服务器ip跳板机

1. 内网服务器翻墙

标签： socat squid

内网服务器是指只有内网ip而没有公网ip的服务器。 一般情况下内网服务器无法跟公网通讯。

我们的生产或者测试环境中有不少是内网机器， 多少会造成不便。

那么如何实现内网机器也能像普通服务器一样使用呢？

我们一般通过代理的方式。而代理又需要部署在有公网ip的服务器上（也就是俗称的跳板机）。

请求方向：从内到外

这种代理方式仅支持http的访问。

测试环境下，squid部署在sandbox3（10.168.13.96）上，而生产环境的squid部署在web-m上。

增加你需要转发的端口号 。普通的80，443已经默认配置了
acl SSL_ports port 5000 # docker.oa.isuwang.com https
acl Safe_ports port 5000

http_port 10.168.13.96:3128
启动方式： service squid start

而需要使用代理的内网机器， 需要做如下设置：

3.1 mkdir /etc/systemd/system/docker.service.d

3.2 vi /etc/systemd/system/docker.service.d/http-proxy.conf, 内容为

3.3 systemctl daemon-reload

3.4 校验： systemctl show --property=Environment docker

3.5 重启docker daemon: systemctl restart docker

请求方向：从外到内，从内到外

支持协议：tcp

应用场景： 例如需要从本地远程调试测试服务器的项目、短信接口等

案例：

登录sandbox2的跳板机121.40.216.40, 输入如下命令：

socat TCP4-LISTEN:9997,bind=121.40.216.40,su=nobody,fork,reuseaddr TCP4:sandbox2:9997

其中， 9997为调试端口。

socat TCP4-LISTEN:808,bind=10.168.139.194,su=nobody,fork,reuseaddr TCP4:sdk410.eucp.b2m.cn:80

其中， 10.168.139.194为跳板机的内网ip， 另外，由于目标端口80给nginx给占用了， 故我们改写了短信接口的端口配置为808，并在跳板机中转发到目标ip的80端口

2. “Xshell”Xshell跳板机通过隧道连接远程服务器

小菜运维仅仅只是一位菜鸟运维

废话核乱慎不多说，小菜运维最近又完成了一套外包项目开发，现在准备将项目部署到甲方购买的阿里云服务器上。因为甲方是集团型大企业，又有自己的运维团队，很多规章制度比较规范，部署的时候要求通过跳板机/堡垒机登录阿里云内网ECS。虽然说跳板机很有必要也应该这样做，但奈何愿意这样做的客户是少之又少，这次是撞上大客户啦！

小菜运维平时都是使用的Xshell、Xftp管理服务器，这次通过跳板机登录内网ECS时不断输入密码，还不能直连内网ECS上传文件，操作了几次小菜运维就忍不住要口吐芬芳了，终于决定用Xshell的隧道来彻底解决一下这个效率低下、重复体力劳动的问题了！

Xshell的隧道转发类型共有三种，这里我们不展开介绍各自的应用场景，大家可以自行了解，我们这里选用的是Dynamic，可以实现自动连接内网ECS，也可直接连接FTP，但是前提是必须先连接跳板机建立起隧道，然后再连接内网ECS

隧道类型：
Local(Outgoing)
Dynamic(SOCKS4/5)
Remote(Incoming)

1. 连接跳板机

1.1 建立到跳板机的会话

Xshell选择新建会话，点击左侧 连接 ，在 常规 栏依次填入会话名称、跳板机IP、跳板机端口，然后依次完成 用户身份验证 、 登录脚本 设置，这里需要强调的一点是，务必记得设置 登录脚本 以保证隧道的长连接，避免因隧道的断开而导致后续其他远程目标机器的连接失败，具体操陪宽作如下图：

1.2 建立跳板机隧道

在上一步的对话框中，继续点击左侧 隧道 - 添加 ，在弹出的转移规则对话框中完成规则设置，这里要强调的是 源主机 是指你当前建立隧道连接的本地机器，一般填入 localhost 或 127.0.0.1 即可，而 目标主机 则是指你要远程连接的远程服务器，具体配置信息如下图：

2. 建立远程主机连接

2.1 建立到远程主机的会话

Xshell选择新建会话，点击左侧 连接 ，在 常规 栏依次填入会话名称、本机/本地IP、本机/本地监听端口，然后依次完成 用户身份验证 设置，这里需要强调的一点是，务必记得这里设置的连接主机地址 1.2 中设置转移规则时填写的 源主机 地址，而不是远程服务器的IP地址，同样的，这里设置的端口号也是 1.2 中设置转移规则时填写的 侦听端口 ，但是 用户身份验证 需要填写远程服务器的用户信息。具体操作如下图：

3. SSH/SFTP到远程服务器

自动连接远程服务器的前提是先连接到跳板机/堡垒机，然后再连接到远程服务器。
在Xshell中双击已建好的到堡垒机的会话，待成功完成登录后，再双击已建好的到远程服务器的会话改敬，这时我们可以看到Xshell自动实现了登录远程服务器操作，这时在Xshell已登录的远程服务器页面，点击顶部工具栏的 新建文件传输 按钮，Xshell将自动打开Xftp并自动登录远程服务器的Xftp文件管理页面；

1. 连接跳板机

1.1 建立到跳板机的会话

这里和 Local(Outgoing)方式 的步骤完全相同，可参照之前步骤操作。

1.2 建立跳板机隧道

这里和 Local(Outgoing)方式 的区别在于转移规则的配置，具体配置信息如下图：

2. 建立远程主机连接

2.1 建立到远程主机的会话

这里和 Local(Outgoing)方式 的区别在于主机和端口号的配置，这里的主机和端口号都是配置的远程服务器的， 用户身份验证 同样还是需要填写远程服务器的用户信息。具体操作如下图：

2.2 建立到远程主机会话的代理

在上一步 2.1 建立到远程主机的会话 的对话框左侧，点击 代理 ，然后浏览并添加代理服务器，这里我们代理服务器设置的就是本地机器，要注意的是这里 代理服务器的监听端口必须和1.2中隧道转移规则设置的侦听端口保持一致 ，具体配置如下图：

3. SSH/SFTP到远程服务器

这里和 Local(Outgoing)方式 的步骤完全相同，可参照之前步骤操作。

基于隧道可以简化很多体力操作，感觉起来就好像堡垒机不存在一样，实际操作中推荐使用 Dynamic(SOCKS4/5)方式 ，因为Dynamic(SOCKS4/5)方式对于跳板机后有多台远程服务器需要连接的场景只需要配置一次隧道和代理，之后就可以直接添加到远程服务器的会话就可以了；而 Local(Outgoing)方式 则需要为每一台远程服务器添加一个单独的隧道才可以。

