Kuidas kasutada SSH-tunnelit piiratud serveritele juurdepääsuks ja turvaliseks sirvimiseks

SSH klient loob ühenduse Secure Shelli serveriga, mis võimaldab teil käitada terminali käske nii, nagu istuksite teise arvuti ees. Kuid SSH-klient lubab teil ka tunneli pordida kohaliku süsteemi ja SSH-serveri vahel.

SSH tunnelimist on kolme erinevat tüüpi ja neid kõiki kasutatakse erinevatel eesmärkidel. Igaüks hõlmab SSH-serveri kasutamist liikluse suunamiseks ühest võrgupordist teise. Liiklus saadetakse üle krüptitud SSH-ühenduse, nii et seda ei saa transiidi ajal jälgida ega muuta.

Seda saate teha ssh käsk, mis sisaldub Linuxis, macOS-is ja teistes UNIX-tüüpi operatsioonisüsteemides. Windowsis, mis ei sisalda sisseehitatud ssh käsku, soovitame SSH-serveritega ühenduse loomiseks tasuta tööriista PuTTY. See toetab ka SSH-tunnelite loomist.

Kohaliku sadama edastamine: muutke kaugressursid oma kohalikus süsteemis ligipääsetavaks

„Kohaliku pordi edastamine” võimaldab teil pääseda juurde kohaliku võrgu ressurssidele, mis pole Internetiga kokku puutunud. Oletame näiteks, et soovite oma kontoris asuvale andmebaasiserverile juurde pääseda kodust. Turvalisuse huvides on see andmebaasiserver konfigureeritud ainult kohaliku kontorivõrgu ühendusi vastu võtma. Aga kui teil on juurdepääs kontoris asuvale SSH-serverile ja see SSH-server võimaldab ühendusi väljastpoolt kontorivõrku, saate selle SSH-serveriga luua ühenduse kodust ja pääseda juurde andmebaasiserverile nagu oleksite kontoris. See juhtub sageli, kuna ühe SSH-serveri kaitsmine rünnakute eest on lihtsam kui mitmesuguste erinevate võrguressursside turvamine.

Selleks loote SSH-ühenduse SSH-serveriga ja palute kliendil edastada liiklus konkreetsest pordist teie kohalikust arvutist - näiteks porti 1234 - andmebaasi serveri aadressile ja selle kontorivõrgu porti. Niisiis, kui proovite pääseda juurde oma praeguse arvuti "localhost" pordi 1234 andmebaasiserverile, siis see liiklus "tunneldatakse" üle SSH-ühenduse ja saadetakse andmebaasiserverisse. SSH-server istub keskel, suunates liiklust edasi-tagasi. Andmebaasiserveri juurde pääsemiseks võite kasutada mis tahes käsurida või graafilist tööriista, nagu see töötaks teie kohalikus arvutis.

Kohaliku edastamise kasutamiseks looge ühendus SSH-serveriga tavapäraselt, kuid pakkuge ka -L argument. Süntaks on:

ssh -L local_port: remote_address: remote_port [email protected]

Oletame näiteks, et teie kontori andmebaasiserver asub kontorivõrgus aadressil 192.168.1.111. Teil on juurdepääs kontori SSH-serverile aadressil ssh.youroffice.com ja teie kasutajakonto SSH-serveris on bob . Sel juhul näeks teie käsk välja selline:

ssh -L 8888: 192.168.1.111: 1234 [email protected]

Pärast selle käsu käivitamist on teil juurdepääs andmebaasi serverile pordis 8888 aadressil localhost. Niisiis, kui andmebaasiserver pakub veebile juurdepääsu, võite sellele juurdepääsemiseks oma veebibrauserisse ühendada // localhost: 8888. Kui teil oleks käsurea tööriist, mis vajab andmebaasi võrguaadressi, osutaksite sellele aadressile localhost: 8888. Kogu arvuti arvutisse porti 8888 saadetud liiklus tunneldatakse teie kontorivõrgus 192.168.1.111:1234-ni.

Veidi segasem on see, kui soovite luua ühenduse SSH-serveriga samas süsteemis töötava serverirakendusega. Oletame näiteks, et teie kontoriarvutis töötab 22. pordis SSH-server, kuid teil on samas süsteemis samal aadressil samal süsteemil ka pordis 1234 töötav andmebaasiserver. Tahate andmebaasiserverile juurde pääseda kodust, kuid süsteem aktsepteerib SSH-ühendusi ainult porti 22 ja selle tulemüür ei luba muid väliseid ühendusi.

Sel juhul võite käivitada järgmise käsu:

ssh -L 8888: localhost: 1234 [email protected]

Kui proovite pääseda oma praeguse arvuti pordi 8888 andmebaasiserverile juurde, saadetakse liiklus SSH-ühenduse kaudu. Kui see jõuab süsteemi, kus töötab SSH-server, saadab SSH-server selle porti 1234 saidil “localhost”, mis on sama arvuti, mis ise töötab SSH-serveris. Nii et ülaltoodud käsu "localhost" tähendab kaugserveri vaatenurgast "localhost".

