Hvernig á að búa til SSH göng eða höfn áfram í Linux
SSH göng (einnig nefnt SSH höfn framsending) er einfaldlega að beina staðbundinni netumferð í gegnum SSH til fjarlægra gestgjafa. Þetta þýðir að allar tengingar þínar eru tryggðar með dulkóðun. Það veitir auðvelda leið til að setja upp grunn VPN (Virtual Private Network), gagnlegt til að tengjast einkanetum yfir óörugg almenningsnet eins og internetið.
Þú gætir líka verið notaður til að afhjúpa staðbundna netþjóna á bak við NAT og eldveggi fyrir internetinu yfir öruggum göngum, eins og útfært er í ngrok.
[Þér gæti líka líkað við: Hvernig á að tryggja og herða OpenSSH Server ]
SSH fundir leyfa sjálfgefið göng nettengingar og það eru þrjár gerðir af SSH höfn framsendingu: staðbundin, fjarlæg og kraftmikil höfn framsending.
Í þessari grein munum við sýna fram á hvernig á að setja upp SSH jarðgöng fljótt og auðveldlega eða mismunandi gerðir af framsendingu hafna í Linux.
Í tilgangi þessarar greinar notum við eftirfarandi uppsetningu:
- Staðbundinn gestgjafi: 192.168.43.31
- Fjarlægur gestgjafi: Linode CentOS 7 VPS með hýsingarheiti server1.example.com.
Venjulega geturðu tengst á öruggan hátt við ytri netþjón með því að nota SSH sem hér segir. Í þessu dæmi hef ég stillt lykilorðslausa SSH innskráningu á milli staðbundinna og ytri gestgjafanna minna, svo það hefur ekki beðið um lykilorð notendastjóra.
$ ssh [email
Staðbundin SSH Port Forwarding
Þessi tegund hafnaframsendingar gerir þér kleift að tengjast frá staðbundinni tölvu við ytri netþjón. Að því gefnu að þú sért á bak við takmarkaðan eldvegg eða læst af útleiðandi eldvegg frá aðgangi að forriti sem keyrir á höfn 3000 á ytri netþjóninum þínum.
Þú getur framsent staðbundið tengi (t.d. 8080) sem þú getur síðan notað til að fá aðgang að forritinu á staðnum eins og hér segir. -L
fáninn skilgreinir gáttina sem er framsend til ytri hýsilsins og ytri gáttarinnar.
$ ssh [email -L 8080:server1.example.com:3000
Að bæta við -N
fánanum þýðir að ekki framkvæma fjarskipun, þú munt ekki fá skel í þessu tilfelli.
$ ssh -N [email -L 8080:server1.example.com:3000
-f
rofinn gefur ssh fyrirmæli um að keyra í bakgrunni.
$ ssh -f -N [email -L 8080:server1.example.com:3000
Nú, á staðbundinni vél, opnaðu vafra, í stað þess að fá aðgang að ytra forritinu með því að nota netfangið server1.example.com:3000, geturðu einfaldlega notað localhost:8080
eða 192.168.43.31: 8080
, eins og sýnt er á skjámyndinni hér að neðan.
Fjarstýrð SSH portframsending
Fjarframsending á höfn gerir þér kleift að tengjast frá ytri vélinni þinni við staðbundna tölvu. Sjálfgefið leyfir SSH ekki framsendingu ytra hafna. Þú getur virkjað þetta með því að nota GatewayPorts tilskipunina í SSHD aðalstillingarskránni þinni /etc/ssh/sshd_config á ytri hýsilnum.
Opnaðu skrána til að breyta með uppáhalds skipanalínuritlinum þínum.
$ sudo vim /etc/ssh/sshd_config
Leitaðu að nauðsynlegri tilskipun, afskrifaðu hana og stilltu gildi hennar á já
, eins og sýnt er á skjámyndinni.
GatewayPorts yes
Vistaðu breytingarnar og hættu. Næst þarftu að endurræsa sshd til að beita nýlegri breytingu sem þú gerðir.
$ sudo systemctl restart sshd OR $ sudo service sshd restart
Næst skaltu keyra eftirfarandi skipun til að framsenda port 5000 á ytri vélinni til port 3000 á staðbundinni vél.
$ ssh -f -N [email -R 5000:localhost:3000
Þegar þú hefur skilið þessa aðferð við jarðgangagerð geturðu auðveldlega og örugglega afhjúpað staðbundinn þróunarþjón, sérstaklega á bak við NAT og eldveggi, fyrir internetinu yfir öruggum göngum. Göng eins og Ngrok, pagekite, localtunnel og margir aðrir virka á svipaðan hátt.
Dynamic SSH Port Forwarding
Þetta er þriðja gerð hafnarframsendingar. Ólíkt staðbundinni og ytri framsendingu hafna sem gerir samskipti við eina höfn kleift, gerir það mögulegt, alhliða TCP-samskipti á ýmsum höfnum. Dynamic port forwarding setur vélina þína upp sem SOCKS proxy-þjón sem hlustar á port 1080, sjálfgefið.
Til að byrja með er SOCKS netsamskiptareglur sem skilgreina hvernig viðskiptavinur getur tengst netþjóni í gegnum proxy-miðlara (SSH í þessu tilfelli). Þú getur virkjað dynamic port forwarding með því að nota -D valkostinn.
Eftirfarandi skipun mun ræsa SOCKS proxy á höfn 1080 sem gerir þér kleift að tengjast ytri hýsilnum.
$ ssh -f -N -D 1080 [email
Héðan í frá geturðu látið forrit á vélinni þinni nota þennan SSH proxy-þjón með því að breyta stillingum þeirra og stilla þau til að nota hann til að tengjast ytri netþjóninum þínum. Athugaðu að SOCKS umboðið hættir að virka eftir að þú lokar SSH lotunni þinni.
Í þessari grein útskýrðum við hinar ýmsu gerðir af framsendingu hafna frá einni vél til annarrar, til að flytja umferð um örugga SSH tengingu. Þetta er ein af mjög mörgum notkunum SSH. Þú getur bætt rödd þinni við þessa handbók í gegnum athugasemdaeyðublaðið hér að neðan.
Athugið: SSH portframsending hefur nokkra töluverða ókosti, það er hægt að misnota það: það er hægt að nota það til að komast framhjá netvöktun og umferðarsíunarforritum (eða eldveggi). Árásarmenn geta notað það til illgjarnra athafna. Í næstu grein okkar munum við sýna hvernig á að slökkva á SSH staðbundinni höfn framsendingu. Vertu í sambandi!