適用時機: 回家時想BYPASS公司防火牆的作法
前提條件: 公司開放加密通道之SSH協定(LAN–> WAN); 現在多半應該是擋掉的,大半公司都僅開放必要的連外連接埠才是,如果沒有,那代表你們公司網管太混了
雖然適用程度不大,如果在資安佈建較完整的公司應該是無法使用.
LAB說明:
家中SSH SERVER: nhome.mine.nu (動態網址), PORT號已變更,無法在此公開,免得我家被攻擊
公司SSH SERVER: 172.21.61.226 (私有IP) 走公司合法測試網路,非OA線路,純做測試用,所以不會影響公司資訊安全,況且OA裡皆已佈建入侵防禦系統,若被偵測異常,即有紀錄,此亦為小弟任內重要政績之一
話說回來,在測試網路這裡並無開放防火牆NAT,亦即回家後,理應我無法在家中的SSH連回公司的,那是因為在這裡被防火牆擋住了..
如果我想連回去呢??
那只要在回家前,由公司SSH下達下列指令
ssh -pxxxx -NfR 1234:172.21.61.226:22 username@nhome.mine.nu
xxxx=port number, 看家裡SSH PORT號是什麼就寫什麼?一般內定沒改就不用這個指令,但勸你一定要改,因為SSH是最常被攻擊的標的之一
1234 是遠端家中主機會被建立的連回PORT號,不一定要1234,只要大於1024,你隨便選一個吧,要16888也行,好聽吧,一路發發發
建立完成後,回到家
在家裡的SSH輸入以下指令
就能連回去了
ssh -p 1234 -l username localhost
這樣就成了,而且在遠端的機器裡輸入w指令,看到會是自己連自己,也不會看到由家裡連回來,因為本來就是走它自己連出去的TUNNEL繞回來滴..夠神秘吧
這個好玩
來去試試