刚看到论坛有篇说跳板的, 我也来说下我们的,求大神破解

2016-05-20 00:41:04 +08:00
 yuedingwangji

我们的机器每次登陆都是通过一个平台( web 网站) 来管理的, 每次登陆进去,选择你要管理的机器,就弹出界面,输入账号密码, 就弹出 crt ,然后就可以在哪里输命令了, 如果是 windows 机器的话, 就进行了远程桌面了,现在想请教大神,这种情况,能跳过么平台么,就是直接在平台上的其他机器登陆我要管理的机器,而不是每次都是在平台那点

5774 次点击
所在节点    Linux
24 条回复
hxndg
2016-05-20 00:52:20 +08:00
这个不得看你们的防火墙配置啥的么?做个端口转发?
yuedingwangji
2016-05-20 01:38:25 +08:00
只开放了 21 和 5901 端口
dzxx36gyy
2016-05-20 03:01:10 +08:00
看样子像堡垒机?这种只要设置终端只能被跳板机访问你就跳不过去了……而且要是真跳过去了我觉得容易出事……
defunct9
2016-05-20 07:07:16 +08:00
可以跳过去。
imnpc
2016-05-20 07:29:11 +08:00
这是堡垒机机制 比较正规的做法 不推荐绕过限制
lslqtz
2016-05-20 07:42:08 +08:00
真跳过去了我觉得会被运维打死。。
kn007
2016-05-20 07:44:43 +08:00
那篇帖子的地址多少?
cxbig
2016-05-20 08:30:29 +08:00
配置完备的话是没有机会绕过的,应该会有 IP 限制。 jumping host 之类的方法是可以直接抵达终点的,要看你的跳板是不是支持。
cutoutsy
2016-05-20 09:17:28 +08:00
为了安全,,还是不要直接跳~~
yangyanggnu
2016-05-20 09:53:19 +08:00
这是某种形式的图形堡垒,堡垒设备通常配套网络流量镜像控制设备(镜控)。一般而言,镜控设备与核心交换机存在两类连接,一是数据连接,用于旁路获取交换机上指定端口的数据流量,二是管理连接,用于向该网络中各设备发送撤消数据包(撤包)。从企业要求而言,终端 PC 不能直接访问服务器,必须 PC -> 堡垒 -> 服务器,镜控设备通过流量监控是否存在直访行为(即,你所谓的“跳过平台”),若有则立即伪造撤包并,并分别发向 PC 和服务器,达到阻断访问目的。

你关注的如何绕开堡垒,我尝试过两种可行思路:思路一,镜控设备通常只连接核心交换机,更下层的接入交换机的流量,它无能为力,你可以把这个作为切入点;思路二,某些特殊的运维需求,只要在白名单范围内的 IP 允许直接访问服务器,通过绕行设备实现,如果你能修改到绕行设备中的白名单,那也能达到你的目的。

「勿作恶」
realpg
2016-05-20 16:55:37 +08:00
堡垒机系统的存在就是我为了安全,就是为了防止不授权的登陆
既然你这么想绕过去,不如打报告给领导下线这套堡垒机系统
yuedingwangji
2016-05-21 00:12:41 +08:00
@defunct9 怎么跳过去?
yuedingwangji
2016-05-21 00:14:29 +08:00
@yangyanggnu 好难得样子,算了 我只是对每次登陆都得输密码感到麻烦, 十几台机器,有事输完密码, 有些机器就超时了
yuedingwangji
2016-05-21 00:15:40 +08:00
@dzxx36gyy 不会的 ,那台堡垒机也是在 这个平台上的, 也是服务器,都是无法访问外网的, 我们访问这些服务器都是通过这个平台登录的
yuedingwangji
2016-05-21 00:16:07 +08:00
@cxbig 这个肯定是有的 ,而且检测策略应该你说的还多..
defunct9
2016-05-21 00:16:44 +08:00
@yuedingwangji 下周一去翻翻以前的记录给你。
yuedingwangji
2016-05-21 00:17:01 +08:00
@lslqtz 不会的,这台堡垒机也是在这个平台上的服务器
yuedingwangji
2016-05-21 00:18:09 +08:00
@defunct9 好呀,真的可以跳过去么? 其实我看了一些帖子说端口复用的,我现在在想能不能把 5901 这个端口 复用成 VNC 和 ssh
yuedingwangji
2016-05-21 00:18:37 +08:00
@realpg 这套系统很复杂, 领导管不了,涉及很多东西的,不可能撤销
defunct9
2016-05-21 12:50:00 +08:00
@yuedingwangji 在京东的头一个月天天就琢磨怎么翻墙了就。端口复用用 sslh 或 haproxy 都可以。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/279898

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX