浏览器打开一个网页就行。

@takitooru 也可以做成 http 版的，iptables 加上 http 特征的 match 就好了

哪用发明轮子，买个 VPS，支持 ssh 登录，即可，然后用 ssh -R 反代，完事。

iptables 就能搞定

但是没用

回去翻翻协议，没有包含就怼，包含了就别作

@takitooru @haoxingxing

分光镜像分析，你这条链路做过啥都能知道，限制 IP 没用的

TLS 换端口 加密码

我觉得完全可能是和某墙一样是通过深度包检测查到的

为啥不开 VPN 连回去…

ss 反代回来。

目前阶段的 TLS 会暴露 ALPN 和 sni （ TLS 1.3 可选加密 sni，ALPN 没办法了）
双向证书认证除了浏览器基本没有实现
dpi 实在是躲不过

vpn 回家不好用么

@lydasia 是啊，搞折磨复杂干啥，ovpn 连回去得了

如果是嗅探，那么直接访问白名单不就行了。。

从此科学上网又多了一项需要具备的技能。

@herozzm 如果是流量检测就没用

vps+zerotier ？

坐标广州，未雨绸缪先打定底。
条件：1 个备案域名。
限制：流量较少，10G/月。
方法：腾讯云 CDN，提交工单要腾讯的节点列表，路由设置只允许特定列表的 IP 段连接（ ipset+iptables ）。
效果：通过备案域名访问完全 OK，非白名单 IP 连接就像没开端口一样。。。

备用方法：
路由搭 nginx，只能通过特定域名访问，通过 ip 访问的直接 deny （ 40x 都不返回）。

tcp 敲门这么简单的手段都不用

现状：村子被鬼子围了
目标：跟八路交换物资，不然鬼子知道
思路：大门紧闭，鬼子来喊话，就不开门，八路来喊对了暗号才开门

鬼子：你们一大帮人进进出出当我是瞎子吗

深度流量检测，做啥都能知道，不管是不是检测来源

frp 难道不香吗？

在防火墙检查出站流量，包含 404 的就断开连接

跑个 ss 或者 v2 服务端，在外面连呗。。你就想象你的路由器是防火墙的另一头，再配置一下内网 dns、内网路由啥的，还能实现分路由转发。

有的人爱用 ovpn、wg、frp 啥的，楼主可以权衡一下，哪个配置文件写起来麻烦，哪个客户端用起来容易。用不着弄什么 port knocking、iptables 啥的，都是花把式。

楼上有些人，别总用码农的思路去思考，从高一点的视角去想问题的前提是什么，怎么解决问题，扯一堆高大上的技术真的没用。

你搞了 port knocking 你移动端用脚去访问？还是我为了一个 http 服务，我要自己写个构造特定包的安卓应用、Mac 应用、Windows 应用，每次访问前启动一下？你家里搞一个 http 服务阿里云中转，花这么钱我干嘛不搁 vps 部署服务（而且我们还不知道楼主的应用是啥）？现在 DPI 成本也不高，运营商买俩设备检测个流量，frp 是不又凉了？

我写了一个解决方法，对于必须的网页服务，记得上 HTTPS，利用 sniproxy 保护好自己 /t/623594
当然运营商如果针对请求进行抓包检查的话，那还是会暴露 SNI，那真没办法了，毕竟都到这一步了（手动狗头