搜索

巧用 SSH 打通外网限制

码农有道公众号

共 2222字,需浏览 5分钟

 ·

2022-02-12 10:25

文案转载于:知乎李耀

链接:https://zhuanlan.zhihu.com/p/444319023

漫图来源于:捷哥

文案格式排版:释然


笔者在工作中遇到此场景,如下两条网络限制下,总部如何访问分公司内部web服务器?
  • dmz服务器可以访问总部外网服务器22端口,不可以访问web服务器;
  • web服务器不可访问公网,但是到dmz网络无限制。


初看需求,我们第一个想到的肯定是内网端口映射到公网,或者vpn,但是不修改网络策略情况下很难实现。有没有别的方法呢,我们继续从纯网络角度分析现有条件。

网络通信是双向的,有请求,有回应,就是我们俗称的“通”。dmz可以访问外部22端口,代表请求,回包两个通信通道都是通畅的,我们是否可以借助回包通道,从外部发起到内部的反向访问呢?答案当然是有的,我们来试一试,需要ssh工具。

我们在dmz执行如下命令。

[root@dmz]#  ssh -f -N -g -R  6606:10.1.1.1:80 root@115.100.100.100


-f:代表后台运行程序
-N:表示使用远程端口转发创建ssh隧道
-g:监听本机所有IP地址
-R,表示使用远程端口转发创建ssh隧道

命令结合起来什么意思呢,我们使用root用户远程连接到115.100.100.100,并且远程主机监听6606端口,当访问此端口时,会跳转到dmz的80端口。此过程会使用到ssh隧道。dmz运行之后,总部服务器的已经有了端口监听。

[root@center]netstat -tunlp | grep 6606
    tcp        0      0 127.0.0.1:6606          0.0.0.0:*               LISTEN      8616/sshdroot
    我们在总部服务器尝试端口提示拒绝,代表网络已经打通了,但是dmz服务器并没有监听80端口,所以报端口拒绝。
[root@center]telnet 127.0.0.1 6606
    Trying 127.0.0.1...
    telnetconnect to address 127.0.0.1Connection refused

如法炮制,再把web服务器到dmz的网络反向打通,dmz服务器访问本地80端口时将跳转到web服务器的80端口。

[root@web]ssh -f -N -g -R  80:10.1.1.1:80 root@10.1.1.2

再次到总部服务器测试访问就能通信了。

[root@center]telnet 127.0.0.1 6606
    Trying 127.0.0.1...
    Connected to 127.0.0.1.
    Escape character is '^]'.

我们最后从网络角度来回顾数据包的的转发过程。

从总部服务器看到如下信息。

#dmz服务器以115.100.100.101:29493作源,访问本地22端口,建立了tcp连接。
[root@center]ss | grep 115.
    tcp    ESTAB      0      0      172.16.1.1:22                115.100.100.101:29493
[root@center]netstat -tpna | grep 115.
    tcp        0      0 172.16.1.127:22      101.230.91.53:29493     ESTABLISHED 8555/sshdroot#本地端口也对应到了进程号8616[root@center]#netstat -tunlp | grep 6606
    tcp        0      0 127.0.0.1:6606          0.0.0.0:*               LISTEN      8616/sshdroot[root@center]ps -ef | grep 8616
    root      8616  8555  0 Dec03 ?        00:01:04 sshdroot.


当总部服务器访问127.0.0.1:6606时,网络连接信息如下。


双向通道已经建立
[root@center]ss | grep 6606
    tcp    ESTAB      0      0      127.0.0.1:6606                 127.0.0.1:51158
    tcp    ESTAB      0      0      127.0.0.1:51158                127.0.0.1:6606


我们最后用图片来展示最终网络转发过程。


dmz发起ssh连接到总部服务器,并且远程端口转发。远程服务器访问转发端口时,数据将封装到回包通道,由于ssh本身加密,外部网络无法知晓网络交互逻辑,从而实现反向访问。


浏览 14
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
巧用 SSH 打通外网限制
互联网架构师
0
iptables限制ssh链接服务器
Linux服务器默认通过22端口用ssh协议登录,这种不安全。今天想做限制,即允许部分来源ip连接服务器。案例目标:通过iptables规则限制对linux服务器的登录。处理方法:编写为sh脚本,以便多次执行。iptables.sh :iptables -I INPUT -p tcp --
开源Linux
0
语法糖甜不甜?巧用枚举实现“状态”转换限制
Hollis
0
语法糖甜不甜?巧用枚举实现“状态”转换限制
互联网全栈架构
0
Cluster SSH集群SSH客户端
ClusterSSH是一个可以用来通过SSH协议同时管理多台远程计算机的工具,它打开了多个终端窗口和一个管理控制台,管理员在管理控制台上输入的命令都会同步执行到多台远程计算机上。该工具非常适合用来快速
Cluster SSH集群SSH客户端
0
vue3-巧用指令
web前端开发
0
EGW多功能外网网关
EGW 是一个外网网关,用于网络协议栈4层-7层的负载均衡、NAT 安全网关和 VPC 云网络。主要
EGW多功能外网网关
0
EGW多功能外网网关
EGW是一个外网网关,用于网络协议栈4层-7层的负载均衡、NAT安全网关和VPC云网络。主要特性:L4负载均衡器:以隧道模式运作L7负载均衡器:目前仅支持http7层负载均衡,可根据url进行负载均衡
EGW多功能外网网关
0
IP 限制
合一云
0
gradle-ssh-pluginGradle SSH Plugin
Gradle SSH Plugin Gradle SSH Plugin provides SSH
gradle-ssh-pluginGradle SSH Plugin
0
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报