一种简易内外网隔离方案

一种简易内外网隔离方案

王忘杰
2021-03-17 / 0 评论 / 371 阅读 / 正在检测是否收录...
温馨提示:
本文最后更新于2021年03月17日,已超过1107天没有更新,若内容或图片失效,请留言反馈。

一、设计思路

1、通过三层交换机ACL完全屏蔽目标IP的外网访问。
2、内网架设代理服务器(http/https/socket5),上网应用仅通过代理服务器访问。

11.png

二、优缺点分析

优点:
1、完全隔离外网访问,同时不影响内网访问,不需要添置网络设备,仅需要一台长期开机主机搭建socket5代理服务器。
2、不影响网络架构,可通过ACL控制对单个IP屏蔽,不影响文件共享服务、不影响打印机服务。
3、软件无需部署,仅需要在软件中设置代理服务(foxmail、微信、chrome内核浏览器、QQ等测试通过)

缺点:
1、部分应用无法设置代理,无法上网(可通过进程代理软件上网,设置繁琐)
2、部分应用默认依赖IE代理设置,因此严重不建议设置IE代理。
3、上网速度受socket5代理服务器限制。

三、部署过程

1、三层交换屏蔽指定IP外网访问。
Switch(config)#access-list 100 deny ip 192.168.3.3 255.255.255.0 any (指定需要屏蔽的IP)
config#int f0/0 (进入三层路由口)
Switch(config-if)#ip access-group 100 in (应用规则)

2、搭建代理服务器
选用TcpRoute2项目
Github地址 https://github.com/GameXG/TcpRoute2

仅需配置 addr="0.0.0.0:7070"即可

其他socket5项目推荐
Dante Socks Server,http://www.inet.no/dante
Java Socks Server,http://jsocks.sourceforge.net
Socks4 Server,https://archive.is/20130502024508/
SS5 Socks Server,http://ss5.sourceforge.net
TcpToute2,https://github.com/GameXG/TcpRoute2

3、软件设置代理。
Foxmail
22.png

QQ代理
33.png

4、测试

44.png

0

评论

博主关闭了所有页面的评论