端口转发

需求1： tomcat：192.168.2.149:8080 nginx：192.168.2.111:80 nginx实现反向代理，当用户访问nginx80端口时，把请求转发到tomcat8080端口。对外暴露nginx的ip端口，隐藏真实服务器的ip端口 [root@centos conf]# vi nginx.conf [root@centos conf]# ../sbin/nginx -s reload 来源： https://www.cnblogs.com/ddstudy/p/12547936.html

某厂面试归来，发现自己落伍了！>>> 在使用NAT的网络中，内部终端的IP地址为私网地址，发出去的IP包在NAT网关处进行地址转换，以公网地址与外部联系。在转换过程中，网关建立映射 表，并维护对应连接的状态。当来自公网的包返回时，按照目的地址查找映射表，找到对应的私网地址，然后再次转换后发送给内部终端。这样，映射表中条目的增 加是 由内部发往外部的数据流触发的。因此，如果外部想直接访问内部是不可能的。 在实际应用中，被NAT网关隐藏起来的内网很可能架设FTP服务器、HTTP服务器、邮件服务器等等，那么 如何从外部访问这些服务器呢？Port Forwarding提供了这样的机制。 Port Forwarding根据来自公网的IP包的端口，将其转发到指定的内部IP地址上。例如，一个NAT网关的WAN侧地址为123.4.5.6，内部架设 了一台FTP服务器，地址为192.168.0.8，端口21，及一台HTTP服务器，地址为192.168.0.9，端口8080NAT网关（可能是路 由器）上设置Port Forwarding规则： 若Inbound的IP包目的地址为123.4.5.6，端口21，则将其地址转换为192.168.0.8，端口21，然后向内网转发；若 Inbound的IP包目的地址为123.4.5.6，端口80，则将其地址转换为192.168.0.9，端口8080

iptables实现端口转发 Linux下iptables不仅可以用来做防火墙还可以用来做端口转发 示例： 将本机的8080端口转发至其他主机，主机IP：192.168.1.12，目标主机IP和端口：192.168.1.13:8088，规则如下 iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.13:8088 iptables -t nat -A POSTROUTING -p tcp -m tcp --dport 8088 -j SNAT --to-source 192.168.1.12 echo 1 > /proc/sys/net/ipv4/ip_forward #开启iptables forward转发功能。 tcp范围端口映射 iptables -t nat -A PREROUTING -p tcp --dport 2000:2500 -j DNAT --to 192.168.66.2:2000-2500 远程转发 iptables -A FORWARD -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -p tcp --sport 80 -j ACCEPT #把访问192.168.0

原文 by CH_vksec 最近尝试了一些内网端口的转发和内网穿透，现在一起总结一下。 0x01 正向和反向代理 正向代理中，proxy 和 client 同属一个 LAN，对 server 透明； 反向代理中，proxy 和 server 同属一个 LAN，对 client 透明。 实际上 proxy 在两种代理中做的事都是代为收发请求和响应，不过从结构上来看正好左右互换了下，所以把前者那种代理方式叫做正向代理，后者叫做反向代理。 正向代理 (Forward Proxy) Lhost－－》proxy－－》Rhost Lhost 为了访问到 Rhost，向 proxy 发送了一个请求并且指定目标是 Rhost，然后 proxy 向 Rhost 转交请求并将获得的内容返回给 Lhost，简单来说正向代理就是 proxy 代替了我们去访问 Rhost。 反向代理（reverse proxy） Lhost<--->proxy<--->firewall<--->Rhost 和正向代理相反（废话），Lhost 只向 proxy 发送普通的请求，具体让他转到哪里，proxy 自己判断，然后将返回的数据递交回来，这样的好处就是在某些防火墙只允许 proxy 数据进出的时候可以有效的进行穿透 简单区分 正向代理代理的是客户端，反向代理代理的是服务端，正向代理是我们自己 (Lhost) 戴套

