堡垒机
即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。
也把堡垒机称为跳板机,简易的跳板机功能简单,核心功能是远程登录服务器和日志审计,但堡垒机还有资产管理(CMDB)、监控及用户权限等功能。
目前比较优秀的开源软件有Jumpserver、Teleport、GateOne、CrazyEye等;商业的堡垒机功能更为强大,有齐治、Citrix XenApp等。
搭建堡垒机的条件是,该机器有公网ip和内网ip,其中内网和其他机器互通。
问题
我们在家中, 只能访问堡垒机。 想访问内网的web页面 ,往往需要申请IP和端口的权限, 不够方便。
解决方案:ssh socket代理
ssh相关选项
-q 安静模式
-T 不分配tty
-V 现实版本
-f 输入密码后进入后台模式
-N 不执行远程命令,用于端口转发
-D socket5代理
-L tcp转发 -L X:Y:Z的含义是,将IP为Y的机器的Z端口通过中间服务器映射到本地机器的X端口
-C 使用数据压缩,网速快时会影响速度
ssh socket隧道代理
ssh-clinet的大多数用途为远程登录一台Linux服务器,但是ssh的强大功能远不止这些,ssh是与另外一台有sshd服务的主机之间建立一个数据隧道,其中隧道是双向的,可以进行数据双向传输
正向隧道 隧道监听本地port,为普通活动提供安全连,即socket代理
ssh -qTfnN -L port:host:hostport -l user remote_ip
反向隧道 隧道监听远程端口,将内网机器端口暴露到外网访问
ssh -qTfnN -R port:host:hostport -l user remote_ip
条件:一个ssh账户,可以连接到一台Linux服务器
cmd 命令 + 浏览器
使用以下命令后,通过 server:服务port 访问服务
ssh -f -N -D bindaddress:port name@server
ssh -f -N -D 127.0.0.1:81 name@server
ssh -D 127.0.0.1:81 name@server -p 服务器端口
bindaddress :指定绑定ip地址
port : 指定侦听端口
name: ssh服务器登录名
server: ssh服务器地址
使用正向隧道搭建socket5服务
ssh -D 7000 root@202.102.1.1
为了让数据传输更加稳定,不会因为错误退出,以及压缩传输等,需要增加几个参数
ssh -qTfnN -D 7000 root@202.102.1.1
浏览器支持socket5代理-firefox
对于支持socket5代理的浏览器, 直接配置代理,便可直接上内网了。 例如firefox
浏览器不支持socket5代理-chorme
1 建立HTTP代理
由于大部分浏览器不支持Socket5,所以需要将Socket5转换为HTTP,这样就得借助工具Privoxy
下载(exe文件) privoxy
安装后配置: C:\Program Files (x86)\Privoxy\config.txt
- 添加配置,建立转换:
forward-socks5 / 127.0.0.1:81 .(最后这个点一定不能漏掉) 修改http监听端口:listen-address 127.0.0.1:8118
如此就在端口8118建立了http 代理
2 为浏览器配置HTTP代理
chrome代理插件:SwitchyOmega(参考下面)
xshell 连接
1 使用xshell,ssh连接到Linux服务器
点击查看,选择隧道窗格,随后xshell,最下面就会显示隧道窗口,最底部。
点击到转移规则上,右击添加,类型选择SOCK5,端口设置一个未占用的端口,然后点击确定。
等设置好了以后最下面的状态是打开的,就表示已经设置成功了,此时我们可以在IE中添加添加,当然了也可以使用代理工具来
用SwitchyOmega来进行演示
点击SwitchyOmega的选项,选择新建情景模式,代理协议选择SOCK5,代理服务器设置为127.0.0.1,端口设置为刚刚在Xshell中设置的端口,把下面不代理的地址列表中的127.0.0.1去除掉,最后点击右下角的应用选项即可
在浏览器中选择刚刚设置的代理,然后访问 服务器中的服务
