现状
现在运营商提供的宽带服务,无论是动态IP,还是固定IP,默认都是禁止所有端口服务的(目前了解上海是这样的),在路由器上配置的端口映射和DMZ都失效。申请开通端口需要域名备案,过程比较繁琐。
运营商这么做是为了防止个人随意开设各种非法服务,也防止黑客通过扫描器进行抓鸡和批量扫描。这样封禁,虽然一定程度上保证了我们的网络安全,比如说前段时间的勒索病毒正因为国内大部分用户没有独立的公网IP,并且操作系统最容易爆发漏洞的一些,135,139等端口被运营商封禁了,使得国内个人家庭电脑中招的概率小了很多;但是导致即使有公网IP,也无法使用常用端口向外网提供服务。
解决方案
通过NAPT原理得知:NAPT实现了内网主机在没有公网IP的情况下访问公网主机。
那么我们可以这样做:假设公网IP为23.23.23.23,内网IP为192.168.1.2。
公网主机先监听80端口,监听这个端口是用于向外部提供一个HTTP服务,80是WEB服务器的默认端口。同时其他任意一个端口(这里我们假设为7777),监听这个端口是用于让内网服务器主动连接进来打通一个隧道。接着内网再主动向公网主机的7777发起一个请求,这样内网就成功与公网主机建立了一个连接通道。
然后当有任何客户端主动连接公网的80端口时,公网接收到连接请求之后马上把这连接请求通过先前建立好的隧道转发到内网主机,内网主机接收到来自隧道的数据包后再主动连接内网主机自身的80端口,连接成功之后将数据包原封不动地转发数据包给80端口,待HTTP服务器程序处理完这个数据包,生成了响应报文之后再原路转发回去,最终到达公网的80端口,然后返回给最开始请求公网服务器80端口的客户端。
大名鼎鼎的花生壳内网版以及nat123等内网穿透工具的原理基本就是如此。
lanproxy
lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,目前仅支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面…)。目前市面上提供类似服务的有花生壳、TeamViewer、GoToMyCloud等等,但要使用第三方的公网服务器就必须为第三方付费,并且这些服务都有各种各样的限制,此外,由于数据包会流经第三方,因此对数据安全也是一大隐患。
1,服务器配置
服务器如腾讯云服务器、阿里云服务器,必须有独立IP。
下载lanproxy-server-20171116.zip,解压后放到服务器上。
server的配置文件放置在conf目录中,配置 config.properties
1 | server.bind=0.0.0.0 |
代理配置,打开地址 http://ip:8090 ,使用上面配置中配置的用户名密码登录
添加客户端:
配置客户端:
示例是将公网的80、443端口映射到内网主机的80、443端口。
2,Java客户端配置
Java client的配置文件放置在conf目录中,配置 config.properties
1 | #与在proxy-server配置后台创建客户端时填写的秘钥保持一致; |
java客户端需要以下环境:
- 安装java1.7或以上环境
- linux(mac)环境中运行bin目录下的 startup.sh
- windows环境中运行bin目录下的 startup.bat
下载: lanproxy-java-client-20171116
3,其他平台客户端
不用java客户端的可以使用下面提供的各个平台的客户端,省去安装java运行环境
源码地址
https://github.com/ffay/lanproxy-go-client
发布包
https://github.com/ffay/lanproxy-go-client/releases
普通端口连接
1 | # mac 64位 |
SSL端口连接
1 | # mac 64位 |
实测
查看管理后台的数据统计,有访问流量,说明转发成功!