一、设计思路
1、通过三层交换机ACL完全屏蔽目标IP的外网访问。
2、内网架设代理服务器(http/https/socket5),上网应用仅通过代理服务器访问。
二、优缺点分析
优点:
1、完全隔离外网访问,同时不影响内网访问,不需要添置网络设备,仅需要一台长期开机主机搭建socket5代理服务器。
2、不影响网络架构,可通过ACL控制对单个IP屏蔽,不影响文件共享服务、不影响打印机服务。
3、软件无需部署,仅需要在软件中设置代理服务(foxmail、微信、chrome内核浏览器、QQ等测试通过)
缺点:
1、部分应用无法设置代理,无法上网(可通过进程代理软件上网,设置繁琐)
2、部分应用默认依赖IE代理设置,因此严重不建议设置IE代理。
3、上网速度受socket5代理服务器限制。
三、部署过程
1、三层交换屏蔽指定IP外网访问。
Switch(config)#access-list 100 deny ip 192.168.3.3 255.255.255.0 any (指定需要屏蔽的IP)
config#int f0/0 (进入三层路由口)
Switch(config-if)#ip access-group 100 in (应用规则)
2、搭建代理服务器
选用TcpRoute2项目
Github地址 https://github.com/GameXG/TcpRoute2
仅需配置 addr="0.0.0.0:7070"即可
其他socket5项目推荐
Dante Socks Server,http://www.inet.no/dante
Java Socks Server,http://jsocks.sourceforge.net
Socks4 Server,https://archive.is/20130502024508/
SS5 Socks Server,http://ss5.sourceforge.net
TcpToute2,https://github.com/GameXG/TcpRoute2
3、软件设置代理。
Foxmail
QQ代理
4、测试
评论