运维的时候,经常会用到端口转发小工具 rinetd[1] ,正巧最近要研究什么是端口转发,就拿它来做个小实验,加深理解,我们看到端口转发可以转发本地端口,也可以转发远程端口,都是在跳板机上编辑rinetd 配置文件,都是只能抓到跳板机到黑客方向的通信流量,不能抓到黑客到跳板机方向的通信流量,然而这是黑客的视角,如果你从跳板机视角来看,就可以看到双向通信流量~
实验1:测试转发本地端口,访问跳板机的8022端口就是访问跳板机的22端口~
通过wireshark 抓包,发现不存在黑客IP到跳板IP的流量。
可以发现存在跳板IP到黑客IP的通信流量,请求的源端口是固定的8022,请求的目的端口是固定的52829
实验2:测试转发远程端口,访问跳板机的8080端口就是访问内网的443端口,发现跳板机端口设置成8080就会报错,可能8080端口是特殊端口,于是我采用高位端口继续测试,发现转发远程端口,只适用内网IP,不适用公网IP,应该是某一种保护机制吧~
场景1:内网搭建一个网站
场景2:转发到百度443端口
场景3:转发到博客80端口
通过wireshark 抓包,发现不存在黑客IP到跳板IP的流量。
可以发现存在跳板IP到黑客IP的通信流量,请求的源端口是固定的38079,请求的目的端口是不断变化的51918、51919、51920、51921等等
实验3:测试3389端口远程转发
先输入内网IP的用户名和密码
然后就可以远程登录到内网主机了
通过wireshark抓包,和实验1一样,仅存在跳板IP到黑客IP的通信流量,请求的源端口是固定的53389,请求的目的端口是固定的55672
但是我们从跳板机视角来看,双向流量看的清清楚楚~
网络安全任重道远,洗洗睡吧~
