Hyödyllisiä vinkkejä

SSH-tunneli - tapoja luoda

Pin
Send
Share
Send
Send


Alkuperäinen: Kuinka päästä Linux-palvelimeen NAT: n taakse SSH-tunnelin kautta
Lähettäjä: Dan Nanni
Julkaisupäivä: 4. toukokuuta 2015
Käännös: N. Romodanov
Käännöspäivä: syyskuu 2015

Aloitit Linux-palvelimen kotona, joka sijaitsee NAT-reitittimen takana tai on suojattu palomuurilla. Nyt kun et ole kotona, tarvitset pääsy kotipalvelimeesi SSH: n kautta. Kuinka perustaa se? Mahdollinen vaihtoehto olisi ohjata uudelleen SSH-porttiin. Porttien edelleenlähetys voi kuitenkin olla vaikeampaa, jos ympäristössä on useita sisäkkäisiä NAT: ita. Lisäksi Internet-palveluntarjoajien asettamat rajoitukset voivat vaikuttaa ratkaisuusi, kuten rajoittavat palveluntarjoajat palomuurit, jotka estävät portin edelleenlähetyksen, tai NAT osoitteenmuunnoksella, jonka avulla käyttäjät voivat käyttää samoja IPv4-osoitteita samanaikaisesti.

Mikä on SSH-tunnelointi, mihin se on tarkoitettu?

Itse asiassa kaikki on erittäin yksinkertaista. Sinulla on esimerkiksi etäpalvelin ja paikallinen tietokone. Yhdessä vaiheessa sinun on lähetettävä joitain tietoja isäntään tai päinvastoin, ladattava joitain tiedostoja palvelimelta tietokoneelle. Koska verkkoprotokolla ei toimi täsmälleen kuten normaali verkkoliitäntä, sinun on luotava SSH-tunneli tietojen lataamiseksi. Se on kuin kanava, jonka kautta voit vaihtaa tietoja palvelimien kanssa, ja siellä on sekä suora että käänteinen SSH-tunneli.

Ja VPN-tekniikka auttaa sinua luomaan SSH-tunneleita. Sen ydin on, että VPN antaa sinun luoda yksityisiä suojattuja verkkoja olemassa olevien päälle.

Näin voit upottaa tunnelin verkkoprotokollaan. Mutta tätä varten tarvitset erityisen apuohjelman, joka riittää tällä hetkellä Internetissä. Yksi parhaimmista laatuaan on SSH Tunnel Easy. Aloitamme hänen arvostelustaan.

SSH Tunnel Easy

Valitettavasti et löydä monia arvosteluja ja käsikirjoja tämän ohjelman asettamisesta netistä. Tosiasia on, että se on suosittu ulkomailla ja sitä myydään siellä jonnekin 30-50 dollarilla. Mutta RuNetissä, kauan sitten, on paljon "halkeamia", joten olet varma, että lataat SSH Tunnel Easy -sovelluksen tietokoneellesi.

SSH Tunnel Easy -ominaisuus on, että tämä ohjelma ratkaisee käyttäjän ongelman täysin - se luo SSH-tunnelin. Eli sinun ei tarvitse kiirehtää sovelluksesta toiseen, koska kaikki tarvittavat toiminnot ovat jo saatavilla SSH Tunnel Easy -sovelluksessa. Ohjelman avulla voit määrittää tiedonsiirron lisäksi tiedostojen automaattisen lataamisen useiden kanavien kautta. Muussa tapauksessa sinun olisi asennettava SSH Tunnel Easy -sovelluksen sijasta monia ohjelmia, jotka eivät vieläkään pysty toteuttamaan sitä, mitä kyseinen sovellus antaa.

