V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
yuedingwangji
V2EX  ›  Linux

刚看到论坛有篇说跳板的, 我也来说下我们的,求大神破解

  •  
  •   yuedingwangji · 2016-05-20 00:41:04 +08:00 · 5726 次点击
    这是一个创建于 3101 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我们的机器每次登陆都是通过一个平台( web 网站) 来管理的, 每次登陆进去,选择你要管理的机器,就弹出界面,输入账号密码, 就弹出 crt ,然后就可以在哪里输命令了, 如果是 windows 机器的话, 就进行了远程桌面了,现在想请教大神,这种情况,能跳过么平台么,就是直接在平台上的其他机器登陆我要管理的机器,而不是每次都是在平台那点

    24 条回复    2016-05-27 16:26:17 +08:00
    hxndg
        1
    hxndg  
       2016-05-20 00:52:20 +08:00
    这个不得看你们的防火墙配置啥的么?做个端口转发?
    yuedingwangji
        2
    yuedingwangji  
    OP
       2016-05-20 01:38:25 +08:00
    只开放了 21 和 5901 端口
    dzxx36gyy
        3
    dzxx36gyy  
       2016-05-20 03:01:10 +08:00 via Android
    看样子像堡垒机?这种只要设置终端只能被跳板机访问你就跳不过去了……而且要是真跳过去了我觉得容易出事……
    defunct9
        4
    defunct9  
       2016-05-20 07:07:16 +08:00 via iPhone
    可以跳过去。
    imnpc
        5
    imnpc  
       2016-05-20 07:29:11 +08:00
    这是堡垒机机制 比较正规的做法 不推荐绕过限制
    lslqtz
        6
    lslqtz  
       2016-05-20 07:42:08 +08:00
    真跳过去了我觉得会被运维打死。。
    kn007
        7
    kn007  
       2016-05-20 07:44:43 +08:00
    那篇帖子的地址多少?
    cxbig
        8
    cxbig  
       2016-05-20 08:30:29 +08:00
    配置完备的话是没有机会绕过的,应该会有 IP 限制。 jumping host 之类的方法是可以直接抵达终点的,要看你的跳板是不是支持。
    cutoutsy
        9
    cutoutsy  
       2016-05-20 09:17:28 +08:00
    为了安全,,还是不要直接跳~~
    yangyanggnu
        10
    yangyanggnu  
       2016-05-20 09:53:19 +08:00   ❤️ 1
    这是某种形式的图形堡垒,堡垒设备通常配套网络流量镜像控制设备(镜控)。一般而言,镜控设备与核心交换机存在两类连接,一是数据连接,用于旁路获取交换机上指定端口的数据流量,二是管理连接,用于向该网络中各设备发送撤消数据包(撤包)。从企业要求而言,终端 PC 不能直接访问服务器,必须 PC -> 堡垒 -> 服务器,镜控设备通过流量监控是否存在直访行为(即,你所谓的“跳过平台”),若有则立即伪造撤包并,并分别发向 PC 和服务器,达到阻断访问目的。

    你关注的如何绕开堡垒,我尝试过两种可行思路:思路一,镜控设备通常只连接核心交换机,更下层的接入交换机的流量,它无能为力,你可以把这个作为切入点;思路二,某些特殊的运维需求,只要在白名单范围内的 IP 允许直接访问服务器,通过绕行设备实现,如果你能修改到绕行设备中的白名单,那也能达到你的目的。

    「勿作恶」
    realpg
        11
    realpg  
       2016-05-20 16:55:37 +08:00
    堡垒机系统的存在就是我为了安全,就是为了防止不授权的登陆
    既然你这么想绕过去,不如打报告给领导下线这套堡垒机系统
    yuedingwangji
        12
    yuedingwangji  
    OP
       2016-05-21 00:12:41 +08:00
    @defunct9 怎么跳过去?
    yuedingwangji
        13
    yuedingwangji  
    OP
       2016-05-21 00:14:29 +08:00
    @yangyanggnu 好难得样子,算了 我只是对每次登陆都得输密码感到麻烦, 十几台机器,有事输完密码, 有些机器就超时了
    yuedingwangji
        14
    yuedingwangji  
    OP
       2016-05-21 00:15:40 +08:00
    @dzxx36gyy 不会的 ,那台堡垒机也是在 这个平台上的, 也是服务器,都是无法访问外网的, 我们访问这些服务器都是通过这个平台登录的
    yuedingwangji
        15
    yuedingwangji  
    OP
       2016-05-21 00:16:07 +08:00
    @cxbig 这个肯定是有的 ,而且检测策略应该你说的还多..
    defunct9
        16
    defunct9  
       2016-05-21 00:16:44 +08:00 via iPhone
    @yuedingwangji 下周一去翻翻以前的记录给你。
    yuedingwangji
        17
    yuedingwangji  
    OP
       2016-05-21 00:17:01 +08:00
    @lslqtz 不会的,这台堡垒机也是在这个平台上的服务器
    yuedingwangji
        18
    yuedingwangji  
    OP
       2016-05-21 00:18:09 +08:00
    @defunct9 好呀,真的可以跳过去么? 其实我看了一些帖子说端口复用的,我现在在想能不能把 5901 这个端口 复用成 VNC 和 ssh
    yuedingwangji
        19
    yuedingwangji  
    OP
       2016-05-21 00:18:37 +08:00
    @realpg 这套系统很复杂, 领导管不了,涉及很多东西的,不可能撤销
    defunct9
        20
    defunct9  
       2016-05-21 12:50:00 +08:00 via iPhone
    @yuedingwangji 在京东的头一个月天天就琢磨怎么翻墙了就。端口复用用 sslh 或 haproxy 都可以。
    yuedingwangji
        21
    yuedingwangji  
    OP
       2016-05-23 10:23:00 +08:00
    @defunct9 琢磨翻墙 ,要免费下个蓝灯,要不就搞 shadowsock 呀
    yuedingwangji
        22
    yuedingwangji  
    OP
       2016-05-27 10:32:06 +08:00
    @defunct9 帅哥 ,打扰了,请问找到记录了么?
    defunct9
        23
    defunct9  
       2016-05-27 15:52:50 +08:00
    @yuedingwangji 中午论坛抽风,白敲了 N 多字。重新来过。找了好几天,没找到。说下它原理吧,两台 Linux ,通过跳板机连接,隧道是无法用的,只有屏幕可见。 vpn 的 tcp 包被类似 Base64 压缩,通过终端按照字符来传输,这样包就过去了。你搜搜 google 吧。
    yuedingwangji
        24
    yuedingwangji  
    OP
       2016-05-27 16:26:17 +08:00
    @defunct9 好的 ,我回去 google 一下, 稍后再来向你请教
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3705 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 10:22 · PVG 18:22 · LAX 02:22 · JFK 05:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.