0%

iptables之端口转发

网上有很多文章写的是iptables通过nat模块进行端口映射,其实这是错误的概念,只是在ipables上做了来和回的2个forward而已。 因为有个项目要一个端口转发,而转发的还刚好是ssh端口。基本架构如下: A: 1.1.1.1 B: 公网地址 2.2.2.2 内网地址 10.10.10.2 C: 10.10.10.3 现在在B上面对10.10.10.3的22端口映射成2.2.2.2:3322端口。 当A ssh 到2.2.2.2:3322端口的时候每次都是通过2.2.2.2来进行内外网转发的。而A 得到的know_hosts里面的key也是真是10.10.10.3的公钥。但是在A的know_hosts文件里10.10.10.3的公钥对应的IP却是2.2.2.2,而不是10.10.10.3。.所以会出现一个情况,当你以后ssh 2.2.2.2的22端口的时候会提示key出错了。 这个也是没有办法的,A一直连接的都是2.2.2.2。 由于一般做forward的机器都是一个公网,一个内网,而tcpdump不能在混杂模式下监听所有端口,所以必须开2个tcpdump进程,后期再用wireshark进行merge后再进行分析。 从分析结果来看,只是在所有的连接中当中会多一步而已,而不会有其他更多的,key交换的时候也同样会进行forward的。

  • 本文作者: Timo
  • 本文链接: 3556.html
  • 版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!