假如你在生产环境有一个内网可访问的端口,Let’s say: 80,而且有生产机器的应用管理员权限。在这样的情况下,其实是可以做到从内网直接连接到线上环境任意端口的。链接SSH,链接数据库都不在话下。当然,安全性和便利性永远是不可调和的一对矛盾。为了避免有人用它来干坏事,我们也至少应当对这种方式有所了解。
x00 环境描述
假设有生产环境机器10.x.x.1。可在内网通过VIP:123.123.123.1访问80端口。
坏蛋拥有线上环境sudo权限,现在希望在生产环境中直接访问任意端口。
x01 访问SSH
root权限或者sudo执行以下命令……
sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 22
此命令将创立从80端口到22端口的路由转发。
# 在任意一台办公网的机器
ssh xxx@123.123.123.1 -p 80
x02 访问数据库
# 清除路由规则
sudo iptables -t nat -F
# 将80端口重定向至5432:PostgreSQL
sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 5432
# 将80端口重定向至6379:Redis
sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 6379
x03 结语
临时的远程调试,IDE开发需求可以短时间内使用这种方法。
但一定要记住,请一定只转发至有应用权限验证的端口。
用完之后必须及时恢复,不然安全会来找你喝茶的。
另外实验请限于内网端口,不要作死在对公网开放的端口上使用。