JDubAKAdrofloW
2021-11-16T02:55:21+00:00
不用我这套摸鱼方法,我连NGA都打不开,集团的防火墙各种拦截,看视频,逛淘宝什么的就更别想了.经过我几年前的摸索,并长期实践,现在的模式,已经安全上网好几年了,管理网络的同事,只能知道我连入外网,但是具体干什么,他根本不知道.
先说下总体思路:家中搭建一个HTTP代理,公司内部使用加密通讯软件通过这个代理连入外网.
下面从家中和公司分开详细说下搭建方法:
(1)家中硬件部分:
首先,我们需要一个能搭代理的电脑.
刚开始我是在淘宝买的下图这样的小电脑,开机后功耗10瓦出头,1月下来耗电10度.
[img]https://img.nga.178.com/attachments/mon_202111/17/-vabhQbjiq-9f8kKrT3cSmq-38.png[/img]
后来我买了NAS,直接在NAS上启了一个虚拟机,这个小电脑就淘汰了.但是对没NAS的水友来说,这种小电脑最实惠.平时外接个移动硬盘挂个下载毫无压力.
(2)家中软件部分:
我们需要在电脑上装2个软件:CCProxy和Stunnel
CCProxy是开HTTP代理的软件.设置如下面的截图,你照着我这个设置就行,局域网IP要看自己的路由器设置,其他我没截图的地方用默认设置就行.这个软件不用下破解版,官网的免费版就够用了.
[img]https://img.nga.178.com/attachments/mon_202111/17/-vabhQmkbn-f7e0ZcT3cSrv-k4.png[/img]
[img]https://img.nga.178.com/attachments/mon_202111/17/-vabhQ9urk-deeyZeT3cSo8-nj.png[/img]
Stunnel是通讯加密软件,启动后在右下角的状态栏有图标,右击后选下图这个地方edit
[img]https://img.nga.178.com/attachments/mon_202111/17/-vabhQblew-7etcK1qT1kSbm-eb.png[/img]
然后会打开一个记事本,默认的情况下,里面密密麻麻的全是字母,全选后清空,然后复制以下内容进去保存
[img]https://img.nga.178.com/attachments/mon_202111/17/-vabhQblew-7etcK1qT1kSbm-eb.png[/img]
保存后,在右下角继续右击,菜单里选择Reload Configuartion让软件加载这个配置即可.到这里Stunnel的配置完成
这时候进入家中的路由器管理,下面的IP以我现在的实际为例,你用的时候要根据自己的路由器去改动.
首先把这台电脑的IP设置为静态IP:192.168.3.188
然后做端口映射,把开代理的那个电脑由内网的18800端口映射到外网18800.端口映射这块,各家路由器的名字可能叫法不一样,但是在设置里翻一翻,应该能翻到类似下面这样设置的地方,在那设置就行了.
[img]https://img.nga.178.com/attachments/mon_202111/17/-vabhQbm00-6dwvK10T3cSkb-mv.png[/img]
到这里,家中的准备工作就完成了.
(2)公司软件部分:
在公司我们需要在电脑上装2个软件:Stunnel和Proxifier
首先我们来配置Stunnel,这个在家里电脑配置过就已经很熟悉了,公司这边配置文件文件复制下面的内容覆盖
获得这个IP的办法,可以通过路由器的APP去查看,华为和小米的都能看到,其他的我不清楚.
如果老路由器没APP支持,那可以在家装个那种定时自动发送当前外网IP到邮箱的小软件,我以前用过,具体什么名字忘记了,可以自己去找下.然后设置1小时发送一次邮件即可.
我现在这里设置的是我的NAS供应商威联通给的一个二级域名,这个域名每次都是自动解析到最新的外网IP,也算是正版NAS的一个福利?所以你有类似的动态解析的二级域名放这,那就可以一直不用修改这里,更省心.
Proxifier是把你所有的网络请求都转化为使用HTTP代理去访问.它不用你把每个软件都去单独设置代理,非常方便.因为实际工作需要,我们的一些工作软件可能不想让他从家中的代理走一遍,可以在这里设置一些排除规则.
