这是一个创建于 2233 天前的主题,其中的信息可能已经有所发展或是发生改变。
应全国“净网行动”,为打击电信诈骗等网络违法活动(这类确实可恨,我身边就曾有亲戚被骗),最近宽带运营商对“内网宽带私设 web 服务”的探测,致使很多自用(外网发布,但只能自己使用)的内网 web 服务也被“误杀”(如家中 NAS/内网摄像头 /内网路由器管理 web/自用私有 web 服务等)。
究其原因,大多是使用类似路由器端口映射,或如 frp 等工具进行内网穿透造成的;理论上只要能通过“外网 p/域名:端口”直接访问的 web 服务,如果域名 /ip 未备案,都可以初步认定是非法的。常用的穿透工具的原理就是通过反向连接识别,将“外网 ip:端口”映射到“内网 ip:端口”,从而可以直接从外网访问内网 web 服务;因此很容易被规则误判。
对于此类私有应用的穿透访问,如果不走外网映射方式,会安全的多,同时也极具可行性,毕竟访问特性不是共享的。一般来讲这种方式常用的手段要么采用服务器转发,要么直接使用 vpn。无论如何你至少需要 1 个具备公网 ip 的服务器,或者购买别人的服务;哪怕可用了,带宽也无法保障,毕竟这类应用都是以高带宽消耗保障使用感知的。
另外数据转发如果只能走第三方服务器,或许你会担心安全问题;如果能走自建代理,或者能直接 P2P 方式,一方面能保证网络安全,同时也能确保带宽(家中一般都是百兆宽带了)
如果你没有找到其它更好的工具或方案,可以了解一下 smarGate ( github.com/lazy-luo/smarGate )-- 自己手撸的,是否是你想要的,请仔细阅读 github 说明
第 1 条附言 2019-11-08 18:04:00 +08:00
好吧,有啥特点呢?
1、小巧
c++编写,静态编译 openssl 及 gcc 依赖库后大小为 2M+
动态编译 openssl,静态编译 gcc 依赖库,大小为 1M 左右
全动态编译版本,大小为 700k
2、资源占用小
闲时平均 cpu 占用 0.3%-0.5%左右
运行时内存占用约 4M-8M
3、客户端一点配置
所有端口映射都在客户端界面配置
支持动态新增和删除
支持 http 及 tcp 代理,不支持 UDP
4、连接保障
支持 ipv6 防火墙穿透
支持 v4 P2P 穿透
支持自建代理转发
5、安全
无公网端口映射,服务端内网无监听端口,无需特殊防火墙配置
唯一的访问入口是你的手机客户端
如果手机其它应用使用的话,直接 localhost,无需考虑手机动态 ip 变化
6、配置使用简单
下载 app,注册
下载服务端,修改服务端配置文件(最少改一项,就是你的 SID )
然后,just runnig !
。。。
1、小巧
c++编写,静态编译 openssl 及 gcc 依赖库后大小为 2M+
动态编译 openssl,静态编译 gcc 依赖库,大小为 1M 左右
全动态编译版本,大小为 700k
2、资源占用小
闲时平均 cpu 占用 0.3%-0.5%左右
运行时内存占用约 4M-8M
3、客户端一点配置
所有端口映射都在客户端界面配置
支持动态新增和删除
支持 http 及 tcp 代理,不支持 UDP
4、连接保障
支持 ipv6 防火墙穿透
支持 v4 P2P 穿透
支持自建代理转发
5、安全
无公网端口映射,服务端内网无监听端口,无需特殊防火墙配置
唯一的访问入口是你的手机客户端
如果手机其它应用使用的话,直接 localhost,无需考虑手机动态 ip 变化
6、配置使用简单
下载 app,注册
下载服务端,修改服务端配置文件(最少改一项,就是你的 SID )
然后,just runnig !
