dr_magnus 09.11.2010 23:01
How-to`s — Проброс SSH-портов. Практическое применение.
Знаю, что об этом написано уже куча статей. Но пока сам разобрался - потратил парочку часов своего времени.
Сижу в командировке в гостинице со свободным Wi-Fi. Звонят с работы - проблема с одним из компов в корпоративной сети. Пытаюсь поднять ВПН на свой сервер, что бы достучаться до проблемной машинки - БОЛТ! Закрыты порты на вафле!
Решение проблемы под катом.
Сразу оговорюсь - все адреса в этом примере реальные, кроме адреса моего реального сервера (myserver.example.com).
Итак, у меня есть сервер myserver.example.com, который одним интерфейсом смотрит в интернет, а другим в корпоративную сеть. Мне нужно поднять RDP-соединение на машинку в корпоративной сети (IP 10.197.96.1).
Мой сервер в корпоративке имеет адрес 10.197.63.254.
Маршрутизация на сервере настроена. Т.е. если я смогу добраться до сервера, то я смогу добраться до любой машинки в корпоративке.
Мои действия:
1 |
|
-L 3389 - используем локальный хост и порт 3389 для проброса на
10.197.96.1:3389 - хост в корпоративной сети (10.197.96.1) порт RDP (3389)
myserver.example.com - мой реальный сервер с поднятым SSH
Оставляем SSH-сессию открытой и в другом терминале выполняем:
1 |
|
поднимаю RDP-соединение на локальную машинку, а оказываюсь на удаленной (10.197.96.1)
И на закуску - хочу я посмотреть порнушку, но не хочу, что бы админ отеля видел мой трафик:
1 |
|
Теперь, в качестве прокси-сервера в своем браузере, я указываю 127.0.0.1:3128 и смотрю порно через свою проксю, которая поднята у меня на серваке :-)
Похожие
Поделиться
settler 09.11.2010 23:38 #
+ 6 -
удобно использовать с опцией -f, которая отсылает ssh в фон
dr_magnus
ну и если есть ssh, то можно и полноценный туннель поднять :) описание тут(там в конце про настройку туннеля)
надо посидеть разобраться - без практических примеров как-то сумбурно :-)
lava
-fN
-N сигнализация о том, что никаких команд выполнять не надо. если не указать, и ругнётся
-N сигнализация о том, что никаких команд выполнять не надо. если не указать, и ругнётся
У меня есть сервер. Для наглядности не буду писать реальный IP и хост.
Сервер brun.org его реальный IP 1.1.1.1 и виртуальный 10.10.10.10
Надо по RDP достучатся к 10.10.10.20
Пишу
ssh -f -L 3389:10.10.10.20:3389 1.1.1.1
или
ssh -f -L 3389:10.10.10.20:3389 brun.org
Всё нормально. Падает в фон (если с -f)
Пробую соединится по RDP с brun.org (или 1.1.1.1). Спрашивает логин и пароль. И на том зависает.
Можете подсказать что не так делаю?
Почемуто не работает.
Сервер brun.org его реальный IP 1.1.1.1 и виртуальный 10.10.10.10
Надо по RDP достучатся к 10.10.10.20
Пишу
ssh -f -L 3389:10.10.10.20:3389 1.1.1.1
или
ssh -f -L 3389:10.10.10.20:3389 brun.org
Всё нормально. Падает в фон (если с -f)
Пробую соединится по RDP с brun.org (или 1.1.1.1). Спрашивает логин и пароль. И на том зависает.
Можете подсказать что не так делаю?
Почемуто не работает.
ты пробрасываешь порт на 10.10.10.10, а РДП поднимаешь на 1.1.1.1
в чем подвох?
в чем подвох?
-R не пробовали? ;)
с ее помощью при коннекте на удаленный адрес:порт, все будет транслироваться на порт локальной машины
man ssh:
с ее помощью при коннекте на удаленный адрес:порт, все будет транслироваться на порт локальной машины
man ssh:
Specifies that the given port on the remote (server) host is to be forwarded to the given host and port on the local side. This works by allocating a socket to listen to port on the remote side, and whenever a connection is made to this port, the connection is forwarded over the secure channel, and a connection is made to host port hostport from the local machine.
ssh [email protected] -L brun.org:8080:10.10.10.20:3389Вместо brun.org можна писать и реальный IP. Если не написать brun.org:8080, то наш RDP будет висеть только на локальном интерфейсе. Мне же нужно в мир, потому и написал хост (можно IP, из моего примера это 1.1.1.1).
Параметр -f можна использовать в том случае если по ssh пускает без пароля (тоесть синхронизированы ключи). Лутче без него.
Всё работает. Разобрался. Все спасибо и автору тоже.
ozalexo
Полезная опция "-C" - компрессия трафика.
Особенно, если прокидываем туннель для http.
Особенно, если прокидываем туннель для http.
Ну давайте тогда ещё и о динамическом форвардинге поговорим!
Сижу в командировке в гостинице со свободным Wi-Fi. Никто не звонит :)
Хочу полазить в интернете и обезопасить себя лишний раз. Я ведь немного параноик :)
ssh myserver.example.com -D 1234
После чего заходим в настройки Firefox и прописываем в качестве socks прокси 127.0.0.1:1234
В результате получаем, что весь трафик файрокса инкапсулируется в ssh который шифрованный! И можно смело вводить логины и пароли на сервисах без https и не боятся, что какой-нибудь школьник, будущий админ, сидит сейчас с тобой на одном вайфае и снифит, или ещё хуже, админ файвая снифит, или ещё хуже админа файвая снифият :)
Хочу полазить в интернете и обезопасить себя лишний раз. Я ведь немного параноик :)
ssh myserver.example.com -D 1234
После чего заходим в настройки Firefox и прописываем в качестве socks прокси 127.0.0.1:1234
В результате получаем, что весь трафик файрокса инкапсулируется в ssh который шифрованный! И можно смело вводить логины и пароли на сервисах без https и не боятся, что какой-нибудь школьник, будущий админ, сидит сейчас с тобой на одном вайфае и снифит, или ещё хуже, админ файвая снифит, или ещё хуже админа файвая снифият :)
я правильно понимаю, что для этого твой прокси должен быть настроен на socks?
Я не понял, что Вы имеете ввиду, но я имею ввиду эту настройку в Firefox и всё. Настройки openssh сервера по умолчанию (Ubuntu, Debian, Slackware, CentOS - может и другие) поддерживают туннелирование.
