当前位置: 首页 > 收藏夹 > 办公室宽带陷阱:我在成都移动办理商务宽带的真实经历

办公室宽带陷阱:我在成都移动办理商务宽带的真实经历

发布于:2024-1-29 收藏夹 9条评论 6,941 views
本站提供Linux服务器运维,自动化脚本编写等服务,如有需要请联系博主微信:xiaozme

xiaoz在去年(2023)8月份和朋友合租了一间办公室,然后开始着手解决办公室上网问题,经过对比,最终选择了成都移动的商务宽带,在去年8月底宽带就安装完毕了,期间出现了很多小插曲,所以现在才整理发出来。

f794f9aa4a81c2c3.png

上图为办公室内景

为什么选择移动商务宽带

经过各方面对比,发现移动商务宽带是三大运营商中价格最低的,并提供下面的服务承诺:

  • 提供一个静态公网IPV4
  • 上下行对等
  • 可以备案后申请开通80/443端口
  • 每个月根据不同的套餐返费,最低返50%

xiaoz选择的套餐

这是当时客户经理发给xiaoz的套餐价格(随着时间推移,可能会有所变化,具体以实际为准):

69078f770808a16b.png

xiaoz选择的和飞速300套餐(300/月),包含:

  • 默认提供一个静态IPV4
  • 上下行200Mbps对等网络
  • 申请开通了80/443端口
  • 每月返话费50%(150)

综合算下来差不多150元/月,性价比还是挺高的,而且非常适合办公网络。

办理材料

移动商务宽带不支持个人申请,必须以公司名义申请(个体户也可以),xiaoz使用个体户营业执照进行申请,提供了以下材料:

  • 营业执照
  • 法人身份证
  • 联系手机号
  • 办公地址
  • 公章(用来签订合同用)

资料提交完毕后,过了几天约了师傅上门安装,安装当月是不用缴费。比如您1月1日安装,那么1月都是免费的,只需要等到1月底缴2月的费用。

关于返费

返费只支持成都移动号码,最多可以添加5个返费手机号,客户经理会给一个表格填写手机号,可以自定义每个号码的返费金额。比如xiaoz办理的300元宽带,返费50%(150元),那么我在自定义返费手机号的时候,不能超过返费总额,比如xiaoz添加了3个手机号,加起来总额就是150元。

  • 手机号A:返费100
  • 手机号B:返费30
  • 手机号C:返费20

返费是每月1号返上一个月的消费额度,比如我手机号A上个月消费了50元,但是我定义的返费100,最终只会返还最高消费那部分,也就是虽然定义了返费100元,实际只返50元,如果手机号A上个月消费超过100,那么次月1号返费100元。

关于公网

默认提供了一个静态公网IPV4地址,所以DDNS服务都不需要,域名直接解析到公网IP上,然后路由器做好端口映射即可。如果需要额外添加IP地址也是可以的,收费为50元/个,同时也支持IPV6,也需要50元/个

开通80/443端口

开通80/443端口这个是比较麻烦,这里涉及网站备案问题,搞了接近3个月才完全弄好,期间出现了不少插曲,不过最终得以解决。

域名备案主体必须是以公司名义,不能以个人或者员工名义,否则会被驳回,一开始xiaoz使用个人域名备案,结果等了1个月告诉我被驳回了。

另外移动的备案流程非常古老,还停留在实体幕布和纸质核验单时代,首先移动会给你寄送一张又大又厚的幕布过来,需要网站负责人用幕布背景牌照,幕布使用完毕后还要将幕布退回去(真是无语)。现在阿里云、腾讯云备案早就已经电子化,相比起来移动的备案流程还非常落后。

其次移动审核效率低下,期间xiaoz反复催促,花了2个多月才完成整个备案流程。备案通过后开通了80/443端口,备案域名可以解析到IP上使用。

IP被封

80/443端口开通后没用多久,发现网络存在异常,表现为:

  • 静态IP公网无法ping通
  • 所有端口映射全部失效
  • 80/443端口不可用
  • 办公室可以访问公网(出),但是外面的网络无法进来(入)

最后联系移动报障,告知IP被封,需要联系客服经理进一步处理,得到的结果是:

  • 原因:因未备案域名解析到公网IP导致被封
  • 解决办法:签署承诺书,并加盖公众申请解封

这个原因让xiaoz有点懵逼,因为xiaoz一直是备案域名解析到IP使用,并不知道是哪个未备案解析过来的,最后让移动查询,结果是一个根本不认识的域名,这个完全属于躺枪。

那么这里就存在一个安全风险,假如公网IP暴露,那么别人可以随意用一个未备案域名解析到移动分配的公网IP,然后导致IP被封。不像云厂商防火墙会自动拦截未备案域名,而移动的商务宽带则未内置这样的防火墙。移动技术人员告知需要自己通过购买企业防火墙实现网络策略拦截,最后xiaoz不得不亲自动手,通过软件防火墙实现域名白名单制度。

最后还签署了一个承诺书,并加盖公章申请解封,现在IP已经完全恢复正常使用。

最后

成都移动商务宽带整体性价比较高,非常适合公司网络使用。但如果您需要开通80/443端口,则需要进行域名备案,备案流程比较繁琐,且周期长,备案时注意域名备案主体和宽带主体保持一致,不能用个人主体备案。

80/443端口一旦开通后,需要特别注意不要将未备案域名解析过来,否则会导致IP被封,建议自行用防火墙实现域名白名单制度,以免不必要的麻烦。


发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注


已有9条评论


  1. 另外,443端口的那一条 http2 on; 的这个写法只适用于1.25.1之后的nginx版本,其实直接去掉也可以,不影响

  2. 遇到恶意解析的问题,如果是使用Nginx,可以使用这两条默认配置兜底:
    server {
    listen 80 default_server;
    listen [::]:80 default_server;
    return 444;
    }
    server {
    listen 443 ssl default_server;
    listen [::]:443 ssl default_server;
    http2 on;
    ssl_reject_handshake on;
    }
    这样,只要是解析到nginx没有绑定的主机名,就会落到这两条默认配置,从而拒绝连接,不会显示任何页面。

  3. 自行用防火墙实现域名白名单制度? 怎么弄给点提示
    我司用的爱快主路由,华为防火墙用的透明模式。
    我的理解应该是要在出口那里设置才行吧,比我这里是爱快主路由出口,那应该是要在爱快上设置,显然它并不支持。

    1. 网站的话,可以通过Nginx 给sever配置部分增加一个hosts判断解决
      以作者的网站为例,大概这样。
      if ($host !~* ‘^((www|img|pic|api|blog)\.)?xiaoz\.org$’) {
      return 444;
      }
      只要访问域名不匹配正则表达式,Nginx 会直接中断连接,不会返回任何信息。(返回403等也算响应)
      (HTTP 444 并不是一个标准的 HTTP status code ,而是Nginx自己设立的状态码)

  4. 恶意解析非友善域名到备案站点的 IP,除了导致IP被封外,还有几种可能。
    1、将曾经指向黑产网站的域名,指向国内以备案站点IP的。这样除了会导致被封IP,甚至可能会导致同IP的域名都被Microsoft Defender Smartscreen,360,ESET等安全软件弹不安全站点弹框。
    2、被解析的非友善域名,可能本身确实没什么问题,但是使用非绑定域名,是一些广告联盟或者收费软件(比如一些博客主题,安全插件,功能性扩展等)所禁止的事项,可能会导致站点授权被封杀或者无法得到广告联盟分成。