注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

网易杭州 QA Team

务实 专注 分享 做有态度的QA

 
 
 
 
 

日志

 
 

代理专项测试 ————网络端口关闭操作步骤  

来自caoyingspace   2011-11-21 17:09:37|  分类: 功能测试 |举报 |字号 订阅

  下载LOFTER 我的照片书  |


 测试闪电邮箱的时候,需要测试系统设置里的网络设置,共包括四种模式:一、无代理模式二、HTTP代理服务器三、SOCK5四、SOCK4

要想知道代理是否正常的在工作,我们必须关闭掉测试服务器的一些主要的敏感端口,整理了一下一些基本的事情准备工作的操作步骤,以及

注意点:

 

第一步,telnet远程控制服务器,点击开始菜单/设置/控制面板/管理工具,

双击打开本地安全策略,选中“IP 安全策略,在本地计算机

在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择创建 IP 安全策略

(如图1),于是弹出一个向导。在向导中点击下一步按钮,为新的安全策略命名;

再按下一步,则显示安全通信请求画面,在画面上把激活默认相应规则左边的钩去掉,

点击完成按钮就创建了一个新的IP 安全策略。

 

第二步,右击该IP安全策略,在属性对话框中,

然后单击添加按钮添加新的规则,

随后弹出新规则属性对话框,

在画面上点击添加按钮,

弹出IP筛选器列表窗口;在列表中,

首先把使用添加向导左边的钩去掉,

然后再点击右边的添加按钮添加新的筛选器。

 

第三步,进入筛选器属性对话框,

首先看到的是寻址,源地址选任何 IP 地址

目标地址选我的 IP 地址

点击协议选项卡,

 

选择协议类型的下拉列表中选择“TCP”

然后在到此端口下的文本框中输入“80”

点击确定按钮,

这样就添加了一个屏蔽 TCP 80RPC)端口的筛选器,

它可以防止外界通过80端口连上测试服务器。

点击确定后回到筛选器列表的对话框,

可以看到已经添加了一条策略,

重复以上步骤继续添加 TCP 993995110等端口

为它们建立相应的筛选器。见下图

代理专项测试                     ————网络端口关闭操作步骤 - 网易杭州QA - 网易杭州 QA Team
 

重复以上步骤添加 端口的屏蔽策略,

建立好上述端口的筛选器,最后点击确定按钮。

 

第四步,在新规则属性对话框中,

选择 IP 筛选器列表

然后点击其左边的圆圈上加一个点,

表示已经激活,最后点击筛选器操作选项卡。

筛选器操作选项卡中,把使用添加向导左边的钩去掉,

点击添加按钮,添加阻止操作:

新筛选器操作属性安全措施选项卡中,

选择阻止,然后点击确定按钮。

 

 

 

第五步进入新规则属性对话框,

点击新筛选器操作,其左边的圆圈会加了一个点,

表示已经激活,点击关闭按钮,关闭对话框;

最后回到IP安全策略属性对话框,

新的IP筛选器列表左边打钩,

确定按钮关闭对话框。在本地安全策略窗口,

用鼠标右击新添加的 IP 安全策略,然后选择指派

 

于是重新启动后,电脑中上述网络端口就被关闭了。

 

PASS:

设置端口重启后发现测试机还是可以正常连接上网,查看安全策略配置提示发现系统提示:

安全策略已指派但‘ipsec服务服务不在运行状态

点开控制面板管理工具服务→IPSEC服务,双击打开,选择启动,应用,确定即可.

测试服务器的端口关闭就此完成了!

 

附带一篇IMAPS服务器配置详解

 

 

附带转载一篇参考文档:IMAPS服务器配置详解(要考虑端口的测试点)

LINUX 993端口 995端口  


本 文概要介绍下pop3ipops服务器的简单配置,以及Linux下抓包工具的使用,国内用户普遍喜欢用pop3协议收取邮件,这非常的不安全, 所以本节中也将概要的介绍下ipops服务器的配置,生产环境中配置ipop3服务器需要将pem格式的证书给CA签名才能被其他用户所信任和使 用,pop3imap协议默认使用TCP110143端口,ipopsimaps协议默认则使用TCP993995端口,邮件服务使用的账号 是系统账户,所以安全性相当的重要,这也是RHCE的重点

[root@server ~]# yum -y install dovecot.i386 //安装dovecot软件包,启动服务,设定下次开启自动启动,查看端口
[root@server ~]# service dovecot start
Starting Dovecot Imap: [ OK ]
[root@server ~]# chkconfig dovecot on
[root@server ~]# netstat -ntpl |grep -E '110|143|993|995+'
tcp        0      0 :::993                      :::*                        LISTEN      4652/dovecot       
tcp        0      0 :::995                      :::*                        LISTEN      4652/dovecot       
tcp        0      0 :::110                      :::*                        LISTEN      4652/dovecot       
tcp        0      0 :::143                      :::*                        LISTEN      4652/dovecot

[root@server ~]# useradd test    //新建一个系统账户用于测试
[root@server ~]# echo "test" |passwd --stdin test
Changing password for user test.
passwd: all authentication tokens updated successfully.     