内网渗透之端口转发、映射、代理 裁决 / 2019-09-18 09:22:14 / 浏览数 13714 渗透测试 渗透测试 顶(7) 踩(0) 端口转发&端口映射 0x01 什么是端口转发 端口转发（Port forwarding），有时被叫做隧道，是安全壳（SSH）为网络安全通信使用的一种方法。端口转发是转发一个网络端口从一个网络节点到另一个网络节点的行为，其使一个外部用户从外部经过一个被激活的NAT路由器到达一个在私有内部IP地址（局域网内部）上的一个端口。 普通话：端口转发就是将一个端口，这个端口可以本机的端口也可以是本机可以访问到的任意主机的端口，转发到任意一台可以访问到的IP上，通常这个IP是公网ip 0x02 什么是端口映射 端口映射是NAT的一种，功能是把在公网的地址转翻译成私有地址， 采用路由方式的ADSL宽带路由器拥有一个动态或固定的公网IP，ADSL直接接在HUB或交换机上，所有的电脑共享上网。 普通话：就是映射端口，就是将一个内网端口映射到公网上的某个端口，假设我自己的电脑是在内网中，没有公网 IP，但是我想提供一个端口供其他人使用，这就是端口映射 0x03 区分端口映射和端口转发 端口映射场景： 外网主机A想访问内网主机B上的服务 端口转发场景： 外网主机A已经可以任意内网主机B上的端口，但是无法访问内网主机C上的端口 此时可以将C主机的端口到B主机的端口

1.Zookeeper简介 Zookeeper是一个分布式服务框架，以前是Apache Hadoop 的一个子项目，现在是Apache的一个独立顶级项目，它主要是用来解决分布式应用中经常遇到的一些数据管理问题，如：统一命名服务、状态同步服务、集群管理、分布式应用配置项的管理等。有关分布式的相关问题请查阅上篇博客： 分布式系统问题及解决方案 2.设计目标 ZooKeeper简单。ZooKeeper允许分布式进程通过共享的分层名称空间相互协调，该命名空间的组织方式类似于标准文件系统。名称空间由数据寄存器（在ZooKeeper看来，称为znode）组成，它们类似于文件和目录。与设计用于存储的典型文件系统不同，ZooKeeper数据保留在内存中，这意味着ZooKeeper可以实现高吞吐量和低延迟数。 ZooKeeper特性还包括高性能、高可用性、严格有序。ZooKeeper的性能方面意味着它可以在大型的分布式系统中使用。可靠性方面使它不会成为单点故障。严格有序意味着可以在客户端上实现复杂的同步原语。 ZooKeeper可复制。像它协调的分布式进程一样，ZooKeeper本身也可以在称为集合的一组主机上进行复制。组成ZooKeeper服务的服务器都必须彼此了解。它们维护内存中的状态图像，以及持久存储中的事务日志和快照。只要大多数服务器可用，ZooKeeper服务将可用

1.配置文件相关命令 [Quidway]display current-configuration //显示当前生效的配置 [Quidway]display saved-configuration //显示flash中配置文件，即下次上电启动时所用的配置文件 <Quidway>reset saved-configuration //重置旧的配置文件 <Quidway>reboot //交换机重启 <Quidway>display version //显示系统版本信息 2.基本配置 [Quidway]super password //修改特权用户密码 [Quidway]sysname //交换机命名 [Quidway]interface ethernet 0/1 //进入接口视图 [Quidway]interface vlan x //进入接口视图 [Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 //配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 //静态路由＝网关 2.基本配置 [Quidway]super password //修改特权用户密码 [Quidway]sysname //交换机命名 [Quidway]interface

