通过 JumpServer 实现物理隔离内网的访问与限制

最新推荐文章于 2025-03-08 15:22:12 发布
最新推荐文章于 2025-03-08 15:22:12 发布
阅读量1.2k 收藏 16
点赞数 18
分类专栏: 后端 文章标签: devops
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Tangramor/article/details/143241023
版权

基础需求与环境

办公网网络是 172.16.*.* ,内网网络是 192.168.*.*,两个网络物理隔离。

需要在一台有两个网卡,两个网卡分别连接办公网和内网的宿主服务器上,搭建一个跳板服务器 JumpServer,通过它连接访问内网电脑,并且通过对资产的授权限制防止文件从内网传出以及剪贴板内容从内网传出。

这里假定你已经安装完成了 JumpServer。

修改 JumpServer 配置

在服务器上创建一个容器网络 macvlan192,网络界面选择连接内网网络的 ens192 网卡:

docker network create -d macvlan --subnet=192.168.101.0/24 --gateway=192.168.101.254 -o parent=ens192 macvlan192

需要让 JumpServer 的两个容器能够连通内网:

  • jms_celery :用于执行 Ansible 检测脚本,如果不能连通内网网段就无法标记资产的可连通性。
  • jms_lion:使用 Golang 和 Vue 重构了 JumpServer 的 Guacamole 组件,负责 RDP 和 VNC 的连接。 主要基于 Apache Guacamole 开发。如果不能连通内网网段就无法实现 Web 终端的连接。

修改 docker compose 文件

修改 compose/celery.yml,添加 inner 网络,这里 192.168.101.78 为内网未占用 IP:

services:
  celery:
    image: ${REGISTRY:-docker.io}/jumpserver/core:${VERSION}
    container_name: jms_celery
    hostname: jms_celery
    ulimits:
      core: 0
    restart: always
    privileged: true
    command: start task
    env_file:
      - ${CONFIG_FILE}
    environment:
      LC_ALL: C.UTF-8
    volumes:
      - ${CONFIG_DIR}/certs:/opt/jumpserver/data/certs
      - ${VOLUME_DIR}/core/data:/opt/jumpserver/data
    healthcheck:
      test: "bash /opt/jumpserver/utils/check_celery.sh"
      interval: 10s
      timeout: 5s
      retries: 3
      start_period: 30s
    networks:
      inner:
        ipv4_address: 192.168.101.78
        priority: 100
      net:

networks:
  inner:
    external: true
    name: macvlan192

修改 compose/lion.yml,添加 inner 网络,这里 192.168.101.79 为内网未占用 IP:

services:
  lion:
    image: ${REGISTRY:-docker.io}/jumpserver/lion:${VERSION}
    container_name: jms_lion
    hostname: jms_lion
    ulimits:
      core: 0
    restart: always
    env_file:
      - ${CONFIG_FILE}
    volumes:
      - ${CONFIG_DIR}/certs:/opt/lion/data/certs
      - ${VOLUME_DIR}/lion/data:/opt/lion/data
    healthcheck:
      test: "check http://localhost:8081/lion/health/"
      interval: 10s
      timeout: 5s
      retries: 3
      start_period: 10s
    networks:
      inner: 
        ipv4_address: 192.168.101.79
        priority: 100
      net:
    privileged: true

networks:
  inner:
    external: true
    name: macvlan192

修改 .env 文件

修改 .env 文件,把 DOCKER_SUBNET=192.168.250.0/24 改成 DOCKER_SUBNET=10.10.250.0/24,防止网段与内网冲突。

修改路由

然后给容器 jms_celeryjms_lion 都添加软件包并设置一条静态路由,让所有向内网 IP (192.168.*.* 网段)的访问请求流量都使用 eth1 网卡(在容器内这个网卡与内网网络绑定):

apt update
apt install -y iputils-ping net-tools traceroute procps
route add -net 192.168.0.0/16 dev eth1

