我们的机器每次登陆都是通过一个平台( web 网站) 来管理的, 每次登陆进去,选择你要管理的机器,就弹出界面,输入账号密码, 就弹出 crt ,然后就可以在哪里输命令了, 如果是 windows 机器的话, 就进行了远程桌面了,现在想请教大神,这种情况,能跳过么平台么,就是直接在平台上的其他机器登陆我要管理的机器,而不是每次都是在平台那点
1
hxndg 2016-05-20 00:52:20 +08:00
这个不得看你们的防火墙配置啥的么?做个端口转发?
|
2
yuedingwangji OP 只开放了 21 和 5901 端口
|
3
dzxx36gyy 2016-05-20 03:01:10 +08:00 via Android
看样子像堡垒机?这种只要设置终端只能被跳板机访问你就跳不过去了……而且要是真跳过去了我觉得容易出事……
|
4
defunct9 2016-05-20 07:07:16 +08:00 via iPhone
可以跳过去。
|
5
imnpc 2016-05-20 07:29:11 +08:00
这是堡垒机机制 比较正规的做法 不推荐绕过限制
|
6
lslqtz 2016-05-20 07:42:08 +08:00
真跳过去了我觉得会被运维打死。。
|
7
kn007 2016-05-20 07:44:43 +08:00
那篇帖子的地址多少?
|
8
cxbig 2016-05-20 08:30:29 +08:00
配置完备的话是没有机会绕过的,应该会有 IP 限制。 jumping host 之类的方法是可以直接抵达终点的,要看你的跳板是不是支持。
|
9
cutoutsy 2016-05-20 09:17:28 +08:00
为了安全,,还是不要直接跳~~
|
10
yangyanggnu 2016-05-20 09:53:19 +08:00 1
这是某种形式的图形堡垒,堡垒设备通常配套网络流量镜像控制设备(镜控)。一般而言,镜控设备与核心交换机存在两类连接,一是数据连接,用于旁路获取交换机上指定端口的数据流量,二是管理连接,用于向该网络中各设备发送撤消数据包(撤包)。从企业要求而言,终端 PC 不能直接访问服务器,必须 PC -> 堡垒 -> 服务器,镜控设备通过流量监控是否存在直访行为(即,你所谓的“跳过平台”),若有则立即伪造撤包并,并分别发向 PC 和服务器,达到阻断访问目的。
你关注的如何绕开堡垒,我尝试过两种可行思路:思路一,镜控设备通常只连接核心交换机,更下层的接入交换机的流量,它无能为力,你可以把这个作为切入点;思路二,某些特殊的运维需求,只要在白名单范围内的 IP 允许直接访问服务器,通过绕行设备实现,如果你能修改到绕行设备中的白名单,那也能达到你的目的。 「勿作恶」 |
11
realpg 2016-05-20 16:55:37 +08:00
堡垒机系统的存在就是我为了安全,就是为了防止不授权的登陆
既然你这么想绕过去,不如打报告给领导下线这套堡垒机系统 |
12
yuedingwangji OP @defunct9 怎么跳过去?
|
13
yuedingwangji OP @yangyanggnu 好难得样子,算了 我只是对每次登陆都得输密码感到麻烦, 十几台机器,有事输完密码, 有些机器就超时了
|
14
yuedingwangji OP @dzxx36gyy 不会的 ,那台堡垒机也是在 这个平台上的, 也是服务器,都是无法访问外网的, 我们访问这些服务器都是通过这个平台登录的
|
15
yuedingwangji OP @cxbig 这个肯定是有的 ,而且检测策略应该你说的还多..
|
16
defunct9 2016-05-21 00:16:44 +08:00 via iPhone
@yuedingwangji 下周一去翻翻以前的记录给你。
|
17
yuedingwangji OP @lslqtz 不会的,这台堡垒机也是在这个平台上的服务器
|
18
yuedingwangji OP @defunct9 好呀,真的可以跳过去么? 其实我看了一些帖子说端口复用的,我现在在想能不能把 5901 这个端口 复用成 VNC 和 ssh
|
19
yuedingwangji OP @realpg 这套系统很复杂, 领导管不了,涉及很多东西的,不可能撤销
|
20
defunct9 2016-05-21 12:50:00 +08:00 via iPhone
@yuedingwangji 在京东的头一个月天天就琢磨怎么翻墙了就。端口复用用 sslh 或 haproxy 都可以。
|
21
yuedingwangji OP @defunct9 琢磨翻墙 ,要免费下个蓝灯,要不就搞 shadowsock 呀
|
22
yuedingwangji OP @defunct9 帅哥 ,打扰了,请问找到记录了么?
|
23
defunct9 2016-05-27 15:52:50 +08:00
@yuedingwangji 中午论坛抽风,白敲了 N 多字。重新来过。找了好几天,没找到。说下它原理吧,两台 Linux ,通过跳板机连接,隧道是无法用的,只有屏幕可见。 vpn 的 tcp 包被类似 Base64 压缩,通过终端按照字符来传输,这样包就过去了。你搜搜 google 吧。
|
24
yuedingwangji OP @defunct9 好的 ,我回去 google 一下, 稍后再来向你请教
|