首先,我们要在这个软件里添加一个代理服务器(菜单->配置文件->代理服务器)
[img]https://img.nga.178.com/attachments/mon_202111/17/-vabhQ8kee-dhfvK2hT1kSco-i2.jpg[/img]
这里的12080端口是怎么来的呢?注意我们前面在公司Stunnel配置文件里的accept =12080,就是这个地方设置的.你想修改这个端口,要去Stunnel配置文件先改掉12080,然后才能在这里改掉.
下面就是代理规则部分(菜单->配置文件->代理规则),我结合我的配置说下
[img]https://img.nga.178.com/attachments/mon_202111/17/-vabhQ8kee-ftncKlT3cSir-bb.png[/img]
Default那条规则是默认的,全局都使用代理.但是我们不需要啊,比如我要打开百度,QQ,微信什么的,都是集团防火墙允许的,所以我就添加里个Direct规则,意思就是这些网络不用给我转HTTP代理,你直接访问就行了.这样也能迷惑公司网管,这部分的上网行为都是正常的,否则整个工作日你都没用过这些正常软件,说不清楚.
图中mstsc这条规则就比较有意思了,集团防火墙是拦截了所有对外网主机的mstsc远程访问的,但是内网是不受限的.为了能远程到我家里的电脑上干些事情,我就要单独给家里的内网IP设置一个规则,所有家里的mstsc请求都走代理走.
到这里,整个流程就算全部梳理完毕了,如果你参照我的设置一切顺利,现在应该可以安全摸鱼了.网管那边看到的所有我们摸鱼的网络请求,全是乱码.
整个网络通讯流程大概总结下,Proxifier先抓到所有的网络请求,然后转发给公司这边Stunnel构造出来的HTTP代理服务器.Stunnel把网络包加密成乱码,并发到家中,家中的Stunnel收到后解密成可读的网络请求,然后转发给家中的本地代理CCProxy.网络请求回来的时候,就是家中的Stunnel加密,公司的Stunnel解密.
祝各位水友上班摸鱼愉快!
先说下总体思路:家中搭建一个HTTP代理,公司内部使用加密通讯软件通过这个代理连入外网.
下面从家中和公司分开详细说下搭建方法:
(1)家中硬件部分:
首先,我们需要一个能搭代理的电脑.
刚开始我是在淘宝买的下图这样的小电脑,开机后功耗10瓦出头,1月下来耗电10度.
[img]https://img.nga.178.com/attachments/mon_202111/17/-vabhQbjiq-9f8kKrT3cSmq-38.png[/img]
后来我买了NAS,直接在NAS上启了一个虚拟机,这个小电脑就淘汰了.但是对没NAS的水友来说,这种小电脑最实惠.平时外接个移动硬盘挂个下载毫无压力.
(2)家中软件部分:
我们需要在电脑上装2个软件:CCProxy和Stunnel
CCProxy是开HTTP代理的软件.设置如下面的截图,你照着我这个设置就行,局域网IP要看自己的路由器设置,其他我没截图的地方用默认设置就行.这个软件不用下破解版,官网的免费版就够用了.
[img]https://img.nga.178.com/attachments/mon_202111/17/-vabhQmkbn-f7e0ZcT3cSrv-k4.png[/img]
[img]https://img.nga.178.com/attachments/mon_202111/17/-vabhQ9urk-deeyZeT3cSo8-nj.png[/img]
Stunnel是通讯加密软件,启动后在右下角的状态栏有图标,右击后选下图这个地方edit
[img]https://img.nga.178.com/attachments/mon_202111/17/-vabhQblew-7etcK1qT1kSbm-eb.png[/img]
然后会打开一个记事本,默认的情况下,里面密密麻麻的全是字母,全选后清空,然后复制以下内容进去保存
cert=stunnel.pem
key = stunnel.pem
taskbar=yes
client=no
[socks2ssl]
accept = 18800
connect = 127.0.0.1:808
key = stunnel.pem
taskbar=yes
client=no
[socks2ssl]
accept = 18800
connect = 127.0.0.1:808
[img]https://img.nga.178.com/attachments/mon_202111/17/-vabhQblew-7etcK1qT1kSbm-eb.png[/img]
保存后,在右下角继续右击,菜单里选择Reload Configuartion让软件加载这个配置即可.到这里Stunnel的配置完成
这时候进入家中的路由器管理,下面的IP以我现在的实际为例,你用的时候要根据自己的路由器去改动.
