公司的 Google 是内网 ip

341 天前

YLWIND

最近突然发现公司 ping google 会被解析为内网 ip

xxx@xxx ~ % ping google.com      
PING google.com (10.xx.xx.xxx): 56 data bytes
64 bytes from 10.xx.xx.xxx: icmp_seq=0 ttl=56 time=54.002 ms
64 bytes from 10.xx.xx.xxx: icmp_seq=1 ttl=56 time=52.970 ms
64 bytes from 10.xx.xx.xxx: icmp_seq=2 ttl=56 time=52.414 ms

然后通过 dig 查看了一下，发现使用公司的内网 dns 会被解析到三个内网 ip ，如果使用公共 dns 就会解析到公网 ip 上，看了一下 google 的证书，和科学上网访问的证书是同一本（ SHA-256 指纹判定），想问一下这个是怎么实现的呢？这不就是中间人攻击吗

补充，访问 CloudFront 加速的网站也会被解析到和 Google 相同的内网 ip 上，并且证书和公网访问一样

7277 次点击

所在节点

程序员

32 条回复

beyondstars

341 天前

https://www.haproxy.com/blog/layer-4-and-layer-7-proxy-mode 这篇文章介绍了七层反向代理和四层反向代理的区别，七层反向代理的转发器需要解析 HTTP 报文，重新发送 HTTP 报文，所以才需要证书。

四层的不需要。就好像你家的路由器也在转发你访问任意网站的流量，但是它不需要证书。

orzorzorzorz

341 天前

@basncy 借楼一问。op 这是啥输入法，我乍一看回复以为是屏幕脏了，但复制出去才发现这字有东西。

leadfast

341 天前

@basncy 同问这字？

ZhiyuanLin

341 天前

你用 haproxy 或者 iptables 自己的 VPS 搞个转发就知道了。

cloverzrg2

341 天前

公司帮你搭了个正向代理

BeiChuanAlex

341 天前

也许是专线

notabigdirector

341 天前

这些知识都是怎么学的，感觉好复杂，看博客都是一些看不懂的专业术语

wuvvu

341 天前

@leadfast #23
@orzorzorzorz #22
西里尔百万结合符

JK2333

340 天前

把你 cfw 的 tun 模式关了就行····

tywtyw2002

340 天前

我看怎么是虚拟 ip 然后做路由呢，很可能连 SNI proxy 都不算，直接走得是 3 层路由过 VPN 了，然后出口在做 NAT ，简单方便。

是不是 SNI proxy 你要看 tcp 建立的时间，毕竟 SNI proxy 要先 tcp 连接了读 SNI ，然后代理才会去请求源。

traceroute 下试试看。

Rorysky

340 天前

@notabigdirector 中国程序员网络知识天下第一，都得改写 gfw

louisxxx

340 天前

端口转发

第 2 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1010115

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.