Port forwarding en proxying met OpenSSH

• Invoering
• Doel
• Gebruik

Invoering

SSH, ook wel bekend als Secure Shell, kan voor veel meer worden gebruikt dan het verkrijgen van een externe shell. Dit artikel laat zien hoe SSH kan worden gebruikt voor port forwarding en proxying.

De enige vereisten zijn een OpenSSH-server (standaard geïnstalleerd op Vultr Linux-images) en een OpenSSH-client (beschikbaar op Linux, BSD en MS Windows.)

Doel

Een SSH-proxy wordt voornamelijk gebruikt om webverkeer te proxygen. Het kan bijvoorbeeld worden gebruikt om uw webverkeer te beveiligen tegen een onveilig lokaal netwerk.

Port forwarding via SSH wordt vaak gebruikt om toegang te krijgen tot services die niet openbaar toegankelijk zijn. U kunt bijvoorbeeld een webinterface voor systeembeheer op uw server laten draaien, zoals Webmin, maar om veiligheidsredenen alleen luisteren naar verbindingen op localhost. In dat geval kunt u SSH gebruiken om verbindingen op een gekozen poort van uw lokale computer door te sturen naar de poort waarop de service serverzijde luistert, waardoor u externe toegang krijgt tot deze specifieke service via de SSH-tunnel. Een ander veelvoorkomend scenario waarbij SSH-poortdoorschakeling wordt gebruikt, is toegang krijgen tot services op een extern privaat netwerk via een SSH-tunnel naar een host op dat privénetwerk.

Gebruik

Voor zowel proxy's als port forwarding is geen speciale configuratie op uw server vereist. Het gebruik van op sleutels gebaseerde authenticatie wordt echter altijd aanbevolen met SSH. Lees aub Hoe genereer ik SSH-sleutels.

SSH-proxy

Het maken van een SSH-proxy is heel eenvoudig, de algemene syntaxis is als volgt:

ssh -D [bind-address]:[port] [username]@[server]

Waar [bind-address]is het lokale adres om naar te luisteren, [port]is de lokale poort om naar te luisteren, [username]is uw gebruikersnaam op uw server en [server]is het IP-adres of de hostnaam van uw server. Indien [bind-address]niet gespecificeerd, zal SSH localhostin de meeste gevallen standaard wenselijk zijn.

Hier is een praktisch voorbeeld:

ssh -D 8080 root@your_server

Om deze proxy te gebruiken, moet u uw browser configureren om SOCKSv5als proxytype en 8080als proxypoort te gebruiken.

SSH-poort doorsturen

De algemene syntaxis van het commando is het volgende:

ssh -L [localport]:[remotehost]:[remoteport] [username]@[server]

Waar [localport]is de poort waarop de SSH-client zal luisteren, [remotehost]is het IP-adres van de host waarnaar de verbindingen worden doorgestuurd. Dit zou zijn 127.0.0.1als u verbindingen met uw server tunnelt. Ten slotte [remoteport]is het poortnummer op de server dat wordt gebruikt door de service waarmee u verbinding maakt.

Voorbeeld 1:

Overweeg om een ​​belangrijke webservice op de poort 10000op uw server te laten draaien, maar deze is niet openbaar toegankelijk. De volgende opdracht zou worden gebruikt om een ​​SSH-tunnel naar die service te maken.

ssh -L 80:127.0.0.1:10000 root@your_server

U kunt nu verbinding maken door http://127.0.0.1in uw lokale browser te typen .

Voorbeeld 2:

Je hebt twee Vultr-servers op een particulier netwerk. De ene draait een Linux-distributie, de andere draait op MS Windows. Op de Windows-instantie is een RDP-server actief, maar wordt om veiligheidsredenen niet blootgesteld aan internet. Ervan uitgaande dat 192.168.1.5het privé-IP-adres van de Windows-machine is, kunt u de volgende opdracht gebruiken om verbinding te maken met de Remote Desktop-server via een poort op uw computer:

ssh -L 3389:192.168.1.5:3389 root@your_server

Elke RDP-verbinding van uw computer naar zichzelf wordt nu via uw Linux-server naar uw Windows-server getunneld.