反向墙
概念定义
什么是墙,什么是反向墙?没有准确的定义。本人把 GFW 或 3C 运营商类似系统中【针对境外 IP 的封堵规则】称作墙,相对地,针对【境内 IP 的封堵规则】称作反向墙。
GFW 规则的基本要素有:封禁对象(IP 或域名)、方向(出境或入境)、协议、端口号、到期时间等。
GFW 规则可能是临时的,比如触发 SNI 审查后的残余审查持续约 90 秒;可能是长期的,比如针对涉翻墙服务器的 IP 封禁;还有可能是永久的,比如针对某些网站。
GFW 规则可能自动生成的,也可能是人工插入的。
更新
阅读近期泄露的部分 GFW 文件后,发现上面的概念定义,除了第一行其它都比较靠谱。而第一行,特别是反向墙这个词显得比较不科学,无法体现 GFW 工作人员对于这类 IP 的管理姿态。可能有必要重新命名。
个人认为把这类现象叫做:针对境内源 IP 的静态封控 或者简称 GFW 封海外 比较合适。
因此,下文中的「反向墙」用词现在开始统一替换为「封海外」。
机场入口被 GFW 封海外
- 作为【机场入口】的国内服务器 IP,可以稳定地触发封海外,而其他民用用途的国内 IP 很少触发。
- GFW 封海外非常灵敏,据测试,一个新的 IP 触发封海外最快只需几分钟。
- 触发后,此 IP 的【国际出方向】流量会被丢弃,而入境方向通常正常。 (所以 GFW 的封海外不能抗海外 D)
再说白一点,如果你的国内 IP 出现了被 GFW 封海外这种问题。那么它距离被通报、强制拔线,可能已经不远了。
原理/猜想
- 机场常用的协议 SS/SSR/VMess/Trojan 等已无法更新,目前均可被识别。
- 国内流量存在比 GFW 更广泛、更深度的分析,分析结果经常被用于秋后算账。
- 国内很多路由器都有下拉黑名单 IP 的机制,极端情况下可以实现实时的「封海外」和「省墙」。(2024 年 4 月开始已在新疆应验,不是实时,更像是人工操作)
- 国内运营商存在【DPI 和 DNS 日志】,国内用户访问一个 IP/域名 之后,就会引来网信办和安全公司的多种扫描器/爬虫。(中国特色的网络空间测绘)
- 微信 / QQ 等国内软件有监控,如果您的类人用户将订阅发到上面,就会被捕获引来爬虫。(实际上也不只针对机场,什么东西他们都会看一下,看情况处理)
- 越来越多的证据显示,与前几年相比,现在的“有关部门”越来越喜欢(或者说依赖)用 买订阅 的方法来获取机场入口 IP。
省级墙
省级墙是今后的趋势,请不要误判形势觉得要拆墙啥的。今后应该是国墙和省墙一起建,增加投入审查人力物力。
省级墙(例如新疆)拉黑中转的 IP 清单与 GFW 封海外的 IP 清单比较重叠,说明两者的产生过程可能是类似(但不相同)的。
解决方案?
双 IPv4 中转
- 主 IP (出口 IP)是出方向默认的 IP,可以通过
curl -4 ip.sb或者 Nyanpass 探针查看主 IP。 - 主 IP 一定不能给用户连接。一般做屏蔽入站处理。
- 副 IP (入口 IP)用于给国内用户连接,一般会被封海外,无法出海。
IPv6 中转
- 只使用一个 IPv4 (入口 IP),用于给国内用户连接,一般会被封海外,无法出海。
- 国际方向流量使用 IPv6,目前 IPv6 的墙比较低。
通报?
稍有常识的人都会看出 “双 IP”是治标不治本的,只解决了海外通信,根本没有解决导致被封的问题本身。这是在浪费国内 IP 。所以入口 IP 的通报就来了。
- 跑机场(FQ)在国内语境下属于违规/违法行为,具体处置方式和力度几乎完全取决于监管单位。国内 IP 跑机场招致任何打击,包括但不限于(高频率)通报,都是正常的。
- 通报 IP 清单的产生,存在大量的人工因素。例如寻找泄露订阅,甚至是直接购买订阅。
- 从技术分析的角度,跑机场被通报的问题是无解的。只能从更高层面考虑:自行“整改”违规业务。
再次强调:通报并非单纯的协议或者技术问题,而是业务形态(给国内用户提供翻墙)违规。应该整改业务本身。具体方法请自己想,若想不到,请自行倒闭。
IPv6?
2025.09: 近期 IPv6 入口也会吃通报了,通常是 /128,并且似乎通报的多了,大段(例如 /44)有可能被 GFW 封海外,估计是人工处理的。