从零开始入门 K8s | Kubernetes 网络模型进阶 https://www.kubernetes.org.cn/6838.html 2020-03-03 13:57 alicloudnative 分类： Kubernetes教程/入门教程 阅读(1130) 评论(0) 作者 | 叶磊（稻农）阿里巴巴高级技术专家 导读：本文将基于之前介绍的 基本网络模型 ，进行更深入的一些了解，希望给予读者一个更广更深的认知。首先简单回顾一下容器网络的历史沿革，剖析一下 Kubernetes 网络模型的由来；其次会剖析一个实际的实现（Flannel Hostgw），展现了数据包从容器到宿主机的变换过程；最后对于和网络息息相关的 Servcie 做了比较深入的机制和使用介绍，通过一个简单的例子说明了 Service 的工作原理。 Kubernetes 网络模型来龙去脉 容器网络发端于 Docker 的网络。Docker 使用了一个比较简单的网络模型，即内部的网桥加内部的保留 IP。这种设计的好处在于容器的网络和外部世界是解耦的，无需占用宿主机的 IP 或者宿主机的资源，完全是虚拟的。它的设计初衷是：当需要访问外部世界时，会采用 SNAT 这种方法来借用 Node 的 IP 去访问外面的服务。比如容器需要对外提供服务的时候，所用的是 DNAT 技术，也就是在 Node 上开一个端口，然后通过

从2016年起就开始接触Consul，使用的主要目的就是做服务发现，后来逐步应用于生产环境，并总结了少许使用经验。最开始使用Consul的人不多，为了方便交流创建了一个QQ群，这两年微服务越来越火，使用Consul的人也越来越多，目前群里已有400多人，经常有人问一些问题，比如： 服务注册到节点后，其他节点为什么没有同步？ Client是干什么的？（Client有什么作用？） 能不能直接注册到Server？（是否只有Server节点就够了？） 服务信息是保存在哪里的？ 如果节点挂了健康检查能不能转移到别的节点？ 有些人可能对服务注册和发现还没有概念，有些人可能使用过其它服务发现的工具，比如zookeeper，etcd，会有一些先入为主的经验。这篇文章将结合Consul的官方文档和自己的实际经验，谈一下Consul做服务发现的方式，文中尽量不依赖具体的框架和开发语言，从原理上进行说明，希望能够讲清楚上边的几个问题。 为什么使用服务发现 防止硬编码、容灾、水平扩缩容、提高运维效率等等，只要你想使用服务发现总能找到合适的理由。 一般的说法是因为使用微服务架构。传统的单体架构不够灵活不能很好的适应变化，从而向微服务架构进行转换，而伴随着大量服务的出现，管理运维十分不便，于是开始搞一些自动化的策略，服务发现应运而生。所以如果需要使用服务发现，你应该有一些对服务治理的痛点。

SSL ***背景  企业出差员工，需要在外地远程办公，并期望 能够通过Internet随时随地的远程访问企业内部资源 。同时，企业为了 保证内网资源的安全性 ，希望能对移动办公用户进行多种形式的身份认证， 并对移动办公用户可访问内网资源的权限做精细化控制  IPSec、L2TP等先期出现的***技术虽然可以支持远程接入这个应用场景，但这些***技术的组网不灵活；移动办公用户 需要安装指定的客户端软件（SecoClient） ，导致网络部署和维护都比较麻烦； 无法对移动办公用户的访问权限做精细化控制  SSL ***作为新型的 轻量级 远程接入方案，可以有效地解决上述问题，保证移动办公用户能够在企业外部安全、高效的访问企业内部的网络资源  FW作为企业出口网关连接至Internet，并向移动办公用户（即出差员工）提供SSL ***接入服务。移动办公用户使用终端（如便携机、PAD或智能手机）与FW建立SSL ***隧道以后，就能通过SSL ***隧道远程访问企业内网的Web服务器、文件服务器、邮件服务器等资源 传统***存在的问题  IPSec ***可安全 、稳定地在两个网络间传输数据，并保证数据的完整无缺，适用于处理总公司与分公司之间的信息往来及其他 Site-to-Site 应用场景 由于IPSec是基于网络层的协议，很难穿越NAT和防火墙