NAT虽然带来了不少的好处,但是也增加了端对端直接通信的难度,NAT使得端对端的通信方式在某些场景下只能通过中转服务器进行交互。
今天给大家介绍一下NAT Server,包括NAT Server的原理、工作过程、配置(华为、思科、Juniper)。
前几天想弄一个FTP服无器好利便本人上传和下载文件,因为过去去网吧偶然候带着U盘,时常U盘忘记拔出带走。不过有一个很紧张的题目是,我是用的IP不是公网IP也即是说外网是走访不了我的计算机的,只能走访到路由器而我也只能通过路由器来与外界互换,因而想到了运用iis7服务器监控工具里的端口映射。
搞网络通信应用开发的程序员,可能会经常听到外网IP(即互联网IP地址)和内网IP(即局域网IP地址),但他们的区别是什么?又有什么关系呢?另外,内行都知道,提到外网IP和内网IP就不得不提NAT路由转换这种东西,那这双是什么鬼?本文就来简单讲讲这些到底都是怎么回事。
每个企业架构是不同的,网络工程师需要确定的东西很多,比如防火墙模式、交换机类型、网关位置等等。
ip地址逐渐紧缺,已经不能满足网络通信的需求,需要一个技术来对网络地址进行适度扩充。于是也就诞生了一种解决该地址危机的思路:NAT技术+公私网地址规定。
实体IP,它是独一无二的,在网络的世界里,每一部计算机的都有他的位置,一个 IP 就好似一个门牌!例如,你要去百度的网站的话,就要去『180.149.132.48』这个 IP 位置!这些可以直接在全世界互联上沟通的 IP 就被称为实体 IP
实体IP,它是独一无二的,在网络的世界里,每一部计算机的都有他的位置,一个 IP 就好似一个门牌
我们都知道,IPv4中的IP地址的数量是有限的(所以现在都在搞IPv6),每次把一部分地址分配出去,那么就意味着能够用来分配的IP地址就更少了,而且随着现在手机,电脑等的快速发展,如果每个手机或者电脑都要求一个IP地址,那么显然IP地址是不够用的。
Lcx是一个端口转发工具,有windows版和linux两个版本(linux版本名为protmap)
NAT(net address translation)网络地址转换,功能是为了实现内网访问公网的。我们知道,IPv4由于可用ip数量有限,不能满足于全球主机网络通信的需求,所以人们设计了内、公网分类的方式。即有些IP仅允许在企业内部局域网使用,不同企业的局域网允许使用相同的IP段。这些IP我们称之为内网IP,内网IP共有以下三大段:
Simple Traversal of UDP over NATs, NAT的UDP的简单穿越,是一种网络协议。是客户机-服务器的一种协议,由RFC 3489 定义。该协议定义了一些消息格式,大体上分为Request/Response。这个协议主要作用就是可以用来在两个处于NAT路由器之后的主机之间建立UDP通信。它允许位于NAT后的客户端找出自己的公网地址,确定自己位于的NAT是哪种类型,以及NAT为这个客户端的本地端口所绑定的对外端口。
上篇文章「为什么我们家里的IP都是192.168开头的?」提到,因为IPv4地址有限,最大42亿个。为了更好的利用这有限的IP数量,网络分为局域网和广域网,将IP分为了私有IP和公网IP,一个局域网里的N多台机器都可以共用一个公网IP,从而大大增加了"可用IP数量"。
端口转发是点对点的方式,代理是点对面的方式,如果我们只需要访问主机的特定的端口,使用端口转发就够了,但通常在渗透进内网之后,我们还需要对整个内网进行横向渗透,这时代理必然是一个高校的方法。代理分为正向代理和反向代理,正向代理常适用于外网可以直接访问到web服务器的情况下,反向代理适用于服务器可以出网,但是外部无法直接访问服务器的情况,针对大型企业,现在几乎都是CDN,负载均衡等设备,所以个人认为现在反向代理更常见于渗透攻击中。
自上海疫情开始已经整整一个月了,最开始学校通知居家办公大概是3月12号左右,当时还至少能出去逛逛吃个饭买点东西。记得有天下午我和学弟在学校附近吃了个晚饭,刚回到家就听说单元楼下被封起来了,说是单元里出了密接,我险些被封门外,然后连续做了几天核酸后解封了。好景不长,虽然上杨浦区算是相对比较安全的,而且我们小区之后也没有密接了,但是上海总体上是比较危险的,所以从4月1号开始要封城了,统统居家隔离。做了几次核酸和抗原自测后,我单元楼上莫名其妙的出了几个阳性,先是16楼,然后扩散到15、17、18,搞得人心惶惶,不过好在阳性的几个已经转移到方舱了,这几天小区里也没有出现新增。
局域网,是在你本机上,创建并开放IP端口,只允许同一个局域网下(多台设备串联也算)。
内网穿透你真的了解吗? http://zoo.zhengcaiyun.cn/blog/article/intranet-penetration
小型企业,一般就在路由器和防火墙之间二选一,不太会同时上两个设备,在他们眼里,防火墙和路由器都一样,无非就是用来上网,这么认为其实也的确无可厚非,因为现在的产品,边界越来越模糊,小型网络里面,用户要求不高,貌似选哪个都差不多。
假设我们有两台服务器处于同一内网中,但是我们只有一个公网IP 那么我们怎样在外部访问没有公网IP的服务器呢?