把上面的命令放到 jmsctl.sh 里,这样启动时就自动执行了:

function start() {
  ${EXE} up -d
  docker exec -i jms_lion bash -c "apt update && apt install -y iputils-ping net-tools traceroute procps && route add -net 192.168.0.0/16 dev eth1"
  docker exec -i jms_celery bash -c "apt update && apt install -y iputils-ping net-tools traceroute procps && route add -net 192.168.0.0/16 dev eth1"
}

启动 JumpServer

./jmpctl.sh start

修改授权

对内网资产授权进行修改,禁止文件传输与剪贴板:
在这里插入图片描述

附录

在容器里安装 freerdptelnet

apt install -y freerdp2-x11 xvfb telnet

在容器里测试 RDP 连通性,这里 192.168.7.159 是我的内网电脑,开启了远程桌面:

xvfb-run -a xfreerdp /cert:ignore +auth-only /u:"NW\tangramor" /p:"Pass.w0rd" /v:"192.168.7.159"

[16:22:38:371] [6910:6911] [INFO][com.freerdp.client.x11] - Authentication only. Don't connect to X.
[16:22:38:373] [6910:6911] [INFO][com.freerdp.client.x11] - Property 242 does not exist
[16:22:38:548] [6910:6911] [INFO][com.freerdp.crypto] - creating directory /root/.config/freerdp
[16:22:38:549] [6910:6911] [INFO][com.freerdp.crypto] - creating directory [/root/.config/freerdp/certs]
[16:22:38:549] [6910:6911] [INFO][com.freerdp.crypto] - created directory [/root/.config/freerdp/server]
[16:22:39:854] [6910:6911] [ERROR][com.freerdp.core] - Authentication only, exit status 0
[16:22:39:854] [6910:6911] [ERROR][com.freerdp.client.x11] - Authentication only, exit status 0

这里 exit status 0 说明已经连接上了。

如果密码或者用户名不对,返回就是这样的了:

xvfb-run -a xfreerdp /cert:ignore +auth-only /u:"NW\tangramor" /p:"Pass.1" /v:"192.168.7.159"

[16:26:46:758] [7286:7287] [INFO][com.freerdp.client.x11] - Authentication only. Don't connect to X.
[16:26:46:759] [7286:7287] [INFO][com.freerdp.client.x11] - Property 242 does not exist
[16:26:46:127] [7286:7287] [WARN][com.freerdp.core.nla] - SPNEGO received NTSTATUS: STATUS_LOGON_FAILURE [0xC000006D] from server
[16:26:46:127] [7286:7287] [ERROR][com.freerdp.core] - nla_recv_pdu:freerdp_set_last_error_ex ERRCONNECT_LOGON_FAILURE [0x00020014]
[16:26:46:127] [7286:7287] [ERROR][com.freerdp.core.rdp] - rdp_recv_callback: CONNECTION_STATE_NLA - nla_recv_pdu() fail
[16:26:46:127] [7286:7287] [ERROR][com.freerdp.core.transport] - transport_check_fds: transport->ReceiveCallback() - -1
[16:26:46:127] [7286:7287] [ERROR][com.freerdp.core] - Authentication only, exit status 1

当然更简单的方式是 telnet,可以探测 3389 端口是否开放:

