又疯了一个 ip，墙太可恶了

换个端口就行

1L+1

我也是发现端口被封，换个端口解决了。。。

换个端口，我的 443 被封了，继续拿 8443 跑，然后 443 套了个 CF （速度还不错，能看油管 4k ）

你们都是用来做什么的，为啥可以用这么多流量

坐等明年三月看戏。

一天 30g 你开网吧吗？

直接在 80 端口跑

@hdp5252
@twofox

没开网吧，就 4-5 个人用，刷刷推特，油管，看视频流量当然大啊。。。


@paullee
@wangxinpier
@to2false
据说换端口到时候直接封 IP 了。。

目前还没有被封，自用，还好

@July1991 #9 我觉得封的点可能会不会是在在 4-5 个人用吧? 这 4-5 个人都在一个城市,一个运营商吗?

Websocket 协议？按 git hub 的讨论，已经精确识别了，升级版本用 utls 试试

v2+ws 套多个 cf 优选+clash 负载均衡

感觉我的搬瓦工 gia 好几年了，基本上很稳定。一直以为是 线路好，现在看起来是我用的流量少，一个月就一两百 G 。

套 CDN

我刚买两天，流量才用 5G ，也是今早被封了 443 ，套了个 CF 可以了。搞不懂封的原理。我用 nginx 反代分流，/路径是正常的个人网盘。

同 443 被封，网上说最近有专门封基于 tls 的协议，所以暂时换了协议用，虽然目标更明显了但是貌似没什么动作

恭喜你，就是按流量封的，你单 IP 一个端口往死里跑傻子都能看出来。

套 CDN ，或者用机场作前置代理。但这两种都适合用线路差，便宜的 VPS 来落地。搬瓦工 GIA 用这两种办法太奢侈了，相当于你的线路加成完全没用了。

端口一天一换

@ScepterZ
@sadfQED2 基本上可以确定就是 over tls 的锅


@zhangxh1023
流量也极有可能是关键

好日子还在后头 把 ip 全封完了也就正式开启大局域网时代（ doge

@sadfQED2
utls 也解决不了，https://github.com/XTLS/Xray-core/issues/1253

我就自己用，流量很小，也被封了，但 ipv6 就没封，现在只用 ipv6 了

用的 80 端口 还是我比较勇（

也有可能是 ip 段热门程度，热门机房的 ip 段可能会被盯上。

443 如果是 websocket 用 nginx 转发一下，proxy_pass 的 location 搞得复杂一些，例如生成个 uuid ，并且不要在任何浏览器直接访问或是发送到聊天工具里，这样所谓主动探测几乎难以实现。

tls 指纹则看看 utls 和 naiveproxy 等方案。

那些基于 quic 的工具也部署一些，例如 hysteria 、tuic 。

还可以尝试 hysteria 近期更新的一个功能 https://hysteria.network/docs/port-hopping/

@July1991 既然 TLS over TLS 封的这么快，不如试试 shadowsocks-libev 。

国庆被封了两次，后来索性直接换成 ss 了，反而用到现在很稳定。over tls 很可能被识别了

我的两台搬瓦工用了快三年没一点问题，每个月每台流量大概 100-150G,服务器前端 nginx 开 443,遇到 trojan 协议回落到 trojan 的端口，其余的流量都访问本地的静态网站。

@0o0O0o0O0o github 讨论貌似 utls 也不能避免指纹

naiveproxy 感觉没有好用的客户端，而且可选择的比较少，我去了解一下 hysteria 、tuic ，感谢。


@AlphaTauriHonda ss N 年前就感觉不行了，现在还可？

@July1991 ss 现在都非常坚挺。当然跟线路、运营商也有关

和你的主机商家也有关。部分商家的 ip 段会被重点关注。

@July1991
我这 ss 小流量没问题，大流量就封了

套 cf cdn 可解，不要暴露自己 vps 公网 ip ，套 cdn 隐藏起来，vless + tls + websocket 很稳，10 月 3 号大面积封锁 tls 443 都没事，参考事件： https://github.com/net4people/bbs/issues/129

还能用 warp 脚本通过 wireguard 接入 cf warp 网络更换公网 ip 、解锁 netflix

我测试成都联通、移动、电信都支持油管 4k ，速度还行。

楼主标题党啊，明明是端口被封，换个端口就可以了。

这不算 IP 被封。

@photon006 cf 居然这么快

我觉得玩推特容易被墙 ，看新闻每次抓到翻墙的几乎都是玩推特发 ZZ 内容的。

@photon006 现在还是用 x-ui 还是有别的脚本？很久没折腾了

换 naive

不知道题主用的什么协议，怎么配置的。
如果被封说明协议已经被识别了或者 IP 段被重点关注了。不管怎么说，还依然使用之前的方式风险是很大的。
如果用 tls 可以试试 xray 最新版本的 xtls-rpxp-vision 流控。

