斌、朵♫恋

≮回忆℡≯ ゃ.只想留住现在の 美好﹏.

。◕‿◕。如何使用SSH的Port Forwarding加密不安全的服务。◕‿◕。

可视编辑 UBB编辑
如何使用SSH的Port Forwarding加密不安全的服务[table] [tr] [table] [tr] [td] [table] [tr] [/td] [/tr] [tr] 如何使用SSH的Port Forwarding加密不安全的服务[/td] [/tr] [tr] [td]原始文档:http://www.xfocus.net/articles/200107/218.html[/td] [/tr] [tr] [td]创建时间:2001-07-08[/td] [/tr] [tr] [td]浏览次数:647[/td] [/tr] [tr] [td]转载:inburst (inburst_at_263.net)[/td] [/tr] [tr] [td]来源:http://www.linuxforum.net/[/td] [/tr] [tr] [/td] [/tr] [tr] [td]如何使用SSH的Port Forwarding加密不安全的服务吴阿亭 Jephe      一。简介:       大多数人知道SSH是用来替代R命令集,是用于加密的远程登录,文件传输,甚至加密的      FTP(SSH2内置), 因此SSH成为使用极广的服务之一,不仅如此,SSH还有另一项非常有      用的功能,就是它的端口转发隧道功能,利用此功能,让一些不安全的服务象POP3,      SMTP,FTP,LDAP等等通过SSH的加密隧道传输,然后,既然这些服务本身是不安全的,      密码和内容是明文传送的,现在其它中间媒介也没无监听了。       二。图示:       SSH的加密隧道保护的只是中间传输的安全性,使得任何通常的嗅探工具软件无法获取发      送内容。如下图:       假设客户机和服务器都运行Linux,且以POP3为例。            C (pop3 server: S)              S         _______                         ________                        |     |                         |      |        |     |________POP3___________ >|      |        |_____|                         |______|                  (图一:正常的POP3)      (图一:正常的POP3)            C (pop3 server:C)               S (pop3 client: S)         _______                         ________                        |     |                         |      |        |     |--------SSH连接--------->|      |        |_____|                         |______|                      (图二:SSH隧道后的POP3)             如图一: 正常的POP3连接是客户C向服务器S进行连接,C的设置是POP3服务器为S。       如图二: 用SSH隧道的话,客户C设置pop3服务器为自己(localhost),然后设置SSH加密      隧道       ,如果设置在同样的端口110听取C的请求,则对C来说,pop3服务器是自己本身,端口也      是110 对S来说,看到的pop3请求地址不是来自C,而也是自己本身,因为有了SSH隧道。      三。SSH隧道设置       1. 首先必须在C和S上安装SSH,确保SSH首先能工作。       2. 我们用简单的一个命令如下:       # ssh -C -P -f sshaccount@S -L 110:S:110 sleep 7200       解释如下:       -C 使用压缩功能,是可选的,加快速度。       -P 用一个非特权端口进行出去的连接。       -f 一旦SSH完成认证并建立port forwarding,则转入后台运行。       sshaccount 客户C在服务器S上的SSH连接帐号       -L 110:S:110 转发C对本地端口110的连接到远程服务器S的110端口。       也可以用高端端口(普通用户使用,因为普通用户不能在低于1024的端口上建立SSH隧道)       如果用高端端口,如:-L 1110:S:110,这样任何用户都可建立这种加密隧道。       sleep 7200 一般用于script,必须给一个命令,我们给一个sleep等待空 命令,这里为      2小时,你可以       设为更长用于保持整个连接过程, 如 sleep 100000000 。       四。检验       设置后你就可以在客户C上用 # telnet localhost 110 命令而连到 S 上收取email,      而整个过程也被加密。       五。其它常见问题:       1. 每次启动该命令时需要输入密码以验证SSH连接,你也可以用RSA键对的方法自动化      SSH连接。       看文章荟萃中的另一篇文章《如何在两台linux服务器之间用RSA键对的方法SSH/SCP不需      密码》       2. 如果你希望上面的命令永远保持运行状态,你可以用如下的scripts.       #!/bin/sh       while [ 1 ] ; do       ssh -C -P -f sshaccount@S -L 110:S:110 sleep 7200       sleep 1       done       3. 你可以在一个命令中用多个L 参数 ,如 -L 1110:S:110 -L 225:S:25 -L      389:S:389       4. 一些windows客户端软件,象netscape mail,不能改变pop3端口号,被强迫到110,      则你只能指定110       5. Linux下的fetchmail常用来自动接收邮件,可在.fetchmailrc中利用       preconnect参数预连接 ,指定上面的命令行。       6. 如果客户端是windows, 则可用tera Term pro,参考       http://www.phys.washington.edu/Computing/winftpssh.html       吴阿亭       END [/td] [/tr] [tr] [/td] [/tr] [tr] [td] [/td] [/tr] [/table] [/td] [/tr] [tr] Copyright (c) 1998-2003 XFOCUS Team. All Rights Reserved[/td] [/tr] [/table] [/td] [/tr][/table]...