什么情况下需要端口转发: Web服务器在内网中,远程桌面无法连接,因此需要进行端口转发。 内网IP的80端口通过端口映射到外网IP的80端口上, 内网的WEB服务器通过外网IP反向代理,这个情况下需要进行端口转发 服务器处于外网,可以访问外部网络,但是服务器安装了防火墙来拒绝敏感端口的连接。 如何判断: ping该域名,是外网IP,但是通过WebShell执行命令查看IP又是内网的一个IP。 工具: lcx.exe:
端口是什么,我们在之前的文章里已经做了解释,请看《轻松理解网络端口是什么》,端口转发和端口映射都是为了解决内网主机的端口无法在外部直接访问而衍生出来的技术,通过中间服务器进行中转,将内部的端口映射到公网 IP 上或者将内部端口转发到外部服务器,供用户或者自己来使用,那么他们的区别是什么呢?
上一节中,我们讲解了网络层的隧道技术(IPv6 隧道、ICMP 隧道)和传输层的隧道技术(TCP 隧道、UDP 隧道、常规端口转发)。现如今,TCP、UDP 通信大量被防御系统拦截,传统的Socket隧道也已经濒临淘汰,DNS、ICMP、HTTP/HTTPS 等难以被禁用的协议已经成为了攻击者控制隧道的主要渠道。在这一节中,我们将对应用层的隧道 SOCKS 代理技术进行实验性的讲解,由于小编能力太菜,很多东东也是现学现卖,应用层的DNS隧道我会在未来专门写一个专题进行讲解。
*原创作者:ForWhat,本文属FreeBuf原创奖励计划,未经许可禁止转载 📷 前言 记得刚开始接触黑客技术的时候是2014年,那时候struts2漏洞利用工具正流行,当时也下载了一个玩玩,上传了很多的菜刀木马,不过这时候就有个问题:无法连接到被控制计算机的3389。 百度一下,原来对面的服务器是在内网中,没有做映射是连接不到的,但是可以借助一个工具进行端口转发来实现连接处于内网的3389服务器,原文链接(百度搜索lcx第一条出现的):http://sec.chinabyte.com
我们知道通过反向ssh可以借助有固定IP的外网服务器登陆没有外网IP的内网主机,但是我们在真正使用的时候可能不仅仅需要远程登陆,可能还会需要内网机器中其他端口提供的服务。比如现在我需要在远处利用Spark程序去操作内网机器里的分布式系统进行工作,这就至少需要调用内网机器的7077端口(默认的Spark调用端口)和9000端口(默认的hdfs端口)。那么这时候我们应当怎么处理呢?
NAT 是网络地址转换,这是一种协议,它为公共网络上的多台计算机提供了一种共享单个 Internet 连接的方法。
当今互联网到处存在着一些中间件(Middle Boxes),如NAT和防火墙,导致两个(不在同一内网)中的客户端无法直接通信. 这些问题即便是到了IPV6时代也会存在,因为即使不需要NAT,但还有其他中间件如防火墙阻挡了链接的建立. 目前部署的中间件多都是在C/S架构上设计的,其中相对隐匿的客户机主动向周知的服务端(拥有静态IP地址和DNS名称)发起链接请求. 大多数中间件实现了一种非对称的通讯模型,即内网中的主机可以初始化对外的链接,而外网的主机却不能初始化对内网的链接, 除非经过中间件管理员特殊配置.
