小编点评

**跳板机定义：** 跳板机是一个具有公网通讯能力的服务器，用于远程登陆和与内网服务器进行通信或作业。 **跳板机的安全注意事项：** * 在搭建公网服务的服务器上暴露远程登陆端口是不安全的，建议采用 VPN 或其他安全方式。 * 使用默认端口的远程登陆可能会导致攻击。 * 使用长密码的远程登录策略可以提高安全性。 **WireGuard 的部署方式：** 1. 下载并安装 WireGuard 二进制文件。 2. 创建服务端公钥和私钥。 3. 创建客户端公钥和私钥。 4. 配置 WireGuard 配置文件。 5. 启动服务端和客户端。 6. 测试本地电脑与跳板机之间的网络连接。 **其他安全配置：** * 设置流量转发，允许内网计算机与跳板机相互通信。 * 配置防火墙端口放开。

正文

什么是跳板机？

部署一台具有公网通讯能力的服务器，开发或运维通过这台服务器的远程登陆功能，远程登陆该服务器然后与处于内网的服务器进行通讯或作业，那么这台服务器一般称为"跳板机"。

跳板机的安全

• 一般来说不建议在搭建公网服务的服务器上面暴露远程登陆端口，因为公网IP己经暴露，部署专门用于登陆的跳板机可以降低服务器的主机安全问题。虽然你的跳板机远程登陆端口仍可能被进行广泛扫描的端口的工具控测到，然而隐藏跳板机的IP可以减少针对性的功击行为。非内部员工暴露，否则很难发起针对性功击。漫无目的探测者即使控测到端口也无法确定具体用户。
• 修改远程默认端口，对于资深攻击者来说于事无补，非默认端口仍然可以减少极多数毫无意义的端口扫描工具，避免多数菜鸟的功击行为。
• 采用长密码的策略。
• 使用RDP、SSH协议基本可以保证绝多数的安全，因为这两种系统默认的协议都会采用证书加密通讯。
• 无论采用VPN或原生协议连接，就系统安全性而言，差别不大，因为都采用证书加密通讯。

常用的跳板机部署方式

1. 无VPN部署选择Window系统，登陆Windows的GUI界面，再进行服务器内网连接，常见于中小型公司。
2. 部署VPN于Linux/Window，开发者登陆VPN，即登陆虚拟专用网络，与跳板机处于同一局域网进而连接服务器内网。

VPN服务端部署

安装

目前开源免费的VPN比较多，最受欢迎且比较成熟的是OpenVPN，WireGuard是目前也流行的较新的开源VPN，简单易用，安全，高性能。我们目前选择WireGuard部署到Centos7.9系统上面，官网上面快速安装有市场几乎各种常用操作系统的安装方式，可以自行去查看，Centos7目前有三种安装方式，这里使用ELRepo仓库进行安装

sudo yum install epel-release elrepo-release
sudo yum install yum-plugin-elrepo
sudo yum install kmod-wireguard wireguard-tools

 创建服务端公钥私钥

 WireGuard服务端和客户端双方都必须创建各自的公钥私钥，服务端使用自己私钥和客户端的公钥进行部署，客户端使用自己的私钥和服务端的公钥进行部署，也就是双方交换公钥。每新增一个客户端都需要双方生成公私钥进行部署后连接。WireGuard安装成功之后默认配置路径是：/etc/wireguard

#转到默认配置文件夹
cd /etc/wireguard
#配置权限
umask 077
#生成私钥
wg genkey > private.key 
#使用私钥生成公钥
wg pubkey < private.key > public.pub

编辑WireGuard配置文件

#在/etc/wireguard
vi wg0.conf

在/etc/wireguard目录中编辑最精简的配置文件wg0.conf，输入如下内容：

[Interface]

1. 区域为服务器端
2. 使用服务端的私钥
3. 设置监听端口，防火墙需要放行端口

[Peer]

