怎樣從外網訪問內網服務器已移動至:
http://www.zhihu.com/question/21961711/answer/34891413
★★★★★FBI WARNING★★★★★
以下操作相當于給內網的防火墻上開了個洞�,會給整個內網帶來極其嚴重的安全隱患!
為避免產生法律問題�,請在操作前務必向網絡管理員咨詢您的操作權限!
★★★★★★★★★★★★★★★★★★★
《基于VPS服務器的內網代理轉發方案》前言
假設我們在內網有一個自己的電腦A(運行Win7)�����,希望在外網家中用另一臺電腦B(運行Win7)訪問內網資源���,或偽裝為內網電腦訪問外網資源�����。
由于內網電腦沒有公網ip��,所以外網電腦無法直接向內網電腦發起連接�。為實現我們的目標,需要從內網電腦主動向一個公網服務器發起一個連接��,外網電腦通過這個服務器使用這一連接�����,再通過內網電腦進行訪問����。
現在已有許多商業內網代理服務器可以實現此功能,比如花生殼���、步輕云���、TeamView、GoToMyCloud等等�。但天下沒有免費的午餐,要使用第三方的公網服務器就必須為第三方付費�,并且這些服務器都有各種各樣的限制。此外����,由于數據包會流經第三方,因此對數據安全也是一大隱患��。
隨著個人VPS服務器的普及��,越來越多的朋友想用自己的VPS服務器作為內網代理�,這樣既安全又免費。本套方案實現了這一目標��,并具有以下無可替代的優勢:
- 在已有VPS服務器的基礎上��,完全免費��;
- 用到的所有工具軟件皆為開源軟件���;
- 不經過任何第三方服務器����,保證數據安全����;
- 外網電腦可以偽裝成內網電腦����,具有最高訪問權限���。
如果您的方案在滿足上面四個條件的基礎上��,比我的方案更簡單��,敬請指教�����!下文將對配置方案作詳細的介紹��。
先決條件
1. A機上可訪問外網并且可以安裝虛擬機�����。
2. 擁有一個外網的VPS服務器S(運行Debian 7.x)��。推薦購買BandWagon的廉價VPS服務器(https://bandwagonhost.com/)����,一年100多元。
一���、建立從內網機到外網服務器的反向隧道
1.1. 在A機上用虛擬機運行Ubuntu Server。首先安裝VirtualBox虛擬機�。
下載VirtualBox:https://www.virtualbox.org/wiki/Downloads
最新版的VirtualBox不用配置網絡即可從本地可用的網絡連接上網。
下載Ubuntu Server:http://www.ubuntu.com/download/server
在VirtualBox中安裝Ubuntu Server�,全部默認設置即可。
1.2. 由A機發起��,建立從A到S的反向隧道連接����,命令格式:
ssh -C -R <NPORT>:localhost:22 -p <RPORT> <SUSER>@<S_IP>
- -C:允許數據壓縮;
- NPORT :指定在S機上進行偵聽的端口�。在S機上發往"localhost:NPORT"的數據包都將被直接轉發到A機的22端口(SSH默認服務端口);
- RPORT:S機的SSH服務端口����;
- SUSER:登錄S機的用戶名,一般為root��;
- S_IP:S機的公網IP��。
執行此命令后���,可能需要輸入SUSER在S機的密碼���。反向隧道連接建立成功以后����,即遠程登錄到S�,接下來的操作都是將在S上執行。命令舉例:
ssh -C -R 876:localhost:22 -p 26131 root@14.12.83.20
1.3. 建立從S到A的SSH動態轉發�,可視為從S到A的SOCKS代理服務,命令格式:
ssh -C -f -N -D <SPORT> -p <NPORT> <LUSER>@localhost
- -f -N:后臺連接而不登錄到主機�,也不執行任何腳本;
- SPORT:指定S機上SOCKS代理服務進行偵聽的端口�����;
- NPORT:S機上偵聽的反向隧道端口����,在第1.2步指定;
- LUSER:登錄A機的用戶名���。
執行此命令后��,可能需要輸入LUSER在A機的密碼�����。至此��,我們已將A作為S的SOCKS代理服務器����。命令舉例:
ssh -C -f -N -D 1080 -p 876 devymex@localhost
1.4. 用curl命令測試連接��,命令格式:
curl --socks4 localhost:<SPORT> <URL>
- SPORT:S機上SOCKS代理服務進行偵聽的端口���,在1.3步指定�;
- URL:任意網址�����,可指定內網資源��。
此命令若執行成功�����,URL所指向的內容會打印在屏幕上��。一般以簡短的HTML頁面為佳,太大的資源會很慢���。命令舉例:
curl --socks4 localhost:1080 www.baidu.com
如果未安裝curl��,需先安裝:
apt-get install curl
若未找到curl包�,需先更新apt-get:
apt-get update
二��、在服務器端用DeleGate實現二級HTTP代理
