Tuesday, November 28, 2006
[Security] PuTTY - SSH Tunnel Usage
之前就有使用SSH Tunnel的相關應用,只是一直偷懶沒有記錄在Blog裡頭,在網路上看到Jamyy這位仁兄的文章,整理得很棒,將文章轉載於底下。.文章出處:
Jamyy's Weblog -> PuTTY - SSH Tunnel 運用備忘
.相關好文收錄:
heath's Daemon Castle : sshd on win32
※文章開始:
PuTTY除了能讓 Windows 平台以 ssh 通訊協定連入 Unix-Like 作業系統之外, ssh 連線後的通道還能達成許多目的, 如: 突破防火牆封鎖、防止網路封包竊聽、遠端存取防火牆內資源等等. 例如員工出差透過 ssh 安全通道連回公司存取資料, 以確保資料安全.
常見的 SSH Tunnel 運用如下:
- 透過 proxy 安全上網、讓 msn 突破防火牆封鎖
- 連入 smtp、pop3、vnc (遠端桌面)、samba (網路上的芳鄰)
ssh server 環境:
- Unix-Like 作業系統 + ssh daemon
- Windows 作業系統 + cygwin with sshd
- 內建 sshd 的 IP 分享器
client pc 環境:
- 下載 PuTTY, 將 putty.exe 置於 C:\Windows\System32 目錄中, "開始"→"執行" 或 "命令提示字元模式" 中輸入 putty 即可執行
實例一: 使用 proxy (代理伺服器)
目的: 避免被監聽 URL、蒐集密碼
↓啟動 PuTTY, 輸入 sshd host 網址
↓切換到 Connection -> SSH -> Tunnels 畫面, 輸入 Source port: 8080 (自訂), Destination: proxy server 的 IP 和 Port, 輸入完畢記得按 "Add"
↓如有需要, 可回到 Session 畫面儲存 (Save) 設定值, 以後執行 PuTTY 時可直接讀取 (Load) 設定值. 在任何畫面按 "Open" 即可以目前設定進行連線.
↓登入 sshd host 後, 將視窗縮到最小, 保持 ssh 連線
↓開啟瀏覽器, 設定 proxy 為: localhost:8080 以 IE 為例: 工具→網際網路選項→連線→區域網路設定
設定完畢回到瀏覽器主畫面, 開始透過 ssh 安全通道瀏覽網頁
實例二: MSN Messenger
目的: 突破公司防火牆限制、避免被側錄聊天內容
↓PuTTY 設定: Source port: 1080; Destination: 空白, Dynamic 設定完畢記得按 "Add" (其他 PuTTY 操作同上述)
↓MSN Messenger 設定: 工具→選項→連線→進階設定→只勾選 SOCKS 5 版, 伺服器: localhost, 連接埠: 1080
實例三: Outlook Express
目的: 避免被攔截信件內容、蒐集密碼
↓PuTTY 依序設定: Source: 25, Destination: smtp.host.ip:25; Source: 110, Destination: pop3.host.ip:110 (都是 Local)
↓Outlook Express 設定: POP3: localhost; SMTP: localhost
實例四: 網路上的芳鄰
目的: 存取遠端檔案分享資源
↓新增硬體: 網路介面卡 -> Microsoft -> Microsoft Loopback Adapter
↓取消勾選 "File and Printer Sharing for Microsoft Networks", 點選 "Internet Protocol (TCP/IP)" -> "內容" 進行下一步設定
↓設定 Loopback Adapter IP 位址為: 10.0.0.1 / 255.255.255.0, 點選 "進階" 進行下一步設定
↓點選 "停用 [NetBIOS over TCP/IP]", 按確定完成所有設定後, 重新啟動電腦.
↓PuTTY 設定: Source port: 10.0.0.1:139; Destination: samba.server.ip:139 或 其他 windows 分享電腦 : 埠號 139
↓連線網路磁碟機: 直接把 10.0.0.1 當成一般 Windows 分享電腦即可
後記:
- 若遭防火牆擋 22 port, 可將 ssh server 改成 80 port
- 若要防止公司內部人員使用 PuTTY + ssh 通道搞怪, 可於 Linux NAT + Layer 7 防火牆 擋掉 ssh 通訊協定:
iptables -A FORWARD -m layer7 --l7proto ssh -j DROP
參考資料:
1 Comment:
When: December 27, 2006 12:41 PM
您可留下您的意請輸入上圖所見符號。 見 以使用某些 HTML 標記
Plz Post a Comment / 拜託你留個言啦...^^"