首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
V2EX  ›  宽带症候群

有关近期热议的“私设 web 被查”的解决方案

  •  
  •   wslzy007 · 27 天前 · 4614 次点击

    应全国“净网行动”,为打击电信诈骗等网络违法活动(这类确实可恨,我身边就曾有亲戚被骗),最近宽带运营商对“内网宽带私设 web 服务”的探测,致使很多自用(外网发布,但只能自己使用)的内网 web 服务也被“误杀”(如家中 NAS/内网摄像头 /内网路由器管理 web/自用私有 web 服务等)。

    究其原因,大多是使用类似路由器端口映射,或如 frp 等工具进行内网穿透造成的;理论上只要能通过“外网 ip/域名:端口”直接访问的 web 服务,如果域名 /ip 未备案,都可以初步认定是非法的。常用的穿透工具的原理就是通过反向连接识别,将“外网 ip:端口”映射到“内网 ip:端口”,从而可以直接从外网访问内网 web 服务;因此很容易被规则误判。

    对于此类私有应用的穿透访问,如果不走外网映射方式,会安全的多,同时也极具可行性,毕竟访问特性不是共享的。一般来讲这种方式常用的手段要么采用服务器转发,要么直接使用 vpn。无论如何你至少需要 1 个具备公网 ip 的服务器,或者购买别人的服务;哪怕可用了,带宽也无法保障,毕竟这类应用都是以高带宽消耗保障使用感知的。

    另外数据转发如果只能走第三方服务器,或许你会担心安全问题;如果能走自建代理,或者能直接 P2P 方式,一方面能保证网络安全,同时也能确保带宽(家中一般都是百兆宽带了)

    如果你没有找到其它更好的工具或方案,可以了解一下 smarGate ( github.com/lazy-luo/smarGate )-- 自己手撸的,是否是你想要的,请仔细阅读 github 说明

    第 1 条附言  ·  27 天前
    好吧,有啥特点呢?
    1、小巧
    c++编写,静态编译 openssl 及 gcc 依赖库后大小为 2M+
    动态编译 openssl,静态编译 gcc 依赖库,大小为 1M 左右
    全动态编译版本,大小为 700k
    2、资源占用小
    闲时平均 cpu 占用 0.3%-0.5%左右
    运行时内存占用约 4M-8M
    3、客户端一点配置
    所有端口映射都在客户端界面配置
    支持动态新增和删除
    支持 http 及 tcp 代理,不支持 UDP
    4、连接保障
    支持 ipv6 防火墙穿透
    支持 v4 P2P 穿透
    支持自建代理转发
    5、安全
    无公网端口映射,服务端内网无监听端口,无需特殊防火墙配置
    唯一的访问入口是你的手机客户端
    如果手机其它应用使用的话,直接 localhost,无需考虑手机动态 ip 变化
    6、配置使用简单
    下载 app,注册
    下载服务端,修改服务端配置文件(最少改一项,就是你的 SID )
    然后,just runnig !
    。。。
    第 2 条附言  ·  25 天前
    Qos 对 UDP 不友好,对采用 TCP 进行 P2P 穿透感兴趣的 V 友,可关注试用
    第 3 条附言  ·  14 天前
    很多朋友在问:为什么不选择 frp 的 xtcp 模式?统一回复如下:
    1、frp 是个挺好的工具,但设计侧重点在“开放私有服务”,达到的效果是“外网能直接访问内网”
    2、frp 提供 xtcp 模式,需要在访问者和提供者上都安装 frpc,另外还需要自行在外网服务器安装 frps
    3、xtcp 是使用 UDP 进行穿透,被 Qos 几乎是大概率的
    24 回复  |  直到 2019-11-22 16:01:34 +08:00
        1
    farmer01   27 天前
    反代公网 IP 就没用了, 还不如直接变成内网 IP.
        2
    Archeb   27 天前 via Android
    类 zerotier ?
        3
    wslzy007   27 天前
    @farmer01 无法 p2p 场景下,公网代理是必须的;只是多提供了 v6 tunnel 的穿透方案,实现类似 v4 on v6 tunnel。手机 v4 网络大概率是无法 p2p 的,4G 网络 v6 tunnel 方案可以有效穿透防火墙建立直连链路。。。
        4
    wslzy007   27 天前
    @Archeb 不是,没有创建虚拟网络
        5
    yorkyoung   27 天前
    依旧点注册闪退
        6
    noclin   27 天前
    使用 frp 的情况下,运营商如何检测的 web 服务?因为公网主机没有备案?另外可以使用 frp 的 stcp。
        7
    wslzy007   27 天前
    @noclin frp 挺好用的
        8
    wslzy007   27 天前
    @yorkyoung 注册时不能填写中文
        9
    wslzy007   27 天前
    其实很多类似的工具,只有真正使用了才知道哪个是你想要的
        10
    akira   27 天前
    这软文不行啊。。好歹你在下面吹一波啊,不然完全没兴趣点过去看
        11
    wslzy007   27 天前
    @akira 个人比较懒,各位 V 友随意,只是希望对大家有用。另外 github 上还开源了一个 excel,有兴趣的拿走不谢
        12
    wolfworks   27 天前
    port knocking
    虽然有点麻烦
        13
    wslzy007   27 天前
    @wolfworks 嗯,只是依赖防火墙了
        14
    jswh   27 天前
    内网穿透的用处在你的环境无法主动从外部连入的情况下用的。如果可以主动连接,直接弄 vpn 方案最方便。PPTP 不香么, 操作系统自带连客户端都不用。又不是翻墙要被 GFW 拦截。
        15
    wslzy007   27 天前
    @jswh 对主要是定向共享,大部分情况是自用。github 上写的很清楚,支持发布到公网,但有违安全理念,同时公网映射 frp 已经做的挺好了。vpn 自己搭建还需要外网 ip
        16
    deorth   27 天前
    @jswh #14 我在父母家里开的用于远程的 vpn,pptp 和 l2tp 连不上; ovpn 必须 tcp 模式,并且用一会就被封端口,然后就要手工换端口。广东电信到广东联通,流量并没有过 gfw
        17
    wslzy007   27 天前
    个人认为好用稳定才是王道;真香定律,要用一下才知道
        18
    mxT52CRuqR6o5   27 天前 via Android
    不直连套一层 cf,把 cf 回源服务器和内网加白名单(要允许 tls1.2,不然 app 用不了),应该基本是安全的,就是速度慢点
        19
    maoshen1234   27 天前
    @deorth 别用这些了,你哪怕换个艾斯艾斯,都比这些好
        20
    testcaoy7   25 天前
    @deorth 我在路由器上跑的 OpenVPN,UDP 模式,没发现封端口和阻断
        21
    wlh   13 天前
    这么说 qnap 的 ddns 还可以用吗? myqnapcloud.cn 这一级域名是备案过的。
        22
    wslzy007   13 天前
    @wlh 理论上讲 ddns 还是有风险的,毕竟能被解析到 ip,ip 段划分运营商是有策略的,也就是说本质上可以厘清对应 ip 是否为家宽动态 ip。。。
        23
    duangaduang   13 天前
    @wslzy007 一直注册失败怎么回事?
        24
    wslzy007   13 天前
    @duangaduang 不能有中文
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4278 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 22ms · UTC 01:43 · PVG 09:43 · LAX 17:43 · JFK 20:43
    ♥ Do have faith in what you're doing.