Selleks tehke Windowsi rakenduses PuTTY ühendust Ühendus> SSH> Tunnelid. Valige suvand „Kohalik”. Sisestage jaotise „Source Port” jaoks kohalik sadam. Sisestage jaotise „Sihtkoht” jaoks sihtkoha aadress ja port vormis remote_address: remote_port.

Näiteks kui soovite seadistada sama SSH-tunneli nagu ülal, sisestage 8888 lähtepordina ja kohalik host: 1234 sihtkohana. Pärast seda klõpsake nuppu "Lisa" ja seejärel SSH-ühenduse avamiseks nuppu "Ava". Enne ühenduse loomist peate loomulikult sisestama ka SSH-serveri enda aadressi ja pordi põhiekraanile „Seanss“.

Pordi kaugedastamine: muutke kohalikud ressursid kaugsüsteemis kättesaadavaks

„Kaugpordi edastamine” on vastupidine kohalikule edastamisele ja seda ei kasutata nii sageli. See võimaldab teil teha kohaliku arvuti ressursi SSH-serveris kättesaadavaks. Oletame näiteks, et kasutate veebiserverit kohalikus arvutis, mille ees te istute. Kuid teie arvuti on tulemüüri taga, mis ei võimalda serveritarkvarale sissetulevat liiklust.

Eeldades, et pääsete juurde SSH kaugserverile, saate selle SSH-serveriga ühenduse luua ja kasutada pordi kaugedastust. Teie SSH-klient palub serveril edastada SSH-serveris konkreetne port - näiteks port 1234 - teie praeguse arvuti või kohaliku võrgu konkreetsele aadressile ja porti. Kui keegi pöördub SSH-serverisse pordi 1234 juurde, siis see liiklus automaatselt tunnelitakse üle SSH-ühenduse. Kõik, kellel on juurdepääs SSH-serverile, pääsevad juurde teie arvutis töötavale veebiserverile. See on tõhus viis viis tulemüüride kaudu tunneliks.

Kaugjuhtimise kasutamiseks kasutage ssh käsk -R argument. Süntaks on suures osas sama mis kohaliku edastamise korral:

ssh -R remote_port: local_address: local_port [email protected]

Oletame, et soovite muuta oma kohaliku arvuti pordis 1234 kuulava serverirakenduse kättesaadavaks SSH-serveri pordis 8888. SSH-serveri aadress on ssh.youroffice.com ja teie kasutajanimi SSH-serveris on bob. Käivitate järgmise käsu:

ssh -R 8888: localhost: 1234 [email protected]

Keegi saaks seejärel ühenduse luua pordi 8888 SSH-serveriga ja see ühendus tunneliks serverirakendusega, mis töötab kohalikus arvutis, kust ühenduse loonud, pordis 1234.

Selleks tehke Windowsi PuTTY-s valik Ühendus> SSH> Tunnelid. Valige suvand "Remote". Sisestage jaotise „Allikaport” kaugporti. Sisestage jaotise „Sihtkoht” jaoks sihtkoha aadress ja port vormis local_address: local_port.

Näiteks kui soovite seadistada ülaltoodud näite, sisestage 8888 lähtepordina ja kohalik host: 1234 sihtkohana. Pärast seda klõpsake nuppu "Lisa" ja seejärel SSH-ühenduse avamiseks nuppu "Ava". Enne ühenduse loomist peate loomulikult sisestama ka SSH-serveri enda aadressi ja pordi põhiekraanile „Seanss“.

Inimesed saaksid seejärel luua ühenduse SSH-serveri pordiga 8888 ja nende liiklus suunataks teie kohaliku süsteemi porti 1234.

Vaikimisi kuulab SSH kaugserver ühendusi ainult samalt hostilt. Teisisõnu saavad ühendust luua ainult SSH-serveriga samas süsteemis olevad inimesed. Seda turvalisuse huvides. Selle käitumise tühistamiseks peate lubama SSH-serveri SSS-serveris sshd_config suvandi "GatewayPorts".

Dünaamiline pordi edastamine: kasutage puhverserverina oma SSH-serverit

SEOTUD:Mis vahe on VPN-il ja puhverserveril?

Samuti on olemas dünaamiline pordi edastamine, mis töötab sarnaselt puhverserveri või VPN-iga. SSH-klient loob SOCKS-puhverserveri, mille abil saate rakendusi konfigureerida. Kogu puhverserveri kaudu saadetud liiklus saadetakse SSH-serveri kaudu. See sarnaneb kohaliku edastamisega - see viib teie arvuti kindlasse porti saadetud kohaliku liikluse ja saadab selle SSH-ühenduse kaudu kaugemasse asukohta.