。◕‿◕。FREEBSD中使用IPFW来过滤ICMP服务。◕‿◕。

可视编辑 UBB编辑
FREEBSD中使用IPFW来过滤ICMP服务[table] [tr] [table] [tr] [td] [table] [tr] [/td] [/tr] [tr] FREEBSD中使用IPFW来过滤ICMP服务[/td] [/tr] [tr] [td]原始文档:http://www.xfocus.net/articles/200103/72.html[/td] [/tr] [tr] [td]创建时间:2001-03-02[/td] [/tr] [tr] [td]浏览次数:101[/td] [/tr] [tr] [td]原创:xundi (xundi_at_xfocus.org)[/td] [/tr] [tr] [/td] [/tr] [tr] [td]FREEBSD中使用IPFW来过滤ICMP服务BY XUNDIFREEBSD中可以使用IPFW来停止PING的响应,即可以调制内核和使用IPFW来拒绝ICMP服务,这样别人用PING就看不到任何信息了。先介绍下IPFW:在专用路由器系统开始流行之前,Internet上的路由器大部分是基于Unix的软件路由器,其中多数是BSD Unix。显然这是由于BSD Unix在Internet上占据的重要地位决定的,即便是在专用硬件路由器流行的今天,当由于价格等因素不能考虑硬件路由器时,BSD系统仍然是用作软件路由器的首选系统。  由于路由器处于网络之间,所有网络间需要交换的数据包都要通过它转发,因此就可以进行一定的限制,即按照预定义的一定规则处理每个数据包,符合要求的允许通过,不符合要求的就进行丢弃。这样路由器就能用作一个简单的防火墙系统,保护内部计算机。BSD系统中最早使用ipfw过滤器来定义不同的过滤规则,随后ipfw也被移植到其他平台上,并根据开发者的理解不同而独立发展。当前不同系统上的ipfw已经大不相同了,并出现了具备相同功能的其他过滤器, FreeBSD下的ipfw也经过了不断发展,具备了更强的过滤能力,尤其是它能和natd守护进程相结合,提供网络地址转换能力,具备更完善的防火墙能力。FreeBSD的包过滤能力是在内核中实现的,这样才具备最高的效率和性能。因此为了在FreeBSD上使用这个防火墙功能,需要在编译内核时打开下面选项重新定制内核。这文章里需要你在内核编制中打开下面的选项:IPFIREWALL IPFIREWALL_VERBOSE "IPFIREWALL_VERBOSE_LIMIT=100" options IPFIREWALL_DEFAULT_TO_ACCEPTIPFILTER IPFILTER_LOG 其中第一项设置IPFIREWALL是用于打开基本的包过滤支持的,只有使用它才能在内核中支持包过滤。IPFIREWALL_VERBOSE 和IPFIREWALL_VERBOSE_LIMIT设置记录过滤日志,及日志记录的限制。IPFIREWALL_DEFAULT_TO_ACCEPT是设置IPFIREWALL的缺省行为,在数据包不符合所有的过滤规则的情况下进行转发,显然这是一种宽松的限制,此时系统主要用于屏蔽特定地址和特定服务,而提供其他的缺省网络能力。如果没有定义这个选项,系统就只能允许符合已定义规则的数据包通过,而屏蔽其他任何数据包,这样在没有定义过滤规则的情况下,系统不能和其他计算机相互通信。而IPFILTER是通知内核支持ipfilter,IPFILTER_LOG是进行ipfilter LOG记录。OK,再经过内核重新编译(内核编译请参看其他文章),还需要设置内核具备数据包的转发能力。需要在rc.conf中设置gateway_enable 的值为YES,这样就能在系统启动时自动打开包转发能力。也可以直接执行下面命令来打开内核包转发能力。好了,下面主要描述我们来拒绝ICMP的服务规则,因为测试所用,所以你可以建立一个文件如(myfile)并增加下面的条目:ip="你的IP地址" ipfw -f flush #Forces your current firewall to be flushed! ipfw add pass log icmp from $ip to any icmp 8 ipfw add pass log icmp from not $ip to $ip icmp 0 把文件保存后,并使用chmod +x myfile设置文件属性,并运行文件。其中第一条是设置你的IP为一变量;第二条是flush表示强制清楚你当前防火墙的所有规则;对于第三,第四条,我们先来看看具体指令的意义:add是增加规则,而pass指令是这条规则的处理指令,类似allow,而log是记录指令,这个指令和其他指令不同,其他指令是对数据包进行处理的指令,而log只是记录这个数据包,而数据包本身还将继续受到其他过滤规则的处理,而icmp栏本身是过滤规则中规定数据包的协议类型,指定规则是用于处理哪种数据包的,FreeBSD可以处理TCP,UCP,ICMP 类型的数据,以及在/etc/protocols文件中定义的其他数据包的类型,上例中指定类型是ICMP,因为我们要对ICMP进行处理,而from $ip to any是规定过滤规则适用的地址范围,这可以通过指定源和目的计算机的IP地址范围或数据包通过的网络界面来进行指定:--用from规定数据包的来源地址,可以是主机地址或网络;--用to规定数据包的目的地址,可以是主机地址或网络;--用in或out规定数据包是流向本机,还是向外发送的;所以第三条的规则意思是允许你使用到任何地址使用icmptype 8,echo-request,而第四条是你获得icmptype 0,echo-reponse信息,但阻止你发送echo-reponse.这上面的示例能比较好的阻止一些端口扫描器的扫描,因为多数端口一般开始使用ping来查看是否主机在线,但上面我们的traceroute就不能工作了,traceroute先发送UDP信息包并等待icmp包返回,因此下面的规则是阻止入站的icmp type 8,但允许所需要的icmp类型入站来进行traceroute的tracing(追踪):    参照下面的列表:    0 echo-reply ping     3 destination-unreachable Any TCP/UDP traffic. (目标主机不可达)    5 redirect routing if not running routing daemon (如没有有运行routing                            守护程序重定向routing)    8 echo-request ping     11 time-exceeded traceroute (traceroute超时)    当然icmp还有其他类型,请参看Request for Comments:  7921,    ipfw add pass log udp from $ip to any 2,    ipfw add pass log icmp from $ip to any icmp 8 3,    ipfw add pass log icmp from not $ip to any icmp 0 4,    ipfw add pass log icmp from not $ip to any icmp 11 5,    ipfw add pass log icmp from not $ip to any icmp 3 上面的规则4是接受icmp type 11但拒绝你发送,规则5是接受icmp type 3,但拒绝你发送icmp type 3的信息。按照上面的规则并进行测试,你可以traceroutes和ping目标主机防火墙规则能接受它们的回应,而你可以让你朋友traceroute/ping你的目标主机,但他讲不会得到任何回应或者出现超时错。总结:icmp和其他协议不同之处是icmp过滤使用类型而不使用端口,一般应用程序可以使用端口来增加过滤功能,但icmp是用类型类规定进出站的信息,如"echo-request"是入站信息而"echo-response"是出站信息,这样就可以对信息进行过滤。具体一般协议的规则使用方法是在目标和源地址后面进行端口规定,如:ipfw add pass tcp from any [要规则处理的端口] to $ip [要规则处理的端口] 而ICMP是定义要规则处理的协议,如:ipfw add pass icmp from any to $ip [要规则处理的协议] 最后如果你有其他规则加入此文件增加过滤能力,你如果要在FREEBSD启动时候加入这些规则,FREEBSD有rc.firewall文件进行启动处理,只要把这些规则加入rc.firewall后就能自动进行处理。参考文章:http://www.freebsdrocks.com/show.php3?ThisArticleID=6197&start=1&sReturn=25&search_category=8&search_criteria=&search_field=http://freebsd.online.ha.cn/focus/FreeBSD/index.shtmlRequest for Comments:  792  xundi@xfocus.org 2000-06-17http://focus.silversand.net [/td] [/tr] [tr] [/td] [/tr] [tr] [td] [/td] [/tr] [/table] [/td] [/tr] [tr] Copyright (c) 1998-2003 XFOCUS Team. All Rights Reserved[/td] [/tr] [/table] [/td] [/tr][/table]...