SSH Tunnel Easy ratkaisee ongelman rinnakkaisliitoksilla. Tosiasia on, että kun he yrittävät muodostaa yhteyden palvelimeen samanaikaisesti useiden rinnakkaisten kanavien kautta tiedonsiirtopyynnöllä, SSH-isäntä ei usein nouse pystyyn ja roikkuu. SSH Tunnel Easy estää palvelinta jäätymästä, koska se luo erillisen verkkoprotokollan jokaiselle latauskanavalle. Tällainen hankala ratkaisu antaa sinulle mahdollisuuden luoda peruutus- ja eteenpäin suuntautuneita tunneleita, jotka jaetaan useisiin haaroihin, minkä seurauksena pitkät notkimis- ja toimintahäiriöt eivät aiheudu!

Tunneli ja VPN OpenSSH: n kanssa

Jos et halua etsiä helppoja tapoja, voit organisoida lataustunnelin SSH-verkkoprotokollan avulla tavallisella OpenSSH-ohjelmalla. Tämä menetelmä sopii hyvin niille, jotka ovat asentaneet Ubuntu- tai Linux-käyttöjärjestelmän. Ensin täytyy asentaa OpenSSH. Kirjoita tämä seuraava komento konsoliin: sudo aptitude install openssh-server.

Tosiasia, että mikä tahansa tunnelin, käänteinen, suora ja jopa monikanavainen, voidaan luoda käyttämällä standardinmukaisia ​​OpenSSH-ominaisuuksia. Mutta tätä varten sinun on ymmärrettävä tämän sovelluksen ominaisuudet ja pystyttävä määrittämään sen kokoonpano. Tunnelin luomiseksi sinun on annettava ainakin suuntaus tunnelointiin konfigurointitiedoston sisällä, joka määrittelee SSH-protokollan asetukset. Voit ottaa tunnelin käyttöön kirjoittamalla seuraavan rivin tiedostoon: PermitTunnel pisteestä pisteeseen. Sen jälkeen sinun on käynnistettävä OpenSSH-palvelinohjelma uudelleen. Kirjoita tämä seuraava komento: service ssh käynnistä uudelleen.

Huomaa, että on olemassa yksi iso, mutta samanlainen tunneliorganisaatio. Ja se koostuu siitä, että tunnelin yhdistämiseksi joudut menemään isännälle supervalvojan tilin kautta. Ja kuten tiedätte, tämä on räikeä SSH-protokollan turvasääntöjen rikkomus. Ja vaikka oletusasetuksissa pääkäyttäjä aktivoidaan, se ei ole ollenkaan turvallinen. Jos salasana varastetaan, menetät kaiken - sivusto ryöstetään kirjaimellisesti ja suojellaan. Siksi joko tee erittäin monimutkainen salattu salasana tai aktivoi todennus julkisilla avaimilla.

Kun olet kirjautunut sisään pääkäyttäjänä, voit luoda tunnelin komentorivillä. Sinun on rekisteröitävä komento sudo-sovelluksella tai käyttämällä root-a: ta. Ja sinun on rekisteröitävä lomakkeen -w local_tunnel: reverse_tunnel toiminta. Määritä numerot paikallisen ja peruutetun tunnelin sijasta. Voit rekisteröidä kaksi nollaa - silloin tunneli tun0 luodaan sekä palvelimelle että asiakkaalle.

Seuraava vaihe on konfiguroida kaksi tunnelia siten, että ne voivat välittää tietoja keskenään. Tässä on esimerkki tunnelin kokoonpanosta: palvelintunnelille - ifconfig tun0 10.0.0.1/30 pointopoint 10.0.0.2 ja asiakkaalle ifconfig tun0 10.0.0.2/30 pointopoint 10.0.0.1.

Mutta se ei ole kaikki. Jos haluat luoda automaattisen tiedonlatauksen tunnelin läpi, sinun on määritettävä se asetuksissa oletusyhdyskäytäväksi. Mutta tässä tapauksessa polku DNS: ään ja palvelimeen menetetään. Siksi nykyiset yhdyskäytävät on rekisteröitävä reititystaulukkoon reitin add -host XX.XX.XX.XX -komennon gw HH.HH.HH.HH kautta (XX on yhden rivin IP DNS ja toisella palvelimen IP ja HH päällä). poistetaan nykyisen yhdyskäytävän molemmat IP-komennot).

