有关近期热议的“私设 web 被查”的解决方案

2019-11-08 13:01:03 +08:00
 wslzy007

应全国“净网行动”,为打击电信诈骗等网络违法活动(这类确实可恨,我身边就曾有亲戚被骗),最近宽带运营商对“内网宽带私设 web 服务”的探测,致使很多自用(外网发布,但只能自己使用)的内网 web 服务也被“误杀”(如家中 NAS/内网摄像头 /内网路由器管理 web/自用私有 web 服务等)。

究其原因,大多是使用类似路由器端口映射,或如 frp 等工具进行内网穿透造成的;理论上只要能通过“外网 ip/域名:端口”直接访问的 web 服务,如果域名 /ip 未备案,都可以初步认定是非法的。常用的穿透工具的原理就是通过反向连接识别,将“外网 ip:端口”映射到“内网 ip:端口”,从而可以直接从外网访问内网 web 服务;因此很容易被规则误判。

对于此类私有应用的穿透访问,如果不走外网映射方式,会安全的多,同时也极具可行性,毕竟访问特性不是共享的。一般来讲这种方式常用的手段要么采用服务器转发,要么直接使用 vpn。无论如何你至少需要 1 个具备公网 ip 的服务器,或者购买别人的服务;哪怕可用了,带宽也无法保障,毕竟这类应用都是以高带宽消耗保障使用感知的。

另外数据转发如果只能走第三方服务器,或许你会担心安全问题;如果能走自建代理,或者能直接 P2P 方式,一方面能保证网络安全,同时也能确保带宽(家中一般都是百兆宽带了)

如果你没有找到其它更好的工具或方案,可以了解一下 smarGate ( github.com/lazy-luo/smarGate )-- 自己手撸的,是否是你想要的,请仔细阅读 github 说明

12156 次点击
所在节点    宽带症候群
25 条回复
farmer01
2019-11-08 14:48:30 +08:00
反代公网 IP 就没用了, 还不如直接变成内网 IP.
Archeb
2019-11-08 15:05:04 +08:00
类 zerotier ?
wslzy007
2019-11-08 15:09:24 +08:00
@farmer01 无法 p2p 场景下,公网代理是必须的;只是多提供了 v6 tunnel 的穿透方案,实现类似 v4 on v6 tunnel。手机 v4 网络大概率是无法 p2p 的,4G 网络 v6 tunnel 方案可以有效穿透防火墙建立直连链路。。。
wslzy007
2019-11-08 15:11:09 +08:00
@Archeb 不是,没有创建虚拟网络
yorkyoung
2019-11-08 15:34:49 +08:00
依旧点注册闪退
noclin
2019-11-08 15:40:41 +08:00
使用 frp 的情况下,运营商如何检测的 web 服务?因为公网主机没有备案?另外可以使用 frp 的 stcp。
wslzy007
2019-11-08 15:47:58 +08:00
@noclin frp 挺好用的
wslzy007
2019-11-08 15:49:41 +08:00
@yorkyoung 注册时不能填写中文
wslzy007
2019-11-08 15:58:40 +08:00
其实很多类似的工具,只有真正使用了才知道哪个是你想要的
akira
2019-11-08 16:05:35 +08:00
这软文不行啊。。好歹你在下面吹一波啊,不然完全没兴趣点过去看
wslzy007
2019-11-08 16:11:24 +08:00
@akira 个人比较懒,各位 V 友随意,只是希望对大家有用。另外 github 上还开源了一个 excel,有兴趣的拿走不谢
wolfworks
2019-11-08 16:16:26 +08:00
port knocking
虽然有点麻烦
wslzy007
2019-11-08 16:19:37 +08:00
@wolfworks 嗯,只是依赖防火墙了
jswh
2019-11-08 18:19:38 +08:00
内网穿透的用处在你的环境无法主动从外部连入的情况下用的。如果可以主动连接,直接弄 vpn 方案最方便。PPTP 不香么, 操作系统自带连客户端都不用。又不是翻墙要被 GFW 拦截。
wslzy007
2019-11-08 18:25:49 +08:00
@jswh 对主要是定向共享,大部分情况是自用。github 上写的很清楚,支持发布到公网,但有违安全理念,同时公网映射 frp 已经做的挺好了。vpn 自己搭建还需要外网 ip
deorth
2019-11-08 18:38:58 +08:00
@jswh #14 我在父母家里开的用于远程的 vpn,pptp 和 l2tp 连不上; ovpn 必须 tcp 模式,并且用一会就被封端口,然后就要手工换端口。广东电信到广东联通,流量并没有过 gfw
wslzy007
2019-11-08 18:42:56 +08:00
个人认为好用稳定才是王道;真香定律,要用一下才知道
mxT52CRuqR6o5
2019-11-08 18:54:02 +08:00
不直连套一层 cf,把 cf 回源服务器和内网加白名单(要允许 tls1.2,不然 app 用不了),应该基本是安全的,就是速度慢点
maoshen1234
2019-11-09 09:00:36 +08:00
@deorth 别用这些了,你哪怕换个艾斯艾斯,都比这些好
testcaoy7
2019-11-10 09:48:03 +08:00
@deorth 我在路由器上跑的 OpenVPN,UDP 模式,没发现封端口和阻断

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/617558

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX