怎么避开校园网对路由器的检测

深信服侵式检测，Android 和 iOS 不要一起连
如果不给连手机的话，手机也不要连，手机和电脑通过 UA 检测
电脑和电脑检测通过 HTTP 劫持检测，屏蔽 TTL 为 127、189 的包就好，把防火墙加入路由器

iptables -I FORWARD -p tcp -m tcp --sport 80 -m u32 --u32 "5&0xFF=0x7F" -j DROP
iptables -I FORWARD -p tcp -m tcp --sport 8000 -m u32 --u32 "5&0xFF=0x7F" -j DROP
iptables -I FORWARD -p tcp -m tcp --sport 8080 -m u32 --u32 "5&0xFF=0x7F" -j DROP
iptables -I FORWARD -p tcp -m tcp --sport 80 -m u32 --u32 "5&0xFF=0x80" -j DROP
iptables -I FORWARD -p tcp -m tcp --sport 8000 -m u32 --u32 "5&0xFF=0x80" -j DROP
iptables -I FORWARD -p tcp -m tcp --sport 8080 -m u32 --u32 "5&0xFF=0x80" -j DROP
logger -t " [防火墙规则] " "防深信服劫持完成"

最简单的方法，路由器上开个代理服务器，关闭 nat，然后都连代理服务器用

@oovveeaarr #1 噢对了，如果是 padavan 的话，选择始终不要减小 TTL

那通过掌上大学客户端的是什么认证？可以破解吗

@TKzero 也是电信的认证，只不过是不同的而已，我也不清楚为什么会有那么多种认证

@oovveeaarr 道理上，路由器上任意一部设备通过网页认证，路由器下的任何一部设备都可以用网了。。。这防火墙的规则直接添加进去就可以了吗

@iwtbauh 普通路由器怎么开代理，还是说要网件华硕刷梅林才可以开

@Benson1212 普通路由器肯定没法开，需要能刷 openwrt 等的

我学校的是 dr.com （ x 版）也开了防私接检测。初步测试 Apple 设备流量全部走代理是不会被检测出来，安卓设备没条件检测。防私接的检测也存在误报（据其他人反映）。

以前听说路由器下再级联路由器能躲过。毕竟做了两次 NAT。

@celeron533 我试过了，不可以绕过，依旧被检测出来了，怀疑已经对流量进行了分析。

@oovveeaarr 我们学校用的也是深信服防共享，网上查了一下好像说的很牛逼啊，难道就是通过简单的 ttl 来检测路由器共享的？？？这个防火墙规则实测有效吗？

@Benson1212 #6 是的，不过你得抓包下，看看配置是否一样的。

@ypx5 #12 UA 检测，HTTP 劫持出一个 flash 做机器特征码识别，目前只看到这两种，用肯定是有用的。

@oovveeaarr 麻烦啊。。。感觉不会。。

我们是 h3c inode，portal 认证是深澜软件...
依我看我们学校根本不检测...

@Benson1212 刚好最近遇到相关问题，请教一下大神，路由器桥接无密码的公共 WIFI 之后，能通过设备验证上网，但信号源的信道经常变动导致断网，这个怎么破？路由刷的是 Padavan。

