这是一个创建于 1895 天前的主题,其中的信息可能已经有所发展或是发生改变。
背景:阿里 ecs 访问 azure cn 的 windows share 失败。经我们检查北京联通 4g 网络是可以访问 azure cn tcp 445 端口的,初步判断问题出在阿里云,遂开工单
1.阿里售后先表示不是阿里云的锅,经我们贴出测试结果之后( powershell Test-NetConnection,测试结果中有多处表明是 tcp 445 ),发现以前我们反馈过这个问题,直接转到后端技术人员
2.后端技术人员上来探测 udp 445,表示阿里云没有问题,世纪互联问题。
3.经指出为 tcp 445 之后,又说了一堆话表示反正我们就是木有封,找对方吧
4.我们要求阿里云做 tcp trace route,做 443 和 445 的对比测试
5.阿里云使用 traceroute -T 443 进行了检查,测试结果表示 443 和 445 是通的,并且表示很奇怪为啥 telnet 445 不通
6.我们指出阿里云测试错端口了,-T 443 表示 tos 是 443,端口 80.要求阿里云重测。
7.阿里云没有贴测试结果,直接说要求对端协助抓包
8 我们要求阿里云贴结果
9 根据结果,我们指出问题出在阿里云网络接入商
10.阿里云说是和域名备案有关,我们顿时黑人问号脸???不对外有任何端口的服务器,访问 azure cn 的 445 端口要域名备案正确?需要谁的域名备案正确呢?那为啥北京联通 4g 能直接访问呢?
11。阿里云贴出他们内部和联通的沟通,联通给阿里云回复“%……*&……%,请用户找客户经理检查备案情况”
12.我们认为联通是说阿里云的接入备案情况,还在和阿里扯皮中,未完待续...
目前似乎阿里云北京无法访问外部 445 端口
1.阿里售后先表示不是阿里云的锅,经我们贴出测试结果之后( powershell Test-NetConnection,测试结果中有多处表明是 tcp 445 ),发现以前我们反馈过这个问题,直接转到后端技术人员
2.后端技术人员上来探测 udp 445,表示阿里云没有问题,世纪互联问题。
3.经指出为 tcp 445 之后,又说了一堆话表示反正我们就是木有封,找对方吧
4.我们要求阿里云做 tcp trace route,做 443 和 445 的对比测试
5.阿里云使用 traceroute -T 443 进行了检查,测试结果表示 443 和 445 是通的,并且表示很奇怪为啥 telnet 445 不通
6.我们指出阿里云测试错端口了,-T 443 表示 tos 是 443,端口 80.要求阿里云重测。
7.阿里云没有贴测试结果,直接说要求对端协助抓包
8 我们要求阿里云贴结果
9 根据结果,我们指出问题出在阿里云网络接入商
10.阿里云说是和域名备案有关,我们顿时黑人问号脸???不对外有任何端口的服务器,访问 azure cn 的 445 端口要域名备案正确?需要谁的域名备案正确呢?那为啥北京联通 4g 能直接访问呢?
11。阿里云贴出他们内部和联通的沟通,联通给阿里云回复“%……*&……%,请用户找客户经理检查备案情况”
12.我们认为联通是说阿里云的接入备案情况,还在和阿里扯皮中,未完待续...
目前似乎阿里云北京无法访问外部 445 端口
 |
1
realpg 2019-09-07 14:52:32 +08:00 via Android  4
跨网段 445 135-139 就不要去研究了
如有需求请 vpn 这是互联网资深工程师的基本常识 |
 |
2
cq65617875 2019-09-07 15:07:50 +08:00
(肯定是钱没花够 不重视
|
 |
3
ifaii 2019-09-07 15:09:14 +08:00
这几个端口我好像在哪看到说是运营商阻止的,还是和楼上说的一样老老实实 vpn,别直接在公网搞有的没的
|
 |
4
lihongjie0209 2019-09-07 15:09:49 +08:00
windows 的服务依赖一大堆, 又不安全, 从来没想过在公网上使用
|
 |
5
inter OP @realpg 能开工单解决的搭啥 vpn,不够麻烦呢。另外这个一般是对于 pc 网段的 outboound 阻断,移动网络和服务器网络不应该阻断的
|
 |
6
ragnaroks 2019-09-07 15:24:19 +08:00 1
445 / 139 有些地方(ISP)默认阻断
|
 |
7
dnsaq 2019-09-07 15:59:32 +08:00 via iPhone 1
samba 端口还有楼上说的这些,运营商都是默认禁止的,关阿里工程师屁事
|
 |
9
cjpjxjx 2019-09-07 16:26:25 +08:00 via iPhone 1
我觉得题主也很水
|
|
10
inter OP |
|
11
inter OP @realpg 有问题的时候总是要有人推动,让阿里云拿出个具体文档说他们不支持对外 445 访问,或是让阿里云解决 445 访问问题
|
|
12
inter OP 随便看看 /t/598810,下面很多复杂的方案在吓唬初学用户
如果 445 能用,随便开个文件 nas 服务,一个月几块钱的事情,挂到 windows 当普通磁盘用,用的时候复制粘贴,多方便 |
 |
13
tomczhen 2019-09-07 17:58:25 +08:00
20 多年前最初还是电话拨号上网的时候 139、445 这些端口都是可以访问的,你猜后面为啥不能了。
|
 |
14
wdlth 2019-09-07 18:09:13 +08:00
经历过冲击波震荡波时期后,ISP 把系统开放端口封了。
|
 |
15
seanseek 2019-09-07 18:13:32 +08:00
这些端口好像又问题,换一个吧
|
 |
16
janxin 2019-09-07 18:14:37 +08:00
这种大概率是外包...
