stunnel4

• 无需修改原代码的情况下将TCP流量封装于SSL通道内
• 适用于本身不支持加密传输的应用
• 支持openssl安全特性
• 跨平台
• 性能优

实验

（1）首先将一台bodhi linux当作stunnel server，首先我们先安装一下，然后改为内网地址

（2）之后在防火墙配置一下NAT规则，NAT IP为metasploitable的地址，当作应用服务器（注意，防火墙规则也要放通）

（3）服务器端配置

• 生成证书

openssl req -new -days 365 -nodes -x509 -out /etc/stunnel/stunnel.pem -keyout /etc/stunnel/stunnel.pem

• 创建配置文件 /etc/stunnel/stunnel.conf

cert = /etc/stunnel/stunnel.pem
setuid = stunnel4
setgid = stunnel4
pid = /var/run/stunnel4/stunnel4.pid
[myslqs]
accept = 0.0.0.0:443
connect = 1.1.1.52:3306

• 设置自动启动

/etc/default/stunnel4
  ENABLED=1

• 启动stunnel4服务端

service stunnel4 start

• 防火墙规则

端口映射TCP/443端口到stunnel4服务端口TCP/443

设置防火墙规则

(4)安装客户端

• 客户端配置

创建配置文件/etc/stunnel/stunnel.conf
  client = yes
  [MySQLs]
  accept = 3306
  connect = 192.168.0.119:443
客户端自动启动
/etc/default/stunnel4
  ENABLED=1

• 启动客户端服务

service stunnel4 stop / start

• Mysql客户端连接服务器

mysql -u root -h 127.0.0.1

注意：隧道传输的数据，数据被SSL隧道封装，无法明文被抓取查看