xiaoz在去年(2023)8月份和朋友合租了一间办公室,然后开始着手解决办公室上网问题,经过对比,最终选择了成都移动的商务宽带,在去年8月底宽带就安装完毕了,期间出现了很多小插曲,所以现在才整理发出来。
上图为办公室内景
为什么选择移动商务宽带
经过各方面对比,发现移动商务宽带是三大运营商中价格最低的,并提供下面的服务承诺:
- 提供一个静态公网IPV4
- 上下行对等
- 可以备案后申请开通
80/443端口 - 每个月根据不同的套餐返费,最低返
50%
xiaoz选择的套餐
这是当时客户经理发给xiaoz的套餐价格(随着时间推移,可能会有所变化,具体以实际为准):
xiaoz选择的和飞速300套餐(300/月),包含:
- 默认提供一个静态IPV4
- 上下行
200Mbps对等网络 - 申请开通了
80/443端口 - 每月返话费
50%(150)
综合算下来差不多150元/月,性价比还是挺高的,而且非常适合办公网络。
办理材料
移动商务宽带不支持个人申请,必须以公司名义申请(个体户也可以),xiaoz使用个体户营业执照进行申请,提供了以下材料:
- 营业执照
- 法人身份证
- 联系手机号
- 办公地址
- 公章(用来签订合同用)
资料提交完毕后,过了几天约了师傅上门安装,安装当月是不用缴费。比如您1月1日安装,那么1月都是免费的,只需要等到1月底缴2月的费用。
关于返费
返费只支持成都移动号码,最多可以添加5个返费手机号,客户经理会给一个表格填写手机号,可以自定义每个号码的返费金额。比如xiaoz办理的300元宽带,返费50%(150元),那么我在自定义返费手机号的时候,不能超过返费总额,比如xiaoz添加了3个手机号,加起来总额就是150元。
- 手机号A:返费100
- 手机号B:返费30
- 手机号C:返费20
返费是每月1号返上一个月的消费额度,比如我手机号A上个月消费了50元,但是我定义的返费100,最终只会返还最高消费那部分,也就是虽然定义了返费100元,实际只返50元,如果手机号A上个月消费超过100,那么次月1号返费100元。
关于公网
默认提供了一个静态公网IPV4地址,所以DDNS服务都不需要,域名直接解析到公网IP上,然后路由器做好端口映射即可。如果需要额外添加IP地址也是可以的,收费为50元/个,同时也支持IPV6,也需要50元/个
开通80/443端口
开通80/443端口这个是比较麻烦,这里涉及网站备案问题,搞了接近3个月才完全弄好,期间出现了不少插曲,不过最终得以解决。
域名备案主体必须是以公司名义,不能以个人或者员工名义,否则会被驳回,一开始xiaoz使用个人域名备案,结果等了1个月告诉我被驳回了。
另外移动的备案流程非常古老,还停留在实体幕布和纸质核验单时代,首先移动会给你寄送一张又大又厚的幕布过来,需要网站负责人用幕布背景牌照,幕布使用完毕后还要将幕布退回去(真是无语)。现在阿里云、腾讯云备案早就已经电子化,相比起来移动的备案流程还非常落后。
其次移动审核效率低下,期间xiaoz反复催促,花了2个多月才完成整个备案流程。备案通过后开通了80/443端口,备案域名可以解析到IP上使用。
IP被封
80/443端口开通后没用多久,发现网络存在异常,表现为:
- 静态IP公网无法ping通
- 所有端口映射全部失效
80/443端口不可用- 办公室可以访问公网(出),但是外面的网络无法进来(入)
最后联系移动报障,告知IP被封,需要联系客服经理进一步处理,得到的结果是:
- 原因:因未备案域名解析到公网IP导致被封
- 解决办法:签署承诺书,并加盖公众申请解封
这个原因让xiaoz有点懵逼,因为xiaoz一直是备案域名解析到IP使用,并不知道是哪个未备案解析过来的,最后让移动查询,结果是一个根本不认识的域名,这个完全属于躺枪。
那么这里就存在一个安全风险,假如公网IP暴露,那么别人可以随意用一个未备案域名解析到移动分配的公网IP,然后导致IP被封。不像云厂商防火墙会自动拦截未备案域名,而移动的商务宽带则未内置这样的防火墙。移动技术人员告知需要自己通过购买企业防火墙实现网络策略拦截,最后xiaoz不得不亲自动手,通过软件防火墙实现域名白名单制度。
最后还签署了一个承诺书,并加盖公章申请解封,现在IP已经完全恢复正常使用。
最后
成都移动商务宽带整体性价比较高,非常适合公司网络使用。但如果您需要开通80/443端口,则需要进行域名备案,备案流程比较繁琐,且周期长,备案时注意域名备案主体和宽带主体保持一致,不能用个人主体备案。
80/443端口一旦开通后,需要特别注意不要将未备案域名解析过来,否则会导致IP被封,建议自行用防火墙实现域名白名单制度,以免不必要的麻烦。
另外,443端口的那一条 http2 on; 的这个写法只适用于1.25.1之后的nginx版本,其实直接去掉也可以,不影响
遇到恶意解析的问题,如果是使用Nginx,可以使用这两条默认配置兜底:
server {
listen 80 default_server;
listen [::]:80 default_server;
return 444;
}
server {
listen 443 ssl default_server;
listen [::]:443 ssl default_server;
http2 on;
ssl_reject_handshake on;
}
这样,只要是解析到nginx没有绑定的主机名,就会落到这两条默认配置,从而拒绝连接,不会显示任何页面。
感谢分享,很有帮助。
自行用防火墙实现域名白名单制度? 怎么弄给点提示
我司用的爱快主路由,华为防火墙用的透明模式。
我的理解应该是要在出口那里设置才行吧,比我这里是爱快主路由出口,那应该是要在爱快上设置,显然它并不支持。
这个我不好直接发出来,怕被利用,可以加我微信:xiaozme我们讨论这个问题。
网站的话,可以通过Nginx 给sever配置部分增加一个hosts判断解决
以作者的网站为例,大概这样。
if ($host !~* ‘^((www|img|pic|api|blog)\.)?xiaoz\.org$’) {
return 444;
}
只要访问域名不匹配正则表达式,Nginx 会直接中断连接,不会返回任何信息。(返回403等也算响应)
(HTTP 444 并不是一个标准的 HTTP status code ,而是Nginx自己设立的状态码)
很有帮助和参考作用,感谢。
恶意解析非友善域名到备案站点的 IP,除了导致IP被封外,还有几种可能。
1、将曾经指向黑产网站的域名,指向国内以备案站点IP的。这样除了会导致被封IP,甚至可能会导致同IP的域名都被Microsoft Defender Smartscreen,360,ESET等安全软件弹不安全站点弹框。
2、被解析的非友善域名,可能本身确实没什么问题,但是使用非绑定域名,是一些广告联盟或者收费软件(比如一些博客主题,安全插件,功能性扩展等)所禁止的事项,可能会导致站点授权被封杀或者无法得到广告联盟分成。
感谢分享,又学到了新知识。