原来是广科的师弟
宽带的账号可以在 N 台机上登陆，不会挤下线

@ypx5 @oovveeaarr 没那么简单，有流量特征检测的。

我们学校是锐捷，曾经试过安卓和 iOS 同连上路由器一个小时后发现被拉黑名单，现在一直多台 iOS 加 pc 以及几个智能电器，一年多了没啥问题，坐标暨大。

@Mijjj 没有改动配置吗？
我以前试过，把最后从 Wi-Fi 走的流量全部打到 ss-redis 上，然后再打到 shadowsocks 上，还是会有问题。

@illl
@celeron533 我这里是锐捷，我用 Mac 自带的网络分享功能从来没有问题，也不知道为什么。

@ech0x 可能是因为我有个室友用的是有线网的问题，我最近重新试试。

哎，双十一联通 200M 只要 288，为啥一定要用天翼。各位还在上学要被学校坑啊，多花点时间看看书，以后一个月工资多出来的，就抵上四年网费了

以前用的淘宝买的破解路由器，水星的辣鸡路由器刷的，卖两百多块

@eag73 这个我也不清楚。。。如果所桥接的 wifi 频繁变换信道导致频繁掉线，那这个 wifi 下的客户端也会频繁掉线吧。。。

@ksa909409531 啊哈哈是，只不过学校还会对路由器检测，检测到一次，封网 4 个小时

@shm7 学校只能用电信的校园宽带啊。。。

@ech0x 学校上了硬防，感觉都会受影响

另一个有意义的讨论 /t/384721

像我学校是后来有人工信部投诉解决的，都不需要涉及技术问题

@Benson1212 抱歉 选择性的无视我吧。

@yingfengi #18 流量特征检测这个感觉是玄学

@oovveeaarr 我上架了挺多台 AC，还算了解，确实检测的到。不然怎么能叫上网行为管理

有的是多设备同时存在流量就封，初步判定是根据 mac

@yingfengi #34 开了的话，我觉得就是基于 DPI 方面，但是 DPI 方面误报非常高呀。最常用的基于 TCP 包时序检测，还有 timestamp，直接通过楼上各位说的通过路由器代理服务器就可以解决。简单地说就是把 FORWARD 动作全部取消，这类 DPI 就基本完全失效了。
其实这些设备说是行为管理，实际上更倾向于行为检测+人工行政手段干预一些，格则越严格误报率越高，学校一般这么搞是会被投诉的，所以我觉得大部分策略都没开这么严格。

@oovveeaarr 检测手机端 APP 的流量，同时检测到手机端 APP 和 PC 端 APP 就认为是共享了。
同时私接路由，代理也能检测。
但是这种一般是企业场景才用的，学校啥的这种，按理说不会去用这个，用的话应该也局限于微机教室这种地方。
现在学生宿舍的网络不应该直接丢给运营商去搞吗

全局飞机不行吗？

换一个不检测路由的学校。

@ech0x 没有改动，用老毛子的 mentohust

@Cu635 我去。。。

@Benson1212 封网了直接换一个 IP 就好了，再过两个月学校就不检测路由器了
我在学校的时候，把路由器的 dhcp 关了，把网线插到 lan 口上当无线交换机用

@Benson1212 它好像是有几个信号，经常是两到三个。手机直连它的 WiFi 没有问题。感谢～

路由器上起一个透明代理是不是可以解决？

我以前是家里放一个 openwrt 路由器……当 pptp server，宿舍里放一个 openwrt 路由器当 pptp client，PPTP 没有建立成功时候不允许下级设备访问网络，完美。
（那时候家里上行 8M，学校下行 10M，同城）

@yingfengi #37 我们学校以前就是普通的拨号上网，后来因为《信息安全法》什么的，为了实名制搞了这个。

@ech0x 这是被代理商忽悠了，什么集中管控，行为管理，上网审计 balabala。你干啥了都知道

openwrt 我记得应该有插件就可以完美使用了

@wonathan 什么插件…

顶帖

所以最后解决了么

@oovveeaarr 感谢，我这儿（ openwrt ）使用了这个规则之后安卓和 iOS 可以一起连了，但过一会还是会断网。
用 ttl+1 似乎也不管用。

@ryahcs #52 android 和 ios 是通过 ua 检测的，除了全局挂代理以外暂时无解哦

@tingfen 没有解决

@Mijjj 师兄，现在还可以不，我也想试试，入学一周，受够了学校的限制了

@wnxkiwi 还需要吗？ 我用了挺长时间了 挺稳的 但是最近不知道为啥被封了几次 可能开了虚拟机的原因