伺服器ip跳板機

1. 內網伺服器翻牆

標簽： socat squid

內網伺服器是指只有內網ip而沒有公網ip的伺服器。 一般情況下內網伺服器無法跟公網通訊。

我們的生產或者測試環境中有不少是內網機器， 多少會造成不便。

那麼如何實現內網機器也能像普通伺服器一樣使用呢？

我們一般通過代理的方式。而代理又需要部署在有公網ip的伺服器上（也就是俗稱的跳板機）。

請求方向：從內到外

這種代理方式僅支持http的訪問。

測試環境下，squid部署在sandbox3（10.168.13.96）上，而生產環境的squid部署在web-m上。

增加你需要轉發的埠號 。普通的80，443已經默認配置了
acl SSL_ports port 5000 # docker.oa.isuwang.com https
acl Safe_ports port 5000

http_port 10.168.13.96:3128
啟動方式： service squid start

而需要使用代理的內網機器， 需要做如下設置：

3.1 mkdir /etc/systemd/system/docker.service.d

3.2 vi /etc/systemd/system/docker.service.d/http-proxy.conf, 內容為

3.3 systemctl daemon-reload

3.4 校驗： systemctl show --property=Environment docker

3.5 重啟docker daemon: systemctl restart docker

請求方向：從外到內，從內到外

支持協議：tcp

應用場景： 例如需要從本地遠程調試測試伺服器的項目、簡訊介面等

案例：

登錄sandbox2的跳板機121.40.216.40, 輸入如下命令：

socat TCP4-LISTEN:9997,bind=121.40.216.40,su=nobody,fork,reuseaddr TCP4:sandbox2:9997

其中， 9997為調試埠。

socat TCP4-LISTEN:808,bind=10.168.139.194,su=nobody,fork,reuseaddr TCP4:sdk410.eucp.b2m.cn:80

其中， 10.168.139.194為跳板機的內網ip， 另外，由於目標埠80給nginx給佔用了， 故我們改寫了簡訊介面的埠配置為808，並在跳板機中轉發到目標ip的80埠

2. 「Xshell」Xshell跳板機通過隧道連接遠程伺服器

小菜運維僅僅只是一位菜鳥運維

廢話核亂慎不多說，小菜運維最近又完成了一套外包項目開發，現在准備將項目部署到甲方購買的阿里雲伺服器上。因為甲方是集團型大企業，又有自己的運維團隊，很多規章制度比較規范，部署的時候要求通過跳板機/堡壘機登錄阿里雲內網ECS。雖然說跳板機很有必要也應該這樣做，但奈何願意這樣做的客戶是少之又少，這次是撞上大客戶啦！

小菜運維平時都是使用的Xshell、Xftp管理伺服器，這次通過跳板機登錄內網ECS時不斷輸入密碼，還不能直連內網ECS上傳文件，操作了幾次小菜運維就忍不住要口吐芬芳了，終於決定用Xshell的隧道來徹底解決一下這個效率低下、重復體力勞動的問題了！

Xshell的隧道轉發類型共有三種，這里我們不展開介紹各自的應用場景，大家可以自行了解，我們這里選用的是Dynamic，可以實現自動連接內網ECS，也可直接連接FTP，但是前提是必須先連接跳板機建立起隧道，然後再連接內網ECS

隧道類型：
Local(Outgoing)
Dynamic(SOCKS4/5)
Remote(Incoming)

1. 連接跳板機

1.1 建立到跳板機的會話

Xshell選擇新建會話，點擊左側 連接 ，在 常規 欄依次填入會話名稱、跳板機IP、跳板機埠，然後依次完成 用戶身份驗證 、 登錄腳本 設置，這里需要強調的一點是，務必記得設置 登錄腳本 以保證隧道的長連接，避免因隧道的斷開而導致後續其他遠程目標機器的連接失敗，具體操陪寬作如下圖：

1.2 建立跳板機隧道

在上一步的對話框中，繼續點擊左側 隧道 - 添加 ，在彈出的轉移規則對話框中完成規則設置，這里要強調的是 源主機 是指你當前建立隧道連接的本地機器，一般填入 localhost 或 127.0.0.1 即可，而 目標主機 則是指你要遠程連接的遠程伺服器，具體配置信息如下圖：

