这是一个创建于 3761 天前的主题,其中的信息可能已经有所发展或是发生改变。
我现在开发并维护一个学校网站,这个学校网站的空间就放在学校内部的服务器上,但是有点奇葩,它是在一个服务器上划分一个虚拟机给我,装的CentOS, 我有root账号;
服务器跟外网之间有一个类似于防火墙的设备 or 软件,导致我在虚拟机里做的任何安全设置都形同虚设,完全得按着这个"防火墙"的规则来,打个比方:
1.不管我在虚拟机中打开多少端口,外部都只能访问虚拟机的80端口,导致我的虚拟机没办法发送邮件,因为邮件端口被屏蔽;
-- 也就是说,外部只能访问我的网站,而我却没办法给网站会员发送邮件(找回密码的邮件);
2.在虚拟机中访问Localhost,几乎可以使用任何函数,但是与外界通信时,就会被屏蔽掉一部分他们认为危险的函数,比如我在虚拟机中访问Localhost, 可以查看phpinfo(),但是外网访问时, phpinfo()里的服务器信息,全部都被拦截;
-- 也就是说, 我在外网访问含有phpinfo()的网页时,只能看到空白页;
3.最恼人的就是第三点,虚拟机的php,和外部服务器通信几乎都被隔断,我用root账号登录虚拟机后,可以发现php的curl函数没有被禁用,系统本身的curl也没有被禁用, 都可以curl本地的网站,比如127.0.0.1,但是,无法curl外部的网站(虚拟机的DNS是没有问题的,可以nslookup);
所以我的问题来了,我开发的这个网站,需要使用到百度的云推送,需要和百度的服务器通过curl通信,可是现在被屏蔽了,好吧,然后我又想了一个办法:
1.我在外部建立一个网站: abc.com, 可以接受GET参数;
2.当我从任何地方访问abc.com/index.php/tit/hello/content/nihao时,我就可以获取"tit"和"content"两个参数值;
3.获取到参数后,我通过abc.com与百度的服务器进行通信,把参数发给百度,就OK了;
这样通过abc.com做中转,就不需要通过虚拟机使用curl操作了,可以在abc.com中使用任何函数,打开任何端口;
可是!
尼玛!
我现在在虚拟机中,连访问abc.com都做不到哇!
我试过了种种办法,fopen, file_get_contents, curl, fsockopen, 都不可以了,我现在只需要访问一下abc.com/参数/xx这个网址,就能把参数传过去,可是,始终没办法访问,请问大家,有什么办法可以让我在虚拟机中访问abc.com吗(虚拟机的DNS是没有问题的,可以nslookup)?
服务器跟外网之间有一个类似于防火墙的设备 or 软件,导致我在虚拟机里做的任何安全设置都形同虚设,完全得按着这个"防火墙"的规则来,打个比方:
1.不管我在虚拟机中打开多少端口,外部都只能访问虚拟机的80端口,导致我的虚拟机没办法发送邮件,因为邮件端口被屏蔽;
-- 也就是说,外部只能访问我的网站,而我却没办法给网站会员发送邮件(找回密码的邮件);
2.在虚拟机中访问Localhost,几乎可以使用任何函数,但是与外界通信时,就会被屏蔽掉一部分他们认为危险的函数,比如我在虚拟机中访问Localhost, 可以查看phpinfo(),但是外网访问时, phpinfo()里的服务器信息,全部都被拦截;
-- 也就是说, 我在外网访问含有phpinfo()的网页时,只能看到空白页;
3.最恼人的就是第三点,虚拟机的php,和外部服务器通信几乎都被隔断,我用root账号登录虚拟机后,可以发现php的curl函数没有被禁用,系统本身的curl也没有被禁用, 都可以curl本地的网站,比如127.0.0.1,但是,无法curl外部的网站(虚拟机的DNS是没有问题的,可以nslookup);
所以我的问题来了,我开发的这个网站,需要使用到百度的云推送,需要和百度的服务器通过curl通信,可是现在被屏蔽了,好吧,然后我又想了一个办法:
1.我在外部建立一个网站: abc.com, 可以接受GET参数;
2.当我从任何地方访问abc.com/index.php/tit/hello/content/nihao时,我就可以获取"tit"和"content"两个参数值;
3.获取到参数后,我通过abc.com与百度的服务器进行通信,把参数发给百度,就OK了;
这样通过abc.com做中转,就不需要通过虚拟机使用curl操作了,可以在abc.com中使用任何函数,打开任何端口;
可是!
尼玛!
我现在在虚拟机中,连访问abc.com都做不到哇!
我试过了种种办法,fopen, file_get_contents, curl, fsockopen, 都不可以了,我现在只需要访问一下abc.com/参数/xx这个网址,就能把参数传过去,可是,始终没办法访问,请问大家,有什么办法可以让我在虚拟机中访问abc.com吗(虚拟机的DNS是没有问题的,可以nslookup)?
 |
1
zjgsamuel 2014-07-30 09:05:59 +08:00
很是诡异那!
