V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nullo
V2EX  ›  宽带症候群

代理服务器

  •  
  •   nullo · 254 天前 · 2494 次点击
    这是一个创建于 254 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司有的部门是禁网的,但是禁网部门还需要访问云之家等一些业务接收外部邮件等,由于云之家的 ip 和域名比较多等,领导要求不要在防护墙上做安全策略,要求搞台代理服务器通过代理访问,这个要咋实现啊,nginx 做代理能实现嘛,求大佬解惑

    13 条回复    2024-03-21 19:20:49 +08:00
    locoz
        1
    locoz  
       254 天前
    简单的代理用 tinyproxy 、squid 之类的都可以,简单配置一下就能用。复杂情况可以用常见用于翻墙那些东西,shadowsocks 、v2ray 之类的。
    stinkytofu
        2
    stinkytofu  
       254 天前
    1L 说的都行, 另外也可以用 VPN , 搭个 VPN 服务也方便, 系统都提供了 vpn 的连接, 不需要额外装软件了。
    HitouchiMi
        3
    HitouchiMi  
       254 天前 via Android
    v2ray 之类的翻墙代理,通过配置 IP 白名单实现,单纯域名无法做到有效隔离
    tool2d
        4
    tool2d  
       254 天前
    vpn 也麻烦,设置过滤规则和防火墙基本没差区别。

    不设置的话,加个 VPN 后禁网基本就形同虚设了。

    你其实可以拦截局域网的 DNS ,把和云之家匹配的所有 IP ,让防火墙都自动化放行。
    masterikk
        5
    masterikk  
       254 天前
    一、针对企业内部上网需要对云之家域名、IP 、端口进行放行的情况说明:
    a. 优先按域名方式配置防火墙或上网行为管理设备的放行策略,尽量不要使用配置 IP 白名单的方式,避免 IP 变动导致云之家无法访问
    b. 不要在企业内部的 DNS 上将云之家所有域名全部解析到下述的 6 个 IP ( 120.92.21.10/100/132 、120.92.36.115/128/246 ),避免业务变动或者 IP 变动导致云之家无法访问
    二、请按下列描述配置放行策略:
    1. 泛解析配置:*.yunzhijia.com, *.kdweibo.com, *.yzj.im (此配置是为了更好的兼容使用云之家功能,需设备支持通配符*)
    2. 域名:www.yunzhijia.comdo.yunzhijia.comshequ.yunzhijia.comjsres.yunzhijia.comyunzhijia.comwww.kdweibo.comdo.kdweibo.comkdweibo.comyzj.ima.yzj.ims.yzj.im
    3. 上述域名使用的端口:80 、443 、6899(仅 EAS 需要),IP:120.92.21.10 、120.92.21.100 、120.92.21.132 、120.92.36.115 、120.92.36.128 、120.92.36.246 、206.161.229.244(海外节点 IP)
    4. 移动端依赖:xt-entry.yunzhijia.com(端口:80)、xt-entry-sl.yunzhijia.com(端口:443), IP:120.92.36.235
    5. 桌面端依赖:websocket.yunzhijia.com, 端口:80 、443, IP:120.92.21.128, 120.92.33.117
    6. 静态资源:static.yunzhijia.comres.yunzhijia.comforumcdn.yunzhijia.com 3 个域名为 CDN 地址,无法提供具体 IP
    7. 红包功能依赖,端口:80 ,443 ,CDN 地址无法提供具体 IP
    https://gia.jd.com
    https://ag.jd.com
    https://payrisk.jd.com
    https://h5pay.jd.com
    https://mt.jdpay.com
    8. 签到功能依赖,端口:80 ,443 ,CDN 地址无法提供具体 IP
    https://loc.map.baidu.com
    https://apilocate.amap.com
    https://lbs.map.qq.com
    https://restapi.amap.com
    9. 移动端闪退记录:*.bugly.qq.com ,端口:80 ,443

    三、其它功能可能需要开放的域名、IP 、端口:
    1. 金蝶云盘:pan.kingdee.com(IP:120.92.209.158), cloudcdn.kingdee.com(CDN 地址), 端口:80 、443
    2. k3 系列: k3weixin.kingdee.com, IP:211.162.65.248 端口:80 、443
    3. EAS 流程助手:bos.kingdee.com(IP:101.124.7.201), mbos.kingdee.com(IP:101.124.10.230), 端口:80 、443

    四、关于部分轻应用回调,则需要允许 IP:120.92.12.124 访问目标应用(该 IP 为云之家应用服务器的互联网出口 IP )
    五、语音会议和视频会议的域名和地址无法提供,因为使用了 p2p 协议,且都是随机节点
    六、企业自建轻应用不在本范围内,请自行收集整理自建轻应用的域名、IP 、端口等信息
    七、如果企业只配置上述的云之家相关域名和 IP 的访问策略,那么所有涉及到第三方服务商功能或轻应用都无法正常使用。
    bclerdx
        6
    bclerdx  
       254 天前 via Android
    这种既要禁网,又要安全,又要特殊人不受限制,其实挺操蛋的。
    nullo
        7
    nullo  
    OP
       254 天前
    @locoz 大佬,squid 好像不支持 smtp 和 pop 协议,正常收发邮件怎么操作呀
    retanoj
        8
    retanoj  
       254 天前
    可以靠 Nginx 的 Stream 功能来做 4 层代理
    以及靠 SNI 分流功能来按域名区分要访问的目标地址
    nullo
        9
    nullo  
    OP
       254 天前
    这种 squid 的代理是代理全部流量还是仅 http 呀,如果无法代理 smtp ,应该如何禁网的同时又仅能使用云之家应用还得能接收到邮件,同时还要连公司的加密服务器和卡巴服务器呢 ??
    locoz
        10
    locoz  
       254 天前 via Android
    @nullo #9 那你可以选择用 v2ray 之类的解决问题
    CharonVIII
        11
    CharonVIII  
       251 天前
    你们公司太骚了,不允许动防火墙策略,但是要用到防火墙的 ACL 功能。。

    话说你们现在禁网是怎么做的?是电脑上安装软件实现还是依靠防火墙 ACL 实现?
    你们的路由器支持 ACL 吗?
    barnettluo1994
        12
    barnettluo1994  
       248 天前
    代理服务器上直接做规则就行。 其他的域名直接 block 掉就行了
    nullo
        13
    nullo  
    OP
       248 天前 via Android
    @barnettluo1994 感谢,已经用这个方法实现了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2492 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 15:47 · PVG 23:47 · LAX 07:47 · JFK 10:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.