伺服器如何埠復用
『壹』 H3C 3100如何配置光電復用埠
combo enable fiber
有些路由器和交換機的埠是光電復用的,即combo口,默認情況下,開的是電口,我們需要打光口的開關打開。
inter g 0/0/1
combo enable fiber
交換的操作更簡單了,只需要把那個電口用關掉,則對應的光口就起來了。
inter g 1/0/22
shutdown
假始22口對應的光口是25,那麼此時,25號光口就可以用了。
『貳』 PAT埠復用技術是如何實現的
PAT是NAT轉換中的一種,他就是NAT的一種特例,正常情況下NAT是一個內網IP對應一個公網地址池裡面的地址,在PAT的情況下,內網所有的IP全部訪問公網用的IP就是你路由器出公網的那一個IP,怎麼分辨這些IP誰是誰,可以在訪問出去的時候為每次IP加上埠號,這樣就能分辨了,純手打望採納
『叄』 什麼是埠復用技術
埠復用技術
二)防火牆滲透
以上我們簡單的介紹了防火牆的原理,分類,優缺點等。下面,我們將對防火牆的滲透技術做一下簡單的介紹。
精心配置過的防火牆固然將讓絕大多數crackers擋在外圍,掌握網路控制的主動權,但是,防火牆並不是萬能的,我們也在上一節的內容中簡單的講了防火牆的缺點。沒有任何一樣網路產品可以說是絕對安全的。綠盟的san的一篇的文章介紹了滲透防火牆的shellcode,有興趣的朋友可以參考一下:http://www.winnerinfo.net/infoview.asp?Kind=145&ID=529 ,我在這里想再提起「通道技術」。
說到通道技術,我想再提一下「埠復用」,很多朋友以為通道技術就是埠復用技術。那麼,錯了,埠復用是指一個埠上建立了多個連接,而不是在一個埠上面開放了多個服務而互不幹擾。假如你想在已經開放了WWW服務的主機上,在80埠再添加一項服務,只有2種可能:1.添加服務失敗 2.WWW服務出錯。那麼什麼是通道呢?這里所謂的通道,是指一種繞過防火牆埠屏蔽的通訊方式。防火牆兩端的數據包封裝在防火牆所允許通過的數據包類型或是埠上,然後穿過防火牆與處在防火牆後面的主機通訊,當封裝的數據包到達目的地時,再將數據包還原,並將還原後的數據包交送到相應的服務上,是在一個埠上面開放了多個服務而互不幹擾的。
為了通信,不論是什麼防火牆,都不可能把所有的服務,所有的埠都封閉。(如果有那樣的防火牆,還不如拔網線來的直接,呵呵)大多數的防火牆或多或少都要開放一個埠或服務(比如HTTP),只要開放了埠和服務,就給了我們滲透的可能。HTTP是一種比較簡單而常用的互交式協議,你給伺服器發送一個請求,伺服器就返回給你一個回應。幾乎所有的主機都被允許發送HTTP請求。網路上HTTP協議使用的是如此廣泛,這也決定了我們可以通過使用通道技術而輕松的通過防火牆或其他類似設備而將我們需要的數據發送至目標。一個很典型的例子就是http-tunnel.
在http-tunnel的官方網站http://www.http-tunnel.com上有這么一句話:「http-tunnel在HTTP請求中建立了一個雙向的虛擬數據連接。HTTP請求可以經過代理而被發送,這就可以被那些處在限制了埠的防火牆背後的用戶使用。如果通過HTTP代理的WWW瀏覽是被允許的,那麼http-tunnel也就可以成立,也就是說,可以在防火牆外telnet或者PPP到防火牆的內部。」這樣看來,攻擊者可以使用這種技術來實現遠程式控制制。我們來看看http-tunnel的設計思路:
A主機在防火牆的外面,沒有做任何限制。B主機在防火牆內部,受到防火牆保護,防火牆配置的訪問控制原則是只允許80埠的數據進出,但主機開放了telnet服務。現在假設需要從A系統Telnet到B系統上去,怎麼辦?使用正常的telnet肯定是不可能了,因為telnet使用的23埠被防火牆屏蔽,防火牆收到這個telnet的包後,發現不符合只允許80埠的數據通過的過濾原則,就丟棄了。但我們知道可用的有80埠,那麼這個時候使用Httptunnel通道,就是一個好的辦法,思路如下:
在A機器上運行tunnel的客戶端,讓它偵聽本機的一個不被使用的任意指定埠(最好是1024以上65535以下),如,8888。同時將來自8888埠上的數據指引到B機的80埠上,因為是80埠,防火牆是允許通過的。然後在B機上起一個服務端,(在只有80埠對外開放的情況下,只能先得到一個WEBSHELL,想辦法提升自己的許可權,並運行服務端)同樣掛接在80埠上,同時指引80埠的來自客戶端的轉發到本機的telnet服務埠23,這樣就OK了。現在在A機上telnet本機埠8888,根據剛才的設置數據包會被轉發到目標埠為80的B機,因為防火牆允許通過80埠的數據,因此數據包暢通的穿過防火牆,到達B機。此時B機在80埠偵聽的進程收到來自A的數據包,會將數據包還原,再交還給telnet進程。當數據包需要由B到A返回時,將由80埠再回送,同樣可以順利的通過防火牆。
