技术解析

刚看到论坛有篇说跳板的, 我也来说下我们的,求大神破解
0
2021-07-02 22:30:50
idczone

我们的机器每次登陆都是通过一个平台( web 网站) 来管理的, 每次登陆进去,选择你要管理的机器,就弹出界面,输入账号密码, 就弹出 crt ,然后就可以在哪里输命令了, 如果是 windows 机器的话, 就进行了远程桌面了,现在想请教大神,这种情况,能跳过么平台么,就是直接在平台上的其他机器登陆我要管理的机器,而不是每次都是在平台那点


这个不得看你们的防火墙配置啥的么?做个端口转发?

只开放了 21 和 5901 端口

看样子像堡垒机?这种只要设置终端只能被跳板机访问你就跳不过去了……而且要是真跳过去了我觉得容易出事……

可以跳过去。

这是堡垒机机制 比较正规的做法 不推荐绕过限制

真跳过去了我觉得会被运维打死。。

那篇帖子的地址多少?

配置完备的话是没有机会绕过的,应该会有 IP 限制。 jumping host 之类的方法是可以直接抵达终点的,要看你的跳板是不是支持。

为了安全,,还是不要直接跳~~

这是某种形式的图形堡垒,堡垒设备通常配套网络流量镜像控制设备(镜控)。一般而言,镜控设备与核心交换机存在两类连接,一是数据连接,用于旁路获取交换机上指定端口的数据流量,二是管理连接,用于向该网络中各设备发送撤消数据包(撤包)。从企业要求而言,终端 PC 不能直接访问服务器,必须 PC -> 堡垒 -> 服务器,镜控设备通过流量监控是否存在直访行为(即,你所谓的“跳过平台”),若有则立即伪造撤包并,并分别发向 PC 和服务器,达到阻断访问目的。
你关注的如何绕开堡垒,我尝试过两种可行思路:思路一,镜控设备通常只连接核心交换机,更下层的接入交换机的流量,它无能为力,你可以把这个作为切入点;思路二,某些特殊的运维需求,只要在白名单范围内的 IP 允许直接访问服务器,通过绕行设备实现,如果你能修改到绕行设备中的白名单,那也能达到你的目的。
「勿作恶」

堡垒机系统的存在就是我为了安全,就是为了防止不授权的登陆
既然你这么想绕过去,不如打报告给领导下线这套堡垒机系统

怎么跳过去?

好难得样子,算了 我只是对每次登陆都得输密码感到麻烦, 十几台机器,有事输完密码, 有些机器就超时了

不会的 ,那台堡垒机也是在 这个平台上的, 也是服务器,都是无法访问外网的, 我们访问这些服务器都是通过这个平台登录的

这个肯定是有的 ,而且检测策略应该你说的还多..

下周一去翻翻以前的记录给你。

不会的,这台堡垒机也是在这个平台上的服务器

好呀,真的可以跳过去么? 其实我看了一些帖子说端口复用的,我现在在想能不能把 5901 这个端口 复用成 VNC 和 ssh

这套系统很复杂, 领导管不了,涉及很多东西的,不可能撤销

在京东的头一个月天天就琢磨怎么翻墙了就。端口复用用 sslh 或 haproxy 都可以。

琢磨翻墙 ,要免费下个蓝灯,要不就搞 shadowsock 呀

帅哥 ,打扰了,请问找到记录了么?

中午论坛抽风,白敲了 N 多字。重新来过。找了好几天,没找到。说下它原理吧,两台 Linux ,通过跳板机连接,隧道是无法用的,只有屏幕可见。 vpn 的 tcp 包被类似 Base64 压缩,通过终端按照字符来传输,这样包就过去了。你搜搜 google 吧。

好的 ,我回去 google 一下, 稍后再来向你请教

数据地带为您的网站提供全球顶级IDC资源
在线咨询
专属客服