基于SSH端口转发透过网关实现安全通信

SSH通过网关实现端口转发

相比较与之前在两台虚拟机上通过SSH端口转发实现安全通信，本次实验在两台虚拟机之间加入了网关。

一、实验环境：

三台linux虚拟机，vm1（172.16.1.2）属于vmnet1子网，vm2（172.16.2.2）属于vmnet2子网，gate作为网关，拥有两个虚拟网卡，非别属于vmnet1和vmnet2。

二、实验构想：

模拟现实网络中，外网的一台主机要和内网中的一台主机通信，假设内网的传输是安全的，为了加强外网的安全性，我们用ssh端口转发实现外网主机和网关之间的安全通信，网关再将数据包转发给内网目的主机。

本实验中，我们用vmnet1模拟外网，gate充当网关，vmnet2模拟内网。通过网关，我们建立vm2和vm1之间的安全端口转发，即vm2到gate实现加密传输，而gate到vm1由于是内网，我们假设其安全，不需要加密。

三、实验步骤：

1、局域网VLAN的建立：

  1.1、为VMware添加一个子网VMnet2 

    操作如下：

    Edit→Virtual Network settings →Host Virtual Adapters 添加一个子网     VMnet2→在Host Virtual Network Mapping设置VMnet2的IP为172.16.2.0 

  1.2、vm1（172.16.1.2）先不启动，clone一个vm2

    操作如下：

    VM→clone→create a full clone 设置虚拟机的名字为vm2以及路径

  1.3、启动vm2,登录172.16.1.2，设置IP为172.16.2.2，netmask为255.255.255.0

    # vi /etc/sysconfig/network (修改主机的名字为vm2，在vmware中也可以修改）

    # vi /etc/sysconfig/network-scripts/ifcfg-eth0(修改ip为172.16.2.2）

    # service network restart

    设置vm2属于VMnet2，再重连putty

  1.4、再clone一台名为gate的虚拟机

  1.5、给gate添加一个以太网卡，eth0属于VMnet1，eth1属于VMnet2，启动gate，登录172.16.1.3，修改gate的IP地址

    # cd /etc/sysconfig

    # vi network (修改主机的名字为gate）

    # cd

    # netconfig -d eth0 --ip=172.16.1.4 --netmask=255.255.255.0

    # netconfig -d eth1 --ip=172.16.2.4 --netmask=255.255.255.0

    # service network restart

  1.6、分别设置vm1和vm2的IP地址映射（实质就是给IP起一个别名）

    vm1：

    # cd /etc/sysconfig 

    # vi /etc/hosts

    172.16.1.4   gate

    172.16.2.3   vm2 

    vm2:

    # cd /etc/sysconfig 

    # vi /etc/hosts

    172.16.2.4   gate

    172.16.1.3   vm1

  1.7、启动vm1

  1.8、gate开启转发

    方法一：每次开机需要设置：

           # cat /proc/sys/net/ipv4/ip_forward

           # 0

           # echo 1 > /proc/sys/net/ipv4/ip_forward

    方法二：在配置文件中修改，不需要每次开机重置

           #vi /etc/sysctl.conf（设置net.ipv4.ip_forward=1）

           #vi sysctl -p

  1.9、vm1添加到VMnet2的路由

    # route add -net 172.16.2.0 netmask 255.255.255.0 gw gate

  1.10、vm2添加到VMnet1的路由

    # route add -net 172.16.1.0 netmask 255.255.255.0 gw gate

   

  1.11、测试路由是否成功，VM1与VM2互ping，ping通即可

    # ping vm2

    # ping vm1

VLAN并不是本次试验的重点，但确实实验的基础。注意在将主机划分不同子网时，本来都是选择host-only模式，包括前两次实验，都是行得通的，但这次只有把不同子网的网卡在costom模式下选择对应的子网，才成功。

2、捕获数据包：

  

  2.1、打开宿主机上的wireshark，选择vm1的网卡，并在过滤器中输入下列语句：

    host 172.16.1.2 and not 172.16.1.1

    解释：捕获主机172.16.1.2除了与172.16.1.1主机的数据包意外的所有数据包。为了作对比试验，本地主机会通过与网关的隧道进行一次pop3的连接，再直接进行一次与远程主机172.16.2.2的连接；同时，由于putty远程控制通过宿主机上的虚拟网卡进行数据转发，所以去除172.16.1.1的数据包

3、进行端口转发：

  3.1、vmnet1模拟外网

    在vm1（172.16.1.2）上建立通过gate到vm2的端口转发：

    ssh -L 2000:172.16.2.2:110 172.16.1.3

  3.2、命令格式：

    ssh -L localport:serverhost:serverhostPort gatehost

           localport   本地主机上所要转发的端口

           ServerHost  内网vm2中所要连接的服务器主机

           Serverport  内网vm2中所要连接服务的端口

           Gatehost    转发功能的网关的ip

  3.3、进行隧道连接：

    由于在2.1中并没有选择ssh端口转发后台运行，所以需要另外启动一个172.16.1.2的putty终端。输入下列命令：

    telnet localhost 2000

    然后进行登录收取邮件

  3.4、对比试验：

    待以上各步执行完，在进行一次不适用端口转发的连接

    telnet 172.16.2.2 110

    在本地主机172.16.1.2上直接远程登录远程主机172.16.2.2，并连接邮局协议端口110

4、分析数据包：

  4.1、前一部分通过隧道传输的数据都是使用SSH协议经过加密的，在后面直接用telnet登陆的，则是明文传输，用户名和口令以及邮件内容都是可见的。

总结：本实验基本达到了实验的目的，在模拟的外网环境vm1中实现了pop的安全通信。实验步骤与之前两台虚拟机下所进行telnet和pop端口转发的实验基本相同。