2. 建立遠程主機連接

2.1 建立到遠程主機的會話

Xshell選擇新建會話，點擊左側 連接 ，在 常規 欄依次填入會話名稱、本機/本地IP、本機/本地監聽埠，然後依次完成 用戶身份驗證 設置，這里需要強調的一點是，務必記得這里設置的連接主機地址 1.2 中設置轉移規則時填寫的 源主機 地址，而不是遠程伺服器的IP地址，同樣的，這里設置的埠號也是 1.2 中設置轉移規則時填寫的 偵聽埠 ，但是 用戶身份驗證 需要填寫遠程伺服器的用戶信息。具體操作如下圖：

3. SSH/SFTP到遠程伺服器

自動連接遠程伺服器的前提是先連接到跳板機/堡壘機，然後再連接到遠程伺服器。
在Xshell中雙擊已建好的到堡壘機的會話，待成功完成登錄後，再雙擊已建好的到遠程伺服器的會話改敬，這時我們可以看到Xshell自動實現了登錄遠程伺服器操作，這時在Xshell已登錄的遠程伺服器頁面，點擊頂部工具欄的 新建文件傳輸 按鈕，Xshell將自動打開Xftp並自動登錄遠程伺服器的Xftp文件管理頁面；

1. 連接跳板機

1.1 建立到跳板機的會話

這里和 Local(Outgoing)方式 的步驟完全相同，可參照之前步驟操作。

1.2 建立跳板機隧道

這里和 Local(Outgoing)方式 的區別在於轉移規則的配置，具體配置信息如下圖：

2. 建立遠程主機連接

2.1 建立到遠程主機的會話

這里和 Local(Outgoing)方式 的區別在於主機和埠號的配置，這里的主機和埠號都是配置的遠程伺服器的， 用戶身份驗證 同樣還是需要填寫遠程伺服器的用戶信息。具體操作如下圖：

2.2 建立到遠程主機會話的代理

在上一步 2.1 建立到遠程主機的會話 的對話框左側，點擊 代理 ，然後瀏覽並添加代理伺服器，這里我們代理伺服器設置的就是本地機器，要注意的是這里 代理伺服器的監聽埠必須和1.2中隧道轉移規則設置的偵聽埠保持一致 ，具體配置如下圖：

3. SSH/SFTP到遠程伺服器

這里和 Local(Outgoing)方式 的步驟完全相同，可參照之前步驟操作。

基於隧道可以簡化很多體力操作，感覺起來就好像堡壘機不存在一樣，實際操作中推薦使用 Dynamic(SOCKS4/5)方式 ，因為Dynamic(SOCKS4/5)方式對於跳板機後有多台遠程伺服器需要連接的場景只需要配置一次隧道和代理，之後就可以直接添加到遠程伺服器的會話就可以了；而 Local(Outgoing)方式 則需要為每一台遠程伺服器添加一個單獨的隧道才可以。