[root@server ~]# yum -y install wireshark.i386   //安装抓包工具wireshark

[root@server ~]# ifconfig eth1 |grep 'inet addr'   //查看本机IP地址
          inet addr:192.168.100.254 Bcast:192.168.100.255 Mask:255.255.255.0

[root@client ~]# nmap 192.168.100.254   //在客户端使用nmap扫描服务器端开启的端口

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2010-03-24 00:00 EDT
Interesting ports on 192.168.100.254:
Not shown: 1667 closed ports
PORT     STATE SERVICE
21/tcp   open ftp
22/tcp   open ssh
25/tcp   open smtp
53/tcp   open domain
110/tcp open pop3
111/tcp open rpcbind
143/tcp open imap
763/tcp open cycleserv
784/tcp open unknown
796/tcp open unknown
993/tcp open imaps
995/tcp open pop3s
2049/tcp open nfs
MAC Address: 00:0C:29:0C:7C:4E (VMware)

Nmap finished: 1 IP address (1 host up) scanned in 23.250 seconds

[root@client ~]# telnet 192.168.100.254 110   //客户端使用telnet登陆POP3服务器
Trying 192.168.100.254...
Connected to 192.168.100.254 (192.168.100.254).
Escape character is '^]'.
+OK Dovecot ready.
user test
+OK
pass test
+OK Logged in.
quit
+OK Logging out.
Connection closed by foreign host.


//在服务器上监听eth1网卡和110端口相关的数据包
[root@server ~]# tshark -ni eth1 -R "tcp.srcport eq 110 or tcp.dstport eq 110"
Running as user "root" and group "root". This could be dangerous.
Capturing on eth1
14.993271 192.168.100.20 -> 192.168.100.254 TCP 37073 > 110 [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=6422579 TSER=0 WS=3
15.001846 192.168.100.254 -> 192.168.100.20 TCP 110 > 37073 [SYN, ACK] Seq=0 Ack=1 Win=5792 Len=0 MSS=1460 TSV=1702361 TSER=6422579 WS=3
15.003699 192.168.100.20 -> 192.168.100.254 TCP 37073 > 110 [ACK] Seq=1 Ack=1 Win=5840 Len=0 TSV=6422585 TSER=1702361
15.012454 192.168.100.254 -> 192.168.100.20 POP Response: +OK Dovecot ready.
15.015384 192.168.100.20 -> 192.168.100.254 TCP 37073 > 110 [ACK] Seq=1 Ack=21 Win=5840 Len=0 TSV=6422595 TSER=1702365
28.408355 192.168.100.20 -> 192.168.100.254 POP Request: user test     //
抓取到的用户名
28.412098 192.168.100.254 -> 192.168.100.20 TCP 110 > 37073 [ACK] Seq=21 Ack=12 Win=5792 Len=0 TSV=1705715 TSER=6432640
28.412856 192.168.100.254 -> 192.168.100.20 POP Response: +OK
28.414597 192.168.100.20 -> 192.168.100.254 TCP 37073 > 110 [ACK] Seq=12 Ack=26 Win=5840 Len=0 TSV=6432642 TSER=1705715
32.661573 192.168.100.20 -> 192.168.100.254 POP Request: pass test     //
抓取到的密码
32.721083 192.168.100.254 -> 192.168.100.20 TCP 110 > 37073 [ACK] Seq=26 Ack=23 Win=5792 Len=0 TSV=1706792 TSER=6435853
32.975813 192.168.100.254 -> 192.168.100.20 POP Response: +OK Logged in.
32.976282 192.168.100.20 -> 192.168.100.254 TCP 37073 > 110 [ACK] Seq=23 Ack=42 Win=5840 Len=0 TSV=6436067 TSER=1706856
34.747399 192.168.100.20 -> 192.168.100.254 POP Request: quit
34.748937 192.168.100.254 -> 192.168.100.20 TCP 110 > 37073 [ACK] Seq=42 Ack=29 Win=5792 Len=0 TSV=1707299 TSER=6437385
34.751905 192.168.100.254 -> 192.168.100.20 POP Response: +OK Logging out.
34.754700 192.168.100.20 -> 192.168.100.254 TCP 37073 > 110 [FIN, ACK] Seq=29 Ack=61 Win=5840 Len=0 TSV=6437389 TSER=1707299
34.755546 192.168.100.254 -> 192.168.100.20 TCP 110 > 37073 [ACK] Seq=61 Ack=30 Win=5792 Len=0 TSV=1707301 TSER=6437389
18 packets captured
以上演示说明使用pop3方式接收邮件十分的不安全,而下面要介绍下ipops服务器的配置

