mashirozx / Pixiv-Nginx

P站(Pixiv)的正确打开方式
https://2heng.xin/2017/09/19/pixiv/
Do What The F*ck You Want To Public License
1.76k stars 196 forks source link

作者求助:反代 Couldflare 站点,如何实现域前置? #43

Open mashirozx opened 4 years ago

mashirozx commented 4 years ago

目前 www.pixiv.net 已经解析到 Cloudflare 了,而 Cloudflare 的情况正好比较麻烦,proxy 的时候需要加上一条 proxy_ssl_server_name on;,强制提前发送 SNI 信息(而本项目的目的本就是隐藏 SNI 信息),这样一来请求会直接被 GFW 干掉。

目前项目配置文件的站源仍是使用 pixiv 以前的 IP,但是如果以后站源换 IP,并且全站上了 Cloudflare,我们将无从得知站源 IP,所以如何在套了 CF 的网站上实现 SNI 代理是当务之急,望给予帮助。

参考: https://serverfault.com/questions/583374/configure-nginx-as-reverse-proxy-with-upstream-ssl http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_ssl_server_name https://trac.nginx.org/nginx/ticket/229

Yaktsar-0619 commented 4 years ago

So before we solve this problem and we can't use this tool? Hmmm....I used the Cloudflare,I know it is possibliy have not way to solve....(Maybe I'm stupid) Try to use Cname or A record to find the IP of Pixiv itself?

unbadfish commented 4 years ago

So before we solve this problem and we can't use this tool? Hmmm....I used the Cloudflare,I know it is possibliy have not way to solve....(Maybe I'm stupid) Try to use Cname or A record to find the IP of Pixiv itself?

His/Hers meaning is AFTER pixiv change its IP and BEFORE we solve this problem, we cannot use this tool. Maybe we could email one of administrators to get its IP? I don't know Janpanese at all,maybe someone could write one? maybe this webside earn money by showing AD,and the income is proportional to the wiewer? Then we can tell them the huge number of Chinese(Mainland) users,at least we can let them think of this CAREFULLY please reply in CHINESE if you can 他的意思是p站彻底换ip之后,并且这个问题解决之前,这个工具没法使用 也许有人可以写一篇电邮与管理员交流一下? 我对日语一窍不通,也许有别的什么人能写一篇? 我对这个网站的盈利方式不清楚,不过应该是投放广告,通过流量变现 那就可以告诉他们大陆网民的恐怖数量,至少能让他们权衡一下 如有可能,请用中文回复 @Yaktsar-0619

HeXis-YS commented 4 years ago

想要对CloudFlare使用Domain Fronting是不可能的,对于这一点我做过很多尝试。 还有一种类似于Domain Fronting的方法。就是使用一个同样接入了CloudFlare,与目标域名指向相同IP但没有被墙的域名作为SNI。我在自己的网站上测试是可行的。前提是必须要有而且知道这个域名。 除此之外我想不出更好的办法。一旦pixiv全站接入CF,更加可行的方法应该只剩下通过某些手段找到源IP了。

liuxinyu970226 commented 4 years ago

QUIC?或者跟谷歌官方谈谈买一个支持后端量子加密功能的节点服务器多少钱

cmmdwl commented 4 years ago

等等,pixiv上了CloudFlare?,换个思路啊,上esni啊,直接加密sni,问题不久解决了? https://www.cloudflare.com/zh-cn/ssl/encrypted-sni/ 至于IP?直接怼1.1.1.1 反正CloudFlare会自动识别。 https://www.kxxzz.com/mgvps/201806/45308.html

cmmdwl commented 4 years ago

So before we solve this problem and we can't use this tool? Hmmm....I used the Cloudflare,I know it is possibliy have not way to solve....(Maybe I'm stupid) Try to use Cname or A record to find the IP of Pixiv itself?

