tcpproxy prosjektet er en proxy (eller tunnel eller omadresseringsprogramvare) for TCP / IP-protokollene. I frittstående modus venter det for innkommende tilkoblinger videresende dem til en annen maskin eller starte en lokal server program.
Flere programmer med denne funksjonen, eller noe lignende er rundt. Men tcpproxy design mål var å la den operere på en slags brannmur.
Her er noen viktige trekk ved "tcpproxy":
· Omfattende logging til syslog,
· Interface basert konfigurasjon,
· Kan binde seg til en bestemt grensesnitt på en multi-omplassert vert,
· Sett miljøvariabler før du ringer en lokal server program,
· Støtte for eksterne adgangskontroll programmer,
· Kan startes fra inetd eller kjøre i frittstående modus.
tcpproxy ble opprettet med en gjennomsiktig TCP proxy i tankene. Når det er brukt til å starte lokale serverprogrammer (for eksempel en FTP-server) kan det imidlertid også fungere som "port multiplekser" siden det krever forskjellige konfigurasjoner for forskjellige grensesnitt (det finnes ingen standardverdier).
Grensesnitt basert konfigurasjon
tcpproxy tjenester er alltid bundet til et bestemt grensesnitt. Anta at du har en multi-omplassert host (for eksempel en brannmur) med IP-numre 192.168.0.1 (del av din LAN) og 10.11.12.13 (koblet til Internett). Konfigurasjonen
port 119
grensesnitt 192.168.0.1
server news.provider.com
forwards så noen sammenheng gjort til din lokale grensesnittet på NNTP port til maskinen news.provider.com. Leverandørens nyhetsserveren ser nå ut til å kjøre på brannmuren. Videre, hvis du for hver port bare et enkelt grensesnitt der du vil ha tcpproxy tjeneste, tcpproxy vil ikke engang binde seg til de andre. For eksempelet ovenfor betyr dette at noen prøver å koble til eksterne grensesnittet ville bare se en lukket port.
Nå antar du vil bruke en annen NNTP server fra lokalnettet. Du vil først konfigurere en annen IP-nummer på din interne grensesnitt, f.eks 192.168.0.2 og deretter konfigurere tcpproxy:
port 119
grensesnitt 192.168.0.1
server news.provider.com
grensesnitt 192.168.0.2
server news.freshmeat.com
Avhengig av den innkommende grensesnittet til en klientforespørsel forbindelsen blir videresendt til en av serverne.
I dette tilfellet brannmurens eksterne grensesnitt er åpnet på port 119 og en port scan ville vise at det er noen form for service. Hvis derimot noen kobler seg til det ytre grensesnittet tilkoblingen er øyeblikkelig droppet, rett og slett fordi tcpproxy ikke er konfigurert til å håndtere forespørselen på grensesnittet 10.11.12.13 og tcpproxy godtar ikke mislighold tjenesteleverandører.
Hvis du vil kan du utvide denne konfigurasjonen til
port 119
grensesnitt 192.168.0.1
server news.provider.com
grensesnitt 192.168.0.2
server news.freshmeat.com
grensesnitt 10.11.12.13
exec / bin / dato
for skannerens underholdning. Men du kan også være lurt å skrive en melding til systemets syslog.
Adgangskontroll
tcpproxy implementerer adgangskontroll ved å ringe eksternt, bruker gitt, manus, de såkalte "access control programmer" (eller kort sagt: ACP). Jeg implementert dem fordi jeg ønsket å være i stand til å nekte bruk tjeneste basert på noe jeg liker, ikke bare på klientens IP-nummer eller det navnet.
Kommentarer ikke funnet