如果按照以上步骤操作仍然不能正常访问，那么……建议你联系你的堡垒机管理员，可能是堡垒机帐号/凭据/权限等的设置没有给足你权限。

附-参考文档：
阿里云·堡垒机
阿里云·透明代理

3. 什么是跳板机

如果控制机与受害机直接相连，设想，如果这时受害机已经查出是是哪一台机子发出的Dos时，就会把黑客自己的身份暴露。那如果在受害机察觉以前把控制机的“脚印”全部删除不就可以了？如果你只想攻击受害机一次，那么有无跳板机都可，但如果你想多次攻击受害机，那么你每次都要把自己控制机上的“脚印”删除的干净（包括相关的原代码），这样当你下次要想再攻击受害机时，等于是要重新再建立攻击过程。如果中间有一个跳板机，那么你只需要如在跳板机上的“脚印”删除即可，这样受害机当查到跳板机时，线索就断开了。所以有一个跳板机的作用会使黑客自己本身更加安全。通常DOS攻击是作为入侵者入侵他人系统的一种方法，很少单独使用。入侵的思路就是：目标机发送大量无用的数据，使目标机疲于对付这些无用数据，而造成系统的迟钝缓慢，这就犹如“一心不能两用”一样，这样，入侵者就可以在潮水般的攻击中混骗过入侵检测系统。入侵的方法由以下几种：1、SYN 洪水攻击 利用服务器的连接缓冲区（Backlog Queue），利用特殊的程序，设置TCP的Header，向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中。 如果你的SYN请求超过了服务器能容纳的限度，缓冲区队列满，那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。可以持续你的SYN请求发送，直到缓冲区中都是你的只有SYN标记的请求。 这种方法的好处就在于，不用事先去探测别人的IP，直截了当的去占领缓冲区，方法比较简单，但是由于利用的是自己的IP，所以身份比较容易暴露，在使用这种攻击思路时，对自己的主机的隐蔽性一定要做好，最简单的方法就是多使用几台傀儡机，但是在入侵后，对傀儡机的痕迹清扫也随之变得复杂而麻锁。2、IP欺骗DOS攻击 这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为1.1.1.1，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从1.1.1.1发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户1.1.1.1再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。攻击时，伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务。这种方法的好像就是不易被主机发现，但是缺点就在于要事先知道该主机的一个合法用户的IP地址，有时还要知道IP地址对应的端口号。而在大部分的合法客户的IP地址都是随机的，所以如果每次都想用同一个用户的IP很难做到，所以每次都要进行IP合法用户探询。 3、 带宽DOS攻击 如果你的连接带宽足够大而服务器又不是很大，你可以发送请求，来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了，配合上SYN一起实施DOS，威力巨大。 这种方法是比较初级DOS攻击，显然并不试用于攻击大型的服务器。随着宽带的不断提高，与计算机的越来越好，使得计算机有足够的能力来对付这种攻击，这种方法已经开始不试用了。4、自身消耗的DOS攻击 这种DOS攻击就是把请求客户端IP和端口弄成主机的IP端口相同，发送给主机。使得主机给自己发送TCP请求和连接。这种主机的漏洞会很快把资源消耗光。直接导致死机。这中伪装对一些身份认证系统还是威胁巨大的。这种攻击的方式，它的伪装比较好，俗话说“最危险的地方就是最安全的地方”，也正是因为入侵者利用的服务机自身的IP，使得服务器自身很难找到入侵者是谁，这种攻击的方法最终都是因为“死锁”而造成死机的。上面这些实施DOS攻击的手段最主要的就是构造需要的TCP数据，充分利用TCP协议。这些攻击方法都是建立在TCP基础上的。还有其他的DOS攻击手段。 5、塞满服务器的硬盘 通常，如果服务器可以没有限制地执行写操作，那么都能成为塞满硬盘造成DOS攻击的途径，比如： 发送垃圾邮件。一般公司的服务器可能把邮件服务器和WEB服务器都放在一起。破坏者可以发送大量的垃圾邮件，这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中，直到邮箱被撑破或者把硬盘塞满。 让日志记录满。入侵者可以构造大量的错误信息发送出来，服务器记录这些错误，可能就造成日志文件非常庞大，甚至会塞满硬盘。同时会让管理员痛苦地面对大量的日志，甚至就不能发现入侵者真正的入侵途径。 向匿名FTP塞垃圾文件。这样也可以塞满硬盘空间。总之，拒绝服务一般都是通过过载而导致服务器死机的，而过载一般是因为请求到达了极限。TCP是一种面向连接的协议，所以它采用了多种服务机制来保证连接的可靠性，如：流量控制、拥塞控制，一旦出现数据流量过大所产生的拥塞就会使服务器拒绝客户提出的连接请求。正是因为TCP的这种拒绝机制，给Dos有了可乘之机。试想，如果有客户大量的向服务器扔送无用的数据报文段，使服务器因为数据流的过多，而拒绝了超过了它上限值的以外的数据。从而导致其它真正的想使用服务器的客户被拒之门外，就会造成不必要的浪费。这也就是Dos的核心内容了。步骤A：首先，攻击者利用自己的控制机找到一个跳板机，向跳板机发出受害机的命令参数。至于发了哪些命令参数将在Dos的编辑过程做解释。步骤B：跳板机收到控制机的命令后，向受害机大量发送无用数据报文段，使得受害机疲于应付那些无数数据

4. xrdp鎼寤篧indows璺虫澘链猴纸淇鏀圭増锛

链烘埧鍐呴儴链塛indows链哄櫒锛屼絾鏄缃戠粶涓娄笉鑳界洿鎺ヤ笌Windows镄勭郴缁焛p鐩搁氾纴姝ゆ椂闇瑕佷竴涓璺虫澘链烘潵涓杞杩灭▼妗岄溃銆
鐩鍓嶅凡链夌殑锷炴硶锛
1銆佸彲浠ヤ娇鐢╓indowsServer镊甯︾殑杩灭▼妗岄溃链嶅姟𨱒ヤ腑杞绠＄悊闇姹傦纴浣嗘槸鍙链6涓链堢殑璇旷敤锛岄渶瑕佽喘涔般
2銆侀氲繃绔鍙ｆ椠灏勶纴鎸囧畾璺虫澘链虹殑绔鍙ｏ纴𨱒ユ椠灏勪笉钖岀殑链哄櫒銆备笉杩囧炲姞浜呜繍缁村伐浣滈噺锛岄渶瑕佺淮鎶や竴涓瀵瑰簲鍏崇郴琛锛岃颁綇绔鍙ｅ拰链哄櫒镄勫瑰簲鍏崇郴銆

xrdp鏄涓涓寰埚ソ镄勯夋嫨锛屽熀浜嶭inux绯荤粺锛屽彧锅氢腑杞宸ヤ綔銆傞櫎浜嗕腑杞瑆indows镄勮繙绋嬫岄溃锛岃缮鍙浠ヤ腑杞瑅nc鍜屽叾瀹冩湇锷★纴链夊叴瓒ｇ殑鍙浠ヨ嚜琛屽︿範