@LZSZ 推只看不发。

@raysonx ws+tils+nginx

@Sekai

我没用第三方脚本，直接官方镜像起一个 docker 容器：

docker run -d --name v2ray --restart=always -e TZ=Asia/Shanghai -p 127.0.0.1:22000:22000 -v /opt/v2ray/config.json:/etc/v2ray/config.json v2fly/v2fly-core


起一个 nginx ，挂一个假网站，梯子流量走 websocket：

docker run -d --restart=always --name nginx -v /opt/nginx/nginx.conf:/etc/nginx/nginx.conf:ro -v /opt/nginx/conf.d:/etc/nginx/conf.d:ro --network=host nginx

```
upstream v2ray {
server 127.0.0.1:22000;
#server 10.0.0.228:22000;
#server 10.0.0.168:22000;
}

location / {
proxy_read_timeout 60m;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Proto https;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
proxy_redirect off;
proxy_pass http://127.0.0.1:8080;
}

# ws path
location /G3XdhUTa9Xv5jp9F {
proxy_http_version 1.1;
proxy_set_header Host $http_host;
#proxy_buffering off;
proxy_redirect off;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
proxy_set_header Origin "";
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Real-IP $remote_addr;
proxy_socket_keepalive on;
proxy_read_timeout 1m;
proxy_pass http://v2ray;
}
```

域名由 cf 解析，A 记录指向你的服务器，一定点亮橙色图标开启 cdn 隐藏 vps 公网 ip 。

@July1991 别用会被主动探测有漏洞的版本就行了。
可以用 shadowsocks-libev 的 v3.3.5 ，或者 https://github.com/Jigsaw-Code/outline-server ，还要选择 AEAD ciphers 。设置错了，或者用有漏洞的版本都会被封。

你也可以试试 Vmess 的 mKCP 传输，设置一个 Seed 。不设置 Seed 的 mKCP 也是必封。

@villivateur 我觉得还有很多人在用错误的版本，或者没用 AEAD ciphers 。

甲骨文免费机用了一年多一直很稳

应该不是流量统计，我也是 websocket tls 被封，换成非 tls 加密，目前一个月了没被封，每个月也是 1000g 流量左右

@July1991 根据目前的信息推测，这种配置产生的 TLS over TLS 流量可能会被识别，建议试试我上面说的 XTLS Vision 流控。

@AlphaTauriHonda 最新的 2022-blake3-chacha20-poly1305 cipher 个人感觉更稳。

不论用何种方式，都建议在远端配置禁止国内出站方向的流量。

你机房的问题，机房的 IP 段在黑名单

@sadfQED2 什么 vps 求问

@AlphaTauriHonda 你还别说 我一个 Trojan 的机器 443 被封 我就想试一试 SS 结果把我用了一年多的 IP 直接墙了 半个月了都

最好用>=2 线路做负载，不要把流量往一条线路灌，流量一大，达到封锁线就 over 了

梯子不要给别人用，人多了特征太明显了

如果想求稳的话，建议 CN2/9929 线路用 naiveproxy ，普通线路用 Tuic / Hysteria

它不是墙，叫他（她）：天网

@HolaPz
+1
两种同时开着，自用查资料，月流量几个 G 。
先是 Trojan 封端口，后是 ss-libev+AEAD 封 IP ，
前几年的封禁高峰期，确实幸存了，但这次就完蛋了。
所以上面的兄弟，不能因为幸存几次就确信没事了。
如果是根据流量，那我几个 G 都被封，这个流量界限也很低了吧...

热门机房都是整段 IP 封的，所以并不是你的方式有问题，换机场或者类似龟壳这种无限换 IP 的比较稳一点

我感觉很可能跟你分享出去给其他人用有关系。我是 v2ray 的 websocket 方式，四年来，只换过一次 ip ，其他情况最多有些干扰，但没被封过。

补充一下，我只给自己自用，不提供他人使用。

现在的各种工具还没有实现动态端口的， 加个 http 通道传递端口信息即可

443 ws+lts 从来没有被封过，最近换了 quic+lts 还没有被封。日本软银机房。和 56 楼一样，只有自己用。

公司内部使用 quic+lts N 年了 没有被封

都知道用搬瓦工，为啥不知道用搬瓦工的 JustMySocks ？自动更好被墙的 ip

换个端口

@July1991 我 1 个人 50G 都用不完

aHR0cHM6Ly9ob3N0bG9jLmNvbS90aHJlYWQtMTA4MjMzMC0xLTEuaHRtbA==

@fork3rt ，现在还有啥其他的提供日本软银线路的 VPS 吗

@photon006 GIA 这种优质线路 套了 CDN 属于浪费。我和 LZ 一模一样情况。Vmess+TLS+Nginx 流量一大就封端口。每天早上执行。

@citydog 我个人不用 JustMySocks 是因为觉得太浪费 IP 了，无脑暴力轰炸地址，让本就不充裕的 IPv4 地址雪上加霜……Vultr 当年就是因为太多中国人用来无脑暴力翻，导致现在上面的 IP ，20 个里面有 19 个都是坏的。

