-
大佬,我想要用hysteria在内网搭建一台代理服务器,代理内网流量,让内网某些网段仅能够通过代理服务器访问指定域名或者ip,另外希望能够正常收发邮件的话,我应该如何做呢,我是否能够编写acl实现呢 |
Beta Was this translation helpful? Give feedback.
Replies: 2 comments 8 replies
-
没有完全理解您的需求。 您是希望规范员工上网的公司老板, 还是只希望加速部分 IP / 域名的普通用户? 如果是「希望规范员工上网的公司老板」的话, 那么这是防火墙相关的问题, 您可以购买一个硬件防火墙, 或者使用 OpenGFW, 对源地址为员工网段的地址+特定的域名进行屏蔽, 然后给员工下发 PAC 之类的策略让这部分流量走您内网中的代理服务器。 如果是「只希望加速部分 IP / 域名的普通用户」的话, 比较简单的方案其实是起一个 sniproxy, 然后用 DNS 把指定域名的流量劫持到 sniproxy 上。 影响发送邮件的主要是发生在启用了 sniffing 的 4 层代理的情况, 原因是 SMTP 协议是服务端先发送消息, 而 sniffer 需要客户端先发送消息才会实际上开始与远端建立连接。 要解决这个问题也不难, 用端口匹配来决定是否开启 sniffing 即可, 也就是对邮件的端口(如 25/465/587)不应用 sniffing, 或者仅对 Web 服务的常用端口(80/443)使用 sniffing。 如果你用 v2fly, 这可以通过配置两个 dokodemo-door 的 inbounds 然后在 nftables/iptables 里用端口匹配来实现。 Hysteria 目前只支持服务端 ACL, 但是您的需求看起来需要客户端 ACL 才能实现, 因此此需求应该无法通过 Hysteria 的 ACL 实现。 |
Beta Was this translation helpful? Give feedback.
关于 PAC 的问题, 应该是
"SOCKS 10.64.110.113:1080"
,SOCKS
而不是SOCKS4
。关于 QQ 这种软件还能发消息的问题, 你需要确保员工电脑在不通过代理的情况下仅能访问公司内网, 这通常可以在网关添加防火墙规则或者路由规则实现。