-
|
大佬,我想要用hysteria在内网搭建一台代理服务器,代理内网流量,让内网某些网段仅能够通过代理服务器访问指定域名或者ip,另外希望能够正常收发邮件的话,我应该如何做呢,我是否能够编写acl实现呢 |
Beta Was this translation helpful? Give feedback.
Replies: 2 comments 8 replies
-
|
没有完全理解您的需求。 您是希望规范员工上网的公司老板, 还是只希望加速部分 IP / 域名的普通用户? 如果是「希望规范员工上网的公司老板」的话, 那么这是防火墙相关的问题, 您可以购买一个硬件防火墙, 或者使用 OpenGFW, 对源地址为员工网段的地址+特定的域名进行屏蔽, 然后给员工下发 PAC 之类的策略让这部分流量走您内网中的代理服务器。 如果是「只希望加速部分 IP / 域名的普通用户」的话, 比较简单的方案其实是起一个 sniproxy, 然后用 DNS 把指定域名的流量劫持到 sniproxy 上。 影响发送邮件的主要是发生在启用了 sniffing 的 4 层代理的情况, 原因是 SMTP 协议是服务端先发送消息, 而 sniffer 需要客户端先发送消息才会实际上开始与远端建立连接。 要解决这个问题也不难, 用端口匹配来决定是否开启 sniffing 即可, 也就是对邮件的端口(如 25/465/587)不应用 sniffing, 或者仅对 Web 服务的常用端口(80/443)使用 sniffing。 如果你用 v2fly, 这可以通过配置两个 dokodemo-door 的 inbounds 然后在 nftables/iptables 里用端口匹配来实现。 Hysteria 目前只支持服务端 ACL, 但是您的需求看起来需要客户端 ACL 才能实现, 因此此需求应该无法通过 Hysteria 的 ACL 实现。 |
Beta Was this translation helpful? Give feedback.
-
|
大佬,这个是客户端的配置还是服务端呀,如果是客户端的配置文件的话,我能否在服务端的配置文件上做限制呀 |
Beta Was this translation helpful? Give feedback.
-
|
这个是服务端配置, 你在内网的一台机器上启动服务端之后, 下发 PAC 给员工电脑使其通过这个代理上网应该就可以, 不需要在员工电脑上额外安装运行客户端。 |
Beta Was this translation helpful? Give feedback.
-
|
我用上面配置好后,我在谷歌浏览器上用SwitchyOmega插件设置代理 socks4 10.64.110.113:1080,然后是可以让网页端仅能够访问www.yunzhijia.com,但是当我配置PAC的时候,发现并没有效果,如下是我的PAC function FindProxyForURL() { 请问是否PAC有问题,另外如果这样设置好后,貌似qq这种软件还是可以发消息呀,仅仅是网页端能够限制仅访问www.yunzhijia.com,非常感谢 !!! |
Beta Was this translation helpful? Give feedback.
-
|
关于 PAC 的问题, 应该是 关于 QQ 这种软件还能发消息的问题, 你需要确保员工电脑在不通过代理的情况下仅能访问公司内网, 这通常可以在网关添加防火墙规则或者路由规则实现。 |
Beta Was this translation helpful? Give feedback.
-
|
感谢大佬解惑 |
Beta Was this translation helpful? Give feedback.
-
|
万恶的资本家 |
Beta Was this translation helpful? Give feedback.
-
|
领导要求,木的办法呀 |
Beta Was this translation helpful? Give feedback.
关于 PAC 的问题, 应该是
"SOCKS 10.64.110.113:1080",SOCKS而不是SOCKS4。关于 QQ 这种软件还能发消息的问题, 你需要确保员工电脑在不通过代理的情况下仅能访问公司内网, 这通常可以在网关添加防火墙规则或者路由规则实现。