Comments (10)
Akkariiin
commented on September 23, 2024
1
需要的话应该可以自定义PAC来屏蔽127
但是开启“允许局域网的连接”本来就是不安全的
另外,国内毒瘤本来就不应该丢上代理吧。开着SS/SSR/SSRR用国内毒瘤,“你也有责任吧”。
from shadowsocksr-csharp.
ZSkycat
commented on September 23, 2024
@Akkariiin
代理模式选择 直连模式,局域网过来的连接还会经过PAC过滤吗
你理解错了,并没有把本地软件丢上代理,浏览器通过 Omega 配置的,没有开启系统代理
这个场景的问题在于,QQ在本机开启一个快速登录的服务(已查证只允许127地址),而局域网的连接到达本机后,绕过局域网变成以本机的IP去访问,使得验证成功
确实是 “允许局域网的连接” 带来的安全问题,我认为局域网过来的连接,应该禁止访问本机的,或者应该更进一步,全局转发到远程服务器,避免使用本机IP进行通讯
from shadowsocksr-csharp.
Akkariiin
commented on September 23, 2024
这个问题的重现场景我明白。
我的意思是,你可以选自定义PAC模式来定制地解决这个问题。
另外我记得全局模式下127是会被发到服务器上去的呀?不然服务器也不会默认阻止访问127。
只有绕过模式才会直连127。请再确认一下你使用的模式。
from shadowsocksr-csharp.
ZSkycat
commented on September 23, 2024
@Akkariiin "代理规则"是选的绕过局域网,才触发的
是“代理规则”,不是"系统代理模式"
另外 系统代理模式,PAC,代理规则,单纯看名字确实特别容易混淆
from shadowsocksr-csharp.
Justsoos
commented on September 23, 2024
按代理设计说,127这些本地访问,无论代理c本身,还是(c就不应该转发)转发到s端,都不应该在c或s端予以访问本地 ip 段(包括 169.254 的ip段)的能力。如果说至今ss和ssr还有这个漏洞,的确相当严重。@ZSkycat
from shadowsocksr-csharp.
ZSkycat
commented on September 23, 2024
@Justsoos 也就是说,服务端解析域名的地址是局域网IP时,也需要进行屏蔽处理
from shadowsocksr-csharp.
Justsoos
commented on September 23, 2024
局域网不至于完全禁止,但允许代理节点访问节点本地端口,其实就是一种提权漏洞。
from shadowsocksr-csharp.
Akkariiin
commented on September 23, 2024
@Justsoos
如果要实现禁止客户端的局域网传入并到127的连接从客户端直接传出的功能的话,就要区分到底是本地传入还是局域网传入。
要么就在客户端直接禁止所有到127的访问?
from shadowsocksr-csharp.
ZSkycat
commented on September 23, 2024
@Akkariiin 我觉得吧,应该禁止所有到127的访问,包括远程服务端
from shadowsocksr-csharp.
AkaneAkaza
commented on September 23, 2024
可以自己编写规则来实现这个功能
from shadowsocksr-csharp.
Related Issues (20)
- 八款免费靠谱的PC电脑梯子和苹果梯子,支持苹果手机和电脑同时科学上网
- 【手机电脑翻墙教程】 五款适用于手机和电脑的便宜靠谱VPN推荐,价格接近免费 HOT 2
- 【免费电脑手机梯子】推荐七款支持window、ios和Andriod的梯子VPN,免费的科学上网助手
- 【免费靠谱Andriod安卓手机梯子】五款适合安卓手机的最佳科学上网梯子推荐,真的十分流畅 HOT 1
- 为什么vpn突然电脑用不了了,但是手机上还可以用
- 【免费和收费VPN分享】七款手机电脑都能用的免费+收费上外网梯子,文末附免费SSR节点 HOT 7
- 今天开始用不了了,进不去gmail,换了很多服务器都不行 HOT 2
- 无法打开官网续费
- 稳定好用的VPN梯子推荐,手机电脑翻墙机场节点
- ok
- 【免費电脑&手机梯子】真正无限流量且电脑和手机都能用的免费梯子软件 HOT 1
- 七款免费电脑梯子,同时还支持苹果手机和安卓手机免费科学上外网 HOT 1
- yzhou
- 5款免费PC电脑上外网的软件推荐,兼容windows、Linux、Mac等多系统
- 无法使用
- 手机怎么下载
- 桔子云不能使用chatgpt(非香港节点也不行)
- 111
- 官网咋没了?跑路了?官网没了到期咋续啊
- 【VPN分享】手机电脑通用VPN梯子推荐—性价比梯子
Recommend Projects
-
React
A declarative, efficient, and flexible JavaScript library for building user interfaces.
-
Vue.js
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
-
Typescript
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
-
TensorFlow
An Open Source Machine Learning Framework for Everyone
-
Django
The Web framework for perfectionists with deadlines.
-
Laravel
A PHP framework for web artisans
-
D3
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
-
Recommend Topics
-
javascript
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
-
web
Some thing interesting about web. New door for the world.
-
server
A server is a program made to process requests and deliver data to clients.
-
Machine learning
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
-
Visualization
Some thing interesting about visualization, use data art
-
Game
Some thing interesting about game, make everyone happy.
Recommend Org
-
Facebook
We are working to build community through open source technology. NB: members must have two-factor auth.
-
Microsoft
Open source projects and samples from Microsoft.
-
Google
Google ❤️ Open Source for everyone.
-
Alibaba
Alibaba Open Source for everyone
-
D3
Data-Driven Documents codes.
-
Tencent
China tencent open source team.
from shadowsocksr-csharp.