用 HTTP/HTTPS/Sock5 代理的时候,访问的域名是否仍然有可能被网络管理员看到并屏蔽?
sykbod · 2023-09-19 01:33:00 +08:00 · 2649 次点击这是一个创建于 438 天前的主题,其中的信息可能已经有所发展或是发生改变。
单位的防火墙屏蔽了一些我需要用的正规网站,这些网站在家中可以直接访问并且都不涉及 GFW 列表。
已知:
我在单位的机器只有权限装 chrome 插件,用 Proxy Switchy Omega 切换代理
在 chrome 上这个插件的 sock5 不支持用户名密码验证,如果不设密码太危险了,只能退一步用 http/https 代理。
所以,
1. 如果我在家里搭一个 squid 的 http 代理,在单位是否可以突破防火墙来访问这些网站?但是 http 是明文播报,感觉还是会被管理员知道并拦住。
2. 如果 http 不行,https 是否可以?貌似搞 https 有点麻烦,我家里 nas 没有绑定域名,没签名。
3. 如果 https 也不行,是不是只能换个支持 sock5 用户名密码验证的浏览器?
我就只想这么多,如果有更优雅简洁的方法就更好了,感谢大家。
已知:
我在单位的机器只有权限装 chrome 插件,用 Proxy Switchy Omega 切换代理
在 chrome 上这个插件的 sock5 不支持用户名密码验证,如果不设密码太危险了,只能退一步用 http/https 代理。
所以,
1. 如果我在家里搭一个 squid 的 http 代理,在单位是否可以突破防火墙来访问这些网站?但是 http 是明文播报,感觉还是会被管理员知道并拦住。
2. 如果 http 不行,https 是否可以?貌似搞 https 有点麻烦,我家里 nas 没有绑定域名,没签名。
3. 如果 https 也不行,是不是只能换个支持 sock5 用户名密码验证的浏览器?
我就只想这么多,如果有更优雅简洁的方法就更好了,感谢大家。
 |
1
ruixue 2023-09-19 01:45:31 +08:00
http 和 socks5 代理都是明文,https 代理虽然加密但是也得考虑 dns 泄露的风险
更优雅的方式是部署一个远程桌面网关,浏览器打开登录就能远程家里的电脑 不过 i 你这个情况更需要注意的是,既然“单位的机器只有权限装 chrome 插件”,那你怎么能保证单位的机器没有在系统级别部署监控,比如根证书解密,键盘记录器,定期截屏等? 建议还是自己准备个 4G/5G 平板用吧 |
 |
2
sykbod OP @ruixue v2Ray(vmess)和 SSR 也是用的 sock5 吧?这些不是很能藏的吗?低层监控问题确实不知道,谢谢提醒。先当作没有监控来应对,据我所知应该没有这么严格。
|
 |
3
stcQ2G13k9yxep40 2023-09-19 05:51:15 +08:00 via iPhone
单位的防火墙屏蔽了一些我需要用的正规网站,为啥要屏蔽,你应该找 IT 去放行,发邮件要求解开,IT 部门是服务于其他部门的不是大爷。
|
 |
4
wu67 2023-09-19 08:43:44 +08:00
@qishouvip2022 很明显是音视频之类的网站, 公司不让员工摸鱼, 但是 op 想听歌干活
|
 |
5
SteveRogers 2023-09-19 09:04:00 +08:00 via iPhone
可以,因为除了网关+证书解密你的流量外,还后本地注入你的浏览器进程得到日志。或者本地有流量记录的。建议不要这样做,很容易开除。
|
 |
6
matepi 2023-09-19 09:09:19 +08:00
一般来说,你前面还是要过 DNS 的
当然也有很多浏览器插件会帮你把 DNS 解析动作改到经过代理请求 比较简单的话,一般是直接开个 L2TP VPN 之类的翻回家 |
 |
7
gogogo2000 2023-09-19 09:11:25 +08:00  1
@sykbod vmess 等你知道的工具并不是真正的 socks5 ,它只是在最后解密流量后将接入端口做了 socks5 协议的封装,以便可以以 socks5 代理的形式被各种软件使用,实际传输过程中并不是 socks5 的协议,所以不会被检测到。
PS:在 Chrome 中直接使用 https 代理是不会有 dns 泄漏问题的,因为 http 代理不允许本地解析 dns ,socks 代理才允许。但是你访问 http 代理时使用的那个域名肯定是可以被检测到的。 PS2:目前常见的 https 有两种,一种实际上 http connect 代理,实际上就是个 http 代理,也是明文的。 |
 |
8
0xsui 2023-09-19 09:14:00 +08:00
都用上 trojan 和 trojan-go 了,浏览内容全部通过 server 端进行加密代理转发处理了,trojan 的客户端和 trojan-server 端,这之间只要没有网络设备把 server 端 ip/域名屏蔽,那就谁都看不到你访问的内容啊。
不是这样子吗,难道 trojan 现在还能被解密出来,看到明文? |
 |
9
infun 2023-09-19 09:22:49 +08:00
如果确实是工作需要,最好走正规的申请流程
|
 |
10
shmilyin 2023-09-19 09:27:34 +08:00
家里弄个 wireguard/openvpn
|
 |
11
lomomcat 2023-09-19 09:31:58 +08:00 via Android 4
v 站帖子提问的问题平均技术水平自 2011 年来下降 90%
|
 |
12
yinmin 2023-09-19 09:49:24 +08:00 via iPhone
推荐 ssh 生成本地 socks5 ( ssh.exe 已 windows 内置)
ssh -D 1080 user@server |
 |
13
githmb 2023-09-19 10:17:44 +08:00
猜猜 shadow 是什么意思
|
 |
14
pppguest3962 2023-09-19 10:26:22 +08:00
有些浏览器的的代理扩展是可以 DNS over socks 出去,然后就没那么多假设了,
但不清楚 OP 所说的这个扩展能不能做到, |
|
15
ruixue 2023-09-19 10:29:47 +08:00
@sykbod v2Ray(vmess)和 SSR 只是为了兼容输入,在本地开了 socks5 监听端口,数据从你本机传出去的时候已经是加密混淆过的了,并不是 socks5
|
|
16
Hf1G1sGBYS8QSLN8 2023-09-19 10:37:55 +08:00
dns over proxy 就可以了。
|
 |
17
artnowben 2023-09-19 10:47:22 +08:00
TLS 握手阶段在 client hello 里是可以看到 hostname 的
|
 |
19
weip 2023-09-19 11:25:09 +08:00
依据你当前的情况:
1 、可以利用 gost 搭建 https 代理(要注意当前 gost 主机自身能够访问 google 等资源),解决代理问题,这里要注意 ssl 证书,目前 dnspod 上免费生成 1 年的,这里不能直接使用,需要转换一下,创建代理同时可以加上用户和密码,在用户认证前我这里又加了一个专有认证域名,比如必须打开 qq.com 进行一次认证才可以正常代理 google 等,当然 Switchy Omega 规则上要配置好 2 、dns 解析的问题,可以利用 adguard 搭建 dns-https ,同样需要 ssl 证书,然后 adguard 的 dns-https 链接放到 chrome 浏览器安全配置里的自定义 dns 3 、以上比较折腾,尤其要注意端口开放程度,如果公司是固定 ip 还比较好,如果是动态的,要自己去找相关的 ip 段,不建议全网公开开放,容易被打 4 、最稳妥的是自己开个远程桌面,如果公司不给使用,基本无缘了 |
 |
20
hervey0424 2023-09-19 11:28:17 +08:00 1
我直接远程桌面
|
Select Language