資訊安全 - SSH Tunnel 帶你遨遊

將文章推到Google Buzz Google PageRank查詢
[關閉廣告]
只能說是交友不慎啊,朋友有難我都不得不幫忙啊,挑戰資安的是怎麼會找上我咧,我一直自稱是守規矩的老百姓啊。

朋友困難:
1.似乎只有開放destination為80的連線
2.無法到Yahoo及Google的webmail
3.不能連上MSN

真是不知道朋友找我是找對人還是找錯人啊??但是還是幫他試試看囉,需求一台暴露在網路上的主機可以ssh登入,我是以CentOS4.0(A伺服器)來做實驗,該主機有apache服務,因此我總不能把ssh的service port改成80吧。在此狀況之下,要求朋友在公司時利用whatismyip一站查出公司對外連線所帶的IP(為11.12.13.14~16五個IP,虛構),我來幫他做轉port的動作。

在A伺服器的設定(ssh service port 2222,私有192.168.1.80)
設定來源為11.12.13.14~16,目的為service port 80轉向到service port 2222
iptables -t nat -A PREROUTING -s 11.12.13.14 -d 192.168.1.80 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 2222
iptables -t nat -A PREROUTING -s 11.12.13.15 -d 192.168.1.80 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 2222
iptables -t nat -A PREROUTING -s 11.12.13.16 -d 192.168.1.80 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 2222
開啟ip_forward
sysctl -w net.ipv4.ip_forward=1
主動對外連線都要開
iptables -P OUTPUT ACCEPT

A伺服器的部分設定完成囉,接下來就是朋友電腦pietty的設定囉

more..


再來設定朋友的FireFox瀏覽器

more..


最後設定大多公司都違法的MSM

more..


呼呼~需求部分似乎都搞定哩,我的測試環境測試下來正常唷,朋友啊~若你在公司還是沒有辦法搞定,我會優先懷疑你的設定是不是出錯哩=.=,再來才會懷疑你公司有更多防護措施。若你要那麼拚得跟網管挑戰我也沒辦法啦,跟網管挑戰的確是樂趣,但是很多限制都是政策方面的問題,也請各位觀看者謹慎注意公司政策緣由,別到時候工作都沒哩來這裡找我算帳。

對哩~沒有一台對外服務的主機一切免談!!

補充,若我是網管,依我目前knowledge是擋不住啦,但是我相信還是有設備或是更嚴謹的政策可以防範,知道的人也跟我說一聲吧,我不想再讓我的朋友挑戰我哩啦><







 相關文章 

From 2010/1/3 views: 1638 times
哇哇 檔案寄存:teamagic

文章引用連結: http://portable.easylife.tw/trackback/907

댓글을 달아 주세요

  1. Eric Chang 2007/05/29 08:35  修改/刪除  回覆這個評論

    基本上,以我管理公司網路的經驗來看,目前還沒有百分百防止的軟體出現
    因為有太多像是 tor , prvproxy , 等等之類的軟體不斷的推出
    不過只要能夠監控到流量(我不認為一般USER會有什麼SSH 的需求)
    三不五時,報告上來個一筆,那就很好玩了 XD

    • 哇哇 2007/05/29 09:01  修改/刪除

      需求遠端幫父母親設定網路芳鄰
      他們常常需要用到samba存取檔案
      他們找不到資料時要幫他們移動
      ㄏ哈

  2. 司馬雲 2007/09/27 23:51  修改/刪除  回覆這個評論

    不知道現在回會不會有點晚,如果有看到的話,跟我講一下吧
    其實要封鎖ssh連線是可以的,只是需要比較貴的機器啦..
    只要支援layer7的switch或router也就是可以看應用層封包的設備
    就可以把ssh的封包檔下來。
    可以用這iptable
    iptables -A FORWARD -m layer7 --l7proto ssh -j DROP

  3. 馬克 2007/11/10 04:01  修改/刪除  回覆這個評論

    如果上述 pietty 遇到 NTLM 的 PROXY 認證方式,請問上述的設水還有用嗎?

  4. 馬克 2007/11/12 13:54  修改/刪除  回覆這個評論

    上一則留言,幫我刪了。謝謝。
    如果上述 pietty 遇到 NTLM 的 PROXY 認證方式,請問上述設定還有用嗎?
    (答案是肯定沒用的,XD,哇哇,別打我,我承認我是來亂的。 :P)
    另外,很多公司事實上是 443 port 都有直接開放,不經由 proxy ,因為怕把 ISA PROXY 弄掛,
    而且還不允許你連 PROXY 時,用 SSL 的連線協定。XD
    如果,哇哇 的 A 伺服器的 443 埠,如果沒有用到,可以考慮轉埠到 443 到 2222,甚至直接開 443 給 SSHD,這也是不錯的方法。如果怕別人亂入的話,除了像你一樣採用鎖定來源IP的方法,但是,我以前也這樣子用,後來發現,一旦日子久了,會忘了這回事,然後自已 ADSL 升級,IP 又換了,結果一堆代管的 SERVER 都忘了改,XD,所以就很慘了。不過,現在我改用 SSHD 採用 AUTH KEY + PHASE 的認證方式。方便又好用。
    以下這篇文章是我自已參考網路一堆文章,整理出來的。
    [Linux]如何使用公鑰/私鑰登入系統?(v1.3)
    http://cpalm.org/viewtopic.php?f=27&t=6729