上述功能似乎用埠映射也能做的到,把A主機上的23埠重定向到80埠,再把B主機上的80埠重定向到23埠就行了。但如果B主機已經開啟了WWW服務了呢?要使用上述功能,使用埠映射必須犧牲B主機的80埠,這是得不償失的。試想在一次滲透防火牆的對某台主機的攻擊中,把別人本來已經開啟的WWW服務DOWN了,你還能在這台主機上呆多久?但是,使用http-tunnel就可以完美實現,即使B主機已經開放80,提供WWW,我們也照樣可以發送telnet到其80埠上,享受到「正版」的telnet服務。
對於通道技術,我們的解決方案是採用應用層的數據包檢測技術,因為在正常的HTTP請求中,GET、POST等行為是必不可少的,如果來自一個連接的HTTP請求中,總是沒有GET、POST,那麼這個連接肯定有問題。從而終止此連接。現在已經有公司的IDS產品能夠查出隱藏在80中的tunnel,但是這些IDS產品的費用恐怕也不是中小型企業能承受的了的。
對於防火牆的滲透,還有一些方法,比如找防火牆本身的設計缺陷等等,但那些難度太大。恐怕不是我們應該考慮的了。
訪問控制列表介紹
訪問控制列表(ACL)是應用在路由器介面的指令列表。這些指令列表用來告訴路由器哪能些數據包可以收、哪能數據包需要拒絕。至於數據包是被接收還是拒絕,可以由類似於源地址、目的地址、埠號等的特定指示條件來決定。訪問控制列表從概念上來講並不復雜,復雜
『肆』 NAT埠多路復用
靜態
地址轉換
+埠復用地址轉換
interface
fastethernet
0/0
ip
address
10.18.100.1
255.255.0.0
//定義區域網口IP地址
plex
auto
speed
auto
ip
nat
inside
//定義區域網口
!
interface
fastethernet0/1
ip
address
211.82.220.81
255.255.255.248
//定義廣域網口IP地址
plex
auto
speed
auto
ip
nat
outside
//定義廣域網口
!
ip
nat
pool
every
211.82.220.86
211.82.220.86
netmask
255.255.255.248
//定義合法IP地址池
access-list
1
permit
10.18.101.0
0.0.0.255
//定義本地訪問列表1
access-list
1
premit
10.18.102.0
0.0.0.255
access-list
1
premit
10.18.103.0
0.0.0.255
access-list
1
premit
10.18.104.0
0.0.0.255
ip
nat
inside
source
list1
pool
every
overload
//定義列表達1採用埠復用地址轉換
ip
nat
inside
source
static
10.18.100.10
211.82.220.82
//定義靜態地址轉換
ip
nat
inside
source
static
10.18.100.11
211.82.220.83
ip
nat
inside
source
static
10.18.100.12
211.82.220.84
ip
nat
inside
source
static
10.18.100.13
211.82.220.85
『伍』 埠復用是什麼意思
就是把多個用戶的傳輸數據合在一個物理埠上進行傳輸,而又相互不幹擾的技術。就是埠復用
『陸』 路由器nat的埠復用原理是什麼。
設置路由器上的埠映射的方法步驟如下:
1.首先要有路由器完全許可權的賬戶;
2.輸入路由器的地址,一般默認都是 192.168.1.1。登錄路由器管理界面;
埠映射是NAT的一種,功能是把在公網的地址轉翻譯成私有地址, 採用路由方式的ADSL寬頻路由器擁有一個動態或固定的公網IP,ADSL直接接在HUB或交換機上,所有的電腦共享上網。
埠映射分為動態和靜態。詳細介紹如下:
動態埠映射:假設內網中的一台電腦要訪問新浪網,會向NAT網關發送數據包,包頭中包括對方(就是新浪網)IP、埠和本機IP、埠,NAT網關會把本機IP、埠替換成自己的公網IP、一個未使用的埠,並且會記下這個映射關系,為以後轉發數據包使用。然後再把數據發給新浪網,新浪網收到數據後做出反應,發送數據到NAT網關的那個未使用的埠,然後NAT網關將數據轉發給內網中的那台電腦,實現內網和公網的通訊.當連接關閉時,NAT網關會釋放分配給這條連接的埠,以便以後的連接可以繼續使用。動態埠映射其實也就是NAT網關的工作方式。
靜態埠映射:在NAT網關上開放一個固定的埠,然後設定此埠收到的數據要轉發給內網哪個IP和埠,不管有沒有連接,這個映射關系都會一直存在。就可以讓公網主動訪問內網的一個電腦。