His/Hers meaning is AFTER pixiv change its IP and BEFORE we solve this problem, we cannot use this tool. Maybe we could email one of administrators to get its IP? I don't know Janpanese at all,maybe someone could write one? maybe this webside earn money by showing AD,and the income is proportional to the wiewer? Then we can tell them the huge number of Chinese(Mainland) users,at least we can let them think of this CAREFULLY please reply in CHINESE if you can 他的意思是p站彻底换ip之后,并且这个问题解决之前,这个工具没法使用 也许有人可以写一篇电邮与管理员交流一下? 我对日语一窍不通,也许有别的什么人能写一篇? 我对这个网站的盈利方式不清楚,不过应该是投放广告,通过流量变现 那就可以告诉他们大陆网民的恐怖数量,至少能让他们权衡一下 如有可能,请用中文回复

注意一点,pixiv被ban的那段时候,pixiv官方有说过他们知道被ban了,只是没什么办法解决这个问题。如果我没记错话应该是pixiv当时的微博发布了这个说明,然后被被压下去了,估计gov上面要求屏蔽的

tigerzhou100800 commented 3 years ago

https://2heng.xin/2017/09/19/pixiv/ 所以你以前旧文那段误导人的话还不删掉? “(事实上 P 站用的是日本雅虎 CDN 的 IP,这些 IP 是不能封禁的,否则会误伤其他无关网站)” 现在你这个Pixiv-Nginx在E绅士被SNI阻断后火了,那些技术白痴看了那段话 以为有免死金牌,现在高调的大胆去宣传这个能破SNI阻断而且政府不敢封。

你的这个 “无法在删SNI后连接CDN” 的问题是无解的,而且量子火狐上那个实验中 的ESNI(绑定要用加密DNS才可以开启),刚开始能用一阵,之后在加密握手时 被GFW协议针对,现在ESNI已经不能用了。换言之无解。

这说明一件事,现在避SNI阻断的方法,只要被封无CDN的本尊IP就死透。 如果低调只在程序员技术宅的圈子里,自己低调用不外传张扬还能用久一点。 太高调令GFW意识到这个绕过SNI阻断的方法,把本尊IP给封了,就大家一起用不成。 大家写代码做的各种绕过SNI阻断工具也作废没用了,白忙码了这么多代码。

我求你了,把那教程和这个下载暂时给隐藏或删除了,不要让那些人这么高调传播。 我去劝那些到处发帖的人都没有用。

cmmdwl commented 3 years ago

https://2heng.xin/2017/09/19/pixiv/ 所以你以前旧文那段误导人的话还不删掉? “(事实上 P 站用的是日本雅虎 CDN 的 IP,这些 IP 是不能封禁的,否则会误伤其他无关网站)” 现在你这个Pixiv-Nginx在E绅士被SNI阻断后火了,那些技术白痴看了那段话 以为有免死金牌,现在高调的大胆去宣传这个能破SNI阻断而且政府不敢封。

你的这个 “无法在删SNI后连接CDN” 的问题是无解的,而且量子火狐上那个实验中 的ESNI(绑定要用加密DNS才可以开启),刚开始能用一阵,之后在加密握手时 被GFW协议针对,现在ESNI已经不能用了。换言之无解。

这说明一件事,现在避SNI阻断的方法,只要被封无CDN的本尊IP就死透。 如果低调只在程序员技术宅的圈子里,自己低调用不外传张扬还能用久一点。 太高调令GFW意识到这个绕过SNI阻断的方法,把本尊IP给封了,就大家一起用不成。 大家写代码做的各种绕过SNI阻断工具也作废没用了,白忙码了这么多代码。