如果按照以上步驟操作仍然不能正常訪問，那麼……建議你聯系你的堡壘機管理員，可能是堡壘機帳號/憑據/許可權等的設置沒有給足你許可權。

附-參考文檔：
阿里雲·堡壘機
阿里雲·透明代理

3. 什麼是跳板機

如果控制機與受害機直接相連，設想，如果這時受害機已經查出是是哪一台機子發出的Dos時，就會把黑客自己的身份暴露。那如果在受害機察覺以前把控制機的「腳印」全部刪除不就可以了？如果你只想攻擊受害機一次，那麼有無跳板機都可，但如果你想多次攻擊受害機，那麼你每次都要把自己控制機上的「腳印」刪除的干凈（包括相關的原代碼），這樣當你下次要想再攻擊受害機時，等於是要重新再建立攻擊過程。如果中間有一個跳板機，那麼你只需要如在跳板機上的「腳印」刪除即可，這樣受害機當查到跳板機時，線索就斷開了。所以有一個跳板機的作用會使黑客自己本身更加安全。通常DOS攻擊是作為入侵者入侵他人系統的一種方法，很少單獨使用。入侵的思路就是：目標機發送大量無用的數據，使目標機疲於對付這些無用數據，而造成系統的遲鈍緩慢，這就猶如「一心不能兩用」一樣，這樣，入侵者就可以在潮水般的攻擊中混騙過入侵檢測系統。入侵的方法由以下幾種：1、SYN 洪水攻擊 利用伺服器的連接緩沖區（Backlog Queue），利用特殊的程序，設置TCP的Header，向伺服器端不斷地成倍發送只有SYN標志的TCP連接請求。當伺服器接收的時候，都認為是沒有建立起來的連接請求，於是為這些請求建立會話，排到緩沖區隊列中。 如果你的SYN請求超過了伺服器能容納的限度，緩沖區隊列滿，那麼伺服器就不再接收新的請求了。其他合法用戶的連接都被拒絕掉。可以持續你的SYN請求發送，直到緩沖區中都是你的只有SYN標記的請求。 這種方法的好處就在於，不用事先去探測別人的IP，直截了當的去佔領緩沖區，方法比較簡單，但是由於利用的是自己的IP，所以身份比較容易暴露，在使用這種攻擊思路時，對自己的主機的隱蔽性一定要做好，最簡單的方法就是多使用幾台傀儡機，但是在入侵後，對傀儡機的痕跡清掃也隨之變得復雜而麻鎖。2、IP欺騙DOS攻擊 這種攻擊利用RST位來實現。假設現在有一個合法用戶(1.1.1.1)已經同伺服器建立了正常的連接，攻擊者構造攻擊的TCP數據，偽裝自己的IP為1.1.1.1，並向伺服器發送一個帶有RST位的TCP數據段。伺服器接收到這樣的數據後，認為從1.1.1.1發送的連接有錯誤，就會清空緩沖區中建立好的連接。這時，如果合法用戶1.1.1.1再發送合法數據，伺服器就已經沒有這樣的連接了，該用戶就必須從新開始建立連接。攻擊時，偽造大量的IP地址，向目標發送RST數據，使伺服器不對合法用戶服務。這種方法的好像就是不易被主機發現，但是缺點就在於要事先知道該主機的一個合法用戶的IP地址，有時還要知道IP地址對應的埠號。而在大部分的合法客戶的IP地址都是隨機的，所以如果每次都想用同一個用戶的IP很難做到，所以每次都要進行IP合法用戶探詢。 3、 帶寬DOS攻擊 如果你的連接帶寬足夠大而伺服器又不是很大，你可以發送請求，來消耗伺服器的緩沖區消耗伺服器的帶寬。這種攻擊就是人多力量大了，配合上SYN一起實施DOS，威力巨大。 這種方法是比較初級DOS攻擊，顯然並不試用於攻擊大型的伺服器。隨著寬頻的不斷提高，與計算機的越來越好，使得計算機有足夠的能力來對付這種攻擊，這種方法已經開始不試用了。4、自身消耗的DOS攻擊 這種DOS攻擊就是把請求客戶端IP和埠弄成主機的IP埠相同，發送給主機。使得主機給自己發送TCP請求和連接。這種主機的漏洞會很快把資源消耗光。直接導致死機。這中偽裝對一些身份認證系統還是威脅巨大的。這種攻擊的方式，它的偽裝比較好，俗話說「最危險的地方就是最安全的地方」，也正是因為入侵者利用的服務機自身的IP，使得伺服器自身很難找到入侵者是誰，這種攻擊的方法最終都是因為「死鎖」而造成死機的。上面這些實施DOS攻擊的手段最主要的就是構造需要的TCP數據，充分利用TCP協議。這些攻擊方法都是建立在TCP基礎上的。還有其他的DOS攻擊手段。 5、塞滿伺服器的硬碟 通常，如果伺服器可以沒有限制地執行寫操作，那麼都能成為塞滿硬碟造成DOS攻擊的途徑，比如： 發送垃圾郵件。一般公司的伺服器可能把郵件伺服器和WEB伺服器都放在一起。破壞者可以發送大量的垃圾郵件，這些郵件可能都塞在一個郵件隊列中或者就是壞郵件隊列中，直到郵箱被撐破或者把硬碟塞滿。 讓日誌記錄滿。入侵者可以構造大量的錯誤信息發送出來，伺服器記錄這些錯誤，可能就造成日誌文件非常龐大，甚至會塞滿硬碟。同時會讓管理員痛苦地面對大量的日誌，甚至就不能發現入侵者真正的入侵途徑。 向匿名FTP塞垃圾文件。這樣也可以塞滿硬碟空間。總之，拒絕服務一般都是通過過載而導致伺服器死機的，而過載一般是因為請求到達了極限。TCP是一種面向連接的協議，所以它採用了多種服務機制來保證連接的可靠性，如：流量控制、擁塞控制，一旦出現數據流量過大所產生的擁塞就會使伺服器拒絕客戶提出的連接請求。正是因為TCP的這種拒絕機制，給Dos有了可乘之機。試想，如果有客戶大量的向伺服器扔送無用的數據報文段，使伺服器因為數據流的過多，而拒絕了超過了它上限值的以外的數據。從而導致其它真正的想使用伺服器的客戶被拒之門外，就會造成不必要的浪費。這也就是Dos的核心內容了。步驟A：首先，攻擊者利用自己的控制機找到一個跳板機，向跳板機發出受害機的命令參數。至於發了哪些命令參數將在Dos的編輯過程做解釋。步驟B：跳板機收到控制機的命令後，向受害機大量發送無用數據報文段，使得受害機疲於應付那些無數數據