@v2exe2v 一样的，搬瓦工 gia

@garipan 套 cdn 的一个重要目的是隐藏公网 ip ，从安全方面考虑不用担心被封，我甲骨文小鸡稳定运行 9 个月从来不考虑被封，至于速度，能同时支持几台设备看油管 4k 足够了，再快也没啥意义，就好比 4g 够用的情况追求 5g 那样无聊。

搬瓦工的 IP 可是热门封锁的 IP 段和商家。。。
还有，能尽量不依赖一键包的就不要用一键包，参考别人的配置然后自己编写 config ，这样你就会对这个工具的配置文件有了深刻的了解了。
我折腾了一段时间后，现在实现了多个服务器随机负载+透明网关
记得要屏蔽回国流量
记得要屏蔽回国流量
记得要屏蔽回国流量

@roding #16 有屏蔽回国流量吗？

@estk 甲骨文我和兄弟的四台，就这俩月阵亡三个 IP 了。目前仅存一个

和机子地区也有关系，IP 要是在热门地区比如 LA 那就是重点关照对象

@photon006 感谢 不过稍微有点疑惑的是开启云朵之后在访问一些 ip 检测网站的时候还是能够显示我的源 ip ，这种情况算正常？

@wxw752 #74
可能他用力过猛。我两个账号 7 台机器一直生龙活虎

@Sekai 你访问经过梯子的目标网站当然知道你的源 ip ，但 gfw 不知道你访问的梯子 ip ，他只知道你访问了 cf cdn ，流量路径差不多是这样：

手机 > 软路由（ ssr-plus: vless ）> 运营商 > gfw > cf cdn > oracle vps (nginx > v2fly-core) > cf warp > target website

cf warp 看情况要不要用，每个人需要不一样。

在用 naiveproxy 续命中。。。

@photon006 CF ip 你有优选吗？

@wpaygp 没有，3 个运营商都测了，都能油管 4k ，还是几台设备同时看。

@photon006 羡慕用的哪家 VPS

@wpaygp 白嫖的甲骨文 amd64

楼主如果是瓦工绝版的，出的话我占个位。

我的瓦工 2 台一直很稳，就是流量不够用。

@zxbiao “记得要屏蔽回国流量” 怎么屏蔽呢，屏蔽后国内是不是不能访问 vps 了？我机子上还有一些别的服务在跑，比如博客，屏蔽了就访问不了吧？


@hoky 不是绝版，149 刀的年付。

@photon006 话说，你套完 CDN 延迟如何？因为目前并不封 IP ，只封端口，本来 Nginx+WS+TLS 这一套下来 延迟就已经很高了，个人感觉套 CDN 不是一个高性价比的终极解决方案。我现在还是想知道有没有更优雅、更简短快速高效的方案。

@garipan

坐标成都，随手测一下，ping 我的域名，也就是本机到 cf cdn 之间耗时

移动：215ms
电信：200ms
联通：177ms

cf cdn 到东京甲骨文应该很快可以忽略不计。

另外我用 hk 小鸡自建 adguardhome ，所有 dns 通过 doh 加密查询防止运营商、gfw 偷窥，本机到 hk 小鸡的延迟只有 40-60ms ，整体体验没有收费机场快，还能接受，自用稳定性高，不像机场节点三天两头崩。

SSL 端口被封，IP 没被封，这是最近方校长的操作。通过我近一个月的观察，发现被封规律是这样的：
1 、服务器在北美；
2 、V2 或 Xray 在前端；
3 、Nginx 或 Caddy 在后端；
4 、不管是 443 ，还是 8443 ，还是更换更高位的端口，都被封；
5 、被封时间不确定。上午，下午，早上，晚上，都有；
6 、大流量，小流量，都被封，只要有连接，就容易被封；
7 、与 SSL 证书签发机构、签发方式等无关；
8 、服务端部署方式是一键脚本还是 step by step ，都容易被封；
9 、国内城市、运营商无关，都容易被封。

于是，我做了个小小的调整。目前帮国内亲友管着很多台 vps ，都做了重新配置后稳定运行将近 1 个月，说明暂时是可行的，等哪天还被封，我再上来给大家汇报。

以 xray+nginx 为例：
调整为 Nginx 在前端，监听多个 SSL 端口：443 端口和其他端口 XXXXX 。

我当时做这样的调整，也不知道有这个玄机。配了两个端口，让他们只改端口号，其他参数不变，然后新增了一个 ws 套 cdn 的。我告诉他们，当你发现直连这个不行时，切换到 cdn 这个有可能会变慢，但至少可以保证还能外出。结果，没有一个人说直连被封。

