前言
過年期間瑟曲,本想利用假期休整一下身心,給身體和精神放松放松豪治。但是領(lǐng)導(dǎo)的電話還是如期而至洞拨,幾臺重要服務(wù)器的出口鏈路中斷導(dǎo)致服務(wù)器無法遠(yuǎn)程登錄,領(lǐng)導(dǎo)要求遠(yuǎn)程更換服務(wù)器的IP地址负拟,切換到其它出口烦衣。服務(wù)器不能跑服務(wù),意味著領(lǐng)導(dǎo)賺不了錢掩浙,領(lǐng)導(dǎo)沒有錢花吟,我的獎金就會流浪到太陽系之外,立即拿出筆電開始思考問題解決方法厨姚。
問題描述
因幾臺服務(wù)器所在出口鏈路中斷衅澈,導(dǎo)致業(yè)務(wù)停擺,同時無法遠(yuǎn)程登錄谬墙。
問題難點(diǎn)
- 現(xiàn)場機(jī)房沒有維護(hù)人員今布,服務(wù)器無法遠(yuǎn)程登錄.
- 服務(wù)器統(tǒng)一使用centos系統(tǒng),并且通過hosts.deny和iptables限定了能夠登錄的服務(wù)器
處理思路
針對第一個問題芭梯,萬幸的是在中斷服務(wù)器的交換機(jī)下還有我們走其它出口的服務(wù)器险耀,即通過內(nèi)網(wǎng)環(huán)境,可以直接先登錄到同一交換機(jī)下的正常服務(wù)器玖喘,再從這臺服務(wù)器跳轉(zhuǎn)到中斷服務(wù)器甩牺。
因?yàn)榫W(wǎng)關(guān)均設(shè)置在三層交換機(jī)上,三層交換機(jī)上有中斷服務(wù)器的路由表累奈,所以正常服務(wù)器是可以直接訪問中斷服務(wù)器的贬派。然而,正常服務(wù)器并不能遠(yuǎn)程登錄中斷服務(wù)器澎媒,這是因?yàn)橹袛喾?wù)器均限制了登入IP搞乏,只有我們之前設(shè)定的堡壘機(jī)允許登入。
我們先聯(lián)系了機(jī)房管理員戒努,但當(dāng)班的管理員說出沒用過Linux后请敦,這條路已被堵死镐躲。難道為了改幾個IP要搭飛機(jī)去?老板會把我kill -9掉侍筛。 看來只有另辟蹊徑了萤皂,既然中斷服務(wù)器只認(rèn)堡壘機(jī),我們何不利用正常的服務(wù)器偽裝成堡壘機(jī)的IP地址和中斷服務(wù)器進(jìn)行通信匣椰。說干就干裆熙,我們來一回偷天換日。
實(shí)現(xiàn)方式
我們先模擬推演實(shí)現(xiàn)的方式禽笑,假設(shè)正常服務(wù)器的IP為192.168.100.1,中斷服務(wù)器的IP是192.168.200.1,堡壘機(jī)的IP是192.168.300.1入录。
首先,我們要讓192.168.100.1偽裝成192.168.300.1和192.168.200.1通信佳镜。第二步是在三層交換機(jī)上手動添加到192.168.300.1的回程路由僚稿,強(qiáng)行將目的地址為192.168.300.1的報文仍給192.168.100.1服務(wù)器上。第三步是在192.168.100.1上接收訪問192.168.300.1的報文邀杏。這樣整個偽裝過程就完成了贫奠,網(wǎng)絡(luò)連接已經(jīng)建立起來,理論上可以通過192.168.100.1遠(yuǎn)程登錄192.168.200.1服務(wù)器了望蜡。
接下來我們開始逐步實(shí)現(xiàn)推演過程
首先是地址偽裝唤崭,我們要用到iptables,利用iptables來偽裝源地址脖律。
#這句話的意思是:修改源地址為192.168.100.1,目的地址為192.168.200.1的報文谢肾,修改規(guī)則是將源地址更改為192.168.300.1
iptables -t nat -A POSTROUTING -s 192.168.100.1/32 -d 192.168.200.1 -j SNAT --to-source 192.168.300.1
做到這一步,我們已經(jīng)可以以堡壘機(jī)的身份192.168.300.1向中斷服務(wù)器192.168.200.1發(fā)送網(wǎng)絡(luò)請求了小泉,但工作還沒有完成芦疏,此時雖然可以發(fā)送報文到中斷服務(wù)器,但回來的報文我們的正常服務(wù)器收不到微姊。
接下來需要在三層交換機(jī)上增加一條路由信息
#根據(jù)不同品牌的交換機(jī)酸茴,配置命令可能不太一樣。目的是將目的地址為192.168.300.1的數(shù)據(jù)包轉(zhuǎn)發(fā)給192.168.100.1上兢交,即我們的正常服務(wù)器上薪捍。
ip route 192.168.300.1 255.255.255.255 192.168.100.1
最后一步,在正常服務(wù)器上增加一個堡壘機(jī)的IP
#正常服務(wù)器和中斷服務(wù)器的操作系統(tǒng)均為centos 7
