V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wslzy007
V2EX  ›  宽带症候群

有关近期热议的“私设 web 被查”的解决方案

  •  
  •   wslzy007 · 2019-11-08 13:01:03 +08:00 · 12159 次点击
    这是一个创建于 1872 天前的主题,其中的信息可能已经有所发展或是发生改变。

    应全国“净网行动”,为打击电信诈骗等网络违法活动(这类确实可恨,我身边就曾有亲戚被骗),最近宽带运营商对“内网宽带私设 web 服务”的探测,致使很多自用(外网发布,但只能自己使用)的内网 web 服务也被“误杀”(如家中 NAS/内网摄像头 /内网路由器管理 web/自用私有 web 服务等)。

    究其原因,大多是使用类似路由器端口映射,或如 frp 等工具进行内网穿透造成的;理论上只要能通过“外网 ip/域名:端口”直接访问的 web 服务,如果域名 /ip 未备案,都可以初步认定是非法的。常用的穿透工具的原理就是通过反向连接识别,将“外网 ip:端口”映射到“内网 ip:端口”,从而可以直接从外网访问内网 web 服务;因此很容易被规则误判。

    对于此类私有应用的穿透访问,如果不走外网映射方式,会安全的多,同时也极具可行性,毕竟访问特性不是共享的。一般来讲这种方式常用的手段要么采用服务器转发,要么直接使用 vpn。无论如何你至少需要 1 个具备公网 ip 的服务器,或者购买别人的服务;哪怕可用了,带宽也无法保障,毕竟这类应用都是以高带宽消耗保障使用感知的。

    另外数据转发如果只能走第三方服务器,或许你会担心安全问题;如果能走自建代理,或者能直接 P2P 方式,一方面能保证网络安全,同时也能确保带宽(家中一般都是百兆宽带了)

    如果你没有找到其它更好的工具或方案,可以了解一下 smarGate ( github.com/lazy-luo/smarGate )-- 自己手撸的,是否是你想要的,请仔细阅读 github 说明