4. xrdp鎼寤篧indows璺蟲澘鏈猴紙淇鏀圭増錛

鏈烘埧鍐呴儴鏈塛indows鏈哄櫒錛屼絾鏄緗戠粶涓婁笉鑳界洿鎺ヤ笌Windows鐨勭郴緇焛p鐩擱氾紝姝ゆ椂闇瑕佷竴涓璺蟲澘鏈烘潵涓杞榪滅▼妗岄潰銆
鐩鍓嶅凡鏈夌殑鍔炴硶錛
1銆佸彲浠ヤ嬌鐢╓indowsServer鑷甯︾殑榪滅▼妗岄潰鏈嶅姟鏉ヤ腑杞綆＄悊闇奼傦紝浣嗘槸鍙鏈6涓鏈堢殑璇曠敤錛岄渶瑕佽喘涔般
2銆侀氳繃絝鍙ｆ槧灝勶紝鎸囧畾璺蟲澘鏈虹殑絝鍙ｏ紝鏉ユ槧灝勪笉鍚岀殑鏈哄櫒銆備笉榪囧炲姞浜嗚繍緇村伐浣滈噺錛岄渶瑕佺淮鎶や竴涓瀵瑰簲鍏崇郴琛錛岃頒綇絝鍙ｅ拰鏈哄櫒鐨勫瑰簲鍏崇郴銆

xrdp鏄涓涓寰堝ソ鐨勯夋嫨錛屽熀浜嶭inux緋葷粺錛屽彧鍋氫腑杞宸ヤ綔銆傞櫎浜嗕腑杞瑆indows鐨勮繙紼嬫岄潰錛岃繕鍙浠ヤ腑杞瑅nc鍜屽叾瀹冩湇鍔★紝鏈夊叴瓚ｇ殑鍙浠ヨ嚜琛屽︿範

CentOS7.4錛圛nfrastructure Server錛

闇瑕佸畨瑁卋ase婧愩乪pel婧愬拰nux-dextop婧愶紝榪欐槸鎴戠殑閰嶇疆鏂瑰紡錛屽彲鏍規嵁鑷宸辨満鍣ㄧ殑瀹為檯鎯呭喌閰嶇疆銆
浠呬緵鍙傝冿細

鍦ㄧ紪璇戝畨瑁呰繃紼嬩腑渚濊禆鍒扮殑杞浠跺叏閮ㄥ畨瑁呬笂銆傝繖閲屾槸鎴戝湪瀹夎呰繃紼嬩腑閬囧埌鐨勶紝騫舵暣鐞嗗嚭鏉ョ殑瀹夎呭寘銆傚傛灉浣犲湪瀹夎呰繃紼嬩腑閬囧埌涓浜涗緷璧栧寘錛屽彲浠ユ牴鎹鎻愮ず鎶婇渶瑕佺殑瀹夎呭寘瀹夎呬笂

