Cell
← 返回

内网三杀让我更加适应web环境

· 技术日志

突如起来的网络封杀

上周本来网络一切正常,但是突然不能SSH了,无论是内网还是外网都不能SSH连接。本来就有多台服务器需要运维,这突然不能SSH连接了就很难受。 当时还觉得只是SSH无法连接了,其他协议应该还正常,从外部连接从内网反代出去的远程桌面还是正常的。

如果是因为上个月的网络大整顿,打击非法VPN,那么不让人连接国外服务器,或者是误伤了SSH协议,那么这还可以理解,但是连合法购买的国内云计算服务器都登录不了就很奇怪了。

三天之后的新发现

本来以为只是一个网络故障,过完周末以后,正准备从内网连接一下外网中的远程桌面,结果总是报错,刚开始以为是线路问题,后来感觉并没有问题,于是就使用了加密隧道去连接,一连就通了。包括SSH也是得使用加密隧道才能连接。

这一切应该都是发生在内网环境中的封杀,经过测试,SSH、RDP和SMB全都沦陷,本来还可以用ipv6反向代理的线路也全都断了,而且ipv6是被彻底封杀的,连ping都无法使用。 原本以为可能是网络故障,现在看来,当这三大远控协议被同时封杀的时候,就说明一定是人为干预的了。那对网络管理中心报修也没什么必要,因为肯定是人家故意这么拦截的。

可能的原因

原先不理解这个事情,因为如果是为了网络安全的话,那只要不让外网对内网连接就可以了,现在是不让内网连接外网,这个逻辑很奇葩,而且内网用很简单的反向代理就能轻松绕开这个封锁。 更气人的是,如果是为了配合严打VPN行动的话,那应该主要封杀翻墙协议,而不是常用远控三件套,而且使用shadowsocks这种最入门的代理协议,在内网和国内公网中都畅通无阻,毫无阻力,那就说明这次网络风暴不是针对代理和翻墙而来的。

真相的推测

又过了一天以后,突然发现所有人都在抱怨无法使用向日葵了,本来我还想是不是自己也安装一个向日葵作为备用方案,当自己的反代隧道出故障的时候使用一下。本来为了安全不使用第三方远控软件,而是用的自建内网穿透系统。 但是经过了解,向日葵已经被内网的网关干废了,那就正好不用尝试了。

基于之前SSH不可访问外网,但是能访问内网,而得出了这个封控非常奇葩的结论,随着偶然发现在内网环境里也不能使用rdp来连接远程桌面以后,突然感觉这一切都变得合理了。

为什么合理呢?因为本来以为内网中不会封杀rdp协议,结果竟然也被封了,那就是说封控的主要目的本来就是内网,外网无法连接只是被误伤了,如果主要是针对内网封杀远控协议的话,那逻辑就闭环了。 因为如果不封禁内网中的远控协议,那么内网中中毒的电脑还会继续扩散病毒,而现在这样一封杀,至少能切断传播途径。至于自己使用加密隧道的手段能突破封锁这件事,其实网关层面并不在乎,因为即使黑客通过中毒电脑也使用加密隧道进行连接, 但是内网中其他的设备可不会配合他进行加密隧道的解密接收,那么其实根本就无法进行局域网攻击。所以这种封杀是有效的,也是可理解的。

大内网环境的利与弊

如果实际网络环境是无数个独立分割的小内网,那么黑客根本没法攻击,尤其是各种NAT之后,什么病毒和木马都是无效的。这种模式天然的安全,但是不方便,没法互相连接与访问。这就是运营商提供的标准家用宽带的特征。

而企业自建的大内网则是内部畅通无阻的,外界确实不能对内访问,但是内部之间可以随便连接,非常方便。每个设备都能分配到独立的内网ip,在大内网中畅通无阻,但是很容易被病毒污染。一旦出现了黑客攻击事件,想要降低损失就得把常见的远控协议全部封杀, 这是会造成很多不变,不仅大内网中的设备不再能互相直连,更是无法对外随便访问了,因为只能统一封杀,没法区分对内对外的访问。家庭宽带因为压根不会被病毒扩散式入侵,所以并不需要大范围封控,而大内网则要么非常自由,要么一刀切全部杀光。这就是平时方便的代价。

无奈的应对策略

鉴于最近几年为了使用AI而练就的网络工程经验已经非常丰富,应对现在这点协议封杀简直是小菜一碟,都用不着使用太高级的代理协议,直接使用最入门的就能轻松应对。只不过为了访问外网的服务器而使用的国内代理流量有点浪费,那也没办法。 本来把电脑的3389端口反代到服务器公网上就完事了,现在从内网向服务器发起的rdp请求会被直接打断,所以这段线路也必须加密,就是说变成了全链路加密,从反代到正代全都得加密。虽然不方便但是无形中还是极大的提高了安全度的。 本来以前没有尝试过的quic协议,现在也全部使用起来了,而且发现效果非常出色。只是延迟确实比直连高一点。

除了远程桌面以外,本来可以用ipv6直连的网盘端口现在也全被干死了,那就只能换个思路不用SMB协议,据说webdav不会受到影响,于是连夜把webdav网盘也搭建好了,这个确实不会被封杀,而且经过cdn加速以后,效果比smb更好。

在内网的webdav搭建好了以后,突然还想试试服务器的云端nas效果如何,刚才也搭建了一下,把服务器上闲置的几十GB空间利用起来,这次因为有固定的公网IP就不套cdn了,还用优化线路给它前置了一下端口,结果发现从未有过的流畅,速度都快要起飞了。

总结

这一轮内网的远控协议封杀在刚开始的时候的确造成了不小的麻烦,但是困难越多反而让自己更加强大了,把原本没有完全加密的链路实现了端到端加密,还把smb协议的网盘换成了webdav协议,并且使用体验更好了。