V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
sykbod
V2EX  ›  程序员

用 HTTP/HTTPS/Sock5 代理的时候,访问的域名是否仍然有可能被网络管理员看到并屏蔽?

  •  
  •   sykbod · 2023-09-19 01:33:00 +08:00 · 2692 次点击
    这是一个创建于 465 天前的主题,其中的信息可能已经有所发展或是发生改变。
    单位的防火墙屏蔽了一些我需要用的正规网站,这些网站在家中可以直接访问并且都不涉及 GFW 列表。

    已知:
    我在单位的机器只有权限装 chrome 插件,用 Proxy Switchy Omega 切换代理
    在 chrome 上这个插件的 sock5 不支持用户名密码验证,如果不设密码太危险了,只能退一步用 http/https 代理。

    所以,
    1. 如果我在家里搭一个 squid 的 http 代理,在单位是否可以突破防火墙来访问这些网站?但是 http 是明文播报,感觉还是会被管理员知道并拦住。
    2. 如果 http 不行,https 是否可以?貌似搞 https 有点麻烦,我家里 nas 没有绑定域名,没签名。
    3. 如果 https 也不行,是不是只能换个支持 sock5 用户名密码验证的浏览器?

    我就只想这么多,如果有更优雅简洁的方法就更好了,感谢大家。
    20 条回复    2023-09-19 11:28:17 +08:00
    ruixue
        1
    ruixue  
       2023-09-19 01:45:31 +08:00
    http 和 socks5 代理都是明文,https 代理虽然加密但是也得考虑 dns 泄露的风险

    更优雅的方式是部署一个远程桌面网关,浏览器打开登录就能远程家里的电脑

    不过 i 你这个情况更需要注意的是,既然“单位的机器只有权限装 chrome 插件”,那你怎么能保证单位的机器没有在系统级别部署监控,比如根证书解密,键盘记录器,定期截屏等?

    建议还是自己准备个 4G/5G 平板用吧
    sykbod
        2
    sykbod  
    OP
       2023-09-19 05:16:15 +08:00
    @ruixue v2Ray(vmess)和 SSR 也是用的 sock5 吧?这些不是很能藏的吗?低层监控问题确实不知道,谢谢提醒。先当作没有监控来应对,据我所知应该没有这么严格。
    stcQ2G13k9yxep40
        3
    stcQ2G13k9yxep40  
       2023-09-19 05:51:15 +08:00 via iPhone
    单位的防火墙屏蔽了一些我需要用的正规网站,为啥要屏蔽,你应该找 IT 去放行,发邮件要求解开,IT 部门是服务于其他部门的不是大爷。
    wu67
        4
    wu67  
       2023-09-19 08:43:44 +08:00
    @qishouvip2022 很明显是音视频之类的网站, 公司不让员工摸鱼, 但是 op 想听歌干活
    SteveRogers
        5
    SteveRogers  
       2023-09-19 09:04:00 +08:00 via iPhone
    可以,因为除了网关+证书解密你的流量外,还后本地注入你的浏览器进程得到日志。或者本地有流量记录的。建议不要这样做,很容易开除。
    matepi
        6
    matepi  
       2023-09-19 09:09:19 +08:00
    一般来说,你前面还是要过 DNS 的
    当然也有很多浏览器插件会帮你把 DNS 解析动作改到经过代理请求

    比较简单的话,一般是直接开个 L2TP VPN 之类的翻回家
    gogogo2000
        7
    gogogo2000  
       2023-09-19 09:11:25 +08:00   ❤️ 1
    @sykbod vmess 等你知道的工具并不是真正的 socks5 ,它只是在最后解密流量后将接入端口做了 socks5 协议的封装,以便可以以 socks5 代理的形式被各种软件使用,实际传输过程中并不是 socks5 的协议,所以不会被检测到。