緙栬瘧鏃墮渶瑕佺殑涓浜.h鏂囦歡錛岃繖閲屾垜鍏ㄩ儴鎷瘋礉榪囧幓錛屼互闃茬紪璇戝嚭閿

緙栬瘧瀹夎

鍦ㄥ仛榪欎釜瀹為獙鐨勬椂鍊欙紝搴熶簡涓嶅皯鍔涙皵錛屽悇縐嶄緷璧栧寘錛岀紪璇戞繪槸鍑洪敊銆備笉榪囪佹湁鑰愬績錛屾參鎱㈡潵錛岃繕瑕佸氳鋒暀鍒浜恆傚綋浣犲仛榪欎釜璇曢獙鏃跺苟涓旀垚鍔熶簡錛岃佹劅璋㈡垜榪欑瘒鏂囩珷鐨勬葷粨鍝

5. 我有一個擁有公網IP的雲伺服器,如何使用他做跳板讓外網訪問到校園網內我的電腦

說的太籠統了，不清楚為什麼要經過你電腦處理？處理什麼，這都很重要。否則感覺無法拿出解決方案。這個動作需要穿透互聯網，就算可以實現，你覺得速度能保證嗎？用戶會等你處理完上傳再看？

6. 濡備綍鍒╃敤XShell闅ч亾閫氳繃璺蟲澘鏈鴻繛鎺ュ唴緗戞満鍣

1.棣栧厛寤虹珛璺蟲澘鏈虹殑榪炴帴錛屽苟閰嶇疆闅ч亾銆傛墦寮XShell鐐瑰嚮鏂囦歡鑿滃崟鍐嶇偣鍑繪柊寤哄脊鍑烘柊寤轟細璇濆睘鎬х獥鍙ｏ紝鍚嶇О灝卞彇涓鴻煩鏉挎満錛岀鍙ｆ槸22錛屼富鏈哄～鍐欏墠闈㈠亣璁劇殑ip鍦板潃銆

2.鐐瑰嚮鐢ㄦ埛韜浠介獙璇侊紝濉鍐欑櫥褰曡煩鏉挎満鐨凷SH鐢ㄦ埛鍚嶅拰瀵嗙爜銆

3.涓洪槻姝㈣煩鏉挎満榪炴帴榪囦箙鑷鍔ㄦ柇寮錛屾墍浠ヨ繖閲屾坊鍔犵櫥褰曡剼鏈鐩存帴鍙戦乼op鍛戒護銆傜偣鍑葷櫥褰曡剼鏈錛屽嬀閫変笂鎵ц屼互涓嬬瓑寰呭苟鍙戦佽勫垯錛岀偣鍑繪坊鍔犲脊鍑虹瓑寰呭彂閫佽勫垯娣誨姞紿楀彛錛屽湪鍙戦佹嗗～鍐檛op銆

4.鎺ヤ笅鏉ョ戶緇閰嶇疆榪炴帴鍐呯綉鏈嶅姟鍣ㄧ殑闅ч亾錛岀偣鍑婚毀閬撳啀鐐瑰嚮娣誨姞鎸夐挳榪涘叆闅ч亾娣誨姞欏甸潰錛屾簮涓繪満涓烘湰鏈簂ocalhost錛屼睛鍚絝鍙ｅ彲浠ュ湪鏈夋晥鑼冨洿鍐呴殢渚垮～鍐欙紝榪欓噷涓轟簡鍖哄垎榪炴帴鍐呯綉鍝鍙版湇鍔″櫒錛屾墍浠ョ敤鍐呯綉鏈嶅姟鍣╥p鏈鍚庝竴浣嶅姞22鍗522浣滀負渚﹀惉絝鍙ｃ傜洰鏍囦富鏈哄氨鏄鎴戜滑瑕侀氳繃璺蟲澘鏈鴻塊棶鐨勫唴緗戜富鏈猴紝絝鍙ｆ槸22銆傚悓鏍風殑鎿嶄綔鍐嶉厤緗涓涓榪炴帴192.168.100.6鐨勯毀閬擄紝絝鍙ｄ笉鑳戒笌522鍐茬獊錛屾寜鍒氭墠鐨勮勫垯鍙浠ョ敤622絝鍙ｃ

