Tox Tunnel Ops

🔒 零配置 P2P 加密隧道,自托管替代 VPN

基于 Tox P2P 协议的端到端加密隧道工具,零配置穿透任意 NAT,无需中心服务器、账号或 VPN,自托管替代 ngrok/Tailscale

收藏
3.9k
安装
1k
版本
0.4.5
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

ToxTunnel 通过 Tox P2P 网络建立 TCP 隧道,实现 SSH、RDP、数据库、Web 服务等远程访问。典型拓扑:在目标机器运行 Server 模式,暴露本地服务;在访问端运行 Client 模式,监听本地端口并转发流量。支持多服务器故障转移、SOCKS5/HTTP CONNECT 动态代理、Prometheus 监控端点、配置热重载等高级功能。

显著优点

  • 零依赖 NAT 穿透:自动处理单 NAT、双 NAT、运营商级 NAT,无需路由器配置
  • 完全去中心化:无注册、无账号、无中继服务器,端到端 libsodium 加密
  • 自托管零成本:对比 ngrok/frp 无需付费订阅,对比 Tailscale/ZeroTier 无第三方依赖
  • 细粒度访问控制:基于好友公钥的规则引擎,支持 per-friend、per-host、per-port 最小权限
  • 生产级特性:热重载、故障转移、隧道恢复、Prometheus 指标、Unix socket 实时诊断

潜在缺点与局限

  • 性能天花板:Tox 协议帧限制 1367 字节,高吞吐场景需依赖 BDP 流控和自适应合并
  • 延迟敏感:DHT 发现可能较慢,UDP 打洞失败后走 TCP 中继增加延迟
  • Windows 功能缺失:pipe 模式(SSH ProxyCommand)不支持,部分 POSIX 特性受限
  • 配置复杂度:YAML 层级较深,规则引擎的 deny 优先逻辑需仔细验证
  • 生态小众:Tox 网络节点减少,首次连接可能需较长 DHT 发现时间

适合人群

  • 需要安全远程访问家庭服务器/NAS 的技术用户
  • 寻求自托管 ngrok 替代品的开发者/DevOps
  • 有双 NAT/内网穿透需求的企业内网场景
  • 注重隐私、拒绝第三方 SaaS 的偏执型用户

常规风险

  • 身份丢失tox_save.dat 包含私钥,丢失后好友关系无法恢复
  • SOCKS5 暴露:绑定非回环地址会导致未认证代理公开,配置验证器已阻止但需警惕手动绕过
  • 规则过于宽松allow host: "*" ports: [] 等效于内网完全暴露
  • 监控端点暴露:metrics 默认回环,若改为 0.0.0.0 需确保网络可信
  • 临时访问残留:合约结束后未移除规则或热重载,导致持续未授权访问

安全等级综合评估:加密强、架构去中心化,但配置错误可导致严重暴露,需严格遵循最小权限原则。

Tox Tunnel Ops 内容

examples文件夹
references文件夹
scripts文件夹
手动下载zip · 55.4 kB
db-migration.mdtext/markdown
请选择文件