公司科学上网方案

我们公司用的代理。根据不同目的地选代理。但感觉不是那么方便。
我也想了解一下比较好的方案。

应该是上海国际精品网

上海地区不是有精品网吗，那个公司应该是那样的。

在公司建立一个公共的Socks5代理,然后把地址分发下去

理由:
1 - 方便架设,路由器,树莓派,一台垃圾电脑,服务器都可以兼任
2 - 安全,不分发账号,员工不会拿着账户去倒卖
3 - 快速,内网跳板可以是个linux机器,配合fast_open,可以比win客户端快那么一个rtt的时间

如果担心因为人多Google让你输验证码,那么再弄一个出口服务器就好了.
这个人数这个规模建议租用一个linode

有固定公网 IP 可以用 GRE tunnel，然后策略路由分流，用 bind 搭递归 DNS

你们公司应该是商用有线路由吧
同问无线路由里有什么SS解决方案，newifi上刷固件总担心效率会下降

shadowsocks

全平台：Shadowsocks

iOS: Ocserv + Cisco AnyConnect

@mhycy 这个应该也是用shadowsocks哈
如果想控制这个socks5代理的使用范围你建议怎么做比较好?

@clino 内网服务器搭一个,为的就是不让员工有分发账户的机会

@mhycy 可是这样怎么控制使用范围呢?比如说我只想给一部分需要的人员使用

@clino 在代理端口上加防火墙ACL规则,直接IP/mac绑定可访问这个端口的机器就好了

@mhycy 感觉不方便,因为有不少是用笔记本,ip不固定
我主要想防止被滥用,昨晚想了个办法是生成pac文件提供给内部人员使用,里面的代理是shadowsocks的local提供出socks5代理,然后看能不能修改local只有那些gfwlist里的才能走其他的拒绝

@clino 使用者感觉不灵活.
只通过GFWList在很多时候并不够用,因为很多境外网站引用的样式/其他数据在国内是难以访问的
如果希望限制访问,可以分发限制流量的Shadowsocks账号/SOCKS5代理,让用户自行决定如何使用~

我很多时候访问境外网站都是全局翻墙上的,因为服务器不差,这样访问比我直连要稳定许多

@mhycy 我们内部的主要需求是上google及android相关的网站,只要这些支持得好基本上就可以了,其他的不那么好比较没关系

@mhycy 我的想法搞成了:
/t/195946 公司内公用简易翻墙 http proxy 方案 : privoxy+shadowsocks+pac