接下來要將SOCKS代理轉換為HTTP代理�,使用的軟件是DeleGate。這是一個開源軟件�����,但目前并不被apt-get�����、rpm和yum支持��,因此必須先下載編譯�。
2.1.如果沒有g++需要先安裝g++,命令:
apt-get install g++
2.2. 下載和解壓DeleGate(http://www.delegate.org/)���,命令:
cd ~wget ftp://ftp.delegate.org/pub/DeleGate/delegate9.9.13.tar.gztar -xzf delegate9.9.13.tar.gz
- wget:下載源碼包到/home目錄下����,當然其它具有運行程序權限的目錄亦可;
- tar -xzf:/home/delegate9.9.13子目錄并解壓縮到此目錄中��。
注意����,如果DeleGate發布了新版本,上面給出的下載鏈接和目錄名可能不同����,請關注DeleGate官方網站�。
2.3. 編譯DeleGate,命令:
cd ~/delegate9.9.13make
make命令必須在DeleGate解壓后的目錄中執行����。如果未安裝make,需先安裝:
apt-get install make
make執行的過程較慢�,其間會提示輸入電子郵箱,任意輸入����,然后按Y即可。
2.4. 啟動DeleGate,命令格式:
src/delegated -P<HPORT> SERVER=http SOCKS=localhost:<SPORT>
- HPORT:指定S機上HTTP代理服務進行偵聽的端口��;
- SPORT:S機上SOCKS代理服務進行偵聽的端口���,在1.3步指定�����。
命令舉例:
delegated -P8118 SERVER=http SOCKS=localhost:1080
2.5. 用curl命令測試連接�,命令格式:
curl -x localhost:<HPORT> <URL>
- HPORT:S機上HTTP代理服務進行偵聽的端口��,在2.4步指定��。
- URL:任意網址�,可指定內網資源。
命令舉例:
curl -x localhost:8118 www.baidu.com
三����、在服務器端建立端口轉發
現在S機上已經有本地的HTTP代理了,接下來要將
3.1 如有必要����,先清除已有nat規則,命令:
iptables -t nat -F
iptables是一個非常強大的防火墻/路由程序�����,用法也比較復雜,具體可參考相關文檔�����,此處不做贅述���。
3.2 建立http協議的端口轉發�,命令格式:
iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports <HPORT>
- HPORT:S機上HTTP代理服務進行偵聽的端口����,在2.4步指定。
命令執行后��,由S機發出的HTTP請求(80端口)都將被轉發到HPORT端口上�����。
命令舉例:
iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 8118
3.3. 用curl命令測試連接����,命令格式:
curl <URL>
命令舉例:
curl www.baidu.com
四�、在外網機通過SSH隧道連接到外網服務器
1. 在B機安裝Bitvise SSH客戶端軟件
2. 配置Bitvise SSH客戶端的Login頁
Host:S機的服務器IP;Port:SSH服務端口�;Username:登錄用戶名;Initial method:passWord����;Password:登錄密碼。
3. 配置Bitvise SSH客戶端的Services頁
SOCKS/HTTP PRoxy Forwarding:Enabled��;Listen interface:127.0.0.1�����;Listen port:1080�����。
4. 在B機安裝Privoxy��。
下載地址:http://sourceforge.net/projects/ijbswa/files/
5. 配置Privoxy目錄下的config.txt文件��,并運行Privoxy:
listen-address 0.0.0.0:1984forward-socks5 / 127.0.0.1:1080 .
6. B機上的任意程序����,以localhost:1984為HTTP代理���,即可通過A機訪問內網資源。
備注
1. kill掉delegate進程即可終止S機上的HTTP代理服務�����,刪除delegate的目錄即可完全卸載DeleGate���。
2. 執行如下命令可取消80端口數據包的轉發:
iptables -t nat -F
3. 斷開從A機到S機的連接����,即可終止S機上的SOCKS代理服務����。
4. 查看偵聽指定端口的進程ID,命令格式:
fuser -un tcp <PORT>
5. B機上建議使用Firefox+AutoProxy進行訪問��。AutoProxy下載地址:http://fxthunder.com/blog/archives/2866/如果您有任何疑惑�,或遇到任何問題����,敬請評論或私信����,幫助我完善此方案����。謝謝!知乎原創首發����,如需轉載請私信,歡迎知乎日報轉載����!
