資訊安全 - SSH Tunnel 帶你遨遊
| [關閉廣告] | |
朋友困難:
1.似乎只有開放destination為80的連線
2.無法到Yahoo及Google的webmail
3.不能連上MSN
真是不知道朋友找我是找對人還是找錯人啊??但是還是幫他試試看囉,需求一台暴露在網路上的主機可以ssh登入,我是以CentOS4.0(A伺服器)來做實驗,該主機有apache服務,因此我總不能把ssh的service port改成80吧。在此狀況之下,要求朋友在公司時利用whatismyip一站查出公司對外連線所帶的IP(為11.12.13.14~16五個IP,虛構),我來幫他做轉port的動作。
在A伺服器的設定(ssh service port 2222,私有192.168.1.80)
設定來源為11.12.13.14~16,目的為service port 80轉向到service port 2222
iptables -t nat -A PREROUTING -s 11.12.13.14 -d 192.168.1.80 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 2222
iptables -t nat -A PREROUTING -s 11.12.13.15 -d 192.168.1.80 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 2222
iptables -t nat -A PREROUTING -s 11.12.13.16 -d 192.168.1.80 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 2222
開啟ip_forward
sysctl -w net.ipv4.ip_forward=1
主動對外連線都要開
iptables -P OUTPUT ACCEPT
A伺服器的部分設定完成囉,接下來就是朋友電腦pietty的設定囉
more..
再來設定朋友的FireFox瀏覽器
more..
最後設定大多公司都違法的MSM
more..
呼呼~需求部分似乎都搞定哩,我的測試環境測試下來正常唷,朋友啊~若你在公司還是沒有辦法搞定,我會優先懷疑你的設定是不是出錯哩=.=,再來才會懷疑你公司有更多防護措施。若你要那麼拚得跟網管挑戰我也沒辦法啦,跟網管挑戰的確是樂趣,但是很多限制都是政策方面的問題,也請各位觀看者謹慎注意公司政策緣由,別到時候工作都沒哩來這裡找我算帳。
對哩~沒有一台對外服務的主機一切免談!!
補充,若我是網管,依我目前knowledge是擋不住啦,但是我相信還是有設備或是更嚴謹的政策可以防範,知道的人也跟我說一聲吧,我不想再讓我的朋友挑戰我哩啦><
相關文章
- G.ho.st。一起來試用Web虛擬作業系統 (回覆:39,引用:1 at 2009/08/24 23:08)
- Red Hat、Fedora伺服器遭破解 (回覆:0,引用:0 at 2008/08/25 19:08)
- Google Apps。讓Google接管你的網域吧。 (回覆:40,引用:0 at 2007/06/27 19:06)
댓글을 달아 주세요
基本上,以我管理公司網路的經驗來看,目前還沒有百分百防止的軟體出現
因為有太多像是 tor , prvproxy , 等等之類的軟體不斷的推出
不過只要能夠監控到流量(我不認為一般USER會有什麼SSH 的需求)
三不五時,報告上來個一筆,那就很好玩了 XD
需求遠端幫父母親設定網路芳鄰
他們常常需要用到samba存取檔案
他們找不到資料時要幫他們移動
ㄏ哈
不知道現在回會不會有點晚,如果有看到的話,跟我講一下吧
其實要封鎖ssh連線是可以的,只是需要比較貴的機器啦..
只要支援layer7的switch或router也就是可以看應用層封包的設備
就可以把ssh的封包檔下來。
可以用這iptable
iptables -A FORWARD -m layer7 --l7proto ssh -j DROP
但是大多很少檔到第七層吧!!
如果上述 pietty 遇到 NTLM 的 PROXY 認證方式,請問上述的設水還有用嗎?
上一則留言,幫我刪了。謝謝。
如果上述 pietty 遇到 NTLM 的 PROXY 認證方式,請問上述設定還有用嗎?