第一条我理解,防火墙做了端口映射的限制以及端口访问的策略; 但是第二条开始,防火墙能够屏蔽PHP的函数? 这不应该那,问问机房的人呢? |
 |
2
oott123 2014-07-30 09:11:58 +08:00 via Android
我也遇到过。
给管理老师打电话,列一个白名单出来,让他们打开这些访问就行了。 第二点是学校的 WAF 做特征识别导致的。 除此之外也有一些取巧的办法,比如 ssh tunnel 之类,但是在生产环境基本不可行,可以无视。 btw,难道 lz 和我同一个学校? |
 |
3
adkudao OP @zjgsamuel 真是这样,不骗你;
比如index.php如果是echo 'hello',那么外网可以看到hello; 但index.php如果是phpinfo(),那么外网只能看到空白页(登录内网或root则可以看到phpinfo给出的服务器信息); |
 |
5
xenme 2014-07-30 09:18:50 +08:00
和 @zjgsamuel 观点相同。
如果没有再CentOS上装学校的防火墙软件Agent,那么一般的防火墙只会对端口进行限制,也就是简单地限制端口访问等。 对于curl和phpinfo等信息完全没法办法过滤,唯一的一种可能是开启了内容过滤,但是,一般情况下,好像没有这种必要吧?所以,从目前提供的信息来看,问题可能还是在你这边的可能性较大。而其,curl也就是一个普通的访问外网的函数,和其他浏览器等需要连接网络的程序一样。 可以尝试在serve和Client上抓包看一下是否正常。 |
 |
6
zts1993 2014-07-30 09:22:03 +08:00
屏蔽应该是只能访问80端口,出的端口应该不限制吧,那个server会不是是要经过web登陆验证的那种?
|
|
7
oott123 2014-07-30 09:25:10 +08:00 via Android
|
 |
8
ejin 2014-07-30 09:49:09 +08:00
把phpinfo用base64编码一下,看看是不是还是空白页
|
|
10
adkudao OP |
|
11
oott123 2014-07-30 10:17:42 +08:00 via Android
@adkudao 嗯啊 我在 csu 的虚拟化中心有两台虚拟机。
他是有个防火墙,内网没办法访问外网,外网进来是走 waf 做转发进来的,所以可以访问80。 要访问外网的话,只能让学校那边给你开放几个指定的 ip ,然后你的虚拟机就能访问那几个 ip 了。 维护半年多,还没找到其它的方法搞定。 |
 |
12
akira 2014-07-30 10:22:36 +08:00
让 abc.com访问你
|
|
13
adkudao OP @oott123 原来如此,等于我可以向机房申请,开放abc.com的ip,然后我就可以在虚拟机中对abc.com的IP进行通信了吗? 不用ip,用网址行不行?比如对baidu.com开放白名单可以不?
|
|
14
adkudao OP @akira 谢谢,我也想过这个办法,但是需要abc.com不停的访问学校网站,比较消耗abc.com的服务器资源,所以我放弃了这个想法;
|
|
15
oott123 2014-07-30 10:49:05 +08:00 via Android
|
|
16
adkudao OP |
|
17
oott123 2014-07-30 10:58:31 +08:00 via Android  1
@adkudao 换了 ip 让学校给你改白名单就是了…
就是我校老师效率比较低…每次都要催很多次… |
 |
19
RemRain 2014-07-30 12:34:12 +08:00
同@akira,监听80端口,让abc.com访问你,保持长连接就行,不用轮训。如果是abc.com过来的请求,就走长连接逻辑,其他请求转发给http server
|
|
23
adkudao OP |
 |
26
arnofeng 2014-07-30 13:03:01 +08:00
@adkudao 用了别的域名- - 这个学校方案 是今年花了一千多万在VMware公司买的服务好像。。信息网络中心那块管的总共一百多台虚拟机。是好事也是坏事。
|
 |
29
duzhe0 2014-07-30 13:26:04 +08:00
楼主思路错了。魔高一尺道高一丈,你这次就算用技术手段绕过了限制,被发现后照样能给你堵上。
楼主说的这些限制, 都是很常用的服务器安全策略。正确的方法是联系管理员问问有没有白名单, 或者能不能解除部分限制。如果都不行, 那就只能放弃用百度云,想想其它解决方案了。 |
|
30
adkudao OP @arnofeng 不敢说牛,因为涉及到手机APP推送消息, 需要和百度的推送服务器建立通信,所以逼不得已才用跳板,这差不多就意味着双倍的工作量,还是杯具~
我好想跟你们一样可以正常做网站, 多多交流~ |
Select Language