因几台服务器所在出口链路中断,导致业务停摆,同时无法远程登录。
针对第一个问题,万幸的是在中断服务器的交换机下还有我们走其它出口的服务器,即通过内网环境,可以直接先登录到同一交换机下的正常服务器,再从这台服务器跳转到中断服务器。
因为网关均设置在三层交换机上,三层交换机上有中断服务器的路由表,所以正常服务器是可以直接访问中断服务器的。然而,正常服务器并不能远程登录中断服务器,这是因为中断服务器均限制了登入IP,只有我们之前设定的堡垒机允许登入。
我们先联系了机房管理员,但当班的管理员说出没用过Linux后,这条路已被堵死。难道为了改几个IP要搭飞机去?老板会把我kill -9掉。 看来只有另辟蹊径了,既然中断服务器只认堡垒机,我们何不利用正常的服务器伪装成堡垒机的IP地址和中断服务器进行通信。说干就干,我们来一回偷天换日。
我们先模拟推演实现的方式,假设正常服务器的IP为 1921681001 ,中断服务器的IP是 1921682001 ,堡垒机的IP是 1921683001 。
首先,我们要让1921681001伪装成1921683001和1921682001通信。第二步是在三层交换机上手动添加到1921683001的回程路由,强行将目的地址为1921683001的报文仍给1921681001服务器上。第三步是在1921681001上接收访问1921683001的报文。这样整个伪装过程就完成了,网络连接已经建立起来,理论上可以通过1921681001远程登录1921682001服务器了。
接下来我们开始逐步实现推演过程
首先是地址伪装,我们要用到iptables,利用iptables来伪装源地址。
做到这一步,我们已经可以以堡垒机的身份1921683001向中断服务器1921682001发送网络请求了,但工作还没有完成,此时虽然可以发送报文到中断服务器,但回来的报文我们的正常服务器收不到。
接下来需要在三层交换机上增加一条路由信息
最后一步,在正常服务器上增加一个堡垒机的IP
正常情况下,服务器已经拥有2个IP地址了,配置这个的目的是为了接收目的地址是1921683001的报文,TCP有个机制,如果目的地址不是服务器自己的IP地址并且也不是广播地址,会自动丢弃该报文。
经过以上三步,我们已经完成了偷天换日的全部工作,敲下输悉的ssh 1921682001命令,熟悉的登录提示出现了,立即登录将中断服务器,修改IP地址切换到正常的出口链路,服务恢复正常,我也可以继续休假了。你可以尝试检查一下你的权限设置,看看你的属性中的
“SMTP服务器需要身份验证”复选框是否已经选中。
AUTH命令显示了一种和邮件服务器间的安全认证机制 。如果邮件服务器支持这
种认证机制,它就会执行一个认证协议交互来认证并识别邮件用户。作为可选的情况,他也
会忽略这以后后协议交互的一个安全层。如果服务器并不支持所需要的认证协议,就会用
504的回答来拒绝这个AUTH命令。
认证协议交互过程由一系列由认证机制定义的邮件服务器端的命令和邮件客户端
的响应组成。
一个邮件服务器端命令,或者所谓一个准备好响应,是一个334起头的,包含用
base64编码的字符串文本。邮件客户端也同样由包含了用base64编码的字符串。如果邮件
客户端希望可以取消一个进行中的认证交互过程,它会发出一个仅包含一个字符""命令行,
邮件服务器端一旦收到这样的一个回答后,必须发一个501标识的回答,而后拒绝AUTH
命令。
对AUTH命令来说,可选的初始化响应建议是用来在使用认证机制时保持一个往
返的回程,认证机制的定义中此建议不发送任何数据。当初始化响应部分用在这种机制时,
开始的空的发起命令不被送到客户端,并且服务器端使用的数据也好象是发送来
响应一个空的命令。它发送一个零长度的初始化回答作为一个"="符号。如果客户端
在认证机制的AUTH命令响应中使用初始化建议,客户端就在初始化命令中发送响应的
数据,服务器端用535回答来拒绝AUTH命令。
如果不能对参数用base64解码,就用501回答来拒绝AUTH命令,如果服务器
拒绝认证数据,它应该用535的回答(可以带其他详细的特殊错误代码,比如在第6节所列
的代码中的一个)来拒绝AUTH命令。如果客户端成功完成了认证交互,SMTP服务器就
应该返回一个235的响应。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)