Представим ситуацию:
На рабочем ноутбуке заблокировали половину нужных сайтов без объяснения причин. Даже не попросили "отнестись с пониманием". Работать неудобно: на элементарные действия и решение мелких проблем уходит вдвое больше времени без нормального ИИ и привычных инструментов.
Подобные ограничения - чисто гипотетически - можно было бы обойти с помощью обратного прокси, развернутого в одной локальной сети с рабочим ПК.
Поэтому, исключительно в целях эксперимента, я попробовал реализовать данный способ на практике. Так уж получилось, что я случайно выложил код в репозиторий на гитхабе и упаковал его в Docker, чтобы все работало без установки, по одной команде в консоли.
Техническая реализация довольно проста: Nginx предоставляет reverse proxy. Python управляет его конфигурацией и рендерит веб-морду с помощью Flask.
Приложение поднимается в Docker, забирая себе для работы диапазон портов.
Принцип действия схемой
Условия
Рабочий ноут находится в одной локальной сети с вашим личным ПК (например, вы работаете на удаленке и раздаете на оба компа интернет с одного Wi-Fi роутера)
Возможность с рабочего ноута подключаться к IP-адресам внутри вашей локальной сети (как правило, такая возможность есть, когда выключен корпоративный ВПН)
Запуск
Скачиваем Locality архивом или тянем гитом (на домашний ПК, не рабочий!):
git clone https://github.com/novibe/locality.gitВ папке программы выполняем команду:
docker-compose up -d
По умолчанию, веб-интерфейс расположен на порту 48000, а диапазон используемых портов для прокси выставлен на 8100-8200. Вы можете изменить эти настройки перед запуском в файле.env-
С другого устройства подключаемся к этому порту по ссылке вида
https://{IP устройства с запущенным Locality}:{порт с веб-интерфейсом}
Например:https:/192.168.0.233:48000Подключение не защищено
При первом подключении браузер обратит внимание на неизвестный сертификат. Он встретит вас подобным окном:
Это нормально Нажмите на кнопку Дополнительные настойки и затем на строку вида
Перейти на сайт 192.168....
Предупреждение возникает, потому что браузер ничего не знает о данном сертификате, поскольку он не опубликован в авторизованных центрах сертификации / не добавлен в хранилище сертификатов на самом устройстве.
Тем не менее, свою работу он сделает - между ПК и Locality будет установлено защищенное соединение.
Веб-интерфейс после первого запуска -
В веб-интерфейсе Locality добавляем нужные нам сайты. Каждый добавленный сайт встанет на свой порт. По умолчанию, порт назначится автоматически. Если нужно, можно вписать желаемое значение самостоятельно.
В качестве примера добавил Telegram и Gemini.
При необходимости можно изменить номер порта, кликнув по нему в прямо плитке
Готово! При нажатии на плитку произойдет автоматический редирект на нужный порт.
Помним о последствиях
Обычно, обращение на локальный IP не вызывает никаких подозрений. Тем более, что данные передаются в зашифрованном виде, препятствуя анализу трафика.
Тем не менее, есть способ, которым можно "вскрыть" шифрование: MITM-атака.
Так что перед использованием Locality я бы советовал убедиться, что в вашем случае такого риска нет.
Ну, и банальные кейлоггеры да скриншоты экрана тоже никто не отменял.
Как проверить, использует ли рабочий ПК анализ трафика через Man-in-the-middle
Установка корпоративного сертификата позволяет компании перехватывать и расшифровывать весь HTTPS-трафик. Система безопасности генерирует подменные сертификаты для сайтов на лету. Это открывает доступ к содержимому трафика несмотря на шифрование.
Зачастую, системы, которые используют этот подход, понижают уровень шифрования с TLSv1.3 до TLSv1.2, что позволяет их обнаружить. Этим признаком пользуется Locality, чтобы детектить вмешательство
Особо продвинутые системы могут работать и с TLSv1.3. Тем не менее, их вмешательство тоже можно легко обнаружить, проверив сертификат, который использует браузер.
Для примера, зайдем в Google и посмотрим, какой сертификат используется поисковиком. Если в сертификате указан издатель не Google, а "Рога и Копыта" - вы под колпаком!
Итог
Удобный инструмент, который позволяет немного облегчить себе жизнь. Чисто гипотетически.
Комментарии (23)
enamchuk
28.01.2026 09:21Всё зависит от места работы.
Если вам действительно для работы нужны сайты и другие ресурсы, это решается административными мерами - заявкой в техподдержку, админу, руководству, а не RDP, проксями и личными компьютерами.
Kenya-West
28.01.2026 09:21Подскажите рецепт, а как в течение двух месяцев согласований и последующего отказа "из-за отсутствия технической возможности" не нарваться на увольнение по статье за тунеядство на работе? Работа стоять не должна, она работаться должна. Если уж прям по-белому играем...
enamchuk
28.01.2026 09:21ТК РФ Статья 22. Основные права и обязанности работодателя
Работодатель обязан:
обеспечивать работников оборудованием, инструментами, технической документацией и иными средствами, необходимыми для исполнения ими трудовых обязанностей;
У вас простой работы не по своей вине, какой с вас спрос?
Зато, в случае "протечек" или других проколов на работе вас почти наверняка могут сделать виноватым, начальник даже глазом не моргнет, чтобы спасти свой зад, поэтому (старая офисная мудрость) - "чем больше бумаги, тем чище жопа" :)
webhamster
28.01.2026 09:21Я так и не понял - где находится рабочий ноут? Где находится личный ПК? Где поднимается Locality - на рабочем ноуте или на личном ПК? Почему автор говорит что рабочий ноут и личный ПК должны находиться в одной сети? Как это обеспечить, если ты не является админом предприятия? Одни вопросы.
remindscope Автор
28.01.2026 09:21Это способ для тех, кто работает из дома, но с корпоративного устройства.
Получается, рабочий и личный ПК находятся дома.
Программа поднимается с личного ПК.
cartonworld
28.01.2026 09:21ssh -D 1080 user@home-pc-ipвыглядит немного прощеЯ вместо
home-pc-ipиспользую личный VPS
Timuridze
28.01.2026 09:21Безопасник не обязан отчитываться перед разработчиком, и объяснять почему он заблокировал те или иные сайты или почему он внедряет те или иные средства защиты. Так же как вы не объясняете, почему используете какой то определенный фрейм ворк для разработки. Вместо того чтобы что-то колхозить и обходить ограничения, вам нужно было перед вашим руководством или безопасниками обосновать зачем вам нужен доступ к закрытому сайту. Надеюсь статью почитает ваш безопасник.
GooseWing
Также чисто гипотетически, в чем проблема была работать за домашним ПК, где этих ограничений нет? (Кроме отговорки, что потому что этот ПК для дома, а не для работы)
positroid
И вдогонку - что мешает людям, заблокировавшим сайты на ноутбуке, мониторить трафик на том же ноутбуке?
UPD: читал невнимательно, трафик будет выглядеть как https на локальный ip с своим портом (192.168.0.123:8484)
unreal_undead2
Что в любом случае выглядит подозрительно (как минимум даёт возможность слить данные на локальную личную систему).
remindscope Автор
При работе за домашним ПК часто бывает ещё хуже, потому что приходится подключаться к ВАРМ
electedfx
У нас например нельзя проносить в офис личную технику (планшеты, ноутбуки)
mak7imyss
В целом можно на андроид смартфоне развернуть контейнер. Во всяком случае как-то игрался на пикселе с запуском оламы через терминал и оно даже что-то работало