Portvideresendelse og proxy ved brug af OpenSSH

Introduktion

SSH, også kendt som Secure Shell, kan bruges til meget mere end at skaffe en ekstern shell. Denne artikel vil demonstrere, hvordan SSH kan bruges til port forwarding og proxying.

De eneste forudsætninger er en OpenSSH-server (installeret som standard på Vultr Linux-billeder) og en OpenSSH-klient (tilgængelig på Linux, BSD og MS Windows.)

Formål

En SSH proxy bruges hovedsageligt til proxy webtrafik. Det kan for eksempel bruges til at sikre din webtrafik mod et usikkert lokalt netværk.

SSH port forwarding bruges ofte til at få adgang til tjenester, der ikke er offentligt tilgængelige. For eksempel kan du have en systemadministrationswebgrænseflade kørende på din server, såsom Webmin, men kun lytte efter forbindelser på localhost af sikkerhedsmæssige årsager. I så fald kan du bruge SSH til at videresende forbindelser på en valgt port fra din lokale maskine til den port, som tjenesten lytter på server-side, og dermed give dig fjernadgang til denne særlige tjeneste gennem SSH-tunnelen. Et andet almindeligt scenarie, hvor SSH-portvideresendelse bruges, er adgang til tjenester på et fjernt privat netværk gennem en SSH-tunnel til en vært på det private netværk.

Brug

Både proxy og portvideresendelse kræver ingen speciel konfiguration på din server. Brugen af ​​nøglebaseret godkendelse anbefales dog altid med SSH. Læs venligst Hvordan genererer jeg SSH-nøgler.

SSH proxy

Oprettelse af en SSH proxy er meget enkel, den generelle syntaks er som følger:

ssh -D [bind-address]:[port] [username]@[server]

Hvor [bind-address]er den lokale adresse at lytte på, [port]er den lokale port at lytte på, [username]er dit brugernavn på din server, og [server]er IP-adressen eller værtsnavnet på din server. Hvis [bind-address]det ikke er angivet, vil SSH standard, localhosthvilket er ønskeligt i de fleste tilfælde.

Her er et praktisk eksempel:

ssh -D 8080 root@your_server

For at bruge denne proxy, skal du konfigurere din browser til at bruge SOCKSv5som proxy-type og 8080som proxy-port.

SSH port forwarding

Den generelle syntaks for kommandoen er følgende:

ssh -L [localport]:[remotehost]:[remoteport] [username]@[server]

Hvor [localport]er den port, som SSH-klienten vil lytte til, [remotehost]er IP-adressen på værten, som forbindelserne vil blive videresendt til. Dette ville være, 127.0.0.1hvis du tunnelerer forbindelser til din server. Til sidst [remoteport]er portnummeret på serveren, der bruges af den tjeneste, du opretter forbindelse til.

Eksempel 1:

Overvej at have en vigtig webservice kørende på port 10000på din server, men den er ikke offentlig tilgængelig. Følgende kommando ville blive brugt til at etablere en SSH-tunnel til den service.

ssh -L 80:127.0.0.1:10000 root@your_server

Du vil nu være i stand til at oprette forbindelse ved at skrive http://127.0.0.1i din lokale browser.

Eksempel 2:

Du har to Vultr-servere på et privat netværk. Den ene kører en Linux-distribution, den anden kører MS Windows. På Windows-forekomsten kører en RDP-server, men er ikke udsat for internettet af sikkerhedsmæssige årsager. Hvis 192.168.1.5det antages, at det er Windows-maskinens private IP-adresse, kan du bruge følgende kommando til at oprette forbindelse til Remote Desktop-serveren via en port på din computer:

ssh -L 3389:192.168.1.5:3389 root@your_server

Enhver RDP-forbindelse fra din computer til sig selv vil nu blive tunneleret gennem din Linux-server til din Windows-server.