SEOTUD:Miks võib avaliku WiFi-võrgu kasutamine olla ohtlik isegi krüpteeritud veebisaitidele juurdepääsu korral?

Oletame näiteks, et kasutate avalikku WiFi-võrku. Soovite turvaliselt sirvida, ilma et teid nuhitaks. Kui teil on kodus juurdepääs SSH-serverile, võite sellega ühendust luua ja kasutada dünaamilist pordi edastamist. SSH klient loob teie arvutisse SOCKS-puhverserveri. Kogu sellele puhverserverile saadetud liiklus saadetakse SSH-serveri ühenduse kaudu. Keegi, kes jälgib avalikku WiFi-võrku, ei saa jälgida teie sirvimist ega tsenseerida veebisaite, millele pääsete juurde. Mis tahes külastatud veebisaitide vaatenurgast on see nii, nagu oleksite kodus arvuti taga istunud. See tähendab ka, et võite kasutada seda trikki ainult USA-s asuvatele veebisaitidele juurdepääsemiseks väljaspool USA-d - eeldades muidugi, et teil on juurdepääs USA SSH-serverile.

Teise näitena võiksite juurde pääseda koduvõrgus olevale meediumiserveri rakendusele. Turvalisuse kaalutlustel võib teil olla SSH-server ainult Internetis. Te ei luba Internetist sissetulevaid ühendusi oma meediumiserveri rakendusega. Saate seadistada dünaamilise pordiedastuse, konfigureerida veebibrauseri SOCKS-puhverserveri kasutamiseks ja seejärel pääseda veebibrauseri kaudu juurde koduvõrgus töötavatele serveritele, nagu istuksite kodus oma SSH-süsteemi ees. Näiteks kui teie meediumiserver asub koduvõrgu pordis 192.168.1.123, võite aadressi ühendada 192.168.1.123 mis tahes rakendusse, kasutades SOCKS-puhverserverit, ja pääsete meediumiserverisse, nagu oleksite oma koduvõrgus.

Dünaamilise edastamise kasutamiseks käivitage ssh käsk -D argument nagu nii:

ssh -D local_port [email protected]

Oletame näiteks, et teil on juurdepääs SSH-serverile aadressil ssh.yourhome.com ja teie kasutajanimi SSH-serveris on bob . Dünaamilise edastamise abil soovite SOCKS-i puhverserveri avamiseks praeguse arvuti pordis 8888. Käivitate järgmise käsu:

ssh -D 8888 [email protected]

Seejärel saate konfigureerida veebibrauseri või mõne muu rakenduse oma kohaliku IP-aadressi (127.0.01) ja pordi 8888 kasutamiseks. Kogu selle rakenduse liiklus suunatakse läbi tunneli.

Selleks tehke Windowsi PuTTY-s valik Ühendus> SSH> Tunnelid. Valige suvand „Dünaamiline“. Sisestage jaotise „Source Port” jaoks kohalik sadam.

Näiteks kui soovite luua porti 8888 SOCKS-i puhverserveri, sisestage 8888 lähtepordina. Pärast seda klõpsake nuppu "Lisa" ja seejärel SSH-ühenduse avamiseks nuppu "Ava". Enne ühenduse loomist peate loomulikult sisestama ka SSH-serveri enda aadressi ja pordi põhiekraanile „Seanss“.

Seejärel saate konfigureerida rakenduse, et pääseda juurde oma kohaliku arvuti SOCKS-i puhverserverile (st IP-aadress 127.0.0.1, mis osutab teie kohalikule arvutile) ja määrata õige port.

SEOTUD:Kuidas puhverserverit konfigureerida Firefoxis

Näiteks saate Firefoxi konfigureerida SOCKS-puhverserveri kasutamiseks. See on eriti kasulik, kuna Firefoxil võivad olla oma puhverserveri seaded ja ta ei pea kasutama kogu süsteemi puhverserveri seadeid. Firefox saadab oma liikluse SSH-tunneli kaudu, teised rakendused kasutavad teie Interneti-ühendust tavaliselt.

Firefoxis tehes valige käsk „Puhverserveri käsitsi konfigureerimine”, sisestage SOCKS-i hostikasti „127.0.0.1” ja sisestage dünaamiline port lahtrisse „Port”. Jätke HTTP-puhverserveri, SSL-puhverserveri ja FTP-puhverserveri lahtrid tühjaks.

Tunnel jääb aktiivseks ja avatuks seni, kuni teil on avatud SSH seansiühendus. Kui lõpetate SSH-seansi ja katkestate ühenduse serveriga, suletakse ka tunnel. Tunneli uuesti avamiseks ühendage see lihtsalt vastava käsuga (või PuTTY-s sobivate valikutega).


Lemmik Postitused

Lang L: none (rec-post)

Copyright agwebrunner.com 2024
$config[zx-auto] not found$config[zx-overlay] not found