V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
fqy12300
V2EX  ›  程序员

「不懂就问」如何把公司电脑当作代理,访问公司内网的其他服务?

  •  
  •   fqy12300 · 2024-08-25 16:20:40 +08:00 · 3054 次点击
    这是一个创建于 379 天前的主题,其中的信息可能已经有所发展或是发生改变。

    需要在家远程办公,公司运维给开了 VPN ,用的是 EasyConnect 来连接的。但是运维说,内网的服务并不是连接上 VPN 就能访问的。需要明确指定的需要访问的服务器和端口。目前我是通过 SSH 连上公司的电脑,然后通过 SSH 的端口转发来访问一些其他的服务。但是这样太麻烦了。要给访问的每个服务都设置端口转发,而且有的时候不知道端口是哪一个。

    我的需求是,可不可像 Surge 配置代理那样,把公司的电脑当作代理服务器,然后当我在访问公司内网服务的时候,自动通过那台代理服务器来访问。网上搜索了一波,了解了一些关键词 docker-easyconnect ,Surge Pone 模式,但是不知道具体怎么操作。有老哥能帮忙科普一下吗?

    目前我的环境是 EasyConnect / Stash / 有光猫的超管密码

    30 条回复
    doosit
        1
    doosit  
       2024-08-25 17:14:56 +08:00
    如果你公司电脑可以访问互联网,可以考虑 NPS ,但是公司内网环境风险有点大
    PrinceofInj
        2
    PrinceofInj  
       2024-08-25 17:26:24 +08:00
    不知道是不是 ezconnect 比较特别还是你们 IT 是个二杆子不会配。正常的话,vpn 链接后可以使用一切公司的内网资源。链接公司 VPN 后,公司内部所有的服务,包括远在国外的 smb 共享都可以正常打开。
    songyoucai
        3
    songyoucai  
       2024-08-25 17:33:28 +08:00
    @PrinceofInj 很明显不是的。 我们公司运维也是一样,vpn 也分权限,会分配到不同的网段,然后去访问内网对应的资源。并不是说只要连上 vpn 就可以访问内网一切资源。 问就是为了安全。 这种可以直接找运维,说自己要访问什么服务。他那边配置好了,就可以访问了。
    JerryYuan
        4
    JerryYuan  
       2024-08-25 17:49:04 +08:00 via Android   ❤️ 2
    楼主这个想法感觉很容易被网管线下真实。

    人家不让 vpn 访问自有人家的理由,有 vpn 访问的需求就向领导申请,领导如果同意,网管自然也不会有什么异议。楼主尝试用技术手段对抗管理手段是很容易翻车的。

    回归到技术讨论,这种代理软件怕不是很多,就拿翻墙常用的 ss trojan v2ray 分分钟搞一个。
    CAFEEBABE
        5
    CAFEEBABE  
       2024-08-25 17:51:33 +08:00
    直接找网管申请,别作妖。
    frencis107
        6
    frencis107  
       2024-08-25 17:59:28 +08:00 via Android   ❤️ 1
    你们运维不是说了 “需要明确指定需要访问的服务器、端口”。

    要访问什么资源你按实际需求申请不就行了,为什么要搞这些花里胡哨的东西来绕过安全策略,出了事情你担得起责任吗?
    Reficul
        7
    Reficul  
       2024-08-25 18:09:10 +08:00
    这种事情严肃追究的话,不但可以直接炒掉不给 N+1 ,甚至可能还得进去。
    povsister
        8
    povsister  
       2024-08-25 18:57:06 +08:00
    如果公司电脑允许你自己装梯子,那,梯子上写个反向代理,连接家里,前提是家里有公网地址。
    然后从家里,通过反向代理的链接,即可访问任意公司网段。

    这种情况下除非 IT 看你的梯子配置文件,不然是几乎没法发现的。当然,安全自负。
    cnerblocker
        9
    cnerblocker  
       2024-08-25 19:31:44 +08:00
    可以 SSH 到公司电脑的话为何不使用远程环境?使用远程终端访问内网服务即可,可使用 VSCode Remote 或 RDP/VNC 远程桌面等

    其次 SSH 支持设置 SOCKS 代理,可通过此代理请求服务,参考 https://linux.die.net/man/1/ssh 中的 -D 选项

    仍然建议与运维多沟通,诸此不便大抵是为了安全性等而不得不存在的,但倘若因此而影响工作效率则应重新商榷
    worldgg
        10
    worldgg  
       2024-08-25 20:04:30 +08:00
    建议不要这么干,我们公司也是 vpn 加上一堆端口,之前出过安全事故是,有人通过钓鱼邮件拿到账号密码,然后登陆 vpn 盗窃资料,公司的东西还是按照公司要求注意安全的好,毕竟只是打份工而已
    adambob
        11
    adambob  
       2024-08-25 21:30:14 +08:00
    你们公司应该有网络工程师吧,各种打洞的应用一般会被行为管理设备阻断的,所以不用试了。
    kandaakihito
        12
    kandaakihito  
       2024-08-25 21:44:53 +08:00
    直接去网上找那种使用 ssr 搭梯子的教程,学校实验室里面很多人为了能在宿舍访问内网都是这么干的。

