This topic has been archived. It cannot be replied.
-
工作学习 / 专业技术讨论 / 网络小问题:前提环境:放火墙对外只允许80,433和21端口的连接(NAT方式);如果用ssh(putty)通过ssh turnel 通过80口做port forward,从内部连接到远程服务器(外网)。可能建立多个连接。被发现的风险有多大?
-647i(-);
2006-3-27
(#2868763@0)
-
应该很容易,PROTOCOL不同,如果ADMIN在检查FIREWALL LOG会发现的
-nice2002(+4);
2006-3-27
(#2868768@0)
-
谢谢 nice2002! 我通过80口走ssh协议,他能发现些什么?应该我每次连接只有两行纪录吧:open/close. 如果我一天不断,是不是一下子就被其他80端口的web 访问的log 淹没了?
-647i(-);
2006-3-27
(#2868775@0)
-
如果是WEB REQUEST,可以看到PROTOCOL, 如果是SSH,在LOG上是一堆乱码,长时间大量连接,肯定会引起ADMIN怀疑,然后他们会发现80端口不是WEB SERVER,THEN YOU WILL BE FIRED
-nice2002(+4);
2006-3-27
(#2868792@0)
-
可怕。你是说,log会纪录包的内容(至少一部分)。那log 岂不是长得很快?如果只记录发起连接和关闭连接那好象就不太容易被发觉了。firewall is in a Linux box, I don't know what packege is used.
-647i(-);
2006-3-27
(#2868815@0)
-
一般来说,不会开详细LOG,但有时候工作需要,会把LOG打开来检查PACKET,所以还是不要冒险
-nice2002(+4);
2006-3-27
(#2868843@0)
-
我用过iptables,iptables是按包头的端口号(sport, dport)或包大小来确定是转发还是扔。不知道linux上海有什么firewall/VPN软件, 可以把整个包纪录下来。哎,这个倒霉的firewall不开22口。
-647i(-);
2006-3-27
{34}
(#2868862@0)
-
装一个这个在你电脑上就知道了,很容易知道的
-nice2002(+4);
2006-3-27
(#2868872@0)
-
看了一下连接里的document. 我说的网络问题和这个肥皂(SOAP)有关系吗?我想用的出了client端是windows,远程server和firewall都是linux的。
-647i(-);
2006-3-27
(#2868898@0)
-
我给的只是一个工具,FIREWALL可能装了不同的工具
-nice2002(+4);
2006-3-27
(#2868901@0)
-
有点明白了,那是个可以对SOAP协议可以深挖的监听/探测工具。thanks for the information.
-647i(-);
2006-3-27
(#2868910@0)
-
你那是抓包下来看,一般的LOG是不会记录这些的,但是有可能记录有很多的错误,所以网管注意到的话就可能去查。
-urv(urus);
2006-3-29
(#2872006@0)
-
I like these words.
-647i(-);
2006-3-29
(#2872586@0)
-
我确定上网用的是firewall(我猜是nat方式), 而不是proxy(因为,IE里关于代理的设置是空的)
-647i(-);
2006-3-27
(#2868824@0)
-
有没有那位大仙这样用过?不同的远程端口(如:80,22,21.....) ,每个端口只要一个ssh连接就可以了,如果有多个连接同时访问相同的端口,那么会复用同一个ssh tunel。 理论上我是这样理解的。各位大仙请指教了。
-647i(-);
2006-3-27
(#2868770@0)
-
每一个ssh connection对于不同的source ip都是一个单独的连接,和forward的port无关。
-turnip(turnip);
2006-3-27
(#2868850@0)
-
未必能发现,如果firewall只是基本过滤功能。但是ssh无论forward那个端口,在其通过firewall时始终是ssh,如果你们的80端口特指web,高级防火墙很容易发现.但是通常只纪录端口和数据大小,不会有数据内容。
-turnip(turnip);
2006-3-27
(#2868842@0)
-
在linux上我只知道iptables,它好象没有那么高级。如果防火墙纪录/报告连接时间的话,那ssh连接肯定一下子就鹤立鸡群了。
-647i(-);
2006-3-27
(#2868882@0)
-
不一定是iptable,也可能是3rd-party tool. 防火墙纪录/报告连接时间, for sure, if this is advance firewall.
-turnip(turnip);
2006-3-27
(#2868894@0)
-
damn it. is https protocol keep the connection connected till the browser is closed? Or, like http, one new connection for each click? Thx.
-647i(-);
2006-3-27
(#2868904@0)
-
每一个click都会产生一个新建连接。但是当你click后从web上传回的每一个图片,窗口也是一个连接。严格地说他们是一个连接建立后两个主机之间数据包的传输。stateful类型的防火墙只会检验第一个新建连接。非stateful类型的防火墙就很难说了,depends on what you are using.
-turnip(turnip);
2006-3-28
{64}
(#2869443@0)
-
Thanks turnip. today I found out that the firewall is on another host(not on the default gw), it is checkpoint.
-647i(-);
2006-3-29
(#2871983@0)
-
如果你在银行等serious about security 的公司, 千万别做, 你马上就会给抓到, 接下来就是fire you。 如果你在中小型公司, 没人会发现你。 ssh 的加密操作将会绕过现有的所以firewall和IDS system.
-bugfree(BugFree);
2006-3-28
(#2871063@0)
-
it is small company, though there are 5 VPs. To my suprise, they use VPN+VNC to do remote accesss instead of PCanyware.
-647i(-);
2006-3-29
(#2871988@0)
-
如果你是vp之一,那就可以;否则还是本分一点。我觉得VNC比pcanyware好。还支持多个用户同时访问,一个人控制,其他人看,开电话会议时比较方便。
-holdon(again);
2006-3-29
(#2872513@0)
-
They go ahead to use SSH reverse tunnel to access you company computers. I use 2048 DSA encryption for my SSH connect. I do not think you company has resourse to break it ;)
-bugfree(BugFree);
2006-3-29
(#2873233@0)
-
好象putty里没有DSA的加密选项,而且好象都是自动选择的。是不是要在sshd这边设置?
-647i(-);
2006-3-31
(#2877424@0)
-
You will br found on /var/log/messages
-reach(RRR);
2006-3-29
(#2871838@0)
-
放火墙 !!!
-vicky2005(孩子她爹);
2006-3-29
(#2872522@0)
-
If your company's security policy does not allow you to do so, then do not do it!
-3hohoho(hohoho);
2006-3-31
(#2877395@0)
-
I only signed one paper. there is no such thing, and I didn't heard any thing about it explicite. Though I know there are common sence on business/professional conduct to follow.Anyway, what I do just about how to use time at work time properly. It is similar to surfing rolia at work time. Just different prtocal of tcp traffic ( ssh vs. http )
-647i(-);
2006-3-31
{167}
(#2877403@0)
-
谢谢告诫,我会注意不要掉到沟里去的。
-647i(-);
2006-3-31
(#2877421@0)
-
像同志们报告一下:通了!!在putty连接前设置转发本地80到远程81(我的web server);本地22到远程22,登陆端口用80,启用压缩,keep alive。登陆后可以使用本地22和80端口连接远程server。从netstat 看一共就一个连接。过两天看看能不能跟老板商量一下把防火墙的管理给接管过来。
-647i(-);
2006-3-31
{56}
(#2877415@0)