「不懂就问」如何把公司电脑当作代理,访问公司内网的其他服务?

94 天前
 fqy12300

需要在家远程办公,公司运维给开了 VPN ,用的是 EasyConnect 来连接的。但是运维说,内网的服务并不是连接上 VPN 就能访问的。需要明确指定的需要访问的服务器和端口。目前我是通过 SSH 连上公司的电脑,然后通过 SSH 的端口转发来访问一些其他的服务。但是这样太麻烦了。要给访问的每个服务都设置端口转发,而且有的时候不知道端口是哪一个。

我的需求是,可不可像 Surge 配置代理那样,把公司的电脑当作代理服务器,然后当我在访问公司内网服务的时候,自动通过那台代理服务器来访问。网上搜索了一波,了解了一些关键词 docker-easyconnect ,Surge Pone 模式,但是不知道具体怎么操作。有老哥能帮忙科普一下吗?

目前我的环境是 EasyConnect / Stash / 有光猫的超管密码

2177 次点击
所在节点    程序员
30 条回复
doosit
94 天前
如果你公司电脑可以访问互联网,可以考虑 NPS ,但是公司内网环境风险有点大
PrinceofInj
94 天前
不知道是不是 ezconnect 比较特别还是你们 IT 是个二杆子不会配。正常的话,vpn 链接后可以使用一切公司的内网资源。链接公司 VPN 后,公司内部所有的服务,包括远在国外的 smb 共享都可以正常打开。
songyoucai
94 天前
@PrinceofInj 很明显不是的。 我们公司运维也是一样,vpn 也分权限,会分配到不同的网段,然后去访问内网对应的资源。并不是说只要连上 vpn 就可以访问内网一切资源。 问就是为了安全。 这种可以直接找运维,说自己要访问什么服务。他那边配置好了,就可以访问了。
JerryYuan
94 天前
楼主这个想法感觉很容易被网管线下真实。

人家不让 vpn 访问自有人家的理由,有 vpn 访问的需求就向领导申请,领导如果同意,网管自然也不会有什么异议。楼主尝试用技术手段对抗管理手段是很容易翻车的。

回归到技术讨论,这种代理软件怕不是很多,就拿翻墙常用的 ss trojan v2ray 分分钟搞一个。
CAFEEBABE
94 天前
直接找网管申请,别作妖。
frencis107
94 天前
你们运维不是说了 “需要明确指定需要访问的服务器、端口”。

要访问什么资源你按实际需求申请不就行了,为什么要搞这些花里胡哨的东西来绕过安全策略,出了事情你担得起责任吗?
Reficul
94 天前
这种事情严肃追究的话,不但可以直接炒掉不给 N+1 ,甚至可能还得进去。
povsister
94 天前
如果公司电脑允许你自己装梯子,那,梯子上写个反向代理,连接家里,前提是家里有公网地址。
然后从家里,通过反向代理的链接,即可访问任意公司网段。

这种情况下除非 IT 看你的梯子配置文件,不然是几乎没法发现的。当然,安全自负。
cnerblocker
94 天前
可以 SSH 到公司电脑的话为何不使用远程环境?使用远程终端访问内网服务即可,可使用 VSCode Remote 或 RDP/VNC 远程桌面等

其次 SSH 支持设置 SOCKS 代理,可通过此代理请求服务,参考 https://linux.die.net/man/1/ssh 中的 -D 选项

仍然建议与运维多沟通,诸此不便大抵是为了安全性等而不得不存在的,但倘若因此而影响工作效率则应重新商榷
worldgg
94 天前
建议不要这么干,我们公司也是 vpn 加上一堆端口,之前出过安全事故是,有人通过钓鱼邮件拿到账号密码,然后登陆 vpn 盗窃资料,公司的东西还是按照公司要求注意安全的好,毕竟只是打份工而已
adambob
94 天前
你们公司应该有网络工程师吧,各种打洞的应用一般会被行为管理设备阻断的,所以不用试了。
kandaakihito
94 天前
直接去网上找那种使用 ssr 搭梯子的教程,学校实验室里面很多人为了能在宿舍访问内网都是这么干的。

但是,真心建议别搞,容易把自己弄进去,去找运维要个 vpn 账号就行。
oneisall8955
94 天前
多年前我会选择自己 VPN 组网,组网方式很多,zerotier ,n2n 等。现在不敢搞了,不出事大家都好,出事了你怎么负责
pagxir
94 天前
你都会用 ssh 了,还不知道 ssh -D 么。不过还是让 IT 直接配置好吧,反正申请完也就是一次性配置好而已。
billwang
94 天前
内外网不应该是物理隔离的吗?都能架 vpn 访问了还叫什么内网?
yinmin
94 天前
正解:你把要用的服务清单提供给运维,让运维开权限。

临时/突发情况,来不及让运维开权限,可以试试以下方式:

(1) 连上公司网络后,先在本地建立一个 socks5 端口 127.0.0.1:10080
ssh -D 10080 -f -C -N user@serverip

(2) 加节点:
- name: 'company'
type: socks5
server: 127.0.0.1
port: 10080
udp: false

(3) 加规则:
- IP-CIDR,<ip 地址 1>/32,company,no-resolve
- IP-CIDR,<ip 地址 2>/32,company,no-resolve
...
- IP-CIDR,<ip 地址 N>/32,company,no-resolve

断开公司网络后 pkill ssh 关闭 ssh 进程。不要在公司电脑上安装代理服务软件,这个是大忌,被发现就是重大事故!加规则用具体的 ip 地址,宁愿多写几条也不要用地址段。
auhah
93 天前
何必用不合规的手段达成方便在家加班的目的呢。。。。

先天牛马圣体吗。。

需要用啥就申请,爱批不批,批了就干,不给批来活就说干不了就完事了
snoopygao
93 天前
除非你想搞垮公司,走正规途径
mmdsun
93 天前
听说 EasyConnect 非常流氓。。我不直接装
我是用这个,然后用猫咪 Clash 把公司内网 IP 流出来走规则就行了。
https://github.com/docker-easyconnect/docker-easyconnect
fqy12300
92 天前
@JerryYuan 我需要访问的资源,就是平常工作中用到的一些服务,并不是说公司故意通过这种方式不让访问。想访问的话,直接找运维加一条记录也是可以的,只是我认为每次都要去找运维太麻烦了,所以我想自己通过某种方式来实现全部访问。你说的方式,具体有什么实践案例吗?🤔

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1067630

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX