公司网络 - 讨论/求助

25 .

@老虎会游泳，虎哥醒这么早
就这？

(c/@Ta/2021-12-10 07:20/样/源)

27 .

@老虎会游泳，还有个细节是。公司上的微信头像有延迟，点击以后才会更新最新的，或者显示空白
就这？

(c/@Ta/2021-12-10 07:24/样/源)

28 .

@老虎会游泳，端口应该不影响吧，我http 2122 s5 7474都是没问题的
就这？

(c/@Ta/2021-12-10 07:30/样/源)

30 .

@c，不过我还是建议你抓包尝试，看看真正能通过防火墙的流量是什么样子。也许非常有规律。

(老虎会游泳/@Ta/2021-12-10 08:23/样/源)

31 .

@老虎会游泳，电脑没有管理员权限咋抓包啊不高兴
就这？

(c/@Ta/2021-12-10 10:05/样/源)

32 .

Screenshot_2021-12-10-10-08-31-573_com.guoshi.httpcanary.jpg @老虎会游泳，手机上这看起来只是一个普通的post而已，得抓电脑确认能被接收的包是啥样才行吧
就这？

(c/@Ta/2021-12-10 10:10/样/源)

33 .

@c，你可以观察一下，是不是所有能通过的连接都是http post或者http get。如果是，说明这个防火墙只让真正的http连接通过。那么你应该可以考虑搭建一个http代理来上网。

备注：抓取加密连接需要安装证书：
Screenshot_20211210_103908_com.guoshi.httpcanary.jpg

(老虎会游泳/@Ta/2021-12-10 10:39/样/源)

34 .

@老虎会游泳，在公司使用http代理是这样的，a.com内网可以访问，外网可以访问，开代理可以访问，b.com内网不能访问，外网可以访问，开代理不能访问，c.com内网可以访问，外网不能访问，开代理无法访问
就这？

(c/@Ta/2021-12-10 10:44/样/源)

35 .

@c，哦，就是简单的根据http Host头信息进行过滤啊。用两个nginx来搭建一套伪装代理就行了，比如，本地nginx把真正的Host加密后放进另一个头信息里，然后把Host字段改成允许的域名。然后远程nginx把加密Host还原，再请求真正的服务器。

(老虎会游泳/@Ta/2021-12-10 10:53/样/源)

36 .

@老虎会游泳，

这么麻烦。

那得本地设置代理过滤所有请求，然后伪造请求，服务器解析请求，伪造回复

就这？

(c/@Ta/2021-12-10 11:28/样/源)

37 .

@老虎会游泳，有没有类似成品白嫖
就这？

(c/@Ta/2021-12-10 11:29/样/源)

38 .

@c，找个http免流代理，把伪装域名改一下

(老虎会游泳/@Ta/2021-12-10 11:34/样/源)

39 .

@c，呃好像不行，免流代理的原理是设置X-Online-Host，不是Host。我还是自己写个nginx配置文件给你吧。

(老虎会游泳/@Ta/2021-12-10 11:38/样/源)

40 .

我在见证历史。
小米8(白)

(艾木友尔尔巴/@Ta/2021-12-10 13:43/样/源)

41 .

@c，用nginx的尝试不太成功，因为只能打开http页面，不支持https。现在不支持https的代理几乎没啥用。

不过我找到了另一个http代理隧道项目，改改也许就能达成目的。

https://github.com/jpillora/chisel

(老虎会游泳/@Ta/2021-12-10 13:45/样/源)

42 .

@c，配置好了，你试试：
chisel-http-tunnel.tar.gz（6.25 MB）

使用方法：

在服务器端：

# 下载压缩包
wget -O chisel-http-tunnel.tar.gz http://file.hu60.cn/file/hash/gz/b3873f624a3c873791836e2fe6e776926556680.gz

# 解压
tar zvxf chisel-http-tunnel.tar.gz

# 跳转到程序目录
cd chisel-http-tunnel

# 然后自己打开 server.sh 进行修改：
#    1. 把“123456”改成更好的密码
#    2. 把“https://weixin.qq.com”改成你想伪装的网址

# 启动服务
./server.sh

在客户端：
1. 自己解压压缩包。
2. 右击“client.bat”，选“编辑”，然后进行如下修改：
  1. 把“123456”改成你在服务器端设置的密码。
  2. 把“weixin.qq.com”改成你想伪装的域名。
  3. 把“server-ip”改成服务器的IP地址。
3. 双击“client.bat”启动隧道，它会连接服务器，并创建一个本地socks5代理。
在浏览器里，设置使用socks5代理，IP为127.0.0.1，端口为1080。

(老虎会游泳/@Ta/2021-12-10 14:33/样/源)

43 .

既然是不让通外网，可能是有某方面的考虑，还是用你的流量上网吧……

荣耀30Pro

(cnhong/@Ta/2021-12-10 14:54/样/源)

44 .

@cnhong，如果他在国家安全部门，那还可能有某方面的考虑。至于“公司”，除了防止员工摸鱼之外还能有啥考虑。能带手机还想阻止泄密？

(老虎会游泳/@Ta/2021-12-10 15:20/样/源)

46 .

好想玩玩，可惜我没有这种场景，我的环境是自由的，但看到这种技术手段就想玩玩。
小米8(白)

(艾木友尔尔巴/@Ta/2021-12-10 16:14/样/源)

47 .

@老虎会游泳，我试试，话说http-proxy-option EXT1 "POST http://rd.go.10086.cn"
http-proxy-option EXT1 "GET http://rd.go.10086.cn"
http-proxy-option EXT1 "X-Online-Host: rd.go.10086.cn"
http-proxy-option EXT1 "POST http://rd.go.10086.cn"
http-proxy-option EXT1 "X-Online-Host: rd.go.10086.cn"
http-proxy-option EXT1 "POST http://rd.go.10086.cn"
http-proxy-option EXT1 "Host: rd.go.10086.cn"
http-proxy-option EXT1 "GET http://rd.go.10086.cn"
http-proxy-option EXT1 "Host: rd.go.10086.cn"常规免流配置这不是host也改了吗
就这？

(c/@Ta/2021-12-10 17:43/样/源)