(答案是肯定沒用的,XD,哇哇,別打我,我承認我是來亂的。 :P)
另外,很多公司事實上是 443 port 都有直接開放,不經由 proxy ,因為怕把 ISA PROXY 弄掛,
而且還不允許你連 PROXY 時,用 SSL 的連線協定。XD
如果,哇哇 的 A 伺服器的 443 埠,如果沒有用到,可以考慮轉埠到 443 到 2222,甚至直接開 443 給 SSHD,這也是不錯的方法。如果怕別人亂入的話,除了像你一樣採用鎖定來源IP的方法,但是,我以前也這樣子用,後來發現,一旦日子久了,會忘了這回事,然後自已 ADSL 升級,IP 又換了,結果一堆代管的 SERVER 都忘了改,XD,所以就很慘了。不過,現在我改用 SSHD 採用 AUTH KEY + PHASE 的認證方式。方便又好用。
以下這篇文章是我自已參考網路一堆文章,整理出來的。
[Linux]如何使用公鑰/私鑰登入系統?(v1.3)
http://cpalm.org/viewtopic.php?f=27&t=6729
其實我沒有仔細去評詁認證的方式~
只要能出去的port我都會測測看~
我自己連工廠主機就不會走80去轉~
不然我的網頁無法瀏覽自己網頁^^
也謝謝你的文件囉~ㄎㄎ~
會來去看看有啥我沒見過的^^
事實上,我以前本身也是從事網管一職,日子久了,就不想幹了,現在轉換跑道進行做系統整合的測試人員。
所以,現在我是 user ,都在挑戰 MIS,哈哈~。不過,還是要跟 MIS 和平相處啦。
不然,那天全部都關光光,什麼都不用玩了XD。
不過,我個人還是熱愛 linux,所以,自已還是有架站,為的就是提自已一個練習的平台,我也是用 Trustix Secure Linux 2.1 來架站。不愛用 x-window。雖然工作上,都是接觸 RHEL5 或是 SLES 10 SP1 的 OS。但是我想根本還是不變的。你用的 TEXTCUBE 好像不錯用,有空再架來玩玩。
我也想多接觸點linux啊~畢竟比較熟悉~
但是工作上都是大型主機unix啊~哈哈
我測試的都是伺服器(比較偏向硬體方面),只不過沒機會真正的把它上線,拿應用面的程式來爽一下 :P
UNIX (目前這些都是早期的伺服器了吧?!) 現在會在用的,大多是銀行及証券商。
畢竟,這些新興的伺服器,是最近才出來。事實上,在我們部門的人,幾乎都有MIS 及網管等相關經驗。
我同事還有 RHCE 5,4,3 及 VCP 的認証。可能大家都不想再面對那煩人的 user ,所以,才來面對機器的吧。
目前,我對 Trustix Secure Linux 的應用面,有 Mail Server, Web Server, SSH ( 拿來當跳台用,做轉埠用)。
還有就是 samba 與 windows 的分享資料夾的應用,再來就是 Proxy Server 了(不過家裡的硬體,好好怪怪的,
有時候,會掛點,又有時候,又會正常。哈哈。)
你用的service我大概都有用上~
只是mail已經去除哩~ㄎㄎ~轉成google apps
超級方便的啦~
proxy就沒在用哩~一個人上網再架個proxy太麻煩哩!!
不好意思又讓這篇文章浮上來~
拜讀了哇大您的文章之後小弟有以下問題想請益,
1. 請問是否有推薦的SSH SERVER software for Windows XP?
2. 因小弟只有家中只有一台電腦, 公司網路對外真的只開放port 80,
請問在windows系統中是否有轉port的程式?
3. 在理論上是否可能實現同一台windows電腦上同時存在轉port程式和SSH SERVER並存
且使用PORT 80聽取SSH連線要求後再同時使用PORT 80瀏覽網路?
ssh server on windows好像是有的
你把ssh listen 80 port就免轉PORT啦
有一些防火牆軟體應該可以轉port
只是我不知道有哪些XD
推薦用 copssh for windows XP.
他已經幫你整合好 openssh for windows 了。
記得要用 key + passphase 來做登入,不然會被 try 站喔。記得別用 22 port 就是了。
另外 pc client 推薦用 myentunnel 這個軟體來登入 copssh 喔。
多謝您的資訊~我也來試試看^^