telnet 192.168.10.106 3389
Trying 192.168.10.106...
Connected to 192.168.10.106.
Escape character is '^]'.
^]
telnet> quit
Connection closed.
实现电脑同时上内网和外网(或通过外网访问到该电脑通过该电脑访问内网
CoffeMilk的博客
05-30 1万+
一、需求描述 目前使用的公司网络只能够上内网,但是又有上外网查资料的需求: ①想要实现电脑既能上内网的同时也可以上外网; ②想要使用其他外网电脑使用外网连接到该电脑,通过该电脑访问内部的网络内容。 二、准备内容 电脑必须具备两个网卡,即:可以同时连接内网和外网(比如我的笔记本就可以:使用网线连接笔记本网口内网通讯,使用WIFI连接手机热点访问外部网络); 注意:如果只有一个网口,可以另外购买USB的无线网卡来实现上网卡。 三、实现电脑同时上内网和外网的操作步骤 3.1、网络拓扑图 ..
Linux之静态IP配置
锦衣
04-27 129
Linux之静态IP配置网卡配置信息JumpServer服务器IP配置 网卡配置信息 虚拟网卡VMnet 1(8) 只是作为虚拟机物理真机进行通信的桥梁 https://www.jb51.net/article/141288.htm # vim /etc/sysconfig/network-scripts/ifcfg-ens33 (网卡的配置文件路径) TYPE="Ethernet" => 网络类型,Ethernet以太网 BOOTPROTO="dhcp" => IP的获取方式,dhcp代
探索高效安全管理:深入介绍JumpServer——免费开源的PAM工具
gitblog_00712的博客
08-08 990
探索高效安全管理:深入介绍JumpServer——免费开源的PAM工具 jumpserverjumpserver/jumpserver: 是一个开源的 Web 服务器和 Web 应用程序代理服务器,可以用于构建安全,高性能和易于使用的 Web 服务器和代理服务器。项目地址:https://gitcode.com/gh_mirrors/ju/jumpserver 在日益复杂的企业IT环境中,确保对...
jumpserver 网络安全 网络安全 authenticity
最新发布
2401_88751289的博客
03-08 776
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)网络安全产业就像一个江湖,各色人等聚集。
JumpServer 通过内网穿透纳管内网资产
hxe116的博客
08-17 1118
JumpServer 可以用于管理多个网络环境下的服务器,支持跨不同网络的服务器远程访问和管理。不论这些服务器位于本地网络、局域网还是广域网,只要网络连通性得到确保,并且具备必要的网络配置和权限,JumpServer 都能够对其进行纳管。总之,JumpServer 可以纳管多个网络环境下的服务器,只要网络连通性和必要的网络配置得以满足。它提供了一种统一的方式来管理和访问这些服务器,并增强其安全性和可管理性。
jumpserver通过局域访问内网服务器
Merandღ的博客
07-21 2514
之前有做过本地内网服务器并做了内网穿透去访问,为了方便可以直接配置一台ssh服务就行,其他通过jumpserver的局域配置后通过内网的一台机做网关来访问内网 登录jumpserver,创建内网的系统用户和管理用户 创建局域并配置网关,因为我的frps服务器和jumpserver在同一内网,所以用的是frps的内网ip。 创建内网资产,ip直接用内网ip就行了,局域选择刚刚创建的局域。 测试成功就可以通过堡垒机访问内网服务器了。 ...
Jumpserver使用网域登陆不同内网机器
ma_qi_chao的博客
02-29 1035
原理:网域原理是为了使jumpserver添加不同网段的机器到列表里,举例:A网段想要添加B网段的机器到堡垒机,选择A网段的一台机器让该机器可以连接B网段的机器,然后直接通过该机器作为跳板直接连接B网段的机器1. 创建网域,控制台--->网域列表--->填写名称--->点击提交即可2. 创建后点击新建的网域名称--->点击网关列表--->点击创建3. 添加账号 4. 点击提交即可5. 然后我们创建资产的时候,选择刚才新建的网域机器即可
如何本地部署JumpServer堡垒机并结合内网穿透实现远程访问
等风来
04-08 3899
JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。JumpServer 帮助企业以更安全的方式管控和登录所有类型的资产,实现事前授权、事中监察、事后审计,满足等保合规要求。下面介绍如何简单设置即可使本地jump server 结合cpolar 内网穿透实现远程访问jump server 管理界面.
Jumpserver 资源限制(限制内存CPU占用)
大雪冬至的博客
10-25 2204