Poista nyt nykyinen yhdyskäytävä ja lisää uusi. Poista käyttämällä rivireittiä del oletus. Ja me määräämme uuden, joka käyttää samanlaista toimintoa: route add default gw 10.0.0.1 (sinun tapauksessasi IP voi olla erilainen riippuen siitä, mitä tunnelin luomisessa ilmoitettiin).

Kun nämä asetukset on määritetty, kaikki, mikä ylittää standardikanavat, ohjataan automaattisesti turvalliseen verkkoprotokollaan tunnelin kautta. Toisin sanoen tällä tavalla luotiin automaattinen tunneli, joka kuljettaa kaiken tiedon ja liikenteen itsensä läpi. Mutta on vielä yksi ongelma - liikennettä pääsee palvelimelle, mutta siihen ei tapahdu enää mitään. Ja kaikki silloin on tarpeen määrittää NAT-verkkoosoitteiden käännös SSH-asiakkaalle. Tämän toteuttamiseksi sinun on lisättävä uusi sääntö: iptables -t nat -A JÄLKEEN -10.0.0.2 -j MASQUERADE. Nyt jäljellä on vain mahdollistaa ip-välitys edelleen ytimen läpi ja määrittää sen aktivointi aina käynnistettäessä. Sen jälkeen tunnelointia voidaan pitää onnistuneena! Kuten näette, OpenSSH: n kanssa kaikki on paljon monimutkaisempaa, mutta silti, jos yrität, niin kaikki on totta.

Ohjelmien välinen kilpailu on tietysti tehnyt työnsä - nyt voit luoda VPN-kanavan monin tavoin. Yksi näistä on avoin VPN. Sitä voidaan käyttää myös Linuxissa. Joten asentaaksesi avoimen VPN: n sinun täytyy mennä päätelaitteeseen ja kirjoittaa seuraava rivi: apt-get install openvpn openvpn-docs, jonka jälkeen sovellus lataa ja asentaa. Sinulta voidaan pyytää järjestelmänvalvojan salasana.

Avoin VPN voidaan määrittää eri tavoin tehtävän yleisestä monimutkaisuudesta riippuen. Jos esimerkiksi tarvitset tunnelointia kahden tietokoneen välillä, konfigurointi on hyvin yksinkertaista, mutta jos tietokoneita on paljon, joudut kärsimään kokoonpanoista.

Joten, jotta voit luoda yksinkertaisen tunnelin kahden tietokoneen välillä, sinun on luotava erityinen avain. Tämä tehdään käyttämällä kyselyä: openvpn - avain - varma static.key. Luotu avain on siirrettävä sekä palvelimelle että asiakkaalle asennuksen aikana luodussa openvpn-kansiossa, joka sijaitsee Etc.-hakemistossa. Tämän kansion sisällä sinun on luotava asetustiedosto, jonka nimeät palvelimelle ja asiakkaalle eri tavalla. Luo palvelimella server.conf ja kirjoita asiakas.conf asiakkaalle. Löydät kokoonpanotiedoston vakioasetukset Open VPN -sovelluksen verkkosivustolta.

Kun olet lisännyt viralliselle Open VPN -sivustolle kopioitavat erityiset kokoonpanot, sinun on suoritettava sovellus vain palvelimella ja tietokoneella, tarkistettava ping kanavan kautta ja aktivoitava automaattinen käynnistyssovellus järjestelmän aktivoinnin jälkeen koodilla: chkconfig openvpn on. Sen jälkeen voit jo vaihtaa tietoja palvelimen ja asiakkaan välillä.