在研究人员的渗透测试中,EW很好用,体积小,Linux为30kb左右,windows为56kb左右。EW是一套便携式的网络穿透工具,具有SOCKS v5服务架设和端口转发两大核心功能,可以在复杂的网络环境下完成网络穿透。
当我们在外网打下一个点,通过arp,netstat,以及ifconifg(ipconfig)等信息收集,发现此点为dmz,可通内网,那么这时候我们需要在此点上搭建通向内网的隧道,为内网渗透打下坚实基础。
最近遇到一个问题,就是过几天我需要离开学校,而且到时候仍然想登陆校园网里的一台服务器进行工作;但是我又没有校园网网关的操作权限,不能做端口映射,也不能搞到校园网内部主机的外网ip,而且学校自己提供的v**又根本没法用。研究了半天,总算找到了一个比较不错的利用反向ssh(reverse ssh tunnel)进行内网登陆的解决方案。
ssh隧道技术 1. 用ssh做正向连接 啥叫正向连接?就是client连上server,然后把server能访问的机器地址和端口(当然也包括server自己)镜像到client的端口上。 ssh -L [客户端IP或省略]:[客户端端口]:[服务器侧能访问的IP]:[服务器侧能访问的IP的端口] [登陆服务器的用户名@服务器IP] -p [服务器ssh服务端口(默认22)] 其中,客户端IP可以省略,省略的话就是127.0.0.1了,也就是说只能在客户端本地访问。服务器IP都可以用域名来代替。 举例说明:
打开3个解压文件夹的vmx文件,会自动打开Vmware,初始的密码都是:hongrisec@2019,我登陆时有的机器会提示我密码过期,更改密码即可。
公网IP是全球互联网上可路由的IP地址,用于标识网络中的设备。这些IP地址是全球唯一的,可以用来访问互联网上的资源。
可能你们会经常听到全球 IP(外网)和私有 IP(内网),他们的区别是什么呢?今天这篇文章来简单讲讲这到底是怎么回事。
传统的C/S结构是每个客户端均知道中心化的SERVER,由客户端主动与SERVER进行通信。
之前在一个项目中遇到了一个渗透环境,只能使用工具代理远程访问内网,于是便接触了FRP这款内网穿透工具,通过内网反向代理进行远程渗透测试。这篇文章就简单介绍如何实现FRP反向代理渗透,作为个人笔记方便以后查阅,也分享给大家提供参考。
这里我在另一台ubuntu(192.168.0.129)上上传frp并开启服务端进行演示
Chisel可用来搭建内网隧道,类似于常用的frp和nps之类的工具。由于目前使用的人比较少,因此对于有些杀软还不能准确的识别出该工具。chisel可以进行端口转发、反向端口转发以及Socks流量代理,使用go语言编写,支持多个平台使用,是进行内网穿透的一个鲜为人知的好工具。
随着前期说起的“百香果”内网沙盘的雏形初现,斗哥就开始了年底各种忙模式,终于得空给大伙儿再来唠唠我们的“百香果”内网安全沙盘,在本期文章中,斗哥将再给大家介绍一下进阶版的“百香果”。对,你们没有听错,就是进阶版----复杂拓扑的设计模拟,将会设计网络拓扑修改、防火墙规则设置、笔记本接入拓扑网络,拓扑网络连入真实互联网等。开篇前,按照惯例,展示一下“百香果”的网络拓扑图。
lcx.exe是一个端口转发工具,有Windows版和Linux版两个版本,Windows版是lcx.exe,Linux版为portmap,
01 NAT的作用 TITTLES (1)在一定程度上缓解 IP 地址空间枯竭的压力 (2)有效避免来自外网的攻击,可以很大程度上提高网络安全性(屏蔽私网 ip) (3)控制内网主机访问外网,同时也可以控制外网主机访问内网,解决了内网 和外网不能互通的问题 02 NAT工作原理 TITTLES (1)Basic NAT 方式属于一对一的地址转换,在这种方式下只转换 IP 地址,而不处理 TCP/UDP 协议的端口号,一个公网 IP 地址不能同时被多个私网用户使用
1.1远臻综合运维参数: 最佳操作系统位数:Microsoft Windows 2008中文版(Standard Server或Enterprise Server)建议使用64位操作系统,并安装最新系统补丁; CPU:Intel 处理器双核 2.0GHZ主频以上的处理器;建议8核以上; 内存:16GB以上内存,建议32GB以上; 硬盘:剩余磁盘空间:100GB以上 ,历史数据分析功能按实际情况,需另外存储空间,一般建议500G以上; 网卡:千兆; 支持数据库:Mysql、oracle(建议版本10g、11g)
市面上的免费内网穿透大都有格式各样的限制,什么限制流量啊,每个月要签到打卡啊,还有更改域名地址等,只有神卓互联内网穿透是永久免费没有限制的,白嫖也可以。
资产统计中你拿到巨多的ip,需要为每个ip统计详细到每个端口的信息时,你有没有经历过漫长的等待,看着nmap缓慢的百分比进度,简直想卸载了nmap。
TSINGSEE青犀视频主要专注于音视频流媒体产品的开发,2020年更是在产品线分类上,扩展到云-边-端协同解决方案的提供商。
c#实现P2P文件分享与传输系统 二、设计 - 续(NAT穿透) 首先要抱歉,因为这些日子较忙,没有写文章,这个系列拖了很久,现在开始继续。 上一篇文章介绍了p2p系统Tracker Server和Peer,以及文件描述符,本篇接着讲NAT Server的部分。由于p2p网络中使用udp报文,所以只介绍udp穿透。 1. NAT类型 NAT(Network Address Translation, 网络地址转换),是指在IP包通过路由设备时,修改其IP地址信息的技术。一般应用是,通过将内网地址转
如果是家用网络,边界光猫或者路由器上的配置基本上是一样的,无非填写用户名密码,选择拨号,然后开启DHCP,开启WIFI就OK了。
领取专属 10元无门槛券
手把手带您无忧上云