[root@server ~]# cd /etc/pki/tls/certs/   //删除系统为dovecot服务准备的pem格式的默认证书
[root@server certs]# ls
ca-bundle.crt make-dummy-cert Makefile
root@server certs]# rm -i /etc/pki/dovecot/private/dovecot.pem   /etc/pki/dovecot/certs/dovecot.pem
rm: remove regular file `/etc/pki/dovecot/private/dovecot.pem'? y
rm: remove regular file `/etc/pki/dovecot/certs/dovecot.pem'? y

[root@server certs]# make dovecot.pem //产生新的pem证书
umask 77 ; \
        PEM1=`/bin/mktemp /tmp/openssl.XXXXXX` ; \
        PEM2=`/bin/mktemp /tmp/openssl.XXXXXX` ; \
        /usr/bin/openssl req -utf8 -newkey rsa:1024 -keyout $PEM1 -nodes -x509 -days 365 -out $PEM2 -set_serial 0 ; \
        cat $PEM1 > dovecot.pem ; \
        echo ""    >> dovecot.pem ; \
        cat $PEM2 >> dovecot.pem ; \
        rm -f $PEM1 $PEM2
Generating a 1024 bit RSA private key
....................++++++
.....++++++
writing new private key to '/tmp/openssl.ZU4774'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:CN
State or Province Name (full name) [Berkshire]:Fujian
Locality Name (eg, city) [Newbury]:Fuzhou
Organization Name (eg, company) [My Company Ltd]:www.666.com
Organizational Unit Name (eg, section) []:666
Common Name (eg, your name or your server's hostname) []:mail.666.com
Email Address []:admin@666.com

[root@server certs]# cp dovecot.pem /etc/pki/dovecot/certs/      //将产生的证书放到相关的目录下
[root@server certs]# cp dovecot.pem /etc/pki/dovecot/private/
[root@server certs]# rm -i dovecot.pem
rm: remove regular file `dovecot.pem'? y

[root@server certs]# grep 'protocols' /etc/dovecot.conf //修改dovecot服务只监听993995端口
protocols = imaps pop3s

[root@server certs]# service dovecot restart //重启服务
Stopping Dovecot Imap: [ OK ]
Starting Dovecot Imap: [ OK ]
[root@server certs]# !net
netstat -ntpl |grep -E '110|143|993|995+'
tcp        0      0 :::993                      :::*                        LISTEN      4819/dovecot       
tcp        0      0 :::995                      :::*                        LISTEN      4819/dovecot


[root@client ~]# mutt -f pops://192.168.100.254     //客户端测试
q:Exit ?:Help                                                                                                                                              
This certificate belongs to:
   mail.666.com
   Unknown
  
www.666.com
   666
   Fuzhou

This certificate was issued by:
   mail.666.com
   Unknown
  
www.666.com
   666
   Fuzhou

This certificate is valid
   from Mar 24 04:10:10 2010 GMT
     to Mar 24 04:10:10 2011 GMT

Fingerprint: E979 F0BA 5FFB 8D25 FFD3 A54D F609 429E

-- Mutt: SSL Certificate check   

Username at 192.168.100.254: test
Password for
test@192.168.100.254:


//下面的抓到的数据包都经过了ssl加密,大大提高了安全性
[root@server certs]# tshark -ni eth1 -R "tcp.srcport eq 993 or tcp.dstport eq 993"
Running as user "root" and group "root". This could be dangerous.
Capturing on eth1
0.060698 192.168.100.20 -> 192.168.100.254 TLSv1 Application Data, Application Data
0.064789 192.168.100.254 -> 192.168.100.20 TLSv1 Application Data
0.066679 192.168.100.20 -> 192.168.100.254 TCP 57095 > 993 [ACK] Seq=91 Ack=54 Win=1787 Len=0 TSV=7036187 TSER=1911187
0.066683 192.168.100.20 -> 192.168.100.254 TLSv1 Application Data, Application Data
0.072568 192.168.100.254 -> 192.168.100.20 TLSv1 Application Data
0.074538 192.168.100.20 -> 192.168.100.254 TLSv1 Encrypted Alert
0.074542 192.168.100.20 -> 192.168.100.254 TCP 57095 > 993 [FIN, ACK] Seq=218 Ack=140 Win=1787 Len=0
………………………………………
输出省略…………………………………………………………………
48 packets captured

//默认网卡混杂模式的修改与还原,改成混杂模式后,网卡将监听网卡所在交换机上的所有数据包
[root@server certs]# ifconfig eth1 |grep -i promisc
[root@server certs]# ifconfig eth1 promisc
[root@server certs]# ifconfig eth1 |grep -i promisc
          UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
[root@server certs]# ifconfig eth1 -promisc

  评论这张
 
阅读(1626)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016