Toisaalta Open VPN on erittäin kätevä sovellus, jonka avulla voit luoda tunnelin nopeasti palvelimien välillä, mutta toisaalta et pysty helposti luomaan VPN-yhteyttä useiden asiakkaiden yhdistämiseen isäntään. Jotta voit tehdä tämän, sinun täytyy todella hypätä pään yläpuolelle ja hukkua asetuksiin - se on niin vaikeaa. Joten on parempi käyttää muita apuohjelmia tällaisten ongelmien ratkaisemiseksi.

1. Paikallinen sataman huolinta

Mieti seuraavaa tilannetta. Olemme yritysverkon sisällä, tietokoneemme osoite on 192.168.0.2, pääsy ulkomaailmaan on täysin suljettu (ts. Ei NAT: ta, välityspalvelinta jne.). Meillä ei ole kykyä vaikuttaa pääsynrajoituskäytäntöihin, mutta yhdelle palvelimelle on SSH-yhteys, jolla on reititetty IP-osoite, johon pääsee Internetistä. Tämän palvelimen sisäinen osoite, olkoon se esimerkiksi 192.168.0.3. Verkkorakenne on esitetty kuvassa:

Oletetaan, että meidän on todella liitettävä esimerkiksi SSH: n välityksellä johonkin etäpalvelimeen, jonka IP-osoite on 212.212.212.212, jossain kaukana Internetissä. Suorita tämä suorittamalla PuTTY, luomalla SSH-yhteys palvelimeen 192.168.0.3 (jäljempänä SSH-istunto 1), mene Tunnelit:

ja osoita, että tietokoneemme paikallinen portti 2222 on kartoitettava palvelimen porttiin 22 IP-osoitteella 212.212.212.212. Napsauta seuraavaksi "Avaa" -painiketta, kirjaudu palvelimeen 192.168.0.3. Sitten luomme vielä yhden yhteyden (jäljempänä SSH - istunto 2), mutta jo localhostissa, portti 2222 ja paina “Avaa” -painiketta:

Seurauksena SSH-istunto 2 tunneloidaan (eli se asennetaan aiemmin asennetun SSH-istunnon 1 sisälle). Etäpalvelimen 212.212.212.212 osalta kaikki näyttää siltä, ​​että 111.111.111.111 on kytketty siihen:

Yksinkertainen SSH-tunneli käyttämällä Puttyä

Turvallisuus "minimissä" :)

2 minuuttia lukea

Monet teistä käyttävät todennäköisesti SSH: ta yhteyden muodostamiseen etäpalvelimiin päivittäisessä työssänne. Mutta monet eivät tiedä, että SSH: n avulla voimme luoda turvallisia yhteyksiä (tunneleita), joiden kautta liikenne välitetään salatussa muodossa.

Tässä artikkelissa puhumme yksinkertaisesta tavasta luoda SSH-tunneli ja käyttää sitä HTTP / RDP-pääsyyn.

Vaihe 2: tee tunneli

Siirry vasempaan navigointivalikkoon kohtaan yhteysSSHtunnelit. Määritä tässä asetusvalikossa parametri Lähdeportti - Tämä on portti, johon yhdistät paikallisesti liikenteen lähettämiseksi SSH-tunnelin kautta. Pellolla määränpää määritä kohdeosoite, johon yhdistät:

Tämä merkintä tarkoittaa, että kun muodostat yhteyden paikalliseen porttiin 37662 (127.0.0.1:37662), sinut ohjataan SSH-tunnelin kautta SSH-yhdyskäytävään ja siirryt sitten kohdeosoitteeseen 12/11/13/14/3838 - eli RDP: hen.

Lisäksi lisäämme yhteyden WEB-porttiin 80. lehdistö lisätä:

Erinomainen. Napsauta nyt Putty-painiketta avoin - Tunneli on käyttövalmis.

