Переадресація портів і проксі за допомогою OpenSSH

Вступ

SSH, також відомий як Secure Shell, може використовуватися не тільки для отримання віддаленої оболонки. У цій статті буде показано, як SSH можна використовувати для переадресації портів і проксі.

Єдиними передумовами є сервер OpenSSH (встановлений за замовчуванням на образах Vultr Linux) і клієнт OpenSSH (доступний у Linux, BSD та MS Windows).

Мета

Проксі-сервер SSH в основному використовується для проксі веб-трафіку. Наприклад, його можна використовувати для захисту вашого веб-трафіку від небезпечної локальної мережі.

Переадресація портів SSH часто використовується для доступу до служб, які не є загальнодоступними. Наприклад, ви можете мати веб-інтерфейс системного адміністрування, який працює на вашому сервері, наприклад Webmin, але прослуховує з’єднання лише на локальному хості з міркувань безпеки. У цьому випадку ви можете використовувати SSH для переадресації з’єднань на вибраному порту з вашого локального комп’ютера на порт, на якому служба прослуховує сервер на стороні сервера, таким чином надаючи вам віддалений доступ до цієї конкретної служби через тунель SSH. Іншим поширеним сценарієм, де використовується переадресація портів SSH, є доступ до служб у віддаленій приватній мережі через тунель SSH до хоста в цій приватній мережі.

Використання

Як проксі-сервер, так і переадресація портів не вимагають спеціальної конфігурації на вашому сервері. Однак для SSH завжди рекомендується використовувати аутентифікацію на основі ключів. Прочитайте, будь ласка, як генерувати ключі SSH.

SSH проксі

Створити проксі-сервер SSH дуже просто, загальний синтаксис такий:

ssh -D [bind-address]:[port] [username]@[server]

Де [bind-address]розташована локальна адреса для прослуховування, [port]локальний порт для прослуховування, [username]ваше ім’я користувача на вашому сервері та [server]IP-адреса або ім’я хоста вашого сервера. Якщо [bind-address]не вказано, SSH буде використовуватися за замовчуванням, localhostщо є бажаним у більшості випадків.

Ось практичний приклад:

ssh -D 8080 root@your_server

Щоб використовувати цей проксі-сервер, потрібно налаштувати свій браузер на використання SOCKSv5як типу проксі-сервера та 8080порту проксі-сервера.

Переадресація портів SSH

Загальний синтаксис команди наступний:

ssh -L [localport]:[remotehost]:[remoteport] [username]@[server]

Де [localport]знаходиться порт, на якому буде слухати клієнт SSH, [remotehost]це IP-адреса хоста, на який будуть перенаправлені з'єднання. Це буде, 127.0.0.1якщо ви тунелюєте з’єднання зі своїм сервером. Нарешті, [remoteport]це номер порту на сервері, який використовується службою, до якої ви підключаєтеся.

Приклад 1:

Подумайте про те, щоб на порту 10000вашого сервера запущено важливу веб-службу , але вона не є загальнодоступною. Наступна команда буде використана для встановлення тунелю SSH до цієї служби.

ssh -L 80:127.0.0.1:10000 root@your_server

Тепер ви зможете підключитися, ввівши http://127.0.0.1у своєму локальному браузері.

Приклад 2:

У вас є два сервери Vultr у приватній мережі. Один працює з дистрибутивом Linux, інший – MS Windows. У екземплярі Windows сервер RDP запущено, але не підключений до Інтернету з міркувань безпеки. Припускаючи, що 192.168.1.5це приватна IP-адреса комп’ютера Windows, ви можете використовувати таку команду для підключення до сервера віддаленого робочого стола через порт на вашому комп’ютері:

ssh -L 3389:192.168.1.5:3389 root@your_server

Будь-яке з’єднання RDP від ​​вашого комп’ютера до самого себе тепер тунелюватиметься через ваш сервер Linux на сервер Windows.