@lesismal 简单报文恰恰可以测试网络库调度能力啊，且直接有效

@lesismal 网络库最终还是要加载协议的，哪怕是简化版协议也行啊，等你的 http 协议对接后我测测。用数据说话最直接

用实测数据说话吧： [golang 主流高性能 web 框架性能测试] https://yq.aliyun.com/articles/721540

vpn 方案可行，只是也需要外网水管
可以试试 sg ，如果能 p2p 感知肯定好，是“内网”到“内网”的穿透，无须暴露外网
拿走不谢：github.com/lazy-luo/smarGate

小心选择交叉编译环境就行了。重点在于 glibc 、内核及 gcc 版本。。。
我的 SG 项目编译后基本就是“系统+cpu 架构”，也就是 linux-x86_64 通用、linux-arm 通用等。。。
github.com/lazy-luo/smarGate

@Tonni
多了一层防护而已，毕竟还是将 ss 代理直接暴露公网了

@moonfly 思路上是契合的
差异在于（同样的场景为例）：
1 、sg 无需在定制化 linux 中运行，任意一台内网设备即可。不依赖 ssh，仅仅单纯提供安全隧道
2 、sg 无需获取 ticket，依赖用户登录会话进行识别，完整的用户间隔离
3 、远程支持的随机端口是在客户端按需配置的，客户端为手机移动 app

有明白人，也不缺杠精
安全没有绝对，之前说过了，试图探讨一种针对私有资源通用的安全解决方案（ ddos 攻击不讨论），重点就 3 个：
1 、vps 主机关闭所有对外监听
2 、在 1 ）这个约束下想办法让自己能够访问
3 、进一步思考如何保证只有自己能访问

@firefox12
自己的使用方式是：
1 、手机上有 proxy
2 、vps 上启动 proxy 但只外连不监听
3 、两个 proxy 最终会以 tcp 方式建立 p2p 隧道（通过第三方服务器协商地址）
4 、电脑 ssh 客户端访问手机 proxy，通过隧道访问 vps 上 localhost：22
ps：以透明代理方式访问，因此会在隧道中进行正常握手（隧道为普通 tcp 连接）
好处：
1 、vps 上没有任何监听端口对外服务，除了 ddos 外，安全坚固
2 、手机网络是私有网络，安全
3 、带着手机，随时随地访问服务器

@luoleng 反向连接代理

@Maboroshii
proxy 无对外服务端口，除非自身不稳定。这个无门槛，也可以自己写一个代理
@DoctorCat
ip 白名单不好做，客户端都是动态 ip

@locoz
端口映射和类 vpn 工具是不同的，vpn 是网络二层打通，相当于直接开放子网，一般是采用 tun/tap 驱动。
端口映射就是单纯的点到点的打通，看使用场景

本帖是有感而发，源自“小米内网穿透事件”的帖子，对于个人而言比较推崇“内网”到“内网”的安全访问。

@boris93 很久没推广了，简单工具而已，反正也不打算收费。大家忽略 sg 即可，只讨论安全

仁者见仁吧，安全的事，你要没摊上那永远就是别人的事。。。
网络远程攻击 /渗透主要是钉的蛋壳上的缝，对于部分私有应用，完全可以只监听 localhost，去掉对外监听也就断了被攻击的路
漏洞的事不谈也罢，毕竟过于触目惊心

强密码证书类的挡不住软件漏洞

其实这是个通用思路，关键是将私有服务器的公共访问私有化，等同于内网访问，提升安全级别

省省吧。。。穿透都开放端口到外网了，逻辑上讲和裸奔没啥区别，要不防火墙用来干嘛的？
1 、tob 直接使用 vpn，主要是可控，任何企业都不希望未经允许的网路访问。
2 、toc 最好是“内网”到“内网”的模式，一定不能在外网开任何访问口子（各种教训还不算惨痛吗）。须做到只有自己能随时使用自己私有网络（或者点对点的授权他人访问）

或许是时候试试新的玩具了，sg 了解一下：
github.com/lazy-luo/smarGate

这事嘛，和设置的密码强度无关，系统漏洞，软件漏洞等都是直接秒的！
不要将内网映射到外网端口！
不要将内网映射到外网端口！
不要将内网映射到外网端口！

唉，c 开发，为啥要用 ssh 库呢？直接 openssl 它不香吗