Vaihe numero 3: tarkista

Soitamme etätyöpöytäyhteyteen apuohjelmalla mstsc-komennolla ja määrittelemme meille tarvittavat yhteydetiedot - aiemmin luodut localhost ja RDP-portit:

Määritä välityspalvelin esimerkissä Web-liikenteen "ohjaamiseksi" SSH-tunnelin kautta.

Tärkeää: yhteys SSH-tunnelin läpi on aktiivinen niin kauan kuin Putty-apuohjelma on avoinna ja siellä on yhteys SSH-yhdyskäytävään.

Kerro minulle miksi?

Pahoittelemme, että artikkeli ei ollut hyödyllinen sinulle :( Jos se ei monimutkaistu, ilmoita mistä syystä? Otamme kiitollisia yksityiskohtaisesta vastauksesta. Kiitos siitä, että autat meitä parantumaan!

Tilaa viikoittainen uutiskirjeemme ja lähetämme mielenkiintoisimmat julkaisut :) Jätä vain tietosi alla olevaan lomakkeeseen.

Mikä on SSH-tunnelointi?

Yksi vaihtoehto SSH-porttien edelleenlähetykselle on SSH-tunnelointi. SSH-käänteisen tunneloinnin käsite on suhteellisen yksinkertainen. Tätä varten tarvitset toisen suojatun kotiverkon ulkopuolella sijaitsevan isäntän (ns. "Välityspalvelin"), johon voit muodostaa yhteyden SSH: n kautta mistä tahansa, missä oletkin. Voit määrittää välityspalvelimen erillisessä virtuaalisen yksityisen VPS-palvelimen ilmentymässä julkista IP-osoitetta käyttämällä. Sen jälkeen sinun tarvitsee vain määrittää pysyvä SSH-tunneli kotiverkon palvelimelta julkiselle välityspalvelimelle. Tämän ansiosta voit kytkeä “vastakkaiseen suuntaan” kotipalvelimeen välityspalvelimesta (siksi tällaista tunnelia kutsutaan “käänteiseksi” tunneliksi). Niin kauan kuin välityspalvelin on käytettävissäsi, voit muodostaa yhteyden kotipalvelimeen mistä tahansa, riippumatta siitä, käyttääkö kotiverkkosi rajoittavaa NAT-sovellusta vai palomuuria.

Mitä muita tapoja on luoda eteen- ja taaksepäin tunneli SSH: n kautta

Kuvatut menetelmät tämän ongelman ratkaisemiseksi eivät ole koko luettelo työkaluista, joita ohjelmoijalla on oletuksena. Kaikkien saman Linuxin kautta voit luoda tunnelin useilla tavoilla. Ja nyt analysoimme hyvin yksinkertaista menetelmää, kuinka tietokone voidaan kytkeä etäpalvelimeen, sekä miten määritetään yhteys toiseen SSHD: hen kytkettyyn tietokoneeseen.

Oletetaan siis, että sinun on muodostettava yhteys Internet-palveluun, joka sijaitsee osoitteessa 10.10.2.1:80. Tässä tapauksessa isäntä toimii tietyn verkkotunnuksen, esimerkiksi site.ru, kautta. Ainoa mitä sinun on tehtävä, on välittää tunneli palvelimen kautta haluttuun IP-osoitteeseen. Ja tämä tehdään käyttämällä -f, -N ja -L komentoja. Ensimmäinen selittää protokollille, että yhteyden aktivoinnin jälkeen on mentävä taustaan, toinen peruuttaa kaikki seuraavat komennot, kolmas ohjaa yhteydet tiettyyn isäntään tarvitsemmemme IP-osoitteen. Ja näin komento kuulostaa: ssh -f -N [email protected] -L 8080: 10.10.2.1: 80.

Kuten huomaat, tämä on melko yksinkertainen ratkaisu. Mikä menetelmä valitset - se riippuu tehtävistä ja taitoistasi!