我求你了,把那教程和这个下载暂时给隐藏或删除了,不要让那些人这么高调传播。 我去劝那些到处发帖的人都没有用。

技术无罪,有问题的只有使用他们的人, 本尊ip被封,这么流弊的么,目前我只看见某些不遵守zf规定的网站被ip拔网线,你看github这个站天天有人发过墙软件有人拔ip网线么,唯一被ga管的好像就是编程随想的太子网络图。 网线拔狠了,跨国公司倒逼地方zf要去开放他们用的东西,顺带一提,海南岛第一条不带防火墙的跨国光缆马上就要接入民用了,为什么不带防火墙,就是因为国内的文化自信上来了,未来没准外国人要建墙保护自己了,你看08年哪伙,公知言论满天飞,美国天气香甜,现在还有多少吹的了,一个新冠,还有几个人吹灯塔那个灯亮? 回到技术问题上来,要是真的要阻断esni,为啥不更狠点直接行政下令要求使用某个gov旗下ca证书,装了就直接把全部的https加密流量全给你解了全部全成http,不装直接连不上不是更好?还搞一大堆阻断费时费力。(顺带一提这个叫金盾工程)甚至还可以要去必须使用某些固定dns,阻断第三方dns,这个操作软路由都能做,dns https 全给你整明文看到不顺眼的直接rst不是更好? doh目前没有上线任何对抗措施,本身就是一个加密的类似https的包,而且https指向的还是一个ip,连esni都没有,你总不可能给他全丢了吧。 ip全ban了,来这个站的大家基本都是秃头员了,手上要是连一个简单的梯子都没用话,建议退圈。 借助毛教员一句话,团结一切我们能团结的人。只有群体大了,才能在斗争中有一份要求。我到挺希望拔网线的,因为迟早这个东西会被我们推倒。

mashirozx commented 3 years ago

大家写代码做的各种绕过SNI阻断工具也作废没用了,白忙码了这么多代码。

既然大家都是投机取巧,那也没必要非要分个孰重孰轻。我是最早一批提出通过域前置绕过审查的,如果非要区分,总该分个先来后到,不能过河拆桥对吧?

事实上 P 站用的是日本雅虎 CDN 的 IP,这些 IP 是不能封禁的,否则会误伤其他无关网站。

这句话是我三年前写的。封禁CDN会误伤,这是客观事实,不存在误导之说。我不可能为别人的言论负责。

太高调令GFW意识到这个绕过SNI阻断的方法

只要GFW做好权衡了,封CDN IP是分钟的事,足以做出这个决定的原因不可能是几个看色图的网站。

如果低调只在程序员技术宅的圈子里,自己低调用不外传张扬还能用久一点。

人人都有权利平等地享受开源技术的便利,何况低调就能用得久只是一厢情愿罢了。

tigerzhou100800 commented 3 years ago

你搞明白为什么要避风头,这E站和P站被关注因为 JM国帝 那个重口漫画。 E站和P站因为可以发尺度很宽的作品,像有 Pixiv 和 E绅士 都有的 [クロニ] 的画, 这不是什么文化自不自信,那种东西怎么能说得不太露骨,你自己看[クロニ]是什么 这些都是放任何一个国家都政治不正确,没人敢用公开真实身份声援的反人类级的作品。 现在被女权拉出来打拳了。暂时不要在这时候头铁公布直连的方法。

不是你说的“封CDN IP是分钟的事”,我不关心封CDN IP因为本来就连不上, 重点是被封掉网站服务器源,它本尊的IP,你的删SNI方法本来就连不上CDN。

E站没有CDN IP,和P站210.140.131.* 地址段,那些你写上Nginx.conf的都是 网站自己服务器的IP,封了IP没有误伤的。而且就只能花钱买代理,完全没招了。

三年前那个是过时言论,现在被人拿来说,就不能把它编辑掉?

其他人写的工具暂时没有被高调的传播,还有你那个微信和支付宝,能被用来 定位到自己真实身份的,不要放出来。 会像 JM 那个作者一样被人肉到的。

低调是一厢情愿!?是呀,是呀。低调高调没区别,你要不要把打赏码和这软件 发到团中央微博不对发到任意一个警务微博上,再来高调点,反正没区别嘛, 来给他说一句“我用这个就能继续去看 JM 和 クロニ 的画了,来封IP呀,我就不信你敢封。” 反正高调低调也没区别嘛,要不要再把你自己真实身份也公布了,免得他费时间通过 微信和支付宝帐号查。高调低调也没区别嘛,紧张什么呢。

