堡垒机上内网 socket 访问端口_mobaxterm socket

问题

我们在家中， 只能访问堡垒机/代理服务器。 想访问内网的web页面 ，往往需要申请IP和端口的权限， 不够方便。

如何实现，能够登录一台服务器的 ssh ，就可以访问服务器的所有端口

解决方案：ssh socket代理

堡垒机

即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、及时处理及审计定责。

也把堡垒机称为跳板机，简易的跳板机功能简单，核心功能是远程登录服务器和日志审计，但堡垒机还有资产管理（CMDB）、监控及用户权限等功能。

目前比较优秀的开源软件有Jumpserver、Teleport、GateOne、CrazyEye等；商业的堡垒机功能更为强大，有齐治、Citrix XenApp等。

搭建堡垒机的条件是，该机器有公网ip和内网ip，其中内网和其他机器互通。

代理

网络上常见的HTTP代理IP实际上是由代理服务器实现的

Intranet客户端向ServerC发出请求。服务器A(代理服务器HTTP)不包含缓存中请求的信息，因此请求通过防火墙传递到服务器B(代理服务器HTTP/FTP)。

服务器B有HTTP和FTP协议，可以将HTTP请求改为FTP请求。接收FTP请求后，服务器C将请求信息传送到服务器B。服务器B依次应用HTTP协议将完成的请求传递给内部网络客户端。这些请求是通过防火墙和服务器A发送的，请求被缓存并提供给内部网客户机。

要求通过代理链传递的原因各不相同。例如，能够应用代理连接通过多个网络传递信息，而在其中一个网络上的客户机无法直接与代理服务器进行通信，因此需要第二个代理服务器中继其请求。你也可以应用它来缓存来自多个地方的信息，或者允许某些不允许通过防火墙的协议被应用到防火墙之外。

本机设置自动代理

连接公司 vpn / 代理服务器后，需要进行网络的设置

方式一

打开 IE 浏览器，按 ALT+X 打开菜单，点击 Internet 选项，然后点击 连接 选项卡。

点击 局域网设置

勾选 自动检测设置，然后保存即可。

方式二

注意

在 `internet属性` 中也可以设置`socks代理`
但是在 internet属性中设置了代理`会影响所有的浏览器`，而且`不方便切换`
1
2

打开internet属性窗口，选择连接，打开局域网设置

点击 高级

填写地址与端口。每层 点击确定。

ssh相关选项

-q   安静模式
-T   不分配tty
-V	 现实版本
-f	 输入密码后进入后台模式
-N 	 不执行远程命令,用于端口转发
-D 	 socket5代理
-L	 tcp转发  -L X:Y:Z的含义是，将IP为Y的机器的Z端口通过中间服务器映射到本地机器的X端口
-C 	 使用数据压缩,网速快时会影响速度
1
2
3
4
5
6
7
8

ssh socket隧道代理

参考SSH隧道技术----端口转发，socket代理

ssh-clinet的大多数用途为远程登录一台Linux服务器，但是ssh的强大功能远不止这些，ssh是与另外一台有sshd服务的主机之间建立一个数据隧道，其中隧道是双向的，可以进行数据双向传输

正向隧道 隧道监听本地port,为普通活动提供安全连，即socket代理
ssh -qTfnN -L port:host:hostport -l user remote_ip

反向隧道 隧道监听远程端口，将内网机器端口暴露到外网访问
ssh -qTfnN -R port:host:hostport -l user remote_ip
1
2
3
4
5

条件：一个ssh账户，可以连接到一台Linux服务器

cmd 命令 + 浏览器

使用以下命令后，通过 server:服务port  访问服务
ssh -f -N -D bindaddress:port name@server

ssh -f -N -D 127.0.0.1:81 name@server
ssh -D 127.0.0.1:81 name@server -p 服务器端口
1
2
3
4
5

bindaddress ：指定绑定ip地址
port ： 指定侦听端口
name： ssh服务器登录名
server： ssh服务器地址
1
2
3
4

使用正向隧道搭建socket5服务
ssh -D 7000 root@202.102.1.1

为了让数据传输更加稳定，不会因为错误退出，以及压缩传输等，需要增加几个参数
ssh -qTfnN -D 7000 root@202.102.1.1
1
2
3
4
5

