公司擋了MSN、BBS，就真的不能連嗎？

目前有非常多公司，尤其到一定規模，都會利用防火牆把MSN、BBS等網路軟體、功能擋掉。一方面為了資訊安全考量，另一方面應該也是為了「員工工作效率」著想。但是，用防火牆擋掉了，就真的不能連了嗎？

先解釋一下防火牆原理給網路比較不熟的朋友，網路程式在溝通的時候，除了透過IP來 認得我要連到哪一台電腦以外，還必須透過Port (連接阜)來認得說，我連到這台電腦，是要連到哪一個應用程式：是看網頁呢，還是要來抓Mail等等。而為了方便起見，針對各種常見的網路應用程式，都會有公定的慣用Port，例如FTP Port 21、Telnet (BBS連線方式) Port 23、網頁(HTTP) Port 80。

防火牆是作什麼的呢？就是讓公司內部所有的網路連線，要連公司外面的網路時，都必須經過他的檢查。檢查什麼呢？最基本的就是檢查他是連外面的什麼IP、什麼 Port。而大部分公司的政策，都是認為除了看網頁查資料以外，連到公司外面的網路都應該跟工作無關，而且有可能影響網路安全。因此就會把所有的對外連 線，只要不是連外面網路的Port 80 (HTTP)或是Port 443 (HTTPS)，也就是網頁的話，就通通封鎖讓你連不到。

這樣就真的一定連不到嗎？其實也未必。因為Port的定義只是一種約定俗成，並沒有任何人規定連Port 21就真的連線內容就是FTP傳檔案，連Port 80就真的一定是HTTP傳送網頁。一般的防火牆設定很難真的去偵測你的傳輸內容是不是真的是符合Port的一般使用。這時候漏洞就來了，既然你管不了我 傳什麼，那我連BBS也用Port 80連你就不知道了對吧！

的確，如果透過Port 80連BBS，防火牆就沒辦法擋，可是外面一般BBS像是PTT，你連他的Port 80當然連不到他的BBS系統啊！所以我們必須在外面網路要有人接應，雖然我用Port 80連他，但是他再來在外面接力幫我用Port 21連BBS。而在外面的電腦要連哪一個Port，公司的防火牆當然管不到。這樣就突破了公司的防火牆封鎖了！

那這樣的一個方式，要怎麼 實際做到呢？這種技巧叫做「Tunneling」，也就是隧道的意思，因為我們只有某個特殊Port可以通，所以我們所有各式各樣的Port的連線都使用 唯一可以通的Port。目前市面上的軟體包括Http-Tunnel (http://www.http-tunnel.com/)，或是作者以前年輕頑劣時愛用的Httport，都是有寫好的程式來幫你完成這點。

Tunnel的機制有兩個主要的元件，也就是這個隧道的起點跟終點。隧道的起點就是我們安裝的 Tunnel Client，只要安裝好以後，就可以設定這個隧道的終點是哪一台伺服器，也就是我們外面幫我們接應的那台電腦是誰。這些軟體多半會提供一些免費的公用伺服器，但是通常會相當慢，自己架一個會比較快一些些。

設定好以後，你連線的時候當然再也不是直接連線到你想連的網站或是BBS，而是連線到你的Tunnel，實際連線到你想連的網站的工作會由你的Tunnel執行。因此像是Httport上面，你就必須設定說你用什麼Port連到這個 Tunnel軟體的時候，他會告訴外面接應的電腦其實你是要連到哪。例如你用Port 12345連Tunnel的時候，他幫你用Port 23連ptt.cc。這樣的設定設定完成後，你的BBS設定連到localhost(自己電腦)的Port 12345的時候，就神不知鬼不覺的連上PTT啦！

最後附帶說明一下，這樣的機制雖然大部分情況可以突破防火牆的限制，來連上你想連的服務。對於網管而言的確不太好完全擋掉這種行為。但是如果要偵測到有人在這樣搞，花點心思其實是作得到的，所以使用Tunnel的時候還是節制點，不要太囂張啦！