Määritä Linux SSH: n käänteinen tunnelointi

Katsotaan kuinka voit luoda käänteisen SSH-tunnelin ja käyttää sitä. Oletetaan seuraavaa. Konfiguroimme SSH-käännöstunnelin kotipalvelimen kotipalvelimelta välityspalvelimeen välityspalvelimeen, jotta pääsemme kotihuonepalvelimen SSH-palvelimeen välityspalvelimen kautta jostakin muusta tietokoneesta, jota kutsutaan asiakastietokoneasiakastietokoneeksi. Relayerver-välityspalvelimen julkinen osoite on 1.1.1.1.

Avaa kotipalvelinpalvelimessa SSH-yhteys välityspalvelimen välityspalvelimeen seuraavasti.

Tässä portti 10022 on portti, jolla on mikä tahansa valitsemasi numero. Varmista vain, että muut välityspalvelimen ohjelmat eivät käytä tätä porttia.

"-R 10022: localhost: 22" -vaihtoehto määrittää vertais tunnelin. Se ohjaa liikenteen välityspalvelimen portista 10022 porttiin 22 kotipalvelimen palvelimella

-FN-vaihtoehdon ansiosta SSH menee taustalle heti, kun olet todennut SSH-palvelimen onnistuneesti. Tämä parametri on hyödyllinen, jos et halua suorittaa mitään komentoja etä SSH-palvelimelta, vaan haluat vain, kuten tapauksessamme, käyttää portin edelleenlähetystä.

Yllä olevan komennon suorittamisen jälkeen palaat takaisin palvelimen palvelimen komentoriville.

Kirjaudu välityspalvelinpalvelimeen ja tarkista, että 127.0.0.1:10022 on sidottu sshd: ään. Jos on, niin tämä tarkoittaa, että peruutunneli on määritetty oikein.

Nyt mistä tahansa muusta tietokoneesta (esimerkiksi asiakastietokonesovelluksesta) kirjaudu välityspalvelimeen. Siirry sitten palvelimen palvelimeen seuraavasti.

Ainoa asia, johon sinun tulisi kiinnittää huomiota, on se, että kirjoittamasi localhost-palvelimen käyttäjätunnus / salasana on tarkoitettu palvelinpalvelimelle, ei välityspalvelinpalvelimelle, koska syötit kotipalvelinpalvelimen paikallisen tunnelin päätepisteen kautta. Joten älä kirjoita välityspalvelimen käyttäjätunnusta / salasanaa. Sisäänkirjautumisen onnistumisen jälkeen olet kotipalvelimen palvelimella.

Suora yhteys palvelimeen NAT: n kanssa SSH-tunnelin kautta

Vaikka yllä kuvattu menetelmä antaa sinun käyttää NAT: n takana olevaa asiakaspalvelinpalvelinta, sinun on kirjauduttava sisään kahdesti: ensin välityspalvelinpalvelimeen ja sitten kotipalvelinpalvelimeen. Tämä johtuu siitä, että välityspalvelimen SSH-tunnelin päätepiste on sidottu silmukkaosoitteeseen (127.0.0.1).

Mutta oikeastaan ​​on tapa päästä NAT: n sulkemaan palvelinpalvelimeen yhdellä sisäänkirjautumisella välityspalvelimen palvelimelle. Tätä varten sinun on varmistettava, että välityspalvelimen palvelimella sijaitseva sshd pystyy ohjaamaan portin paitsi silmukkaosoitteesta myös ulkoisesta isännästä. Tämä saavutetaan määrittelemällä GatewayPorts-parametri sshd: ssä, joka suoritetaan välityspalvelimen palvelimella.

Avaa / etc / ssh / sshd_conf-tiedosto välityspalvelimen palvelimella ja lisää seuraava tiedosto.

Debian-pohjaisessa järjestelmässä:

Red Hat -pohjaisessa järjestelmässä:

Alustamme nyt SSH-perätunnelin kotipalvelimelta seuraavasti.

