我的一个朋友给了我一个(用户) ssh 访问权限,可以访问他拥有的 ec2 实例(ubuntu)。因此,出于我现在不知道的原因,将来我将需要在防火墙上打开一个 TCP 端口,以便监听某种服务(如 http 或其他)。我不想每次都需要在防火墙上打开 TCP 端口时都向他施加压力,但同时,我也不想让他的防火墙上的端口保持打开状态(并且容易被解绑)。问题是:有没有办法伪造绑定(以这个伪造服务占用的方式)这个 TCP 端口?或者有另一种“模式”来解决这个问题?
答案1
如果您真的想这样做,最简单的方法可能是使用discard
xinetd 内置服务。此服务基本上是/dev/null
用于网络的。但是,即使拥有无限大的数据垃圾场也不能确保 xinetd 正常工作。
可能更安全的方法是使用 Ubuntu 机器中的正确 iptables 规则,直到您真正设置服务为止。这只是一个iptables -A INPUT -p tcp --dport 12345 -j REJECT --reject-with tcp-reset
。
我个人的意见是将这些规则保留在网络边缘,但想到与同事的类似经历......我能理解你的动机。
答案2
要解决您的问题,最好使用端口敲击器,它会在需要时为您打开端口,并按照您的命令关闭端口。它在 Ubuntu 上非常有效。