有没有基于 http 的内网穿透技术?

公司的互联网访问策略异常的严格(据说用的深信服),之前还能用 nps 的.某次升级后就连不上了. 从内网 ping 外网没问题,上网也没问题,但是各种指定端口的 tcp 都连不上.ssh 也无法使用. 感觉从内向外只放开了 80 和 443 端口?

这种情况下,还能实现内网穿透么?

IvanLi127

2022-09-21 08:15:23 +08:00

xray

zhqiang

2022-09-21 08:19:12 +08:00

没用过 nps ，但是感觉和 frp 应该差不了太多
公司也是封端口，只开放 80/443
使用 frp ，直接使用 443 端口映射到内网的 ssh 或者其他端口。
缺点一个公网 ip （ vps ）只能映射两个端口，要是在想访问内网其他更多服务就比较麻烦了，没有那么多有公网 ip 得 vps

gps949

2022-09-21 08:24:04 +08:00

本来一般也是靠 udp 穿透更靠谱，你说 tcp 连不上，udp 呢？
不过如果是深信服的 sase 可能比较难办，因为它实际上是所有流量先到它的 pop 节点，再统一由 pop 节点出去。你可以测试下用 ip 检测网站检测下你自己的公网 ip ，是不是和公司的出口 ip 不一样了（会变成它 pop 节点的 ip ）。
据说深信服这玩意似乎绑定 mac ？好像虚拟机也搞不定？你可以尝试下修改网卡 mac 或者在桥接网络的虚拟机里连下试试。

xubingok

2022-09-21 08:28:38 +08:00

@gps949 害.我们办公用的云桌面.我内网的机器实际上就是一台虚拟机.至于查看 ip 这个.我在 ip138 之类的网站倒是能看到自己的公网 ip.但是公司的出口 ip 不知道怎么查啊..

xubingok

2022-09-21 08:32:24 +08:00

@zhqiang 你说的略高端,有点听不懂..
我感觉所谓的内网穿透,应该都是内网机器连接上外网的一台服务器(我在腾讯云有这样的 vps,有公网 ip).然后外网其他机器就可以通过这个跳板访问内网各种系统了.
现在就是内网使用 80/443 以外的端口都连不上外网机器.
但是做开发的时候发现用于 mqtt 的 websocket 似乎又能连上,一时之间也搞不清楚这个防火墙策略了...

cpstar

2022-09-21 08:33:09 +08:00

难道还有协议检测？把 frp 的端口绑到 80/443 上行不？

cpstar

2022-09-21 08:36:21 +08:00

不对，反了，你这个是要内网往外穿，内网访问外边的非 80/443 。那不是内网穿透，然后把内网的用某种方法放到内网墙外，绕开墙上的 80 、443 限制。

lqw3030

2022-09-21 08:42:31 +08:00

是不是应该先考虑下为什么"公司的互联网访问策略异常的严格"，V 站因穿网引发安全事件案例数不胜数了

zhqiang

2022-09-21 08:49:12 +08:00

没用过 nps ，但是感觉和 frp 应该差不了太多
公司也是封端口，只开放 80/443
使用 frp ，直接使用 443 端口映射到内网的 ssh 或者其他端口。
缺点一个公网 ip （ vps ）只能映射两个端口，要是在想访问内网其他更多服务就比较麻烦了，没有那么多有公网 ip 得 vps

@xubingok
不高端啊，和你得用法一样，你只要在你的 vps 上面设置 443 绑定到你内网机器得非 443 端口就可以了啊
不如你设置 vps 得 443 绑定到你内网某个机器得 3389 端口，这样你在 rdp 客户端设置连接得地址为 '公网 ip：443‘就可以了啊。

gps949

2022-09-21 08:50:07 +08:00

@xubingok
云桌面。。。那连 sase 都不用了。要我就懒得折腾了
如果没 sase （即从外部能正确判断公司出口 ip 原路回源）的话，可以尝试下 tailscale ，但就算能通多半也是走 derp 中转的。
如果它也不行，就得看你具体需求和情况，具体问题具体分析了，比如看是外面随处连公司还是公司连家里之类的。

cutepig

2022-09-21 08:54:17 +08:00

https://github.com/jpillora/chisel
这个应该可以，到但有机会被防毒软件报误报

zhqiang

2022-09-21 08:55:34 +08:00

@xubingok 你的意思是你要在公网通过内网穿透访问你公司内部得某台机子？如果这样要看你们公司得防火墙策略了。这个我没有试验过。
我们公司是浏览网页都没有问题，但是我想 ssh 连接外网，只能走 443/80 ，所有其他端口包括 ssh 都关闭了。所以我在公司想管理我得 vps ，除非是供应商提供了 webssh ，否则我只能回家搞。
目前我是家里开了一台 linux ，通过 frp 443 绑定到家里得 linux 得 ssh server 得端口来连接到家里，然后通过家里得 liunx 在 ssh 到公网得 vps ，管理所有得 vps

yolee599

2022-09-21 09:03:52 +08:00

这个应该让运维解决吧，除非你就是运维，直接问客服

sujin190

2022-09-21 09:40:43 +08:00

都只开放 80/443 了，说不定还开着流量分析和上网行为分析，小心被抓啊，看起来老板挺看重这种行为的，别搞出个”大事“来，2333~

greatbody

2022-09-21 09:41:14 +08:00

建议自备电脑，用手机流量共享 WiFi 上网。否则可能被公司开除。

xubingok

2022-09-21 09:43:04 +08:00

@cpstar 需求场景就是,我们干活在一台内网机器上面.但是这个机器用起来非常不爽.我想在外网的笔记本上干活,需要能从外网访问某些内网才能访问的系统,比如 gitlab,后端接口之类的.
之前的方式就是公网 vps 安装一台 nps 服务端,然后内网机器执行 nps 客户端,连上以后,就可以把公网 vps 当做代理,从外网访问内网各种系统了.

xubingok

2022-09-21 09:44:05 +08:00

@lqw3030 唉...这个风险我非常清楚.但是综合我的工作内容涉密程度,以及外网干活带来的效率提升,我愿意承担这个风险.

xubingok

2022-09-21 09:45:12 +08:00

@zhqiang 我内网机器连公网 ip 都没有...咋可能把外网 vps 接口绑定到内网 3389 端口啊..而且防火墙估计也不会允许内网机器的 3389 可以被外网连上吧.

xubingok

2022-09-21 09:48:28 +08:00

@gps949 谢谢.这个 sase 啥的我不太懂.
不过需求场景就是外面随处连公司.在云桌面干活太难了.

cpstar

2022-09-21 09:49:23 +08:00

OP 36# 哦，这么说，就正了。公网 frps 开 80/443 端口，内网 frpc 访问 frps 的 80/443 ，nps 类似。但是如果你们的设备检测协议即 http/https 内容的话，那就不行了——如 6#所述。
再者就是 14#说的问题，如果上了行为分析，那必然会检测协议内容，上述方法无效。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/881734

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.