V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
fqy12300
V2EX  ›  程序员

「不懂就问」如何把公司电脑当作代理,访问公司内网的其他服务?

  •  
  •   fqy12300 · 124 天前 · 2296 次点击
    这是一个创建于 124 天前的主题,其中的信息可能已经有所发展或是发生改变。

    需要在家远程办公,公司运维给开了 VPN ,用的是 EasyConnect 来连接的。但是运维说,内网的服务并不是连接上 VPN 就能访问的。需要明确指定的需要访问的服务器和端口。目前我是通过 SSH 连上公司的电脑,然后通过 SSH 的端口转发来访问一些其他的服务。但是这样太麻烦了。要给访问的每个服务都设置端口转发,而且有的时候不知道端口是哪一个。

    我的需求是,可不可像 Surge 配置代理那样,把公司的电脑当作代理服务器,然后当我在访问公司内网服务的时候,自动通过那台代理服务器来访问。网上搜索了一波,了解了一些关键词 docker-easyconnect ,Surge Pone 模式,但是不知道具体怎么操作。有老哥能帮忙科普一下吗?

    目前我的环境是 EasyConnect / Stash / 有光猫的超管密码

    30 条回复
    doosit
        1
    doosit  
       124 天前
    如果你公司电脑可以访问互联网,可以考虑 NPS ,但是公司内网环境风险有点大
    PrinceofInj
        2
    PrinceofInj  
       124 天前
    不知道是不是 ezconnect 比较特别还是你们 IT 是个二杆子不会配。正常的话,vpn 链接后可以使用一切公司的内网资源。链接公司 VPN 后,公司内部所有的服务,包括远在国外的 smb 共享都可以正常打开。
    songyoucai
        3
    songyoucai  
       124 天前
    @PrinceofInj 很明显不是的。 我们公司运维也是一样,vpn 也分权限,会分配到不同的网段,然后去访问内网对应的资源。并不是说只要连上 vpn 就可以访问内网一切资源。 问就是为了安全。 这种可以直接找运维,说自己要访问什么服务。他那边配置好了,就可以访问了。
    JerryYuan
        4
    JerryYuan  
       124 天前 via Android   ❤️ 2
    楼主这个想法感觉很容易被网管线下真实。

    人家不让 vpn 访问自有人家的理由,有 vpn 访问的需求就向领导申请,领导如果同意,网管自然也不会有什么异议。楼主尝试用技术手段对抗管理手段是很容易翻车的。

    回归到技术讨论,这种代理软件怕不是很多,就拿翻墙常用的 ss trojan v2ray 分分钟搞一个。
    CAFEEBABE
        5
    CAFEEBABE  
       124 天前
    直接找网管申请,别作妖。
    frencis107
        6
    frencis107  
       124 天前 via Android   ❤️ 1
    你们运维不是说了 “需要明确指定需要访问的服务器、端口”。

    要访问什么资源你按实际需求申请不就行了,为什么要搞这些花里胡哨的东西来绕过安全策略,出了事情你担得起责任吗?
    Reficul
        7
    Reficul  
       124 天前
    这种事情严肃追究的话,不但可以直接炒掉不给 N+1 ,甚至可能还得进去。
    povsister
        8
    povsister  
       124 天前
    如果公司电脑允许你自己装梯子,那,梯子上写个反向代理,连接家里,前提是家里有公网地址。
    然后从家里,通过反向代理的链接,即可访问任意公司网段。

    这种情况下除非 IT 看你的梯子配置文件,不然是几乎没法发现的。当然,安全自负。
    cnerblocker
        9
    cnerblocker  
       124 天前
    可以 SSH 到公司电脑的话为何不使用远程环境?使用远程终端访问内网服务即可,可使用 VSCode Remote 或 RDP/VNC 远程桌面等

    其次 SSH 支持设置 SOCKS 代理,可通过此代理请求服务,参考 https://linux.die.net/man/1/ssh 中的 -D 选项

    仍然建议与运维多沟通,诸此不便大抵是为了安全性等而不得不存在的,但倘若因此而影响工作效率则应重新商榷
    worldgg
        10
    worldgg  
       124 天前
    建议不要这么干,我们公司也是 vpn 加上一堆端口,之前出过安全事故是,有人通过钓鱼邮件拿到账号密码,然后登陆 vpn 盗窃资料,公司的东西还是按照公司要求注意安全的好,毕竟只是打份工而已
    adambob
        11
    adambob  
       124 天前
    你们公司应该有网络工程师吧,各种打洞的应用一般会被行为管理设备阻断的,所以不用试了。
    kandaakihito
        12
    kandaakihito  
       124 天前
    直接去网上找那种使用 ssr 搭梯子的教程,学校实验室里面很多人为了能在宿舍访问内网都是这么干的。

