Bemipefe's questions

我知道您可以使用 ssh 将本地或远程端口转发到另一个目的地和端口。例如，假设我有这个命令：

ssh -L *:8443:10.0.0.1:443 [email protected]

因此，这允许在发出命令的机器上打开一个监听套接字（假设它的 ip 是10.0.0.3）在 port 上8443。当一些客户端连接到数据包时10.0.0.3:8443，数据包流通过它们之间建立的 ssh 通道10.0.0.3，10.0.0.2然后 ssh 服务器10.0.0.2将数据包转发到目的地，在这种情况下为 10.0.0.1:443。

我想知道服务器是否10.0.0.2可以建立永久连接，10.0.0.1:443以便连接10.0.0.2:xxxxx -> 10.0.0.1:443打开一次并且永远不会断开。来自连接到的客户端的所有流量10.0.0.3:8443都应使用此永久通道。

所以基本上我不希望在建立新客户端连接到10.0.0.3:8443新通道时出现这种10.0.0.2:xxxxx -> 10.0.0.1:443情况。这可以防止我重用同一个会话并使另一个客户端在第一个客户端之后发送的请求无效。

我有一个 Windows Server 2012 R2，它是一个带有 SQL Server 2014 (Express) 的 DC，更新到带有 CU10 12.2.5571.0（测试环境）的最新 SP2。我通过在路径中设置注册表项禁用了除TLS1.1和TLS1.2之外的所有协议：

HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.

我最初只启用了 TLS1.2，但我还需要 TLS1.1 以向后兼容在同一域的另一台机器上运行的 Java 应用程序。为了使用 TLS1.2，需要特定的 JDBC 驱动程序，并且必须为 JDBC url 提供一个属性（请参阅此处的讨论）。

同时我想让应用程序与 TLS1.1 一起工作，所以我重新启用了它。但是，应用程序无法连接到数据库，SQL Server 似乎没有使用 TLS1.1。为了测试连接，我尝试了以下命令：

1)openssl s_client -connect <Server IP>:1433 -ssl3

2)openssl s_client -connect <Server IP>:1433 -tls1_1

3)openssl s_client -connect <Server IP>:1433 -tls_1_2

测试 1) 按预期失败（握手失败），而测试 2) 需要一些时间（大约 30 秒或更长时间）才能产生成功的响应。测试 3) 按预期产生了成功的输出。

我还尝试在客户端计算机上使用 Management Studio，并且只有在客户端和服务器上都启用了 TLS1.2 时连接才有效。否则，如果仅启用 TLS1.1，则会显示以下错误：

与服务器成功建立连接，但在登录过程中出现错误。（提供者：SSL Provider，错误：0 - 客户端和服务器无法通信，因为它们没有共同的算法。）

怎么可能？

我是否需要在安全通道上强制执行某些操作？

为什么 SQL Server 不再允许 TLS1.1 连接？

我的网络组成如下：

• 主机 A 的 ip 9.xxx 和 vpn ip 192.15.206.x（openvpn 客户端）

• 主机 B 的 ip 9.xxx 和 vpn ip 192.15.206.1（openvpn 服务器）这台主机有一个网桥 br0 和 ip 192.168.206.1

• 主机 C，IP 为 192.168.206.2/192.168.206.255，位于主机 B 的 vnet0 中。vnet0 与 br0 桥接

我想从 A 到达 C。这就是发生的情况：

• 从主机 BI 可以 ping A（使用 9.xxx 或 192.15.206.x）和 C
• 从主机 CI 可以 ping B 和 A（使用 192.15.206.x）
• 从主机 AI 可以使用 IP 192.15.206.1 或 192.168.206.1 ping B，但不能使用 IP 192.168.206.2 ping B

所以问题是为什么？路由表是：

192.15.206.2    0.0.0.0         255.255.255.255 UH    0      0        0 tun0
9.168.58.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.15.206.0    192.15.206.2    255.255.255.0   UG    0      0        0 tun0
192.168.206.0   0.0.0.0         255.255.255.0   U     0      0        0 br0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1004   0        0 br0
0.0.0.0         9.168.58.254    0.0.0.0         UG    0      0        0 eth0

网桥配置是：

bridge name     bridge id               STP enabled     interfaces
br0             8000.005056a67d62       no              eth1
                                                        vnet0

命令：

cat /proc/sys/net/ipv4/ip_forward

返回 1

使用 tcpdump -i tun0 如果我在主机 A 上运行 ping 192.168.206.1：

14:33:23.927126 IP 192.15.206.6 > 192.168.206.1: ICMP echo request, id 768, seq 513, length 40
14:33:23.927191 IP 192.168.206.1 > 192.15.206.6: ICMP echo reply, id 768, seq 513, length 40

它被发回的重播。但是，如果我在主机 A 上运行 ping 192.168.206.2，重播不会被发回。

14:36:33.262959 IP 192.15.206.6 > 192.168.206.2: ICMP echo request, id 768, seq 1281, length 40
14:36:38.749631 IP 192.15.206.6 > 192.168.206.2: ICMP echo request, id 768, seq 1537, length 40

似乎数据包通过 tun0 设备从 A 到达 B，但这些数据包不会转发给 br0，后者应该将数据包发送到连接 C 主机的 vnet0。

这个问题与 iptables 有关，实际上通过停止 iptables 服务我可以从 A ping C。我尝试了这个规则但没有成功：

-A FORWARD -i br0 -j ACCEPT
-A FORWARD -o br0 -j ACCEPT
-A FORWARD -i br0 -j ACCEPT
-A FORWARD -o br0 -j ACCEPT
-A FORWARD -i vnet0 -j ACCEPT
-A FORWARD -o vnet0 -j ACCEPT
-A FORWARD -i vnet0 -j ACCEPT
-A FORWARD -o vnet0 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -o tun0 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -o tun0 -j ACCEPT

有任何想法吗 ？