。◕‿◕。解读防火墙记录。◕‿◕。

可视编辑 UBB编辑

     本文将向你解释你在防火墙的记录(Log)中看到了什么?尤其是那些端口是什么意思?你将能利用这些信息做出判断:我是否受到了Hacker的攻击?他/她到底想要干什么?本文既适用于维护企业级防火墙的安全专家,又适用于使用个人防火墙的家庭用户。*译者:现在个人防火墙开始流行起来,很多网友一旦看到报警就以为受到某种攻击,其实大多数情况并非如此。一、目标端口Z

。◕‿◕。基于NT/2000建立安全WEB站点的解决方案。◕‿◕。

可视编辑 UBB编辑

  用NT(2000)建立的WEB站点在所有的网站中占了很大一部分比例,但NT的安全问题也一直比较突出,使得一些每个基于NT的网站都有一种如履薄冰的感觉,然而微软并没有明确的坚决方案,只是推出了一个个补丁程序,各种安全文档上对于NT的安全描述零零碎碎,给人们的感觉是无所适从。于是,有的网管干脆什么措施也不采取,有的忙着下各种各样的补丁程序,有的在安装了防火墙以后就以为万事大吉了。这种现状直接导致了

。◕‿◕。一些FreeBSD相关的安全问题。◕‿◕。

可视编辑 UBB编辑

FreeBSD的日志安全--------------------I)如果你安装了sshd(也强烈建议安装sshd,因为默认的telnetd程序存在严重的安全问题)。请编辑你的/etc/syslog.conf文件,一般修改security.* /var/log/security条目内容如下:security.*;auth.info      

分页 «45678» 4/8
.clear

Copyright ©2010 [HTTPS://Www.Db20061026.Top] Powered By [斌、朵♫恋] Version 1.0.0
闽ICP备15009937号

Powered By Z-Blog 1.8 Walle Build 100427 Designed by luheou & Made by Sunny(haphic) [Top]