    但是,真心建议别搞,容易把自己弄进去,去找运维要个 vpn 账号就行。
    oneisall8955
        13
    oneisall8955  
       124 天前
    多年前我会选择自己 VPN 组网,组网方式很多,zerotier ,n2n 等。现在不敢搞了,不出事大家都好,出事了你怎么负责
    pagxir
        14
    pagxir  
       124 天前 via Android
    你都会用 ssh 了,还不知道 ssh -D 么。不过还是让 IT 直接配置好吧,反正申请完也就是一次性配置好而已。
    billwang
        15
    billwang  
       123 天前
    内外网不应该是物理隔离的吗?都能架 vpn 访问了还叫什么内网?
    yinmin
        16
    yinmin  
       123 天前
    正解:你把要用的服务清单提供给运维,让运维开权限。

    临时/突发情况,来不及让运维开权限,可以试试以下方式:

    (1) 连上公司网络后,先在本地建立一个 socks5 端口 127.0.0.1:10080
    ssh -D 10080 -f -C -N user@serverip

    (2) 加节点:
    - name: 'company'
    type: socks5
    server: 127.0.0.1
    port: 10080
    udp: false

    (3) 加规则:
    - IP-CIDR,<ip 地址 1>/32,company,no-resolve
    - IP-CIDR,<ip 地址 2>/32,company,no-resolve
    ...
    - IP-CIDR,<ip 地址 N>/32,company,no-resolve

    断开公司网络后 pkill ssh 关闭 ssh 进程。不要在公司电脑上安装代理服务软件,这个是大忌,被发现就是重大事故!加规则用具体的 ip 地址,宁愿多写几条也不要用地址段。
    auhah
        17
    auhah  
       123 天前
    何必用不合规的手段达成方便在家加班的目的呢。。。。

    先天牛马圣体吗。。

    需要用啥就申请,爱批不批,批了就干,不给批来活就说干不了就完事了
    snoopygao
        18
    snoopygao  
       123 天前
    除非你想搞垮公司,走正规途径
    mmdsun
        19
    mmdsun  
       123 天前 via iPhone
    听说 EasyConnect 非常流氓。。我不直接装
    我是用这个,然后用猫咪 Clash 把公司内网 IP 流出来走规则就行了。
    https://github.com/docker-easyconnect/docker-easyconnect
    fqy12300
        20
    fqy12300  
    OP
       122 天前
    @JerryYuan 我需要访问的资源,就是平常工作中用到的一些服务,并不是说公司故意通过这种方式不让访问。想访问的话,直接找运维加一条记录也是可以的,只是我认为每次都要去找运维太麻烦了,所以我想自己通过某种方式来实现全部访问。你说的方式,具体有什么实践案例吗?🤔
    fqy12300
        21
    fqy12300  
    OP
       122 天前
    @CAFEEBABE 就是觉得每次都去找运维太麻烦了
    fqy12300
        22
    fqy12300  
    OP
       122 天前
    @frencis107 个人觉得每次找运维太麻烦了,而且公司的服务太多了。这个会很容易出事吗?
    fqy12300
        23
    fqy12300  
    OP
       122 天前
    @povsister 公司对工作电脑没什么要求,我公司电脑也是装了梯子的,请问有什么具体的实践可以参考吗,我去研究一波
    fqy12300
        24
    fqy12300  
    OP
       122 天前
    @cnerblocker 谢谢,我去研究一下,如果运维是为了安全才这么做的,那只要有人拿到了我的 VPN 账号,他直接远程桌面,因为我们公司规定了,默认情况下,3389 和 5600 是默认打开的,他也能获取内网其他的资料。
    fqy12300
        25
    fqy12300  
    OP
       122 天前
    @kandaakihito VPN 账号是有的,只是每次访问服务,都需要去跟运维申请。让他帮忙加一条需要访问的服务器和端口
    fqy12300
        26
    fqy12300  
    OP
       122 天前
    @pagxir 好的,我去了解一下
    fqy12300
        27
    fqy12300  
    OP
       122 天前
    @auhah 还是太理想了,真有工作的时候,你直接跟老板说干不了吗?
    fqy12300
        28
    fqy12300  
    OP
       122 天前
    @yinmin 谢谢解答,你说的不要在公司电脑安装代理服务,指的是不要把公司的电脑当成代理服务器吧,平时工作的时候,也是需要 Google 的,所以装了梯子,我看我们公司也是允许的呀。还有一点是,虽然我把公司电脑作为代理服务器,以便我通过它来访问其他服务。但是它本质上还是在公司内网的这个环境下呀,也就是说,我还是要通过登录 VPN ,进入公司内网之后,才能访问代理服务器吧。那其他人没有我的 VPN 账号,他也还是访问不了那台代理服务器吧。
    fqy12300
        29
    fqy12300  
    OP
       122 天前
    @mmdsun 我也了解到这个,但是没看懂,哈哈哈,请问具体的实践案例吗,我去研究一下
    JerryYuan
        30
    JerryYuan  
       120 天前 via Android
    @fqy12300 常用资源就去申请就是了,特定规则不够用覆盖不了增量就让运维加匹配规则嘛。耽误工作了不正好可以摸鱼了。真心不建议用我后边那些工具,轻则违法,严重了要犯罪的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   926 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 21:47 · PVG 05:47 · LAX 13:47 · JFK 16:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.