Jumpserver 目前的内存要求是 4GB ,但是生产环境中发现 jumpserver 程序占用的实际内存更多 top - 16:44:06 up 470 days, 7:16, 3 users, load average: 0.60, 0.56, 0.62 Tasks: 190 total, 1 running, 183 sleeping, 0 stopped, 6 zombie %Cpu(s): 1.3 us, 0.8 sy, 0.0 ni, 98.0 id, 0.0
笔记本电脑通过VMware虚拟机实现物理机同时访问内网和外网.doc
07-30
笔记本通过VMware实现物理机同时访问外网,虚拟机通过桥接网卡连接内网,在把网络通过仅主机模式物理机共享,实现物理机能同时访问内网和互联网
信息安全工程师(48)网络物理隔离技术原理应用
m0_73399576的博客
10-15 1236
信息安全工程师——网络物理隔离技术原理应用篇
堡垒机JumpServer(六):内网管理云端服务器
我先测了
01-04 1418
背景:公司local推行运维审计系统,通过内网管理阿里云生产环境?本地已经实现jumpserver管理4台物理机、7台虚拟机的方案,并且通过hosts.allow限制规则外不可访问服务器;现在阿里云生产有10台服务器,需要统一管理,也是通过hosts规则限制,再通过阿里云内网跳板机访问其他生产服务器,如出现检查服务器或需要dump日志尤其不方便--需通过xshell等客户端通过跳板机ssh跳转、切换及密码管理;当下local已经对现有服务器进行妥善管理,现面向阿里云生产环境推行。 1、jumpser.
VMware Horizon JMP Server 安装和设置指南
04-18
《VMware Horizon JMP Server 安装和设置指南》介绍了如何安装和配置 VMware Horizon® Just-in-Time Management Platform (JMP) Server。安装 JMP Server 并配置 JMP 设置后,您可以使用 VMware Horizon Console 中的 JMP Integrated Workflow 功能开始定义 JMP 分配。 本文档中的信息适用于任何希望安装 JMP Server 的人员。本文档专门为已熟练掌握虚拟机技术和数据中心 操作、并具有丰富经验的 Windows 系统管理员编写。
Jumpserver 堡垒机、安装部署,配置资源,用户管理,限制指令,入职必会技能超细文档
mingqing的博客
11-20 3161
文章目录Jumpserver 堡垒机堡垒机解压包安装安装堡垒机出现问题**用户、系统用户、特权用户的关系**用户组网域列表特权用户系统用户资产列表资产授权历史操作配置命令规则 Jumpserver 堡垒机 理论概念 Jumpserver 是全球首款完全开源的堡垒机,使用GNU GPL v2.0开源协议,是符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)的专业运维审计系统。Jumpserver 使用Python / Django 进行开发,遵循
实现远程访问Linux堡垒机:通过JumpServer系统进行安全的服务器管理
Innocence_0的博客
07-12 1437
JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。JumpServer帮助企业以更安全的方式管控和登录所有类型的资产,实现事前授权、事中监察、事后审计,满足等保合规要求。下面介绍如何简单设置即可使本地jump server 结合cpolar 内网穿透实现远程访问jump server 管理界面.
如何通过跳板机连接远程内网服务器?
RAB
08-30 5629
如何通过跳板机连接远程内网服务器?
AWS上DevOps实验(四)--- 使用Amazon EC2部署LNMP应用
guomingli的专栏
04-17 367
本实验在[上一节]()的基础上,在AWS上使用CentOS镜像部署LNMP应用,其中MySQL使用RDS。
【堡垒机】jumpserver简介
m0_70746078的博客
09-22 6407
Jumpserver 是全球首款完全开源、符合 4A 规范(包含认证Authentication 、授权 Authorization、账号 Accounting 和审计 Auditing)的运维安全审计系统,Jumpserver 通过软件订阅服务或者软硬件一体机的方式,向企业级用户交付多云环境下更好用的堡垒机。
Jumpserver堡垒机安装基本配置
qq_40720364的博客
12-28 571
官网 https://www.jumpserver.org/官方文档 https://docs.jumpserver.org/zh/v3/guide/admin/dashboard/在线安装:curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值