mashirozx commented 3 years ago

有道理。我不清楚你说的xx的画是怎么回事,也无意参与他们的争论,最初做出来仅为自己使用,顺便分享到个人博客上,我无意去宣传它。本质上这不是翻墙,你可以理解为单纯的一个nginx教程和一套nginx配置文件。 过时文案已删除,并加上了提醒,后续我也不会继续维护这个项目,此事终结。

ghost commented 3 years ago

https://gitlab.torproject.org/legacy/trac/-/issues/14256#comment:2

Recent changes to how CloudFlare validates TLS connections means that this will no longer work. Host header spoofing does not work for technical reasons on CloudFlare [ Disclosure: I work for CloudFlare ]

HeXis-YS commented 3 years ago

不知道大佬是不是还在维护这个项目。 我想到一种新的思路,并且做了一些简单的测试。 根据这里找到的信息,pixiv的IP段是210.140.131.134-254,一共121个。扫描后发现开放443端口的IP有一半左右。可以使用curl对每个IP进行访问(带Host header)。如果该域名能够使用该IP进行访问,则会返回状态码200或301,反之则不能。 这种方法好处是找到的IP全,并且很久不用变。缺点是耗时。

编辑:上面找到的IP并不全,在JPNIC数据库可以找到更完整的IP范围

cmmdwl commented 3 years ago

不知道大佬是不是还在维护这个项目。 我想到一种新的思路,并且做了一些简单的测试。 根据这里找到的信息,pixiv的IP段是210.140.131.134-254,一共121个。扫描后发现开放443端口的IP有一半左右。可以使用curl对每个IP进行访问(带Host header)。如果该域名能够使用该IP进行访问,则会返回状态码200或301,反之则不能。 这种方法好处是找到的IP全,并且很久不用变。缺点是耗时。

编辑:上面找到的IP并不全,在JPNIC数据库可以找到更完整的IP范围

这个操作并不可靠,未来p站只要换了源ip 由于cloud flash 做了代理,会隐藏源ip,这时候你总不可能扫日本全部ip段找p站ip,只有人家私下放出源ip这个工具才会接着能用,毕竟cdn不认没有sni的包

HeXis-YS commented 3 years ago

这个操作并不可靠,未来p站只要换了源ip 由于cloud flash 做了代理,会隐藏源ip,这时候你总不可能扫日本全部ip段找p站ip,只有人家私下放出源ip这个工具才会接着能用,毕竟cdn不认没有sni的包

这些IP是根据WHOIS信息找到的,如果pixiv更换了源IP,IP WHOIS也应该会进行相应的更新。因此我认为换IP的问题完全不需要担心。 当然,这里只是提供一种思路,仅此而已。

xljiulang commented 3 years ago

Cloudflare的cdn是没有办法了,

ghost commented 3 years ago

可以直接用 fanbox.cc 的 IP。 pixiv 的一些其他项目还有很多没有用Cloudflare的,略。

wuliaodexiaoluo commented 8 months ago

没办法,主站几乎全上了CloudFlare,我用网络空间探测引擎扫了一遍,有IP的都不是Pixiv主站,镜像站太多,图标hash完全一致干扰搜索

wuliaodexiaoluo commented 8 months ago

不知道大佬是不是还在维护这个项目。 我想到一种新的思路,并且做了一些简单的测试。 根据这里找到的信息,pixiv的IP段是210.140.131.134-254,一共121个。扫描后发现开放443端口的IP有一半左右。可以使用curl对每个IP进行访问(带Host header)。如果该域名能够使用该IP进行访问,则会返回状态码200或301,反之则不能。 这种方法好处是找到的IP全,并且很久不用变。缺点是耗时。

编辑:上面找到的IP并不全,在JPNIC数据库可以找到更完整的IP范围

但凡Pixiv流量全走CloudFlare,并且在Nginx掐掉了IP访问,你扫过去是403、405、421或者Connection ReFused就全废

mashirozx commented 8 months ago

我自己已经不用这个项目,所以也没有维护了,如果有解决方案,直接提 pr,我都给合