。。。
第 2 条附言 2019-11-10 10:58:53 +08:00
Qos 对 UDP 不友好,对采用 TCP 进行 P2P 穿透感兴趣的 V 友,可关注试用
第 3 条附言 2019-11-21 12:58:13 +08:00
很多朋友在问:为什么不选择 frp 的 xtcp 模式?统一回复如下:
1、frp 是个挺好的工具,但设计侧重点在“开放私有服务”,达到的效果是“外网能直接访问内网”
2、frp 提供 xtcp 模式,需要在访问者和提供者上都安装 frpc,另外还需要自行在外网服务器安装 frps
3、xtcp 是使用 UDP 进行穿透,被 Qos 几乎是大概率的
1、frp 是个挺好的工具,但设计侧重点在“开放私有服务”,达到的效果是“外网能直接访问内网”
2、frp 提供 xtcp 模式,需要在访问者和提供者上都安装 frpc,另外还需要自行在外网服务器安装 frps
3、xtcp 是使用 UDP 进行穿透,被 Qos 几乎是大概率的
 | 1 farmer01 2019-11-08 14:48:30 +08:00 反代公网 IP 就没用了, 还不如直接变成内网 IP. |
 | 2 Archeb 2019-11-08 15:05:04 +08:00 via Android 类 zerotier ? |
 | 3 wslzy007 OP @farmer01 无法 p2p 场景下,公网代理是必须的;只是多提供了 v6 tunnel 的穿透方案,实现类似 v4 on v6 tunnel。手机 v4 网络大概率是无法 p2p 的,4G 网络 v6 tunnel 方案可以有效穿透防火墙建立直连链路。。。 |
 | 5 yorkyoung 2019-11-08 15:34:49 +08:00 依旧点注册闪退 |
 | 6 noclin 2019-11-08 15:40:41 +08:00 使用 frp 的情况下,运营商如何检测的 web 服务?因为公网主机没有备案?另外可以使用 frp 的 stcp。 |
| 9 wslzy007 OP 其实很多类似的工具,只有真正使用了才知道哪个是你想要的 |
 | 10 akira 2019-11-08 16:05:35 +08:00 这软文不行啊。。好歹你在下面吹一波啊,不然完全没兴趣点过去看 |
| 11 wslzy007 OP @akira 个人比较懒,各位 V 友随意,只是希望对大家有用。另外 github 上还开源了一个 excel,有兴趣的拿走不谢 |
 | 12 wolfworks 2019-11-08 16:16:26 +08:00 port knocking 虽然有点麻烦 |
 | 14 jswh 2019-11-08 18:19:38 +08:00 内网穿透的用处在你的环境无法主动从外部连入的情况下用的。如果可以主动连接,直接弄 vpn 方案最方便。PPTP 不香么, 操作系统自带连客户端都不用。又不是翻墙要被 GFW 拦截。 |
| 15 wslzy007 OP @jswh 对主要是定向共享,大部分情况是自用。github 上写的很清楚,支持发布到公网,但有违安全理念,同时公网映射 frp 已经做的挺好了。vpn 自己搭建还需要外网 ip |
 | 16 deorth 2019-11-08 18:38:58 +08:00 @jswh #14 我在父母家里开的用于远程的 vpn,pptp 和 l2tp 连不上; ovpn 必须 tcp 模式,并且用一会就被封端口,然后就要手工换端口。广东电信到广东联通,流量并没有过 gfw |
| 17 wslzy007 OP 个人认为好用稳定才是王道;真香定律,要用一下才知道 |
 | 18 mxT52CRuqR6o5 2019-11-08 18:54:02 +08:00 via Android 不直连套一层 cf,把 cf 回源服务器和内网加白名单(要允许 tls1.2,不然 app 用不了),应该基本是安全的,就是速度慢点 |
 | 19 maoshen1234 2019-11-09 09:00:36 +08:00 @deorth 别用这些了,你哪怕换个艾斯艾斯,都比这些好 |
 | 21 wlh 2019-11-22 10:43:50 +08:00 这么说 qnap 的 ddns 还可以用吗? myqnapcloud.cn 这一级域名是备案过的。 |
| 22 wslzy007 OP @wlh 理论上讲 ddns 还是有风险的,毕竟能被解析到 ip,ip 段划分运营商是有策略的,也就是说本质上可以厘清对应 ip 是否为家宽动态 ip。。。 |
 | 23 duangaduang 2019-11-22 15:23:58 +08:00 @wslzy007 一直注册失败怎么回事? |
| 24 wslzy007 OP @duangaduang 不能有中文 |
 | 25 tengyoubiao 2020-02-16 17:23:37 +08:00 via Android 能直接通过 ip/域名访问的 web 服务都不允许吗? |
Select Language