浏览器支持socket5代理-firefox

对于支持socket5代理的浏览器， 直接配置代理，便可直接上内网了。 例如firefox

浏览器不支持socket5代理-chorme

1 建立HTTP代理
由于大部分浏览器不支持Socket5，所以需要将Socket5转换为HTTP，这样就得借助工具Privoxy

下载(exe文件) privoxy

安装后配置： C:\Program Files (x86)\Privoxy\config.txt

• 添加配置，建立转换： forward-socks5 / 127.0.0.1:81 . （最后这个点一定不能漏掉）
• 修改http监听端口：listen-address 127.0.0.1:8118
  如此就在端口8118建立了http 代理

2 为浏览器配置HTTP代理

chrome代理插件：SwitchyOmega（参考下面）

xshell 连接

Local (Outgoing) 把远程端口映射到本地

源主机是请求端本地主机地址（任何可访问本机的IP或域名均可）
侦听端口必需为当前本地未占用端口（最终Xshell都会在本地
生成一个监听127.0.0.1地址加指定端口的进程）
目标主机是远程服务器主机地址（任何可访问服务器的IP或域名均可）
目标端口为服务器已经启动的服务端口号。

当本地请求指定端口时，会被映射到服务器指定服务端口上处理，并且不受协议类型限制。

如果只限本机连接操作可勾选 【仅接受本地连接】，否则其它能访问本地主机的三方主机也可通过访问本地进入服务器，存在安全问题。

Remote (Incoming) 把本地端口映射到远程

源主机是请求端远程服务器主机地址（任何可访问服务器的IP或域名均可）
侦听端口必需为当前服务器未占用端口（最终Xshell 都会在服务器生成一个监听127.0.0.1地址加指定端口的进程）
目标主机是本地主机地址（任何可访问本机的IP或域名均可）
目标端口为本地已经启动的服务端口号。

当远程服务器请求指定端口时，会被映射到本地主机指定端口上处理，并且不受协议类型限制。

如果只限操作本地连接可勾选 【仅接受本地连接】，否则其它能连接服务器的主机可以通过SSH访问服务进入本地主机，存在安全问题。

使用 Dynamic (SOCKS4/5) socket代理

1 使用xshell，ssh连接到Linux服务器
点击查看，选择隧道窗格，随后xshell，最下面就会显示隧道窗口，最底部。

点击到转移规则上，右击添加，类型选择SOCK5，端口设置一个未占用的端口，然后点击确定。

等设置好了以后最下面的状态是打开的，就表示已经设置成功了，此时我们可以在IE中添加添加，当然了也可以使用代理工具来

用SwitchyOmega来进行演示

点击SwitchyOmega的选项，选择新建情景模式，代理协议选择SOCK5，代理服务器设置为127.0.0.1，端口设置为刚刚在Xshell中设置的端口，把下面不代理的地址列表中的127.0.0.1去除掉，最后点击右下角的应用选项即可
在浏览器中选择刚刚设置的代理，然后访问 服务器中的服务

mobaxterm socket 隧道

ssh 连上服务器


点击 start 即可打开隧道

Proxifier和隧道进行全局代理和部分代理

添加代理服务器

安装完成Proxifier，需要先配置代理服务器，地址和端口和开启的socket隧道保持一致，点击菜单中的配置文件->代理服务器，添加一个代理服务器

添加完成后，点击检查，如果显示测试已通过说明配置没有问题，否则需检查配置参数

设置代理规则

点击配置文件->代理规则，添加代理规则

默认的两条规则

部分代理

需要根据实际情况添加第二条代理规则，可以参照下图示例

默认规则动作选择Direct选项

direct 是直接连接，proxy sockets 是通过设置的代理连接
1

全局代理

只需要设置第一条和最后一条默认规则即可，默认规则动作选择添加的代理服务，如下图

问题

mobaxterm 隧道start打不开，等几秒自动stop

把所有使用隧道端口 的 pid 都 kill，不行的话 把占用隧道端口的程序退出，重新 start 隧道即可

netstat -ano | findstr 1080  
taskkill -pid pid

强制关闭
taskkill -pid pid -f 
taskkill -pid pid /f
1
2
3
4
5
6