请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
从这次飞牛漏洞,想到我很久前就有的一个想法。 为啥不搞个自带 VPN 的浏览器。 本次大面积漏洞的核心就是 web 服务被击穿。全内网的都还安好。 那么如果有一款浏览器,自带 VPN 功能。只通过 VPN 访问内网服务,是不是就安全的多。
 |
1
zhengfan2016 1 天前
既然都要下客户端了,为啥不用 wg
 |
 |
2
gosling 1 天前
搜了个关键字,发现很多设备存在这个问题..
|
 |
3
ntedshen 1 天前
版面上就有哥们连这次啥问题都没看完就在那猛猛点更新,然后被卡了就开始暴躁的。。。
你指望他会装你一个第三方? 那你抗压或者关 issue 得选一个。。。 |
 |
4
leang521 OP @zhengfan2016 首先客户端不安全,其次目前的反代和 VPN 都需要额外工作,本身复杂度就高,还影响客户端的本地网络。
|
|
5
leang521 OP @ntedshen 其实不光飞牛不安全,现在的大部分国内 NAS 都不见得安全。但是国产 NAS 能火起来的关键就是自建隧道。所以如果能有个自带隧道的浏览器,然后内网通过 DOCKER 做个服务。这样即简单又方便,用户量还大。
|
 |
6
baobao1270 1 天前
你说的是 TOR 吗
而且,都浏览器了,为什么不用 ZeroTrust 呢 |
 |
7
cloverzrg2 1 天前
没有搞头, 成熟的方案很多
|
|
8
leang521 OP @cloverzrg2 举个例子,我是找不到,AI 也找不到
|
|
9
leang521 OP @baobao1270 类似,但是定位不一样。TOR 是隐藏自己,这个是安全隧道。
|
|
10
cloverzrg2 1 天前
|
 |
11
stinkytofux 1 天前
你在说这个?
 |
 |
12
bobryjosin 1 天前
浏览器装个 SmartProxy ,本地搭个 https 代理服务器,差不多的功能吧,其实还不如直接用 wg 连回去
|
 |
13
PrinceofInj 1 天前 via Android
浏览器是一个很个性化的软件,如果把 VPN 作为唯一的卖点,很难让人长期使用下去。
|
 |
14
Joeyreg 1 天前
其实可以学深信服,打开 app 就自动 vpn 拔号到服务器,再进行链接,关了 app 就会自动断开 vpn 。很多银行证券内部 app 都是这套机制
|
 |
15
yinmin 1 天前 via iPhone
最易用的方式是部署 mtls (双向证书认证),在客户端系统上安装客户端证书,浏览器访问 mtls 的网站时选择使用客户端证书,用起来很方便,无需第三方软件,支持 windows 、mac 、ios 、android 浏览器。
|
 |
16
AkinoKaedeChan 1 天前
自带 VPN 的浏览器,之前那个争议很大的红芯浏览器好像就有……
|
 |
17
Cambrian07 1 天前
内网打洞,不仅 web 服务,还有其他的内网服务都可以
|
 |
18
yeh 1 天前
关健字 1:指纹浏览器
关健字 2: chrome webstore 里 代理插件 太多了 关健字 3: 不如自己写回家规则,搭配客户端什么 mihomo clash surge 啥的都行。 类似的还有 wireguard 之流的组网技术,直接和家里拉成局域网 |
 |
19
01802 1 天前 via Android
wg 完全足够了
|
 |
21
yuland6666 1 天前 via iPhone
我说今天远程怎么 g 了😭
|
 |
22
DefoliationM 1 天前
tailscale 就够了。
|
|
23
leang521 OP 为何不用系统代理:常规的 VPN 软件要不搭建困难,要不影响客户端,比如客户端本身就处于多 VLAN 环境的复杂网络,VPN 会破坏客户端的路由表。
为何不用 chrome 代理插件:没找到自建服务的,用其他人的服务安全性存疑 其实我目前用的极空间客户端也有同样的功能,通过 mtls 建立隧道,然后客户端的所有服务走隧道。但是极空间的东西感觉也不是很靠谱 |
 |
24
admims 1 天前  1
你都这样了,为什么不用 zerotier 呢?
