Přesměrování portů a proxy pomocí OpenSSH

Úvod

SSH, také známý jako Secure Shell, lze použít k mnohem více než k získání vzdáleného shellu. Tento článek ukáže, jak lze SSH použít pro přesměrování portů a proxy.

Jedinými předpoklady jsou OpenSSH server (ve výchozím nastavení nainstalovaný na obrazech Vultr Linux) a klient OpenSSH (dostupný na Linuxu, BSD a MS Windows.)

Účel

SSH proxy se používá hlavně k proxy webového provozu. Může být například použit k zabezpečení vašeho webového provozu proti nebezpečné místní síti.

SSH port forwarding se často používá pro přístup ke službám, které nejsou veřejně přístupné. Můžete například mít na svém serveru spuštěné webové rozhraní pro správu systému, jako je Webmin, ale z bezpečnostních důvodů naslouchá pouze připojení na localhost. V takovém případě můžete použít SSH k předávání spojení na vybraném portu z vašeho místního počítače na port, na kterém služba naslouchá na straně serveru, a tím vám poskytnout vzdálený přístup k této konkrétní službě prostřednictvím tunelu SSH. Dalším běžným scénářem, kde se používá přesměrování portů SSH, je přístup ke službám ve vzdálené privátní síti prostřednictvím tunelu SSH k hostiteli v této privátní síti.

Používání

Jak proxy, tak předávání portů nevyžadují na vašem serveru žádnou speciální konfiguraci. Použití autentizace na základě klíče se však u SSH vždy doporučuje. Přečtěte si prosím Jak vygeneruji klíče SSH.

SSH proxy

Vytvoření SSH proxy je velmi jednoduché, obecná syntaxe je následující:

ssh -D [bind-address]:[port] [username]@[server]

Kde [bind-address]je místní adresa pro poslech, [port]je místní port pro poslech, [username]je vaše uživatelské jméno na vašem serveru a [server]je IP adresa nebo název hostitele vašeho serveru. Pokud [bind-address]není zadáno, SSH bude výchozí, localhostcož je ve většině případů žádoucí.

Zde je praktický příklad:

ssh -D 8080 root@your_server

Abyste mohli používat tento proxy server, musíte svůj prohlížeč nakonfigurovat tak, aby jej používal SOCKSv5jako typ proxy a 8080jako port proxy.

SSH port forwarding

Obecná syntaxe příkazu je následující:

ssh -L [localport]:[remotehost]:[remoteport] [username]@[server]

Kde [localport]je port, na kterém bude SSH klient naslouchat, [remotehost]je IP adresa hostitele, na který budou spojení přesměrována. To by bylo, 127.0.0.1pokud tunelujete připojení k vašemu serveru. Nakonec [remoteport]je číslo portu na serveru, který používá služba, ke které se připojujete.

Příklad 1:

Zvažte, zda 10000na vašem serveru běží na portu důležitá webová služba , která však není veřejně přístupná. Následující příkaz by se použil k vytvoření tunelu SSH k této službě.

ssh -L 80:127.0.0.1:10000 root@your_server

Nyní se budete moci připojit zadáním http://127.0.0.1do místního prohlížeče.

Příklad 2:

V privátní síti máte dva servery Vultr. Na jednom běží linuxová distribuce, na druhém MS Windows. V instanci Windows běží server RDP, ale z bezpečnostních důvodů není vystaven internetu. Za předpokladu, že se 192.168.1.5jedná o soukromou IP adresu počítače se systémem Windows, můžete se pomocí následujícího příkazu připojit k serveru vzdálené plochy přes port na vašem počítači:

ssh -L 3389:192.168.1.5:3389 root@your_server

Jakékoli připojení RDP z vašeho počítače k ​​sobě samému bude nyní tunelováno přes váš Linux server na váš Windows server.