    PS:在 Chrome 中直接使用 https 代理是不会有 dns 泄漏问题的,因为 http 代理不允许本地解析 dns ,socks 代理才允许。但是你访问 http 代理时使用的那个域名肯定是可以被检测到的。

    PS2:目前常见的 https 有两种,一种实际上 http connect 代理,实际上就是个 http 代理,也是明文的。
    0xsui
        8
    0xsui  
       2023-09-19 09:14:00 +08:00
    都用上 trojan 和 trojan-go 了,浏览内容全部通过 server 端进行加密代理转发处理了,trojan 的客户端和 trojan-server 端,这之间只要没有网络设备把 server 端 ip/域名屏蔽,那就谁都看不到你访问的内容啊。
    不是这样子吗,难道 trojan 现在还能被解密出来,看到明文?
    infun
        9
    infun  
       2023-09-19 09:22:49 +08:00
    如果确实是工作需要,最好走正规的申请流程
    shmilyin
        10
    shmilyin  
       2023-09-19 09:27:34 +08:00
    家里弄个 wireguard/openvpn
    lomomcat
        11
    lomomcat  
       2023-09-19 09:31:58 +08:00 via Android   ❤️ 4
    v 站帖子提问的问题平均技术水平自 2011 年来下降 90%
    yinmin
        12
    yinmin  
       2023-09-19 09:49:24 +08:00 via iPhone
    推荐 ssh 生成本地 socks5 ( ssh.exe 已 windows 内置)
    ssh -D 1080 user@server
    githmb
        13
    githmb  
       2023-09-19 10:17:44 +08:00
    猜猜 shadow 是什么意思
    pppguest3962
        14
    pppguest3962  
       2023-09-19 10:26:22 +08:00
    有些浏览器的的代理扩展是可以 DNS over socks 出去,然后就没那么多假设了,
    但不清楚 OP 所说的这个扩展能不能做到,
    ruixue
        15
    ruixue  
       2023-09-19 10:29:47 +08:00
    @sykbod v2Ray(vmess)和 SSR 只是为了兼容输入,在本地开了 socks5 监听端口,数据从你本机传出去的时候已经是加密混淆过的了,并不是 socks5
    Hf1G1sGBYS8QSLN8
        16
    Hf1G1sGBYS8QSLN8  
       2023-09-19 10:37:55 +08:00
    dns over proxy 就可以了。
    artnowben
        17
    artnowben  
       2023-09-19 10:47:22 +08:00
    TLS 握手阶段在 client hello 里是可以看到 hostname 的
    weeei
        18
    weeei  
       2023-09-19 10:55:21 +08:00
    @wu67 听歌不如在手机上听,风险小多了。
    weip
        19
    weip  
       2023-09-19 11:25:09 +08:00
    依据你当前的情况:
    1 、可以利用 gost 搭建 https 代理(要注意当前 gost 主机自身能够访问 google 等资源),解决代理问题,这里要注意 ssl 证书,目前 dnspod 上免费生成 1 年的,这里不能直接使用,需要转换一下,创建代理同时可以加上用户和密码,在用户认证前我这里又加了一个专有认证域名,比如必须打开 qq.com 进行一次认证才可以正常代理 google 等,当然 Switchy Omega 规则上要配置好
    2 、dns 解析的问题,可以利用 adguard 搭建 dns-https ,同样需要 ssl 证书,然后 adguard 的 dns-https 链接放到 chrome 浏览器安全配置里的自定义 dns
    3 、以上比较折腾,尤其要注意端口开放程度,如果公司是固定 ip 还比较好,如果是动态的,要自己去找相关的 ip 段,不建议全网公开开放,容易被打
    4 、最稳妥的是自己开个远程桌面,如果公司不给使用,基本无缘了
    hervey0424
        20
    hervey0424  
       2023-09-19 11:28:17 +08:00   ❤️ 1
    我直接远程桌面
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3644 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 00:11 · PVG 08:11 · LAX 16:11 · JFK 19:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.