Câu hỏi
Làm cách nào để bạn chuyển tiếp một cổng phụ 1024 có đặc quyền sang một cổng 1024+ không có đặc quyền với tường lửa?
Nguyên nhân
Tại sao chúng ta đang làm điều này? Chúng tôi muốn có thể chuyển đổi cổng 1050 không có đặc quyền trên cổng và sử dụng một máy chủ thư ngược dòng khác. Ví dụ: để kiểm tra một giải pháp thư rác khác, hãy sử dụng cổng 1051 để gửi thư đến một máy chủ thư khác có giải pháp lọc thư rác khác.
Các máy chủ thư tự động kết nối với cổng khi chúng khởi động. Kết nối tự động chỉ có thể xảy ra trên các cổng không có đặc quyền là 1024+.
Bố cục và thiết lập
Cách trình bày
+---------+ +---------------------+ +---------------- +
| mạng LAN | | 1050 | <-| |
| Khách hàng | | Cổng | \ | Máy chủ thư |
| | <---> | 25 | -> | 25 |
+---------+ +---------------------+ +---------------- +
Thiết lập tường lửa
Xóa tường lửa, mở cổng, đặt cổng chuyển tiếp và thêm một vài dịch vụ.
root@gateway:~# tường lửa-cmd --reload
root@gateway:~# tường lửa-cmd --zone=public --add-port=25/tcp
root@gateway:~# tường lửa-cmd --zone=public --add-forward-port=port=25:proto=tcp:toport=1050
root@gateway:~# tường lửa-cmd --add-service={http,https,smtp}
Xác minh tường lửa
Xác nhận cài đặt tường lửa...
root@gateway:~# tường lửa-cmd --list-all
công khai (đang hoạt động)
mục tiêu: mặc định
icmp-block-đảo ngược: không
giao diện: etho0
nguồn:
dịch vụ: dhcpv6-client http https smtp ssh
cổng: 25/tcp
giao thức:
hóa trang: không
cổng chuyển tiếp: port=25:proto=tcp:toport=1050:toaddr=
cổng nguồn:
khối icmp:
Quy tắc phong phú:
Đây là những gì chúng tôi mong đợi sẽ thấy trong các quy tắc tường lửa.
Kết quả
Đây là những gì chúng tôi nhận được khi telnet máy chủ thư ngược dòng trên cổng...
root@gateway:~# telnet localhost 1050
Đang thử 127.0.0.1...
Đã kết nối với máy chủ cục bộ.
Ký tự thoát là '^]'.
220 debian10email.debian10email ESMTP Postfix (Debian/GNU)
Đây là những gì chúng tôi nhận được từ một máy khách từ xa ...
client@client123:~$ telnet gateway.example.org 25
Đang thử <IP_of_gateway>...
Đã kết nối với gateway.example.org.
Ký tự thoát là '^]'.
Chúng tôi đang mong đợi để xem 220 debian10email.debian10email ESMTP Postfix (Debian/GNU) dòng, nhưng không.
Kiểm tra sự tỉnh táo...
Các bài kiểm tra
Chỉ để xác nhận các quy tắc chuyển tiếp cổng đang được viết chính xác, chúng tôi...
- Mở cổng 1025 trên tường lửa.
- Chuyển tiếp cổng 1025 đến 1050
- Và sau đó kiểm tra những gì chúng tôi thấy trên máy khách từ xa.
Điều chỉnh tường lửa
Xóa tường lửa, mở cổng, đặt cổng chuyển tiếp và một số dịch vụ.
root@gateway:~# tường lửa-cmd --reload
root@gateway:~# tường lửa-cmd --zone=public --add-port=1025/tcp
root@gateway:~# tường lửa-cmd --zone=public --add-forward-port=port=1025:proto=tcp:toport=1050
root@gateway:~# tường lửa-cmd --add-service={http,https,smtp}
Xác minh tường lửa
root@gateway:~# tường lửa-cmd --list-all
công khai (đang hoạt động)
mục tiêu: mặc định
icmp-block-đảo ngược: không
giao diện: etho0
nguồn:
dịch vụ: dhcpv6-client http https smtp ssh
cổng: 1025/tcp
giao thức:
hóa trang: không
cổng chuyển tiếp: port=1025:proto=tcp:toport=1050:toaddr=
cổng nguồn:
khối icmp:
Quy tắc phong phú:
Kết quả
client@client123:~$ telnet gateway.example.org 1025
Đang thử <IP_of_gateway>...
Đã kết nối với gateway.example.org.
Ký tự thoát là '^]'.
220 debian10email.debian10email ESMTP Postfix (Debian/GNU)
chúng tôi có dự kiến 220 debian10email.debian10email ESMTP Postfix (Debian/GNU) dòng, vì vậy tường lửa đang chuyển tiếp cổng như mong đợi.
Phần kết luận
Chuyển tiếp giữa các cổng có đặc quyền và không có đặc quyền khác với chuyển tiếp giữa các cổng không có đặc quyền.
Làm cách nào để chúng tôi chuyển tiếp một cổng phụ 1024 có đặc quyền sang một cổng 1024+ không có đặc quyền với tường lửa trên Debian 10 Buster? Nếu có một câu trả lời ở đâu đó, xin vui lòng chỉ ra nó.Chúng tôi đã không thể tìm thấy nó.