Войдите на сервер relayserver и убедитесь с помощью команды netstat в том, что обратный туннель SSH успешно установлен.

В отличие от предыдущего случая, конечной точкой туннеля теперь является 1.1.1.1:10022 (общедоступный адрес IP сервера relayserver ), а не 127.0.0.1:10022. Это означает, что конечная точка туннеля доступна с внешнего хоста.

Теперь для того, чтобы получить доступ к серверу homeserver , защищенному NAT, введите на любом другом компьютере (например, на клиентском компьютере clientcomputer ), следующую команду.

Хотя в приведенной выше команде 1.1.1.1 является общедоступным адресом IP сервера relayserver , homeserver_user должен быть учетной записью на сервере homeserver . Это связано с тем, что реальный хост, на который вы входите, это homeserver , а не relayserver . Последний просто ретранслирует ваш трафик SSH трафик на сервер homeserver .

Настройка в Linux постоянного обратного туннеля SSH

Теперь, когда вы понимаете, как создать обратный туннель SSH, давайте сделаем туннель «постоянным», так что туннель поднимался и работал постоянно (независимо от временной повышенной загрузки сети, тайм-аута SSH, перезагрузки хоста релея, и т.д.). Поскольку, если туннель поднимается не всегда, то у вас не будет надежного подключения к вашему домашнему серверу.

Для создания постоянного туннеля, я собираюсь использовать инструмент, который называется autossh . Как следует из названия, эта программа позволяет автоматически перезапускать сессию SSH в случае, если она по какой-либо причине пропадает. Joten pitääksesi SSH-perätunnelin aktiivisena, voit käyttää tätä ohjelmaa.

Ensimmäisenä askeleena asetetaan kyky kirjautua sisään salasanatta SSH: n kautta kotipalvelinpalvelimesta välityspalvelimeen. Tällä tavalla autossh voi käynnistää puuttuvan SSH-tunnelin uudelleen ilman käyttäjän toimia.

Asenna sitten autossh-ohjelma kotipalvelinpalvelimelle, josta tunneli alkaa.

Suorita palvelimen palvelimella autossh seuraavilla argumenteilla luodaksesi pysyvän SSH-tunnelin, joka kulkee kohti välityspalvelinpalvelinta.

Parametri "-M 10900" määrittää välityspalvelimen portin, jota varten tarkkailu suoritetaan ja jota käytetään vaihtamaan testitietoja SSH-istunnon ohjauksen aikana. Tätä porttia ei tule käyttää missään muussa välityspalvelimen palvelimen ohjelmassa.

-FN-vaihtoehto ohjataan ssh-komentoon, joka sallii SSH-tunnelin ajaa taustalla.

-O XXXX -vaihtoehto kertoo ssh-komennon seuraavan:

  • Käytä todennusavainta salasanan todennuksen sijasta.
  • Hyväksy automaattisesti (tuntemattomat) SSH-isäntäavaimet
  • Vaihda jatkuvia viestejä 60 sekunnin välein.
  • Lähetä korkeintaan kolme pysyvää viestiä ilman vastauksia.

Jäljellä olevat SSH-käänteistunnelointimahdollisuudet ovat samat kuin edellisissä esimerkeissä.

Jos haluat, että SSH-tunneli nousee automaattisesti järjestelmän käynnistyessä, voit lisätä yllä olevan autossh-komennon hakemistoon /etc/rc.local.

johtopäätös

Tässä artikkelissa kerrottiin kuinka SSH-käännetunnelilla pääsee Linux-palvelimeen, joka sijaitsee palomuurin tai NAT-yhdyskäytävän takana, joka suojaa verkkoa ulkomaailmalta. Osoitettiin, kuinka tämä tehdään kotiverkkotapauksessa julkista virtuaalista yksityistä VPS-palvelinta käyttämällä. Sinun tulee olla varovainen, kun käytät tätä tekniikkaa yritysverkoissa. Tällaista tunnelia voidaan pitää yrityspolitiikan vastaisena, koska sen avulla voit ohittaa yrityksen palomuurit ja avata yritysverkot ulkoisille hyökkäyksille. On suuri todennäköisyys, että tätä lähestymistapaa voidaan käyttää väärin tai tahallisesti huonoilla tavoitteilla. Joten muista aina, että ensin olet itse vastuussa kaikista tekemistäsi asetuksista.

