小米公司员工私自将公司内网端口映射到公网

@qoras 「实习生很可能不给 VPN 权限, 小米这么大的公司不可能没有 VPN 的」
对，我觉得这应该是正解 👍

@mrzx 想当然了，现在都是 https，上哪看 url 去

@la9998372 求后续判决结果。

国内很多企业的内网可以说不设防的，哪怕划好 ACL 都不会出太大问题，这位实习生大概率是 FRP 做了穿透导致攻击者通过他的跳板机攻击了公司内网，至于怎么查的，一般互联网企业都会有类似于 IDS 、IPS 、态势感知类的安全设备，对于 FRP 等穿透类应用可以做到精准识别，但是出口防火墙一般是不会做相关策略去 BAN 这些协议，也怕误伤

@lewis89 之前做过一阵时间的网络管理，可以很明确的说，这种情况就是小米自己的网络管理有问题。这种情况可能是这个人远程办公之类的，将电脑开通了 VPN，然后他可以在外网通过 VPN 连接到这个电脑，而这个电脑在公司网内。
如果有人通过 VPN 连接到了他的电脑，就可以通过它的电脑访问内网了。
但是如果是单纯的端口映射，是不应该有这个权限的。

@mxalbert1996 我晚上试了下...大概知道了是什么类型的了(VPN)..不过如果我想让我本机的服务暴露出去(微信等开发的联调),貌似这个工具还不能直接做到..需要类似 nginx 的转发...可以这么理解么

@dbpe 能做到，在 config.yml 的 inbound 部分设置。

@mxalbert1996 希望大佬能指点下.... inbound 我的理解就是入站..具体到那个节点...是不知道的吧,难道会在全节点广播?

@dbpe
我没看懂你在说什么。。。
每一台机器的内网 IP 都是你自己设置的，你想连哪一台就用哪一台机器的 IP 就好了啊。

@mxalbert1996

我举个例子

`
inbound:
# Allow icmp between any nebula hosts
- port: any
proto: icmp
host: any

`

这里的 host 我认为是入站来源的 Ip....那么设置成具体的 Ip 的,那么应该只允许这个 ip 的请求,那么转发不应该是这里把?

应该在 outbound 里面吧?

@dbpe 出站规则默认就是全部允许，也没有必要限制。我不知道你说的转发是什么，这里不存在什么转发，就是一个适用于 Nebula 内网的防火墙而已，默认规则只允许 ICMP 协议（也就是 ping ）入站，你自己增加你需要的协议和端口（或者你想省事的话也可以允许所有）以后就可以从别的节点连这台机器了 。

@dbpe 另外 host 并不是 IP，这在配置文件的注释里都有。

省省吧。。。穿透都开放端口到外网了，逻辑上讲和裸奔没啥区别，要不防火墙用来干嘛的？
1 、tob 直接使用 vpn，主要是可控，任何企业都不希望未经允许的网路访问。
2 、toc 最好是“内网”到“内网”的模式，一定不能在外网开任何访问口子（各种教训还不算惨痛吗）。须做到只有自己能随时使用自己私有网络（或者点对点的授权他人访问）

或许是时候试试新的玩具了，sg 了解一下：
github.com/lazy-luo/smarGate

我就是用 frps 把公司的网络映射到公网的人... 刚刚赶紧把路由器上的 3389 关了。

@la9998372 有人又说是女的。。。

@longbye0 和 tensorboard 有什么关系？

我只关心是工具的 bug，还是自己安全意识不够，还是说开放的服务本身没有防护。

如果是工具 bug 这就很危险了，frp 这些都可能中招，如果是安全意识不够或者服务本身的问题，比如 rdp，下一条新闻吧。

@dbpe @mxalbert1996 认真地问一下,这次事件跟 nubul.a 有关系吗?

@linux007 不知道你在说什么。

员工用向日葵, frp,包括 QQ 无人值守远程桌面,这些都太容易操作了, 设置个复杂密码,就自己用,也没法管.被开除, 关键是,导致不法分子入侵,既然都证明是不法分子, 说明监控到下载重要文件到外网使用了, 而且不是本人.