使用 docker-atrust 连入深信服
525 字
3 分钟
使用 docker-atrust 连入深信服
公司为了加强网络安全,采购了深信服的零信任(atrust)作为以前openvpn的代替方案,接入方需要使用 atrust 客户端进行接入。某天突然在 v2ex 上发现了基于 docker 和 梯子软件结合,免安装客户端实现接入的方式,然后一直没有验证成功,今天趁着国庆假期,再次尝试,终于成功。实际上还是担心 atrust 会对本地电脑进行监控,感觉安装在 docker 容器中,可以最大程度的限制其能力。
网络拓扑
![[image 2.png]]
docker-atrust 配置
services: atrust: image: hagb/docker-atrust container_name: atrust environment: - PASSWORD=123456 # 密码按照实际情况填写 - URLWIN=1 - TZ=Asia/Shanghai volumes: - $HOME/data/atrust:/root ports: - "5901:5901" - "1080:1080" # socks5 端口 - "8888:8888" # http 代理端口 - "54631:54631" devices: - /dev/net/tun cap_add: - NET_ADMIN sysctls: - net.ipv4.conf.default.route_localnet=1 restart: unless-stopped通过 vnc 登录
![[image 3.png]]
连入后,和普通 atrust 操作一样,输入服务器地址、用户名密码完成登录,这里比较重要的是 配置连接服务器url时,域名需要在下面的 mihomo 配置中进行特殊配置(下面会讲到)
mihomo 配置
- 因为公司使用了私有域名,docker-atrust 连入成功后,atrust 会下发 dns 解析规则到容器,需要将 这部分 dns 指定到 mihomo 的 hosts 中
hosts: # 公司dns mysql-xxx.xxx.io: 47.96.xxx.xxx # 公司ip mysql8-test.xxx.io: 172.16.xxx.xxx # 公司内网ip- 增加 socks5 代理节点
proxies: - name: ATRUST type: socks5 server: 192.168.50.4 # 指向 192.168.50.4 宿主机 port: 1080 #- 增加代理规则
proxy-groups: - { name: 公司线路, type: select, proxies: [DIRECT, ATRUST] } # 这里考虑本地 mac 上的clash verge配置,在公司时直连- 代理规则配置
rules: # 公司atrust - "DOMAIN,atrust.xxx.com,DIRECT" # 这里指定 atrust 连接用的域名走直连 - "DOMAIN-SUFFIX,xxx.io,公司线路" - "DOMAIN-SUFFIX,xxx.com,公司线路" - "IP-CIDR,47.96.xxx.xxx/32,公司线路,no-resolve" # 47.96.xxx.xxx 是 atrust.xxx.com 的 ipopenwrt 路由配置
在家调试java应用时,发现无法访问公司的 172.16.6.0/24 和 172.16.7.0/24 网段的 dubbo 服务,需要手动添加两条路由规则到路由表中
ip route add 172.16.6.0/24 dev nikkiip route add 172.16.7.0/24 dev nikki📎 参考文章
文章分享
如果这篇文章对你有帮助,欢迎分享给更多人!
使用 docker-atrust 连入深信服
https://blog.sephy.top/posts/使用-docker-atrust-连入深信服/相关文章智能推荐
1
在 PVE 上给软路由虚拟机加一个网络 Watchdog
技术分享在 PVE 宿主机上用 Bash 和 systemd timer 实现一个网络 watchdog:先检测公网连通性,连续失败后重启软路由虚拟机,多次自愈无效再升级为重启 PVE 宿主机。
2
命令行自动登录 JumpServer:SSH、TOTP 与密码提示的自动化
技术分享把 JumpServer 登录流程拆成凭据读取和终端交互两层:zsh 从密码管理器安全读取 TOTP seed 与可选密码,expect 只负责响应 SSH 登录过程中的 password 和 Code 提示。
3
git 个人开发工作流
技术分享介绍个人 Git 分支协作流程:以基线分支(如 feature-a)+ 个人开发分支(feature-a-xxx)进行开发,开发分支定期 rebase 同步上游,最终通过 merge(必要时先 squash 整理提交)合回基线;并提供 grebase/gmergebase 等脚本,支持自动推导基线分支、预览计划、带 autostash 的安全 rebase,以及可选 squash/推送/删除分支的安全 merge-back。
4
mihomo 使用
技术分享2025-09-30
5
iStoreOS + WireGuard 客户端踩坑
技术分享为了安全,不使用RDS公网访问数据库,使用了WireGuard方案,安装配置完成后发现mysql无法正常访问,记录相关问题,对OpenWrt中 MSS钳制 有了详细的了解
随机文章随机推荐













