如何从开发环境直连线上(IPTables)-阿里云开发者社区

开发者社区> 数据库> 正文

如何从开发环境直连线上(IPTables)

简介:

假如你在生产环境有一个内网可访问的端口,Let’s say: 80,而且有生产机器的应用管理员权限。在这样的情况下,其实是可以做到从内网直接连接到线上环境任意端口的。链接SSH,链接数据库都不在话下。当然,安全性和便利性永远是不可调和的一对矛盾。为了避免有人用它来干坏事,我们也至少应当对这种方式有所了解。

x00 环境描述

假设有生产环境机器10.x.x.1。可在内网通过VIP:123.123.123.1访问80端口。
坏蛋拥有线上环境sudo权限,现在希望在生产环境中直接访问任意端口。

x01 访问SSH

root权限或者sudo执行以下命令……


  1. sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 22

此命令将创立从80端口到22端口的路由转发。


  1. # 在任意一台办公网的机器
  2. ssh xxx@123.123.123.1 -p 80

x02 访问数据库


  1. # 清除路由规则
  2. sudo iptables -t nat -F
  3. # 将80端口重定向至5432:PostgreSQL
  4. sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 5432
  5. # 将80端口重定向至6379:Redis
  6. sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 6379

x03 结语

临时的远程调试,IDE开发需求可以短时间内使用这种方法。
但一定要记住,请一定只转发至有应用权限验证的端口。
用完之后必须及时恢复,不然安全会来找你喝茶的。
另外实验请限于内网端口,不要作死在对公网开放的端口上使用。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
数据库
使用钉钉扫一扫加入圈子
+ 订阅

分享数据库前沿,解构实战干货,推动数据库技术变革

其他文章