Loading... 一年以来,我又一次开始创作分享自己的技术。主要是因为老家服务器主板损坏以后,很少回老家,网站直接挂了一年,没机会回去恢复数据。现已恢复数据,这次彻底放弃了物理服务器,改用云服务器。 <h2>开篇导论</h2> 只是用于防火墙原理实战分析,模拟防火墙策略以及如何绕开的技术分享,防火墙是网络ISO7层中的一部分,其实绕开的方法很多,后续会慢慢补充。本章为开篇首篇,就简述一下比较简单的题材。 本篇幅,将会使用最基础的SSH来实现穿墙,涉及核心知识面如下: SSH层:正向代理、反向代理、动态代理 Iptables: 模拟禁止策略 <h2>一、当前环境</h2> Route:路由器、防火墙 T_IN_1:内网机 T_OUT_1:外网机 最初防火墙全为ACCEPT,内网机和外网机访问都很正常。大概的网络环境情况查看下图。 [table id=1 /] <span class="external-link"><a class="no-external-link" href="https://storage.bbcking5.com/%E6%96%87%E7%AB%A0%E5%86%85%E9%83%A8%E5%9B%BE/%E9%98%B2%E7%81%AB%E5%A2%99%E5%8E%9F%E7%90%86%E5%AE%9E%E6%88%98%E5%88%86%E6%9E%90/fhqyl1.jpg-wuxingyuwordpresspic" target="_blank"><i data-feather="external-link"></i><img class="aligncenter" src="https://storage.bbcking5.com/%E6%96%87%E7%AB%A0%E5%86%85%E9%83%A8%E5%9B%BE/%E9%98%B2%E7%81%AB%E5%A2%99%E5%8E%9F%E7%90%86%E5%AE%9E%E6%88%98%E5%88%86%E6%9E%90/fhqyl1.jpg-wuxingyuwordpresspic" alt="fhqyl1.jpg" style=""> </a></span> <h2>二、开始限制</h2> 第一次测试:我们先对除了T_IN_1和 T_OUT_1之间允许转发以外,其他一律禁止。如图在T_IN_1上发现已无法访问百度。 <span class="external-link"><a class="no-external-link" href="https://storage.bbcking5.com/%E6%96%87%E7%AB%A0%E5%86%85%E9%83%A8%E5%9B%BE/%E9%98%B2%E7%81%AB%E5%A2%99%E5%8E%9F%E7%90%86%E5%AE%9E%E6%88%98%E5%88%86%E6%9E%90/fhqyl2.jpg-wuxingyuwordpresspic" target="_blank"><i data-feather="external-link"></i><img class="aligncenter" src="https://storage.bbcking5.com/%E6%96%87%E7%AB%A0%E5%86%85%E9%83%A8%E5%9B%BE/%E9%98%B2%E7%81%AB%E5%A2%99%E5%8E%9F%E7%90%86%E5%AE%9E%E6%88%98%E5%88%86%E6%9E%90/fhqyl2.jpg-wuxingyuwordpresspic" alt="fhqyl2.jpg" style=""></a></span> 甚至也可以把策略弄的再紧一些,只开放了ssh端口<span class="external-link"><a class="no-external-link" href="https://storage.bbcking5.com/%E6%96%87%E7%AB%A0%E5%86%85%E9%83%A8%E5%9B%BE/%E9%98%B2%E7%81%AB%E5%A2%99%E5%8E%9F%E7%90%86%E5%AE%9E%E6%88%98%E5%88%86%E6%9E%90/fhqyl3.jpg-wuxingyuwordpresspic" target="_blank"><i data-feather="external-link"></i><img class="aligncenter" src="https://storage.bbcking5.com/%E6%96%87%E7%AB%A0%E5%86%85%E9%83%A8%E5%9B%BE/%E9%98%B2%E7%81%AB%E5%A2%99%E5%8E%9F%E7%90%86%E5%AE%9E%E6%88%98%E5%88%86%E6%9E%90/fhqyl3.jpg-wuxingyuwordpresspic" alt="fhqyl3.jpg" style=""></a></span> 第一次突破:通过SSH动态代理走SOCKS5,又能成功访问到百度。 <span class="external-link"><a class="no-external-link" href="https://storage.bbcking5.com/%E6%96%87%E7%AB%A0%E5%86%85%E9%83%A8%E5%9B%BE/%E9%98%B2%E7%81%AB%E5%A2%99%E5%8E%9F%E7%90%86%E5%AE%9E%E6%88%98%E5%88%86%E6%9E%90/fhqyl4.jpg-wuxingyuwordpresspic" target="_blank"><i data-feather="external-link"></i><img class="aligncenter" src="https://storage.bbcking5.com/%E6%96%87%E7%AB%A0%E5%86%85%E9%83%A8%E5%9B%BE/%E9%98%B2%E7%81%AB%E5%A2%99%E5%8E%9F%E7%90%86%E5%AE%9E%E6%88%98%E5%88%86%E6%9E%90/fhqyl4.jpg-wuxingyuwordpresspic" alt="fhqyl4.jpg" style=""></a></span> 第二次测试:这里直接把T_IN_1访问 T_OUT_1 也做了限制,也没法像上面那样直接使用ssh动态代理。 <span class="external-link"><a class="no-external-link" href="https://storage.bbcking5.com/%E6%96%87%E7%AB%A0%E5%86%85%E9%83%A8%E5%9B%BE/%E9%98%B2%E7%81%AB%E5%A2%99%E5%8E%9F%E7%90%86%E5%AE%9E%E6%88%98%E5%88%86%E6%9E%90/fhqyl5.jpg-wuxingyuwordpresspic" target="_blank"><i data-feather="external-link"></i><img class="aligncenter" src="https://storage.bbcking5.com/%E6%96%87%E7%AB%A0%E5%86%85%E9%83%A8%E5%9B%BE/%E9%98%B2%E7%81%AB%E5%A2%99%E5%8E%9F%E7%90%86%E5%AE%9E%E6%88%98%E5%88%86%E6%9E%90/fhqyl5.jpg-wuxingyuwordpresspic" alt="fhqyl5.jpg" style=""></a></span> 第二次解围:我们这里直接先从T_OUT_1 做一个反向代理,再从T_IN_1使用ssh动态代理。接着就像前面方式走SOCKS5,又能成功访问到百度。 <h2>知识点补充</h2> SSH:参考: <span class="external-link"><a class="no-external-link" href="https://www.jianshu.com/p/4c849a405668" target="_blank"><i data-feather="external-link"></i>简书蚂蚁都督</a></span> <ul> <li>ssh正向代理 目的是从本地访问远程的服务 远程是ssh server, 本地是ssh client, 侦听端口在本地</li> <li>SSH动态代理 目的是从本地访问远程的服务 远程是ssh server, 本地是ssh client, 侦听端口在本地</li> <li>SSH 反向代理 目的是从远程访问本地的服务 ssh server在本地,远程是ssh client, 端口侦听在远程的服务器上</li> </ul> SOCKS: 1、socks代理与其他类型的代理不同,它只是简单地传递数据包。 2、socks5 支持 tcp和udp,而socks4 只能支持tcp。 IPTABLES:当iptables作为”网络防火墙”时,在配置FORWARD规则时,往往需要考虑”双向性”,也就是说,我们为了达成一个目的,往往需要两条规则才能完成。但也可以放通响应报文来实现一条规则完成配置。 放通响应报文:iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT Last modification:June 4, 2024 © Allow specification reprint Like 如果觉得我的文章对你有用,请随意赞赏