Port Forwarding och Proxying med OpenSSH

Introduktion

SSH, även känt som Secure Shell, kan användas till mycket mer än att skaffa ett fjärrskal. Den här artikeln kommer att visa hur SSH kan användas för portvidarebefordran och proxysändning.

De enda förutsättningarna är en OpenSSH-server (installerad som standard på Vultr Linux-avbildningar) och en OpenSSH-klient (tillgänglig på Linux, BSD och MS Windows.)

Syfte

En SSH-proxy används huvudsakligen för att proxyservera webbtrafik. Den kan till exempel användas för att säkra din webbtrafik mot ett osäkert lokalt nätverk.

SSH-portvidarebefordran används ofta för att komma åt tjänster som inte är offentligt tillgängliga. Du kan till exempel ha ett webbgränssnitt för systemadministration som körs på din server, som Webmin, men bara lyssnar efter anslutningar på localhost av säkerhetsskäl. I så fall kan du använda SSH för att vidarebefordra anslutningar på en vald port från din lokala maskin till porten där tjänsten lyssnar på serversidan, vilket ger dig fjärråtkomst till just denna tjänst genom SSH-tunneln. Ett annat vanligt scenario där SSH-portvidarebefordran används är att få åtkomst till tjänster på ett avlägset privat nätverk via en SSH-tunnel till en värd på det privata nätverket.

Användande

Både proxy och portvidarebefordran kräver ingen speciell konfiguration på din server. Användning av nyckelbaserad autentisering rekommenderas dock alltid med SSH. Vänligen läs Hur genererar jag SSH-nycklar.

SSH proxy

Att skapa en SSH-proxy är väldigt enkelt, den allmänna syntaxen är som följer:

ssh -D [bind-address]:[port] [username]@[server]

Var [bind-address]är den lokala adressen att lyssna på, [port]är den lokala porten att lyssna på, [username]är ditt användarnamn på din server och [server]är IP-adressen eller värdnamnet för din server. Om det [bind-address]inte anges kommer SSH att använda localhostsom standard, vilket är önskvärt i de flesta fall.

Här är ett praktiskt exempel:

ssh -D 8080 root@your_server

För att använda denna proxy måste du konfigurera din webbläsare för att använda SOCKSv5som proxytyp och 8080som proxyport.

SSH portvidarebefordran

Den allmänna syntaxen för kommandot är följande:

ssh -L [localport]:[remotehost]:[remoteport] [username]@[server]

Var [localport]är porten som SSH-klienten kommer att lyssna på, [remotehost]är IP-adressen till värden som anslutningarna kommer att vidarebefordras till. Detta skulle vara 127.0.0.1om du tunnlar anslutningar till din server. Slutligen [remoteport]är portnumret på servern som används av tjänsten du ansluter till.

Exempel 1:

Överväg att ha en viktig webbtjänst som körs på porten 10000på din server, men den är inte tillgänglig för allmänheten. Följande kommando skulle användas för att upprätta en SSH-tunnel till den tjänsten.

ssh -L 80:127.0.0.1:10000 root@your_server

Du kommer nu att kunna ansluta genom att skriva http://127.0.0.1i din lokala webbläsare.

Exempel 2:

Du har två Vultr-servrar på ett privat nätverk. Den ena kör en Linux-distribution, den andra kör MS Windows. På Windows-instansen körs en RDP-server men är inte exponerad för internet av säkerhetsskäl. Om du antar att det 192.168.1.5är Windows-maskinens privata IP-adress kan du använda följande kommando för att ansluta till fjärrskrivbordsservern via en port på din dator:

ssh -L 3389:192.168.1.5:3389 root@your_server

Alla RDP-anslutningar från din dator till sig själv kommer nu att tunnlas genom din Linux-server till din Windows-server.