首先把这台电脑的IP设置为静态IP:192.168.3.188
然后做端口映射,把开代理的那个电脑由内网的18800端口映射到外网18800.端口映射这块,各家路由器的名字可能叫法不一样,但是在设置里翻一翻,应该能翻到类似下面这样设置的地方,在那设置就行了.
[img]https://img.nga.178.com/attachments/mon_202111/17/-vabhQbm00-6dwvK10T3cSkb-mv.png[/img]
到这里,家中的准备工作就完成了.
(2)公司软件部分:
在公司我们需要在电脑上装2个软件:Stunnel和Proxifier
首先我们来配置Stunnel,这个在家里电脑配置过就已经很熟悉了,公司这边配置文件文件复制下面的内容覆盖
[socks2ssl]
client=yes
cert = stunnel.pem
key = stunnel.pem
accept =12080
connect = 142.132.245.111:18800
请注意上面的connect后面那个IP:142.132.245.111,这个是你家中路由器的实际拨号后获得的IP,每次使用前都要修改配置文件为当前最新的家中IPclient=yes
cert = stunnel.pem
key = stunnel.pem
accept =12080
connect = 142.132.245.111:18800
获得这个IP的办法,可以通过路由器的APP去查看,华为和小米的都能看到,其他的我不清楚.
如果老路由器没APP支持,那可以在家装个那种定时自动发送当前外网IP到邮箱的小软件,我以前用过,具体什么名字忘记了,可以自己去找下.然后设置1小时发送一次邮件即可.
我现在这里设置的是我的NAS供应商威联通给的一个二级域名,这个域名每次都是自动解析到最新的外网IP,也算是正版NAS的一个福利?所以你有类似的动态解析的二级域名放这,那就可以一直不用修改这里,更省心.
Proxifier是把你所有的网络请求都转化为使用HTTP代理去访问.它不用你把每个软件都去单独设置代理,非常方便.因为实际工作需要,我们的一些工作软件可能不想让他从家中的代理走一遍,可以在这里设置一些排除规则.
首先,我们要在这个软件里添加一个代理服务器(菜单->配置文件->代理服务器)
[img]https://img.nga.178.com/attachments/mon_202111/17/-vabhQ8kee-dhfvK2hT1kSco-i2.jpg[/img]
这里的12080端口是怎么来的呢?注意我们前面在公司Stunnel配置文件里的accept =12080,就是这个地方设置的.你想修改这个端口,要去Stunnel配置文件先改掉12080,然后才能在这里改掉.
下面就是代理规则部分(菜单->配置文件->代理规则),我结合我的配置说下
[img]https://img.nga.178.com/attachments/mon_202111/17/-vabhQ8kee-ftncKlT3cSir-bb.png[/img]
Default那条规则是默认的,全局都使用代理.但是我们不需要啊,比如我要打开百度,QQ,微信什么的,都是集团防火墙允许的,所以我就添加里个Direct规则,意思就是这些网络不用给我转HTTP代理,你直接访问就行了.这样也能迷惑公司网管,这部分的上网行为都是正常的,否则整个工作日你都没用过这些正常软件,说不清楚.
图中mstsc这条规则就比较有意思了,集团防火墙是拦截了所有对外网主机的mstsc远程访问的,但是内网是不受限的.为了能远程到我家里的电脑上干些事情,我就要单独给家里的内网IP设置一个规则,所有家里的mstsc请求都走代理走.
到这里,整个流程就算全部梳理完毕了,如果你参照我的设置一切顺利,现在应该可以安全摸鱼了.网管那边看到的所有我们摸鱼的网络请求,全是乱码.
整个网络通讯流程大概总结下,Proxifier先抓到所有的网络请求,然后转发给公司这边Stunnel构造出来的HTTP代理服务器.Stunnel把网络包加密成乱码,并发到家中,家中的Stunnel收到后解密成可读的网络请求,然后转发给家中的本地代理CCProxy.网络请求回来的时候,就是家中的Stunnel加密,公司的Stunnel解密.
祝各位水友上班摸鱼愉快!