CentOS7.4锛圛nfrastructure Server锛

闇瑕佸畨瑁卋ase婧愩乪pel婧愬拰nux-dextop婧愶纴杩欐槸鎴戠殑閰岖疆鏂瑰纺锛屽彲镙规嵁镊宸辨満鍣ㄧ殑瀹为檯𨱍呭喌閰岖疆銆
浠呬緵鍙傝冿细

鍦ㄧ紪璇戝畨瑁呰繃绋嬩腑渚濊禆鍒扮殑杞浠跺叏閮ㄥ畨瑁呬笂銆傝繖閲屾槸鎴戝湪瀹夎呰繃绋嬩腑阆囧埌镄勶纴骞舵暣鐞嗗嚭𨱒ョ殑瀹夎呭寘銆傚傛灉浣犲湪瀹夎呰繃绋嬩腑阆囧埌涓浜涗緷璧栧寘锛屽彲浠ユ牴鎹鎻愮ず鎶婇渶瑕佺殑瀹夎呭寘瀹夎呬笂

缂栬疟镞堕渶瑕佺殑涓浜.h鏂囦欢锛岃繖閲屾垜鍏ㄩ儴𨰾疯礉杩囧幓锛屼互阒茬紪璇戝嚭阌

缂栬疟瀹夎

鍦ㄥ仛杩欎釜瀹为獙镄勬椂鍊欙纴搴熶简涓嶅皯锷涙皵锛屽悇绉崭緷璧栧寘锛岀紪璇戞绘槸鍑洪敊銆备笉杩囱佹湁钥愬绩锛屾参鎱㈡潵锛岃缮瑕佸氲锋暀鍒浜恒傚綋浣犲仛杩欎釜璇曢獙镞跺苟涓旀垚锷熶简锛岃佹劅璋㈡垜杩欑瘒鏂囩珷镄勬荤粨鍝

5. 我有一个拥有公网IP的云服务器,如何使用他做跳板让外网访问到校园网内我的电脑

说的太笼统了，不清楚为什么要经过你电脑处理？处理什么，这都很重要。否则感觉无法拿出解决方案。这个动作需要穿透互联网，就算可以实现，你觉得速度能保证吗？用户会等你处理完上传再看？

6. 濡备綍鍒╃敤XShell闅ч亾阃氲繃璺虫澘链鸿繛鎺ュ唴缃戞満鍣

1.棣栧厛寤虹珛璺虫澘链虹殑杩炴帴锛屽苟閰岖疆闅ч亾銆傛墦寮XShell镣瑰嚮鏂囦欢凿滃崟鍐岖偣鍑绘柊寤哄脊鍑烘柊寤轰细璇濆睘镐х獥鍙ｏ纴钖岖О灏卞彇涓鸿烦𨱒挎満锛岀鍙ｆ槸22锛屼富链哄～鍐椤墠闱㈠亣璁剧殑ip鍦板潃銆

2.镣瑰嚮鐢ㄦ埛韬浠介獙璇侊纴濉鍐欑橱褰曡烦𨱒挎満镄凷SH鐢ㄦ埛钖嶅拰瀵嗙爜銆

3.涓洪槻姝㈣烦𨱒挎満杩炴帴杩囦箙镊锷ㄦ柇寮锛屾墍浠ヨ繖閲屾坊锷犵橱褰曡剼链鐩存帴鍙戦乼op锻戒护銆傜偣鍑荤橱褰曡剼链锛屽嬀阃変笂镓ц屼互涓嬬瓑寰呭苟鍙戦佽勫垯锛岀偣鍑绘坊锷犲脊鍑虹瓑寰呭彂阃佽勫垯娣诲姞绐楀彛锛屽湪鍙戦佹嗗～鍐檛op銆