5.鍒版よ煩鏉挎満鐨勯厤緗宸茬粡瀹屾垚浜嗭紝涓嬮潰鏉ュ緩絝嬮氳繃璺蟲澘鏈虹櫥褰曞唴緗戞湇鍔″櫒鐨勮繛鎺ヤ細璇濓紝棣栧厛榪樻槸榪涘叆鏂板緩浼氳瘽灞炴х獥鍙ｏ紝娉ㄦ剰涓涓嬭繖嬈＄殑閰嶇疆錛屼富鏈轟負localhost錛屼睛鍚絝鍙ｄ負鍒氭墠鐨522錛屽嵆榪欎釜閰嶇疆榪炴帴涔嬪悗鏄璁塊棶鍐呯綉鐨192.168.100.5鏈嶅姟鍣錛屽啀閰嶇疆涓涓嬬敤鎴瘋韓浠介獙璇侊紝濉鍐欏唴緗戞湇鍔″櫒鐨勮處鍙峰拰瀵嗙爜錛屽彲浠ュ啀娣誨姞涓涓嬬櫥褰曡剼鏈錛岀洿鎺ュ彂閫佽繘鍏ユ棩蹇楁湇鍔″櫒鐨勫懡浠わ紝姣斿傦細cd /tmp/logs/xxx榪欐牱姣忔′竴榪炴帴涓婂氨榪涘叆鏃ュ織鐩褰曘傝繖鏍蜂竴鍙板唴緗戞湇鍔″櫒鐨勮繛鎺ラ厤緗灝卞畬鎴愪簡錛屽悓鏍風殑鎿嶄綔鍐嶉厤緗192.168.100.6鐨勮繛鎺ワ紝絝鍙ｄ負622銆

6.鍒版よ煩鏉挎満銆侀毀閬撳強鍐呯綉鐨勪袱鍙版湇鍔″櫒榪炴帴閮介厤緗瀹屾垚浜嗐備笅闈㈠氨璇ユ祴璇曡繛鎺ヤ簡錛屽厛鎵撳紑璺蟲澘鏈虹殑榪炴帴錛屽啀鎵撳紑涓ゅ彴鍐呯綉鏈嶅姟鍣ㄧ殑榪炴帴錛岃嫢姝ｅ父榪炴帴涓婂氨閰嶇疆姝ｇ『浜嗐傜壒鍒娉ㄦ剰錛氳煩鏉挎満涓瀹氳佸厛鎵撳紑錛屽洜涓哄唴緗戞湇鍔″櫒鐨勮繛鎺ラ兘鏄鍩轟簬璺蟲澘鏈虹殑渚﹀惉絝鍙ｃ

7.鍙﹀栵紝XShell鐨勫揩閫熷懡浠ら泦涔熸槸寰堟柟渚跨殑錛屽彲浠ョ紪杈戝ソ甯哥敤鍛戒護錛屾寜鎸囧畾蹇鎹烽敭蹇閫熻緭鍏ヨ繖浜涘懡浠ゃ傚湪鏌ョ湅涓鍕鵑夊揩閫熷懡浠わ紝灝嗘樉紺哄湪搴曢儴錛屽湪宸ュ叿涓鎵懼埌蹇閫熷懡浠ら泦鍙浠ユ坊鍔犵紪杈戝揩閫熷懡浠ゃ傚叿浣撴搷浣滆繖閲屼笉鍐嶈︾粏璇存槑銆