公司有的部门是禁网的,但是禁网部门还需要访问云之家等一些业务接收外部邮件等,由于云之家的 ip 和域名比较多等,领导要求不要在防护墙上做安全策略,要求搞台代理服务器通过代理访问,这个要咋实现啊,nginx 做代理能实现嘛,求大佬解惑
1
locoz 238 天前
简单的代理用 tinyproxy 、squid 之类的都可以,简单配置一下就能用。复杂情况可以用常见用于翻墙那些东西,shadowsocks 、v2ray 之类的。
|
2
stinkytofu 238 天前
1L 说的都行, 另外也可以用 VPN , 搭个 VPN 服务也方便, 系统都提供了 vpn 的连接, 不需要额外装软件了。
|
3
HitouchiMi 238 天前 via Android
v2ray 之类的翻墙代理,通过配置 IP 白名单实现,单纯域名无法做到有效隔离
|
4
tool2d 238 天前
vpn 也麻烦,设置过滤规则和防火墙基本没差区别。
不设置的话,加个 VPN 后禁网基本就形同虚设了。 你其实可以拦截局域网的 DNS ,把和云之家匹配的所有 IP ,让防火墙都自动化放行。 |
5
masterikk 237 天前
一、针对企业内部上网需要对云之家域名、IP 、端口进行放行的情况说明:
a. 优先按域名方式配置防火墙或上网行为管理设备的放行策略,尽量不要使用配置 IP 白名单的方式,避免 IP 变动导致云之家无法访问 b. 不要在企业内部的 DNS 上将云之家所有域名全部解析到下述的 6 个 IP ( 120.92.21.10/100/132 、120.92.36.115/128/246 ),避免业务变动或者 IP 变动导致云之家无法访问 二、请按下列描述配置放行策略: 1. 泛解析配置:*.yunzhijia.com, *.kdweibo.com, *.yzj.im (此配置是为了更好的兼容使用云之家功能,需设备支持通配符*) 2. 域名:www.yunzhijia.com 、do.yunzhijia.com 、shequ.yunzhijia.com 、jsres.yunzhijia.com 、yunzhijia.com 、www.kdweibo.com 、do.kdweibo.com 、kdweibo.com 、yzj.im 、a.yzj.im 、s.yzj.im 3. 上述域名使用的端口:80 、443 、6899(仅 EAS 需要),IP:120.92.21.10 、120.92.21.100 、120.92.21.132 、120.92.36.115 、120.92.36.128 、120.92.36.246 、206.161.229.244(海外节点 IP) 4. 移动端依赖:xt-entry.yunzhijia.com(端口:80)、xt-entry-sl.yunzhijia.com(端口:443), IP:120.92.36.235 5. 桌面端依赖:websocket.yunzhijia.com, 端口:80 、443, IP:120.92.21.128, 120.92.33.117 6. 静态资源:static.yunzhijia.com 、res.yunzhijia.com 、forumcdn.yunzhijia.com 3 个域名为 CDN 地址,无法提供具体 IP 7. 红包功能依赖,端口:80 ,443 ,CDN 地址无法提供具体 IP https://gia.jd.com https://ag.jd.com https://payrisk.jd.com https://h5pay.jd.com https://mt.jdpay.com 8. 签到功能依赖,端口:80 ,443 ,CDN 地址无法提供具体 IP https://loc.map.baidu.com https://apilocate.amap.com https://lbs.map.qq.com https://restapi.amap.com 9. 移动端闪退记录:*.bugly.qq.com ,端口:80 ,443 三、其它功能可能需要开放的域名、IP 、端口: 1. 金蝶云盘:pan.kingdee.com(IP:120.92.209.158), cloudcdn.kingdee.com(CDN 地址), 端口:80 、443 2. k3 系列: k3weixin.kingdee.com, IP:211.162.65.248 端口:80 、443 3. EAS 流程助手:bos.kingdee.com(IP:101.124.7.201), mbos.kingdee.com(IP:101.124.10.230), 端口:80 、443 四、关于部分轻应用回调,则需要允许 IP:120.92.12.124 访问目标应用(该 IP 为云之家应用服务器的互联网出口 IP ) 五、语音会议和视频会议的域名和地址无法提供,因为使用了 p2p 协议,且都是随机节点 六、企业自建轻应用不在本范围内,请自行收集整理自建轻应用的域名、IP 、端口等信息 七、如果企业只配置上述的云之家相关域名和 IP 的访问策略,那么所有涉及到第三方服务商功能或轻应用都无法正常使用。 |
6
bclerdx 237 天前 via Android
这种既要禁网,又要安全,又要特殊人不受限制,其实挺操蛋的。
|
8
retanoj 237 天前
可以靠 Nginx 的 Stream 功能来做 4 层代理
以及靠 SNI 分流功能来按域名区分要访问的目标地址 |
9
nullo OP 这种 squid 的代理是代理全部流量还是仅 http 呀,如果无法代理 smtp ,应该如何禁网的同时又仅能使用云之家应用还得能接收到邮件,同时还要连公司的加密服务器和卡巴服务器呢 ??
|
11
CharonVIII 235 天前
你们公司太骚了,不允许动防火墙策略,但是要用到防火墙的 ACL 功能。。
话说你们现在禁网是怎么做的?是电脑上安装软件实现还是依靠防火墙 ACL 实现? 你们的路由器支持 ACL 吗? |
12
barnettluo1994 231 天前
代理服务器上直接做规则就行。 其他的域名直接 block 掉就行了
|
13
nullo OP @barnettluo1994 感谢,已经用这个方法实现了
|