服务器不备案是严重违反我国相关法律法规的行为，可能会面临严重的法律后果，包括但不限于网站被关闭、服务器被封禁、罚款以及承担刑事责任等。本人已关停相关未备案服务器，已移除未备案DNS解析，本文章仅用于记录云服务器运维技术广大用户应严格遵守法律法规，按照规定进行服务器备案，以合法、规范的方式开展互联网业务。

阿里云99计划只能买大陆服务器，备案又太麻烦（要求多耗时长，备案过程中域名还不能解析，最重要的是备案就相当于实名上网了），便想到了套CDN免备案

配置好cloudflare和nginx，打开网站

啪！报错。查看nginx日志发现连接被申必力量RST了

都HTTPS加密了还能被RST，只有一种可能，那就是SNI阻断

openssl连接时可以用-servername指定SNI，测试一下果然是被SNI阻断了

我的未备案域名，连接被RST

已备案域名，正常访问

又多试了几个SNI，总结出一套阻断规律

SNI

阻断情况

未注册域名

不阻断

大陆已备案域名

不阻断

大陆未备案域名

阻断

境外一般域名（指youtube,google等）

不阻断

境外____域名

阻断

服务器上用tcpdump抓包显示，cloudflare到源服务器过程中并未启用加密SNI，并且RST紧随着client hello被发送（还一次发送6个，笑）

1tcpdump -s 0 -w capture.pcap

cloudflare倒是可以自定义回源SNI，但是要企业订阅（https://developers.cloudflare.com/rules/origin-rules/#availability ），一月200美元（汗

又试了非标端口，cloudflare自定义回源端口，同样被阻断

又尝试了无脑丢弃RST包的方法，是能绕过，但是不稳定，还是有报错525的可能，看来是双向RST阻断

不过这种方法太无脑了，鬼知道会不会产生一些奇怪的网络问题（汗

12345#设置规则iptables -I INPUT 1 -p tcp --dport 443 --tcp-flags RST RST -j DROP#删除规则iptables -D INPUT -p tcp --dport 443 --tcp-flags RST RST -j DROP

所以结论是：全端口SNI阻断，自定义回源SNI要企业订阅，加密SNI不普及，双向RST仅丢弃服务器端RST意义不大，所以根本没有最佳解决方案

一些小云厂商提供的免备案服务都是解析到境外CDN上，但这些大云不行，非但不提供免备案服务还不允许自行设置免备案，彻底封死了免备案的路，，，