https 源自我的家庭网络,目的地是我的家庭服务器,但使用阻止 SSL 握手工作的外部 IP 地址。我坚持使用的路由器是AT&T提供的BGW210,我在80和443上设置了NAT到我的服务器。
如果我从外部访问从家庭服务器提供的网站,它工作正常。如果我只设置http/80,无论我从哪里访问它,它都可以正常工作。如果我在本地网络中的计算机上更改/etc/hosts 以使域直接指向本地 IP,那么 https 网站可以正常工作。当它解析为我的外部静态 IP 然后通过 NAT 并且我从本地网络执行此操作时,我会出现超时和迟缓。
如果我在各自的端口上做telnet,你可以看到它在握手时挂在哪里,我保释(域和IP替换(:
pinkboi@Thomass-MBP ~ % telnet example.com 443
Trying 7.7.7.7...
^C
pinkboi@Thomass-MBP ~ % telnet example.com 80
Trying 7.7.7.7...
Connected to example.com.
Escape character is '^]'.
事实证明,这是此路由器和端口443的问题。如果我在 8443 或其他设备上进行相同的设置,https 工作正常。进一步看,事实证明这是AT&T提供的路由器以及可能的其他路由器的长期问题(请参阅此处,此处和此处(。尝试在路由器上使用 IP 转发或 DMZ 设置不会从它正在执行的任何过滤中保存其背后的任何内容。所有防火墙设置都不起作用。
由于我已经有静态IP,因此我能够绕过过滤,并通过打开公共子网模式有效地将BGW用作调制解调器,将我自己的路由器用作路由器。为此:
- 从AT&T获取所有静态IP,默认网关,网络掩码设置(如果您还没有(。
- 转到家庭网络 ->子网和 DHCP
- 打开公有子网模式并允许入站流量。将主 DHCP 池设置为公共。 根据需要
- 将AT&T的信息放入之后的字段中。我也没有将 BGW 本身设置为使用任何静态 IP,因为我不使用它为任何服务器执行 NAT。
- 使用所需的设置设置您自己的路由器,然后将其关闭,将其 WAN 端口插入 BGW 的以太网端口之一。打开它。
- 将服务器连接到此路由器而不是 BGW 并在其上设置 NAT。
现在,BGW 的过滤被绕过了,现在您自己的路由器的工作是为服务器处理 NAT。这也提供了您不会受制于 BGW 有限功能集的优势。如果你有一个好的路由器,上面有DD-WRT,你可以设置自己的DNS,VPN等。是的,这彻底解决了端口 443 问题。
请注意,您通过以太网(不适用于 wifi(连接到 BGW 的任何内容都将直接暴露给外界。我只会插入带有防火墙的路由器,因为您再次绕过了BGW的防火墙。