    • 哇哇 2007/11/12 14:39  修改/刪除

      其實我沒有仔細去評詁認證的方式~
      只要能出去的port我都會測測看~
      我自己連工廠主機就不會走80去轉~
      不然我的網頁無法瀏覽自己網頁^^

      也謝謝你的文件囉~ㄎㄎ~
      會來去看看有啥我沒見過的^^

  5. 馬克 2007/11/12 16:45  修改/刪除  回覆這個評論

    事實上,我以前本身也是從事網管一職,日子久了,就不想幹了,現在轉換跑道進行做系統整合的測試人員。
    所以,現在我是 user ,都在挑戰 MIS,哈哈~。不過,還是要跟 MIS 和平相處啦。
    不然,那天全部都關光光,什麼都不用玩了XD。

    不過,我個人還是熱愛 linux,所以,自已還是有架站,為的就是提自已一個練習的平台,我也是用 Trustix Secure Linux 2.1 來架站。不愛用 x-window。雖然工作上,都是接觸 RHEL5 或是 SLES 10 SP1 的 OS。但是我想根本還是不變的。你用的 TEXTCUBE 好像不錯用,有空再架來玩玩。

    • 哇哇 2007/11/12 19:56  修改/刪除

      我也想多接觸點linux啊~畢竟比較熟悉~
      但是工作上都是大型主機unix啊~哈哈

  6. 馬克 2007/11/14 11:28  修改/刪除  回覆這個評論

    我測試的都是伺服器(比較偏向硬體方面),只不過沒機會真正的把它上線,拿應用面的程式來爽一下 :P
    UNIX (目前這些都是早期的伺服器了吧?!) 現在會在用的,大多是銀行及証券商。
    畢竟,這些新興的伺服器,是最近才出來。事實上,在我們部門的人,幾乎都有MIS 及網管等相關經驗。
    我同事還有 RHCE 5,4,3 及 VCP 的認証。可能大家都不想再面對那煩人的 user ,所以,才來面對機器的吧。

    目前,我對 Trustix Secure Linux 的應用面,有 Mail Server, Web Server, SSH ( 拿來當跳台用,做轉埠用)。
    還有就是 samba 與 windows 的分享資料夾的應用,再來就是 Proxy Server 了(不過家裡的硬體,好好怪怪的,
    有時候,會掛點,又有時候,又會正常。哈哈。)

    • 哇哇 2007/11/14 12:22  修改/刪除

      你用的service我大概都有用上~
      只是mail已經去除哩~ㄎㄎ~轉成google apps
      超級方便的啦~

      proxy就沒在用哩~一個人上網再架個proxy太麻煩哩!!

  7. Alex 2009/06/16 16:31  修改/刪除  回覆這個評論

    不好意思又讓這篇文章浮上來~
    拜讀了哇大您的文章之後小弟有以下問題想請益,
    1. 請問是否有推薦的SSH SERVER software for Windows XP?
    2. 因小弟只有家中只有一台電腦, 公司網路對外真的只開放port 80,
    請問在windows系統中是否有轉port的程式?
    3. 在理論上是否可能實現同一台windows電腦上同時存在轉port程式和SSH SERVER並存
    且使用PORT 80聽取SSH連線要求後再同時使用PORT 80瀏覽網路?

    • 哇哇 2009/06/16 16:40  修改/刪除

      ssh server on windows好像是有的
      你把ssh listen 80 port就免轉PORT啦
      有一些防火牆軟體應該可以轉port
      只是我不知道有哪些XD

    • 馬克 2009/07/02 16:43  修改/刪除

      推薦用 copssh for windows XP.
      他已經幫你整合好 openssh for windows 了。
      記得要用 key + passphase 來做登入,不然會被 try 站喔。記得別用 22 port 就是了。
      另外 pc client 推薦用 myentunnel 這個軟體來登入 copssh 喔。

    • 哇哇 2009/07/02 16:50  修改/刪除

      多謝您的資訊~我也來試試看^^

軟體介紹:本站所有軟體的文字介紹,來自PCHOME下載、軟體王或是其餘網路介紹,少部份自行撰寫。
Powered by TEXTCUBE, designed by criuce