流量操控技术-sslh、stunnle4

SSLH

  • 端口分配器
    • 根据客户第一个包检测协议类型
    • 根据协议检测结果将流量转发给不同目标
    • 支持HTTP,HTTPS,SSH,OpenVPN,tinc,XMPP和其它可基于正则表达式判断的任何协议类型
    • 适用于防火墙允许443端口入站房屋内流量的环境
  • kali中配置文件在 /etc/default/sslh
  • 使用一个端口映射多个服务

stunnel4

  • 官网:stunnel.org

  • 无需修改源代码的情况下将TCP流量封装于SSl通道内

  • 适用于本身不支持加密传输的应用

  • 支持openssl安全特性

  • 跨平台

  • 性能优

内网安装Stunnel4服务器

服务端配置

  • 生成证书:openssl req -new -days 365 -nodes -x509 -out /etc/stunnel/stunnel.pem -keyout /etc/stunnel/stunnel.pem
  • 创建配置文件 /etc/stunnel/stunnel.conf
1
2
3
4
5
6
7
cert = /etc/stunnel/stunnel.pem
setuid = stunnel4
setgid = stunnel4
pid = /var/run/stunnel4/stunnel4.pid
[mysqls]
accept = 0.0.0.0:443
connect = 1.1.1.17:3306

Stunnel4自动启动

  • 修改配置文件/etc/default/stunnel4
1
ENABLE=1
  • 启动stunnel4服务端
    • stunnel4 /etc/stunnel/stunnel.conf
  • 防火墙规则
    • 端口映射TCP/443端口到stunnel4服务端
    • 设置防火墙规则

客户端配置:

  • kali自带stunnel4
  • 客户端端配置
    • /etc/stunnel/stunnel.conf
1
2
3
4
client = yes
[mysqls]
accept = 3306
connect = 192.168.43.3:443
  • 启动stunnel4 /etc/stunnel/stunnel.conf