怎么改，请看我之前的 post：
t/892136
如果需要更详细的 conf 和 json 文件，电报上找我。

@LZSZ 只要是国内手机号注册的推，脸，就一定能查到你，还有 TG

WS 套 CDN,虽然延迟高，但是速度还行啊，一个月下来平均 2T 的流量
反正就是只要不对延迟有高要求，套 cdn 还是不错的

@zxbiao 屏蔽回国流量是怎么弄，刚玩几天，不是太熟。

@snowish 我用了 nginx 做反代，xray 是路径分流的。服务器在北美，也只是坚持了两天。现在落地机做端口转发，把流量转到 443 ，就算换端口也是客户端换一下就好了。

@July1991 #86
@roding #92

如果是用 V2RAY 系的工具搭建，
可以在 config.json 的 routing-rules 尾部加入
----------------------------------
// 屏蔽中国 IP 和私有 IP
{
"type": "field",
"ip":
[
"geoip:cn",
"geoip:private"
],
"outboundTag": "cnblock"
}
----------------------------------

在 outbounds 尾部加入

----------------------------------
// 屏蔽中国 IP 和私有 IP
{
"protocol": "blackhole",
"settings":
{
"response":
{
"type": "http"
}
},
"tag": "cnblock"
}
----------------------------------

这个屏蔽回国流量，仅在使用科学时生效，不影响其他国内直连。
至于为什么要屏蔽回国流量，是以防不小心全局出国之后，部分流量出口转内销或国内某些大厂配合防火墙搞事（说的就是某些安全软件，会扫描机器是否开了代理，然后通过代理访问特定的 IP 或域名），从而避免被防火墙怀疑是代理服务器。

我的 vir 3.99 刀的腊鸡机，用 3 年了依旧坚挺

@zxbiao #94
已知 X-UI 的默认设置是没有屏蔽回国的流量的，而且 GitHub 的源码上次更新已经是 2022.4.28 ，release 最后更新是 2021.8.25 。

3 亿浏览外网的大陆人，10 多年来每人平均被墙耗费 1 天(配置代理、延迟、断网)。
1 条人命 3 万多天，方滨兴的一个想法上万人的生命陪葬。
楼上楼下的所有人，被 GFW 谋杀的时间有少于 5 天的吗？

我 ss+ipv6 随便跑

以下是我的 nginx conf 配置：

server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
ssl_certificate /certs/fuckfang.ri.cer; //修改为你的证书路径
ssl_certificate_key /certs/fuckfang.ri.key; //修改为你的 key 路径
ssl_protocols TLSv1.3;
ssl_ecdh_curve X25519:P-256:P-384:P-521;
server_name www.fuckfang.ri; //修改为你的域名
index index.html index.htm;
root /www/xray_web; //修改为你的 web 路径，或者随便
error_page 400 = /400.html;

# Config for 0-RTT in TLSv1.3
ssl_early_data on;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security "max-age=63072000" always;

location /fuckfang/ //修改为你的路径
{
proxy_redirect off;
proxy_pass http://127.0.0.1:47141; //修改为你的 Xray 监听端口
proxy_http_version 1.1;
proxy_set_header X-Real-IP \$remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $http_host;
# Config for 0-RTT in TLSv1.3
proxy_set_header Early-Data $ssl_early_data;
}
}

server {
listen xxxxx ssl http2; //这段 server 完全复制上面的，仅修改 xxxxx 端口号
listen [::]:xxxxx ssl http2;
ssl_certificate /certs/fuckfang.ri.cer; //修改为你的证书路径
ssl_certificate_key /certs/fuckfang.ri.key; //修改为你的 key 路径
ssl_protocols TLSv1.3;
ssl_ecdh_curve X25519:P-256:P-384:P-521;
server_name www.fuckfang.ri; //修改为你的域名
index index.html index.htm;
root /www/xray_web; //修改为你的 web 路径，或者随便
error_page 400 = /400.html;

# Config for 0-RTT in TLSv1.3
ssl_early_data on;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security "max-age=63072000" always;

location /fuckfang/ //修改为你的路径
{
proxy_redirect off;
proxy_pass http://127.0.0.1:47141; //修改为你的 Xray 监听端口
proxy_http_version 1.1;
proxy_set_header X-Real-IP \$remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $http_host;
# Config for 0-RTT in TLSv1.3
proxy_set_header Early-Data $ssl_early_data;
}
}

server {
listen 80;
listen [::]:80;
server_name www.fuckfang.ri; //修改为你的域名
return 301 https://$http_host$request_uri;
}

目前 ipv6 基本没有识别，可以裸奔 ss 协议，https 也不会封端口