    第 1 条附言  ·  2019-11-08 18:04:00 +08:00
    好吧,有啥特点呢?
    1、小巧
    c++编写,静态编译 openssl 及 gcc 依赖库后大小为 2M+
    动态编译 openssl,静态编译 gcc 依赖库,大小为 1M 左右
    全动态编译版本,大小为 700k
    2、资源占用小
    闲时平均 cpu 占用 0.3%-0.5%左右
    运行时内存占用约 4M-8M
    3、客户端一点配置
    所有端口映射都在客户端界面配置
    支持动态新增和删除
    支持 http 及 tcp 代理,不支持 UDP
    4、连接保障
    支持 ipv6 防火墙穿透
    支持 v4 P2P 穿透
    支持自建代理转发
    5、安全
    无公网端口映射,服务端内网无监听端口,无需特殊防火墙配置
    唯一的访问入口是你的手机客户端
    如果手机其它应用使用的话,直接 localhost,无需考虑手机动态 ip 变化
    6、配置使用简单
    下载 app,注册
    下载服务端,修改服务端配置文件(最少改一项,就是你的 SID )
    然后,just runnig !
    。。。
    第 2 条附言  ·  2019-11-10 10:58:53 +08:00
    Qos 对 UDP 不友好,对采用 TCP 进行 P2P 穿透感兴趣的 V 友,可关注试用
    第 3 条附言  ·  2019-11-21 12:58:13 +08:00
    很多朋友在问:为什么不选择 frp 的 xtcp 模式?统一回复如下:
    1、frp 是个挺好的工具,但设计侧重点在“开放私有服务”,达到的效果是“外网能直接访问内网”
    2、frp 提供 xtcp 模式,需要在访问者和提供者上都安装 frpc,另外还需要自行在外网服务器安装 frps
    3、xtcp 是使用 UDP 进行穿透,被 Qos 几乎是大概率的
    25 条回复    2020-02-16 17:23:37 +08:00
    farmer01
        1
    farmer01  
       2019-11-08 14:48:30 +08:00
    反代公网 IP 就没用了, 还不如直接变成内网 IP.
    Archeb
        2
    Archeb  
       2019-11-08 15:05:04 +08:00 via Android
    类 zerotier ?
    wslzy007
        3
    wslzy007  
    OP
       2019-11-08 15:09:24 +08:00
    @farmer01 无法 p2p 场景下,公网代理是必须的;只是多提供了 v6 tunnel 的穿透方案,实现类似 v4 on v6 tunnel。手机 v4 网络大概率是无法 p2p 的,4G 网络 v6 tunnel 方案可以有效穿透防火墙建立直连链路。。。
    wslzy007
        4
    wslzy007  
    OP
       2019-11-08 15:11:09 +08:00
    @Archeb 不是,没有创建虚拟网络
    yorkyoung
        5
    yorkyoung  
       2019-11-08 15:34:49 +08:00
    依旧点注册闪退
    noclin
        6
    noclin  
       2019-11-08 15:40:41 +08:00
    使用 frp 的情况下,运营商如何检测的 web 服务?因为公网主机没有备案?另外可以使用 frp 的 stcp。
    wslzy007
        7
    wslzy007  
    OP
       2019-11-08 15:47:58 +08:00
    @noclin frp 挺好用的
    wslzy007
        8
    wslzy007  
    OP
       2019-11-08 15:49:41 +08:00
    @yorkyoung 注册时不能填写中文
    wslzy007
        9
    wslzy007  
    OP
       2019-11-08 15:58:40 +08:00
    其实很多类似的工具,只有真正使用了才知道哪个是你想要的
    akira
        10
    akira  
       2019-11-08 16:05:35 +08:00
    这软文不行啊。。好歹你在下面吹一波啊,不然完全没兴趣点过去看
    wslzy007
        11
    wslzy007  
    OP
       2019-11-08 16:11:24 +08:00
    @akira 个人比较懒,各位 V 友随意,只是希望对大家有用。另外 github 上还开源了一个 excel,有兴趣的拿走不谢
    wolfworks
        12
    wolfworks  
       2019-11-08 16:16:26 +08:00
    port knocking
    虽然有点麻烦
    wslzy007
        13
    wslzy007  
    OP
       2019-11-08 16:19:37 +08:00
    @wolfworks 嗯,只是依赖防火墙了
    jswh
        14
    jswh  
       2019-11-08 18:19:38 +08:00
    内网穿透的用处在你的环境无法主动从外部连入的情况下用的。如果可以主动连接,直接弄 vpn 方案最方便。PPTP 不香么, 操作系统自带连客户端都不用。又不是翻墙要被 GFW 拦截。
    wslzy007
        15
    wslzy007  
    OP
       2019-11-08 18:25:49 +08:00
    @jswh 对主要是定向共享,大部分情况是自用。github 上写的很清楚,支持发布到公网,但有违安全理念,同时公网映射 frp 已经做的挺好了。vpn 自己搭建还需要外网 ip
    deorth
        16
    deorth  
       2019-11-08 18:38:58 +08:00
    @jswh #14 我在父母家里开的用于远程的 vpn,pptp 和 l2tp 连不上; ovpn 必须 tcp 模式,并且用一会就被封端口,然后就要手工换端口。广东电信到广东联通,流量并没有过 gfw
    wslzy007
        17
    wslzy007  
    OP
       2019-11-08 18:42:56 +08:00
    个人认为好用稳定才是王道;真香定律,要用一下才知道
    mxT52CRuqR6o5
        18
    mxT52CRuqR6o5  
       2019-11-08 18:54:02 +08:00 via Android
    不直连套一层 cf,把 cf 回源服务器和内网加白名单(要允许 tls1.2,不然 app 用不了),应该基本是安全的,就是速度慢点
    maoshen1234
        19
    maoshen1234  
       2019-11-09 09:00:36 +08:00
    @deorth 别用这些了,你哪怕换个艾斯艾斯,都比这些好
    testcaoy7
        20
    testcaoy7  
       2019-11-10 09:48:03 +08:00
    @deorth 我在路由器上跑的 OpenVPN,UDP 模式,没发现封端口和阻断
    wlh
        21
    wlh  
       2019-11-22 10:43:50 +08:00
    这么说 qnap 的 ddns 还可以用吗? myqnapcloud.cn 这一级域名是备案过的。
    wslzy007
        22
    wslzy007  
    OP
       2019-11-22 10:50:52 +08:00
    @wlh 理论上讲 ddns 还是有风险的,毕竟能被解析到 ip,ip 段划分运营商是有策略的,也就是说本质上可以厘清对应 ip 是否为家宽动态 ip。。。
    duangaduang
        23
    duangaduang  
       2019-11-22 15:23:58 +08:00
    @wslzy007 一直注册失败怎么回事?
    wslzy007
        24
    wslzy007  
    OP
       2019-11-22 16:01:34 +08:00
    @duangaduang 不能有中文
    tengyoubiao
        25
    tengyoubiao  
       2020-02-16 17:23:37 +08:00 via Android
    能直接通过 ip/域名访问的 web 服务都不允许吗?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3139 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 1704ms · UTC 12:54 · PVG 20:54 · LAX 04:54 · JFK 07:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.