如何从开发环境直连线上(IPTables)

简介:

假如你在生产环境有一个内网可访问的端口,Let’s say: 80,而且有生产机器的应用管理员权限。在这样的情况下,其实是可以做到从内网直接连接到线上环境任意端口的。链接SSH,链接数据库都不在话下。当然,安全性和便利性永远是不可调和的一对矛盾。为了避免有人用它来干坏事,我们也至少应当对这种方式有所了解。

x00 环境描述

假设有生产环境机器10.x.x.1。可在内网通过VIP:123.123.123.1访问80端口。
坏蛋拥有线上环境sudo权限,现在希望在生产环境中直接访问任意端口。

x01 访问SSH

root权限或者sudo执行以下命令……

 
  1. sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 22

此命令将创立从80端口到22端口的路由转发。

 
  1. # 在任意一台办公网的机器
  2. ssh xxx@123.123.123.1 -p 80

x02 访问数据库

 
  1. # 清除路由规则
  2. sudo iptables -t nat -F
  3. # 将80端口重定向至5432:PostgreSQL
  4. sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 5432
  5. # 将80端口重定向至6379:Redis
  6. sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 6379

x03 结语

临时的远程调试,IDE开发需求可以短时间内使用这种方法。
但一定要记住,请一定只转发至有应用权限验证的端口。
用完之后必须及时恢复,不然安全会来找你喝茶的。
另外实验请限于内网端口,不要作死在对公网开放的端口上使用。

目录
相关文章
|
17天前
|
人工智能 JavaScript 前端开发
实战使用 Qwen3-coder 低代码开发 HTML 个人网站
阿里巴巴开源的Qwen3-coder模型,凭借强大性能和低代码能力,助力用户快速搭建个人网站。本文详解环境配置、提示词设计与部署流程,适合编程新手快速上手,掌握AI辅助开发技能。
1141 8