2. Etäportin edelleenlähetys

Tässä tapauksessa yhteys SSH-tunnelin sisälle muodostetaan toiseen suuntaan - etäpalvelimelta paikalliselle tietokoneellemme. Se voi olla hyödyllinen, jos haluat avata pääsyn tietokoneemme paikallisiin palveluihin. Tarkastellaan samaa verkkoa kuin 1 kohdassa, mutta yksinkertaisuuden vuoksi oletetaan, että meillä on nyt NAT:

Täällä meillä on jo mahdollisuus muodostaa yhteys SSH: n kautta suoraan 212.212.212.212: ään NAT: n läsnäolon takia. Mutta 212.212.212.212 ei pysty muodostamaan yhteyttä verkkoon 192.168.0.2 ilman erityisiä temppuja, koska 192.168.0.2: ta ei ole kytketty suoraan Internetiin. Oletetaan, että X: n alla kohdassa 212.212.212.212 istuvan käyttäjän on päästävä tietokoneeseemme 192.168.0.2 etäpöydän kautta. Tätä varten SSH-yhteysistunnossa välillä 192.168.0.2 - 212.212.212.212, sinun on muutettava Tunnelit-osion asetuksia seuraavasti:

Seurauksena on onnistuneen valtuutuksen tekeminen numerolla 212.212.212.212, seuraavanlainen:

Toisin sanoen sshd odottaa yhteyksiä TCP-porttiin 3333, joka sitten ohjataan SSH-tunnelin kautta 192.168.0.2 -porttiin 3389. Ja käyttäjä, joka istuu kohdassa 212.212.212.212, voi nähdä työpöytämme rdesktopilla:

3. Sukat - välityspalvelin

Tässä tapauksessa voimme käyttää palvelinta SSH-daemonin kanssa välituotteena (välityspalvelimena). Verkkokaavio tapaukselle 1 (ilman NAT: ta ja tavallisia välityspalvelimia):

Pakottaa PuTTY toimimaan sukkien välityspalvelimena, sinun on muutettava SSH-istunnon parametrit välillä 192.168.0.2 arvoon 192.168.0.3 seuraavasti:

Seurauksena on, että asiakkaan onnistuneen valtuutuksen jälkeen voit tarkkailla seuraavia:

Toisin sanoen kitti, joka toimii PID 2392: n avulla, alkaa kuunnella porttia 1080, odottaa yhteyksiä. Seuraavaksi otamme kaikki sovellukset, jotka voivat toimia SOCKS-välityspalvelimien kanssa, esimerkiksi Firefox, ja kehotamme sitä käyttämään välityspalvelintamme:

Nyt kaikki selaimen pyynnöt kulkevat palvelimen 192.168.0.3 kautta. Tällä tavoin käyttämiesi verkkosivustojen lokkeissa näkyy palvelimemme ulkoinen IP-osoite - 111.111.111.111.

Loppusanat Putty-aputiedostosta 0.58:

Kysymys A.10.3: Mitä tarkoittaa PuTTY?

Se on suositun SSH- ja Telnet-asiakasohjelman nimi. Muu merkitys on katsojan silmissä. On huhuttu, että "PuTTY" on "getty" -nimerkki tai että se on juttu, joka tekee Windowsista hyödyllisen ... :)

Katso video: Aamukatsaus melkein minuutissa : SSH:n seuranta alkaa (Heinäkuu 2020).

Pin
Send
Share
Send
Send