Переадресация портов и прокси с использованием OpenSSH

• Вступление
• Цель
• использование

Вступление

SSH, также известный как Secure Shell, может использоваться не только для получения удаленной оболочки. Эта статья продемонстрирует, как SSH может использоваться для переадресации и проксирования портов.

Единственными предварительными условиями являются сервер OpenSSH (установлен по умолчанию на образах Vultr Linux) и клиент OpenSSH (доступен в Linux, BSD и MS Windows.)

Цель

Прокси-сервер SSH в основном используется для прокси веб-трафика. Например, его можно использовать для защиты вашего веб-трафика от небезопасной локальной сети.

Переадресация порта SSH часто используется для доступа к службам, которые не являются общедоступными. Например, на вашем сервере может быть запущен веб-интерфейс системного администрирования, например Webmin, но только для прослушивания соединений на локальном хосте из соображений безопасности. В этом случае вы можете использовать SSH для переадресации соединений на выбранном порту с вашего локального компьютера на порт, на котором служба прослушивает серверную часть, тем самым предоставляя вам удаленный доступ к этой конкретной службе через туннель SSH. Другой распространенный сценарий, в котором используется переадресация порта SSH, - это доступ к службам в удаленной частной сети через туннель SSH к узлу в этой частной сети.

использование

Как проксирование, так и переадресация портов не требуют специальной настройки на вашем сервере. Однако использование SSH-аутентификации на основе ключей всегда рекомендуется. Пожалуйста, ознакомьтесь с разделом Как генерировать ключи SSH.

SSH прокси

Создать SSH-прокси очень просто, общий синтаксис следующий:

ssh -D [bind-address]:[port] [username]@[server]

Где [bind-address]находится локальный адрес для прослушивания, [port]локальный порт для прослушивания, [username]ваше имя пользователя на сервере и [server]IP-адрес или имя хоста вашего сервера. Если [bind-address]не указан, по умолчанию будет использоваться SSH, localhostчто желательно в большинстве случаев.

Вот практический пример:

ssh -D 8080 root@your_server

Чтобы использовать этот прокси, вы должны настроить свой браузер на использование в SOCKSv5качестве типа прокси и 8080в качестве порта прокси.

Переадресация порта SSH

Общий синтаксис команды следующий:

ssh -L [localport]:[remotehost]:[remoteport] [username]@[server]

Где [localport]находится порт, который будет прослушивать клиент SSH, [remotehost]это IP-адрес хоста, на который будут перенаправляться соединения. Это было бы, 127.0.0.1если вы туннелируете соединения с вашим сервером. Наконец, [remoteport]это номер порта на сервере, который используется службой, к которой вы подключаетесь.

Пример 1:

Подумайте о том, чтобы 10000на вашем сервере работала важная веб-служба , но она не была общедоступной. Следующая команда будет использоваться для установки SSH-туннеля к этой службе.

ssh -L 80:127.0.0.1:10000 root@your_server

Теперь вы сможете подключиться, набрав http://127.0.0.1в локальном браузере.

Пример 2:

У вас есть два сервера Vultr в частной сети. Один работает под управлением дистрибутива Linux, другой работает под управлением MS Windows. В экземпляре Windows сервер RDP работает, но не подключен к Интернету по соображениям безопасности. Предполагая, 192.168.1.5что это частный IP-адрес компьютера с Windows, вы можете использовать следующую команду для подключения к серверу удаленного рабочего стола через порт на вашем компьютере:

ssh -L 3389:192.168.1.5:3389 root@your_server

Любое RDP-соединение от вашего компьютера к себе теперь будет проходить через ваш сервер Linux к вашему серверу Windows.