作者EVGA (我要成为CCIE)
看板MIS
标题[请益] 测试特定Port能否穿过防火墙的方法
时间Fri Mar 8 20:05:13 2019
验证环境如下:
PC1─SW─RT1─SW─FW─SW─RT2─SW─PC2
作业系统如下
PC: Windows7 Pro
SW/RT: Cisco IOS
FW: Fortigate Forti OS 5.4
Fortigate上建立双向NAT
相关policy的service都是设all全开
若我的理解没错,理论上所有port都能通过
但因客户有使用一些不常见的port,保险起见上线前还是必须测试
偶尔碰到类似的情形,我会简单用telnet ip port来进行测试
但这次环境中,对端并没有伺服器或应用程式在监听客户所指定的port
我想确认带特定port的封包能否穿过防火墙,完成end-to-end通讯,不知有无好方法呢?
比方说能简单让Windows PC或Cisco RT监听特定port的作法等等
经验不足还请各位前辈指教,谢谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 147.192.17.155
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1552046721.A.15C.html
1F:推 slash66: fortigate sniffer看封包有没有经过罗 03/08 20:38
2F:推 chemi0213: 试试PC2电脑起netcat? 也有Windows版可以装,让PC2听特 03/08 21:03
3F:→ chemi0213: 定tcp port,就可以从PC1 telnet或一样用netcat测试 03/08 21:03
4F:→ deadwood: 渗透测试工具firewalk专门用来做你需要的测试 03/08 21:24
5F:→ deadwood: 不需要让目的端聆听port也可以测出那些port的流量能过 03/08 21:25
回报状况:
在我的windows7环境上执行netcat不顺利,输入指令後跳出错误,无法顺利使用
除错过程中找到另一个能在windows上轻松监听tcp/udp port的工具,叫Port Listener
执行Port Listener後用telnet连线,再用fortigate的diagnose sniffer packet指令
便可完整看到封包进出的全貌,达到我想做的测试
供参考:
https://geekflare.com/create-port-listener-in-windows-or-linux/
https://kb.fortinet.com/kb/documentLink.do?externalID=11186
6F:→ EVGA: 谢谢以上几位版友的提示与指教 03/10 01:14
※ 编辑: EVGA (147.192.17.155), 03/10/2019 01:19:44
7F:推 justoncetime: 推回报 03/10 23:11