    但是,真心建议别搞,容易把自己弄进去,去找运维要个 vpn 账号就行。
    oneisall8955
        13
    oneisall8955  
    PRO
       2024-08-25 22:48:15 +08:00
    多年前我会选择自己 VPN 组网,组网方式很多,zerotier ,n2n 等。现在不敢搞了,不出事大家都好,出事了你怎么负责
    pagxir
        14
    pagxir  
       2024-08-25 23:11:58 +08:00 via Android
    你都会用 ssh 了,还不知道 ssh -D 么。不过还是让 IT 直接配置好吧,反正申请完也就是一次性配置好而已。
    billwang
        15
    billwang  
       2024-08-26 09:05:41 +08:00
    内外网不应该是物理隔离的吗?都能架 vpn 访问了还叫什么内网?
    yinmin
        16
    yinmin  
       2024-08-26 09:17:30 +08:00
    正解:你把要用的服务清单提供给运维,让运维开权限。

    临时/突发情况,来不及让运维开权限,可以试试以下方式:

    (1) 连上公司网络后,先在本地建立一个 socks5 端口 127.0.0.1:10080
    ssh -D 10080 -f -C -N user@serverip

    (2) 加节点:
    - name: 'company'
    type: socks5
    server: 127.0.0.1
    port: 10080
    udp: false

    (3) 加规则:
    - IP-CIDR,<ip 地址 1>/32,company,no-resolve
    - IP-CIDR,<ip 地址 2>/32,company,no-resolve
    ...
    - IP-CIDR,<ip 地址 N>/32,company,no-resolve

    断开公司网络后 pkill ssh 关闭 ssh 进程。不要在公司电脑上安装代理服务软件,这个是大忌,被发现就是重大事故!加规则用具体的 ip 地址,宁愿多写几条也不要用地址段。
    auhah
        17
    auhah  
       2024-08-26 09:38:55 +08:00
    何必用不合规的手段达成方便在家加班的目的呢。。。。

    先天牛马圣体吗。。

    需要用啥就申请,爱批不批,批了就干,不给批来活就说干不了就完事了
    snoopygao
        18
    snoopygao  
       2024-08-26 13:08:55 +08:00
    除非你想搞垮公司,走正规途径
    mmdsun
        19
    mmdsun  
       2024-08-26 21:56:51 +08:00 via iPhone
    听说 EasyConnect 非常流氓。。我不直接装
    我是用这个,然后用猫咪 Clash 把公司内网 IP 流出来走规则就行了。
    https://github.com/docker-easyconnect/docker-easyconnect
    fqy12300
        20
    fqy12300  
    OP
       2024-08-28 01:36:56 +08:00
    @JerryYuan 我需要访问的资源,就是平常工作中用到的一些服务,并不是说公司故意通过这种方式不让访问。想访问的话,直接找运维加一条记录也是可以的,只是我认为每次都要去找运维太麻烦了,所以我想自己通过某种方式来实现全部访问。你说的方式,具体有什么实践案例吗?🤔
    fqy12300
        21
    fqy12300  
    OP
       2024-08-28 01:37:26 +08:00
    @CAFEEBABE 就是觉得每次都去找运维太麻烦了
    fqy12300
        22
    fqy12300  
    OP
       2024-08-28 01:40:28 +08:00
    @frencis107 个人觉得每次找运维太麻烦了,而且公司的服务太多了。这个会很容易出事吗?
    fqy12300
        23
    fqy12300  
    OP
       2024-08-28 01:42:17 +08:00
    @povsister 公司对工作电脑没什么要求,我公司电脑也是装了梯子的,请问有什么具体的实践可以参考吗,我去研究一波
    fqy12300
        24
    fqy12300  
    OP
       2024-08-28 01:50:12 +08:00
    @cnerblocker 谢谢,我去研究一下,如果运维是为了安全才这么做的,那只要有人拿到了我的 VPN 账号,他直接远程桌面,因为我们公司规定了,默认情况下,3389 和 5600 是默认打开的,他也能获取内网其他的资料。
    fqy12300
        25
    fqy12300  
    OP
       2024-08-28 01:52:30 +08:00
    @kandaakihito VPN 账号是有的,只是每次访问服务,都需要去跟运维申请。让他帮忙加一条需要访问的服务器和端口
    fqy12300
        26
    fqy12300  
    OP
       2024-08-28 01:52:54 +08:00
    @pagxir 好的,我去了解一下
    fqy12300
        27
    fqy12300  
    OP
       2024-08-28 01:56:15 +08:00
    @auhah 还是太理想了,真有工作的时候,你直接跟老板说干不了吗?
    fqy12300
        28
    fqy12300  
    OP
       2024-08-28 02:01:39 +08:00
    @yinmin 谢谢解答,你说的不要在公司电脑安装代理服务,指的是不要把公司的电脑当成代理服务器吧,平时工作的时候,也是需要 Google 的,所以装了梯子,我看我们公司也是允许的呀。还有一点是,虽然我把公司电脑作为代理服务器,以便我通过它来访问其他服务。但是它本质上还是在公司内网的这个环境下呀,也就是说,我还是要通过登录 VPN ,进入公司内网之后,才能访问代理服务器吧。那其他人没有我的 VPN 账号,他也还是访问不了那台代理服务器吧。
    fqy12300
        29
    fqy12300  
    OP
       2024-08-28 02:02:24 +08:00
    @mmdsun 我也了解到这个,但是没看懂,哈哈哈,请问具体的实践案例吗,我去研究一下
    JerryYuan
        30
    JerryYuan  
       2024-08-29 10:34:17 +08:00 via Android
    @fqy12300 常用资源就去申请就是了,特定规则不够用覆盖不了增量就让运维加匹配规则嘛。耽误工作了不正好可以摸鱼了。真心不建议用我后边那些工具,轻则违法,严重了要犯罪的。
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3234 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 11:45 · PVG 19:45 · LAX 04:45 · JFK 07:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.