#ens2是正常服務(wù)器上的網(wǎng)卡名配喳,需要拷貝一個配置副本分配第2個IP地址
cd /etc/sysconfig/network-scripts
cp ifcfg-ens2 ifcfg-ens2:0
#編輯ifcfg-ens2:0,設(shè)置其IP和掩碼等信息酪穿,注意不需要設(shè)置網(wǎng)關(guān)
TYPE=Ethernet
BOOTPROTO=static
NAME=ens2:0
DEVICE=ens2:0
ONBOOT=yes
IPADDR=192.168.300.1
NETMASK=255.255.255.0
#啟用該配置副本
ifup ens2:0
正常情況下,服務(wù)器已經(jīng)擁有2個IP地址了晴裹,配置這個的目的是為了接收目的地址是192.168.300.1的報文被济,TCP有個機(jī)制,如果目的地址不是服務(wù)器自己的IP地址并且也不是廣播地址涧团,會自動丟棄該報文只磷。
經(jīng)過以上三步经磅,我們已經(jīng)完成了偷天換日的全部工作,敲下輸悉的ssh 192.168.200.1命令钮追,熟悉的登錄提示出現(xiàn)了馋贤,立即登錄將中斷服務(wù)器,修改IP地址切換到正常的出口鏈路,服務(wù)恢復(fù)正常仿滔,我也可以繼續(xù)休假了惠毁。
- 文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來恰响,“玉大人,你說我怎么就攤上這事涌献∨呋拢” “怎么了?”我有些...
- 文/不壞的土叔 我叫張陵洁奈,是天一觀的道長间唉。 經(jīng)常有香客問我,道長利术,這世上最難降的妖魔是什么呈野? 我笑而不...
- 正文 為了忘掉前任,我火速辦了婚禮印叁,結(jié)果婚禮上被冒,老公的妹妹穿的比我還像新娘军掂。我一直安慰自己,他們只是感情好昨悼,可當(dāng)我...
- 文/花漫 我一把揭開白布蝗锥。 她就那樣靜靜地躺著,像睡著了一般率触。 火紅的嫁衣襯著肌膚如雪终议。 梳的紋絲不亂的頭發(fā)上,一...
- 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼户辫!你這毒婦竟也來了渐夸?” 一聲冷哼從身側(cè)響起,我...
- 序言:老撾萬榮一對情侶失蹤捺萌,失蹤者是張志新(化名)和其女友劉穎膘茎,沒想到半個月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體披坏,經(jīng)...
- 正文 獨(dú)居荒郊野嶺守林人離奇死亡棒拂,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
- 正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了谜诫。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片攻旦。...
- 正文 年R本政府宣布乾戏,位于F島的核電站,受9級特大地震影響三热,放射性物質(zhì)發(fā)生泄漏歧蕉。R本人自食惡果不足惜,卻給世界環(huán)境...
- 文/蒙蒙 一康铭、第九天 我趴在偏房一處隱蔽的房頂上張望从藤。 院中可真熱鬧,春花似錦夷野、人聲如沸。這莊子的主人今日做“春日...
- 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至铸豁,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間在刺,已是汗流浹背头镊。 一陣腳步聲響...
- 正文 我出身青樓队丝,卻偏偏與公主長得像机久,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子膘盖,可洞房花燭夜當(dāng)晚...
推薦閱讀更多精彩內(nèi)容
- 1侠畔、TCP為什么需要3次握手损晤,4次斷開? “三次握手”的目的是“為了防止已失效的連接請求報文段突然又傳送到了服務(wù)端...
- 1喘落、第八章 Samba服務(wù)器2最冰、第八章 NFS服務(wù)器3、第十章 Linux下DNS服務(wù)器配站點(diǎn)暖哨,域名解析概念命令:...
- 名詞延伸 通俗的說往枣,域名就相當(dāng)于一個家庭的門牌號碼,別人通過這個號碼可以很容易的找到你分冈。如果把IP地址比作一間房子...
- 博主最近在復(fù)習(xí)HTTP雕沉,之前用書主要是《計(jì)算機(jī)網(wǎng)絡(luò)》謝希仁版本,最近結(jié)合網(wǎng)上博客,進(jìn)行復(fù)習(xí)和提綱式的總結(jié)尤溜。 一、概...
- 作者:Poll的筆記博客出處:http://www.cnblogs.com/maybe2030/本文版權(quán)歸作者和博...