4.鎺ヤ笅𨱒ョ户缁閰岖疆杩炴帴鍐呯绣链嶅姟鍣ㄧ殑闅ч亾锛岀偣鍑婚毁阆揿啀镣瑰嚮娣诲姞鎸夐挳杩涘叆闅ч亾娣诲姞椤甸溃锛屾簮涓绘満涓烘湰链簂ocalhost锛屼睛钖绔鍙ｅ彲浠ュ湪链夋晥锣冨洿鍐呴殢渚垮～鍐欙纴杩欓噷涓轰简鍖哄垎杩炴帴鍐呯绣鍝鍙版湇锷″櫒锛屾墍浠ョ敤鍐呯绣链嶅姟鍣╥p链钖庝竴浣嶅姞22鍗522浣滀负渚﹀惉绔鍙ｃ傜洰镙囦富链哄氨鏄鎴戜滑瑕侀氲繃璺虫澘链鸿块梾镄勫唴缃戜富链猴纴绔鍙ｆ槸22銆傚悓镙风殑镎崭綔鍐嶉厤缃涓涓杩炴帴192.168.100.6镄勯毁阆掳纴绔鍙ｄ笉鑳戒笌522鍐茬獊锛屾寜鍒氭墠镄勮勫垯鍙浠ョ敤622绔鍙ｃ

5.鍒版よ烦𨱒挎満镄勯厤缃宸茬粡瀹屾垚浜嗭纴涓嬮溃𨱒ュ缓绔嬮氲繃璺虫澘链虹橱褰曞唴缃戞湇锷″櫒镄勮繛鎺ヤ细璇濓纴棣栧厛杩樻槸杩涘叆鏂板缓浼氲瘽灞炴х獥鍙ｏ纴娉ㄦ剰涓涓嬭繖娆＄殑閰岖疆锛屼富链轰负localhost锛屼睛钖绔鍙ｄ负鍒氭墠镄522锛屽嵆杩欎釜閰岖疆杩炴帴涔嫔悗鏄璁块梾鍐呯绣镄192.168.100.5链嶅姟鍣锛屽啀閰岖疆涓涓嬬敤鎴疯韩浠介獙璇侊纴濉鍐椤唴缃戞湇锷″櫒镄勮处鍙峰拰瀵嗙爜锛屽彲浠ュ啀娣诲姞涓涓嬬橱褰曡剼链锛岀洿鎺ュ彂阃佽繘鍏ユ棩蹇楁湇锷″櫒镄勫懡浠わ纴姣斿傦细cd /tmp/logs/xxx杩欐牱姣忔′竴杩炴帴涓婂氨杩涘叆镞ュ织鐩褰曘傝繖镙蜂竴鍙板唴缃戞湇锷″櫒镄勮繛鎺ラ厤缃灏卞畬鎴愪简锛屽悓镙风殑镎崭綔鍐嶉厤缃192.168.100.6镄勮繛鎺ワ纴绔鍙ｄ负622銆

6.鍒版よ烦𨱒挎満銆侀毁阆揿强鍐呯绣镄勪袱鍙版湇锷″櫒杩炴帴閮介厤缃瀹屾垚浜嗐备笅闱㈠氨璇ユ祴璇曡繛鎺ヤ简锛屽厛镓揿紑璺虫澘链虹殑杩炴帴锛屽啀镓揿紑涓ゅ彴鍐呯绣链嶅姟鍣ㄧ殑杩炴帴锛岃嫢姝ｅ父杩炴帴涓婂氨閰岖疆姝ｇ‘浜嗐傜壒鍒娉ㄦ剰锛氲烦𨱒挎満涓瀹氲佸厛镓揿紑锛屽洜涓哄唴缃戞湇锷″櫒镄勮繛鎺ラ兘鏄锘轰簬璺虫澘链虹殑渚﹀惉绔鍙ｃ

7.鍙﹀栵纴XShell镄勫揩阃熷懡浠ら泦涔熸槸寰堟柟渚跨殑锛屽彲浠ョ紪杈戝ソ甯哥敤锻戒护锛屾寜鎸囧畾蹇鎹烽敭蹇阃熻緭鍏ヨ繖浜涘懡浠ゃ傚湪镆ョ湅涓鍕鹃夊揩阃熷懡浠わ纴灏嗘樉绀哄湪搴曢儴锛屽湪宸ュ叿涓镓惧埌蹇阃熷懡浠ら泦鍙浠ユ坊锷犵紪杈戝揩阃熷懡浠ゃ傚叿浣撴搷浣滆繖閲屼笉鍐嶈︾粏璇存槑銆