1. 区域为客户端，多个客户端，设置多个Peer点。
2. 使用客户端的公钥，将客户端生成的公钥放置此处。
3. AllowedIPs是充许的IP，客户端设置地址时，需要指定这个IP地址，注意不要与其它客户端冲突，更加不要跟其它网段冲突。

# 服务端
[Interface]
PrivateKey = yAnz5TF+lXXJte14tji3zlMNq+hd2rYUIgJBgB3fBmk=
Address = 10.0.0.1
ListenPort = 51820

#客户端
[Peer]
PublicKey =  xTIBA5rboUvnH4htodjb6e697QjLERt1NAB4mZqp8Dg=
AllowedIPs = 10.0.0.2/32

VPN客户端部署

在官网下载windows客户端安装成功之后，双击运行客户端，新建链接的时候客户端就会自动生成公钥私钥，我们需要将公钥复制至上面的服务端配置文件中客户端“PublicKey”的位置。

我们需要稍稍修改这个客户端的文件才可以正常运行，此时攻受易型：

[Interface]区域是客户端信息，新增一个IP字段就可以了

1. IP地址填写服务端设置的IP地址

[Peer]区域应该填写服务端的信息

1. PublicKey填写服务端的公钥。
2. AllowedIPs=0.0.0.0/0，不限制对服务端的IP访问。
3. Endpoint填写服务端的公网IP和端口。

启动

此时双方配置已经完成，启动服务端和客户端就可以彼此连接上。服务端启动命令：

#开机自动启动
sudo systemctl enable wg-quick@wg0
#启动
sudo systemctl start wg-quick@wg0
#状态
sudo systemctl status wg-quick@wg0
#暂停
sudo systemctl stop wg-quick@wg0

在客户端测试网域是否互通

此时客户端与跳板机己经成功连接在一起，双方现在处于专用网络通道。

设置流量转发

虽然本地电脑与跳板机处于同一虚拟网段，但是并没有与服务器内网其它服务器处于同一个网段，此时在本地电脑连接服务器内网其它计算机是无法连接通，所幸的是跳板机与这些内网计算机是处于另一个共同网段，所以设置流量转发就可以实现内网互联的需求。

#开启服务器转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf

#查看修改结果
sysctl -p

服务端配置了转发，我们可以通过ip addr命令查看服务器网卡信息，你会发现有多张网卡存在（同时包括wireguard的虚拟网卡），所以我们还需要配置NAT转换规则进行网络地址转换。

#增加转换规则（ens32 代表你的内网网卡，自己查询后替换成你的网卡名称）
iptables -t nat -A POSTROUTING -o ens32 -j MASQUERADE
#删除转换规则（ens32 代表你的内网网卡，自己查询后替换成你的网卡名称）
iptables -t nat -D POSTROUTING -o ens32 -j MASQUERADE

当然如果怕麻烦，我们可以在WireGuard的配置文件利用PostUp和PostDown命令，自动帮我们添加或删除NAT规则。

PostUp：在WireGuard接口启动后执行的命令。

PostUp：在WireGuard接口启动后执行的命令。

使用命令编辑文件: vi /etc/wireguard/wg0.conf

# 服务端
[Interface]
PrivateKey = yAnz5TF+lXXJte14tji3zlMNq+hd2rYUIgJBgB3fBmk=
Address = 10.0.0.1
ListenPort = 51820

PostUp = iptables -t nat -A POSTROUTING -o ens32 -j MASQUERADE
PostDown =  iptables -t nat -D POSTROUTING -o ens32 -j MASQUERADE

#客户端
[Peer]
PublicKey =  xTIBA5rboUvnH4htodjb6e697QjLERt1NAB4mZqp8Dg=
AllowedIPs = 10.0.0.2/32

如果没有使用云商的防火墙，那么主机自带的防火墙就必需开启，所以PostUp和PostDown命令中也应该加入防火墙端口放开命令，这里就不写了。

此时使用本地Xshell或者Windows远程登陆工具，就可以直接连接内网的各个服务器啦~

更多系列文章

构建高性能，可伸缩，高可用，安全，自动化，可溯源，整体式应用构架体系