【技术实现步骤摘要】
一种基于Linux的透明内网访问方法及装置
本专利技术涉及网络安全
,尤其涉及一种基于Linux的透明内网访问方法及装置。
技术介绍
随着互联网的飞速发展,远程访问的需求越来越大,同时,网络安全问题也不容忽视。基于远程访问内网和网络安全隔离的需求,通常会用到虚拟专用隧道通信,但是传统的VPN隧道如PPTP、L2TP,客户端主机使用VPN的IP地址与内部主机通信,被访问的内部主机获取不到客户端主机的真实IP地址。Linux系统拥有强大的网络功能,广泛用于各种网络设备。在一些想节省空间、降低成本,或充分利用硬件资源的场景下,会使用有多个网络接口的设备来部署业务,每个网口分配不同网段的IP地址,统一由系统管理。多网口的情况下,由于受Linux系统自身路由机制的影响,有时会存在通信异常的情况:网络数据从设备某个网口进来,转发出去之后,回来的数据没有从这个网口回去,导致通信异常。究其根本原因,是因为设备有多个网卡时,受系统路由的影响无法确定回复数据的网口。这一问题是目前亟待解决的问题,现有技术也进行了一些探索。中国专利申请文献CN107026795A,公开了一种基于iptables和策略路由的回包至来源网口的方法,该方法主要包括以下步骤:Linux系统的网络设备接收到外部请求数据包;判断收到的外部请求数据包是否为所在链接上的首个数据包,如果是,则根据iptables规则,在该数据包上打上与接收该数据包的网口相关的标签,并保存到该数据包所在链接上,如果否,根据iptables规则,将标签保存到该数据包上;根 ...
【技术保护点】
1.一种基于Linux的透明内网访问方法,其特征在于,包括如下步骤:/nS1:部署隧道装置,所述隧道装置包括隧道客户端和隧道服务端;/nS2:创建网络隧道:根据物理网口的数量,创建tun虚拟网卡和socket连接来创建网络隧道;/nS3:配置业务规则:创建流量打标记规则、策略路由规则和DNAT规则,上述规则使从物理网口进入的数据可以通过网络隧道传输到与该物理网口的IP地址和端口一一对应的内部主机的IP地址和端口;同时可以使内部主机回复外部主机的数据从数据进入的隧道和物理网口传输至外部主机;/nS4:外部主机通过网络隧道访问内部主机:/n外部主机访问数据根据步骤S3配置的DNAT规则,通过数据进入的物理网口对应的网络隧道,传输到隧道服务端,再由隧道服务端根据配置的DNAT规则将数据发给内部主机;/nS5:内部主机返回的数据由外部主机访问时进入的物理网口传输给外部主机:/n内部主机将回复数据传到隧道服务端,隧道服务端根据配置的规则,将回复数据通过访问数据进入时所用的网络隧道传输到隧道客户端,隧道客户端根据配置的规则将回复数据由外部主机访问时进入的物理网口传输给外部主机。/n
【技术特征摘要】
1.一种基于Linux的透明内网访问方法,其特征在于,包括如下步骤:
S1:部署隧道装置,所述隧道装置包括隧道客户端和隧道服务端;
S2:创建网络隧道:根据物理网口的数量,创建tun虚拟网卡和socket连接来创建网络隧道;
S3:配置业务规则:创建流量打标记规则、策略路由规则和DNAT规则,上述规则使从物理网口进入的数据可以通过网络隧道传输到与该物理网口的IP地址和端口一一对应的内部主机的IP地址和端口;同时可以使内部主机回复外部主机的数据从数据进入的隧道和物理网口传输至外部主机;
S4:外部主机通过网络隧道访问内部主机:
外部主机访问数据根据步骤S3配置的DNAT规则,通过数据进入的物理网口对应的网络隧道,传输到隧道服务端,再由隧道服务端根据配置的DNAT规则将数据发给内部主机;
S5:内部主机返回的数据由外部主机访问时进入的物理网口传输给外部主机:
内部主机将回复数据传到隧道服务端,隧道服务端根据配置的规则,将回复数据通过访问数据进入时所用的网络隧道传输到隧道客户端,隧道客户端根据配置的规则将回复数据由外部主机访问时进入的物理网口传输给外部主机。
2.根据权利要求1所述的基于Linux的透明内网访问方法,其特征在于,部署多台所述隧道客户端,多台所述隧道客户端共用一个隧道服务端;所述隧道客户端含有多个物理网口,所述隧道服务端至少含有两个物理网口。
3.根据权利要求2所述的基于Linux的透明内网访问方法,其特征在于,步骤S1中部署隧道装置还包括部署外部主机和内部主机,具体部署如下:
在外部网络部署隧道客户端和外部主机;
在内部网络部署隧道服务端和内部主机;
外部主机与隧道客户端通过网络连接;
隧道客户端与隧道服务端通过网络连接;
内部主机与隧道服务端通过网络连接。
4.根据权利要求3所述的基于Linux的透明内网访问方法,其特征在于,所述外部网络部署为受保护的网络,所述内部网络部署为蜜网,所述外部主机部署为攻击者主机,所述隧道客户端部署为诱捕节点装置,每个诱捕节点装置部署多个诱捕节点,所述内部主机部署为蜜罐,每个所述诱捕节点绑定一个所述蜜罐。
5.根据权利要求4所述的基于Linux的透明内网访问方法,其特征在于,所述诱捕节点装置有多个网卡,同一个网卡配置多个同网段的IP地址,不同的网卡分别配置不同网段的IP地址,每个所述IP地址作为诱捕节点的IP地址,部署诱捕节点。
6.根据权利要求1所述的基于Linux的透明内网访问方法,其特征在于,步骤S3中配置业务规则包括以下步骤:
S301隧道服务端进行相关业务配置并创建规则:
隧道服务端配置如下绑定关系:
隧道客户端的IP地址和端口与隧道服务端的IP地址和端口绑定关系;
隧道服务端的IP地址和端口与内部主机的IP地址和端口绑定关系;
隧道服务端根据隧道服务端的IP地址和端口与内部主机的IP地址和端口的绑定关系创建DNAT转发规则;
隧道服务端使用iptables创建流量打标记规则;
隧道服务端创建策略路由规则,根据iptables打的标记,把内部主机回复数据发往对应的虚拟网卡及网络隧道;
S302隧道服务端将配置通知给隧道客户端:隧道服务端将隧道客户端的IP地址和端口与隧道服务端的IP地址和端口绑定关系通知给隧道客户端;
S303隧道客户端创建规则:
隧道客户端使...
【专利技术属性】
技术研发人员:吴建亮,胡鹏,刘木祥,
申请(专利权)人:广州锦行网络科技有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。