web 段本来就是方便别人直接访问的,有些时候链接打洞是打不了的 |
 |
25
cr3bit 1 天前
飞牛比起穿透更多是容易上手,其他几个系统一套初始/权限设置就劝退大部分。后面虽然有了群晖/qnap 这种带套件的成品,但是掏钱一样得学设置,或者黑群再加一个引导更容易当晚挂咸鱼
然后还有个就是像网盘/照片要分享给其他人不开外网大概率就是:no ,thanks ,请发微信。尤其帮老年人处理过照片的应该会明白喜欢照照片,但是都是微信传啊传,不保存过几天就... |
|
26
cr3bit 1 天前
抱歉,好像回错了-_-
|
 |
27
charles0 1 天前
还有一个东西叫 WebVPN ,简单来说就是一个 Web UI 网页,打开时自动进行 VPN 连接
|
 |
28
lozzow 1 天前
从产品的角度,我觉得是可以的,但是国内做这个资质相关的很麻烦,需要的资质/备案很多,也不见得能赚钱,搞 nas 的人一般多多少少会一点点这些,还不如封装一个 clash 分流来做这个事情,更简单好操作
|
 |
29
A1188 1 天前 via Android
我记得联想的 NAS ,APP 远程访问就是用的 VPN 来连 NSA 的。。。
|
|
30
leang521 OP |
 |
31
GiantHard 1 天前
把 vpn 集成进浏览器里面的话,就没法在公网通过 NAS 手机客户端访问了内网服务了,这样的用户体验得下降📉一大截。
我有一个想法,可以通过某种技术,将 NAS 上的指定端口映射到外网设备 localhost 的固定端口,这样外网客户端就可以通过指定本地端口连回内网 NAS ,而且也不会干扰客户端路由表。 |
 |
32
bitnerd 1 天前
还是用 surge 吧,毕竟常年 surge 不关,在家里路由器上开个 SS 端口,surge 里写一条规则分流 192.168.2.0/24 就行了
|
|
33
lozzow 23 小时 47 分钟前
@leang521 #30 你的这个东西涉及经营性 VPN 服务,必须获得工信部颁发的 B13 类增值电信业务经营许可. 至于为啥 chrome 为啥没资质也能运行,你就问皮柴在不在天朝吧
|
 |
34
rev1si0n 23 小时 46 分钟前
为啥要多装个浏览器我直接装一个 vpn 客户端不好嘛?除了访问 web 还能干其他的
|
|
35
leang521 OP |
|
36
lozzow 23 小时 25 分钟前
@leang521 #35 你这么说我是理解的,但是有有些事不上称没四两重,上称了一千斤也打不住,不管是来自远洋捕捞还是同行举报使坏,多少都要注意下,如果资质齐全,做起来后顾之忧会少很多,做商业,多少要考虑点
|
 |
37
louol 23 小时 23 分钟前
@leang521 有没有可能有个东西叫仅本地代理,只开放代理端口,任意能安装拓展的浏览器都支持设置本地代理,除了 ios 做不到。除了纯小白,谁会用你的 VPN 浏览器,firefox edge 搭配 vpn 软件开放本地代理端口不安全么?
|
|
38
leang521 OP @louol 飞牛这次出问题的 fn connect ,就是个浏览器插件,通过插件自建隧道实现任意浏览器访问内网。只可惜这个隧道太拉稀,被人直接给破了,这也是第三方隧道的毛病,安全不受控。所以搞个自建隧道是不是就比这种闭源的第三方隧道靠谱得多。
|
 |
39
LnTrx 22 小时 5 分钟前
@leang521 那不就是自建一个代理暴露在公网+本地运行一个代理软件+浏览器装一个代理插件的方案么。代理插件和软件用开源的就行。设置成不接管系统流量的模式,对其他应用也没影响。
|
 |
42
ldapadmin 20 小时 37 分钟前
其实 你这种 我自己已经 做了一个大概 就是搭建 s5 代理 然后切换进去就好了
如果多条就用 clash 写一个规则。内网 IP 做分流就能实现了 |
|
43
rev1si0n 17 小时 51 分钟前
@leang521 破坏啥路由环境,搞个八竿子打不着的 255 小内网实在不行再小一点,正常用户是永远不可能遇到说路由冲突的,而且全局模式或内网模式切个配置就好了,要说部署麻烦那确实没的说,但是很多高档点的路由器都自带 vpn 服务器配置。让我装个个人开发的浏览器,你要么有大公司背书要么是完全开源,不然我是不敢用。还有许可这事,虽然没提我,但是我做过类似的东西,也问过代办,难道你开发的浏览器不走你们自己的中继服务器,是直连回用户家的?走你的中继服务那就得办,开个公司,1000 万资质起步才能 VPN 证,虽然这 1000 万可以是虚的,但是这就是门槛也是你的证明以及责任。
|
Select Language