大公司人多了,水货也多很正常的 |
 |
17
reus 2019-09-07 18:16:07 +08:00
这些被 ISP 封的端口,都是被广泛传播的病毒利用的,netbios 和 smb 暴露在广域网是很危险的
要怪就怪 windows 工程师技术水吧…… |
 |
18
crazykylin 2019-09-07 18:18:33 +08:00
我这里电信除了 80 和 8080 其他的都是通的,包括 443,445 等
|
 |
19
xduanx 2019-09-07 18:19:00 +08:00
经楼上各位大佬提点,楼主可以搜下关键词
“电信链路网络出口添加病毒防护策略” 看下阿里云是不是走电信线路过去的呢? 测试下其他电信电路呢? 说不定电信就是双向屏蔽 445 呢 |
|
20
reus 2019-09-07 18:20:56 +08:00 1
还有 windows 本身的 smb 实现不支持自定义端口,这个是微软工程师水的又一证明
只能用 445,445 又被干扰,那就没办法了,wsl 的 smb 客户端应该可以指定服务端端口。 |
 |
21
lloovve 2019-09-07 18:42:57 +08:00 via iPhone
阿里云天天打电话骚扰我
|
 |
22
notreami 2019-09-07 19:08:01 +08:00
这个标题。。。。为啥没事开群讽呢???定位问题,解决问题不就可以了。
|
 |
23
lulinux 2019-09-07 19:18:13 +08:00 via Android
其实阿里云的工程师都年薪百万的
|
 |
24
ninjachen 2019-09-07 21:58:57 +08:00 via Android
楼主没错啊,发现 445 端口被禁了的事实。
但阿里的工程师没有承认也没有拿出数据反驳。 那么就是楼主说的对啊 |
 |
25
wanacry 2019-09-07 22:15:32 +08:00 via iPhone 1
似乎有很多阿里云的工程师逛 v2
|
 |
26
jeblur 2019-09-07 22:29:59 +08:00 via Android
首先得确保阿里云同样使用的是联通线路才能对比测试吧,另外运营商封 445 还真的有可能的,因为之前勒索病毒 wannacry 就是使用的 445 的相关漏洞,还有设备端一般都是在 inbound 做阻断的,outbound 既没用也浪费性能,不过在这个问题上感觉无论是否是 ISP 的问题都应该找阿里云
|
 |
27
xfspace 2019-09-07 23:37:49 +08:00 via Android
对于 6.
来 悄悄 traceroute --help -T --tcp Use TCP SYN for tracerouting (default port is 80) -t tos --tos=tos Set the TOS (IPv4 type of service) or TC (IPv6 traffic class) value for outgoing packets 运营商 Block“高危”端口貌似是某厅的要求 Aliyun KB 也表明 |
|
28
xfspace 2019-09-07 23:38:59 +08:00 via Android 2
Aliyun KB 也表明
help.aliyun.com/knowledge_detail/40724.html |
 |
29
jucelin 2019-09-08 08:44:36 +08:00
联通说的备案,指的是端口备案。
我们 80/443/8080 端口都单独备案的 |
 |
30
swulling 2019-09-08 09:07:04 +08:00
阿里的工程师确实经验不足,还各种定位干啥,直接说被运营商屏蔽就行了
|
|
31
realpg 2019-09-08 09:26:09 +08:00 4
@xduanx #19
@jeblur #26 @xfspace #27 135-139 445 这些端口是 2002 年-2004 年左右就开始公网全面封禁的……当然是按省逐渐的 尤其是当地 w 主流运营商(南电信北网通后来联通)的城域网汇聚层,基本跨 BRAS 的层面就直接丢了 基本也只有在同个 BRAS 下直接互访才能访到 IDC 看运营商架构,大部分地区都是在 BRAS 分层直接跳的那种也是在 BRAS 层面和主 IDC 核心层面 移动铁通那种 IDC 是独立逻辑池在核心互通的没关注在哪里丢 基本还能用的大部分都是一些策略的漏网之鱼,比如不是无脑丢有 dst 判定池之类的地区 另外,基本上 2002-2004 年都是封 inbound 的 135-139 445 包 往外发是不封的 所以那时候还用 IPC$管道去攻击国外服务器是轻松的,攻击国内稍微远一点的服务器基本是没戏的,90%是不通的,满地韩国肉机…… 那个年代没有利用漏洞的蠕虫这种东西,基本都是手动攻击,写个批处理自动化就是大佬一天一宿能拿几千个服务器,尤其韩国服务器以不打补丁著名 在 2010 以后这几波蠕虫泛滥的情况下,运营商很多加了 445 发包检测,主要是 445 扫描蠕虫泛滥增加垃圾上行流量,而不是什么为了安全…… |
 |
32
uppu 2019-09-08 10:28:52 +08:00
公网通讯如果用 135 - 139 和 445,遇到任何异常都是正常的。
|
 |
34
mytsing520 2019-09-08 12:24:03 +08:00
wannacry 出来之后,国内几大运营商被要求全网封 135-139 还有 445 端口,有一段时间视用户需求单独针对 IP 开放。。。
不知道现在是否已经放开了 |
 |
36
ackoly 2019-09-08 14:34:08 +08:00 via iPhone
走工单大都是水货在处理,即使是大客户群的工单,没几次体验好的,效率最好还是由客户经理拉的群,有问题直接 @客户经理,由他来推动。
|
 |
37
wnpllrzodiac 2019-09-08 19:19:59 +08:00 via Android
996 状态给搞的。。。
|
Select Language