Blog archívum - alagutak ssh vagy - vpn szegény

Vagy SSH alagutak «VPN szegény”

„Ha látjuk a fényt az alagút végén, ez a fény a közeledő vonat” (Robert Lowell)

Akkor miért SSH-alagutak helyett VPN? Sőt, azt használja otthon, majd, és így tovább. Ha elolvasta a cikket jaysonbroughton.com, tudod, hogy tudom használni OpenVPN a háromlépcsős azonosítást (bejelentkezést követően igazolást és egy egyszeri jelszó). De ha azt akarom, hogy nézd meg az egyik szerver otthonról segítségével Android-készülék vagy számítógép nem rendelkezik rendszergazdai jogokkal (ezek a jogok szükségesek az én OpenVPN kliens), vagy csatlakoztassa a VNC egy laptop a feleségem, hogy megoldja a problémát ebben az esetben, azt helyettesíti a VPN SSH.

Adok itt csak a nagyon alapokat: hogyan lehet létrehozni alagutak, elmagyarázza a szintaxis, példákat adni a fordított alagút és okait mindegyikre. Röviden érintse ssh_config file; részletesebben is figyelembe kell venni a jövőben.

Szóval, mit fogunk dolgozni? Használok Debian egy virtuális környezetben, így a valóságban eltérő lehet az enyém. Ebben az esetben szoktam OpenSSH_5.3p1 a kiszolgáló és az ügyfelek különböző OpenSSH-5 verzióját. Mielőtt ásni az alagutakban, szeretnék mondani a következő: ha azt szeretnénk, hogy az SSH-alagutakat titkosítani HTTP vagy fordított SSH-alagutakat, hogy megkerülje a vállalati tűzfal, győződjön meg róla, hogy nem sértik a szabályokat a cég. Mondanom sem kell, hogy a rendszer adminisztrátorok kezd vadászni egyszer megtalálja az ilyen bohóckodás; maga a rendszergazda, kapok elmondhatatlan öröm, fogása ezeket az egyéneket. Legalábbis figyelmeztetni őket, hogy nem fogott ki őr. LinuxJournal.com és nem vállal semmilyen felelősséget az Ön megszegi a saját vállalati politika 🙂 Nos, most már munkához.

egyszerűen létrehozhat SSH-alagút. De eldönti, mit csinál vele, lehet, hogy egy kicsit nehezebb. Ezért adok néhány példát, mielőtt vdadimsya részleteket. Egyszer utaztam egy kicsit - ez volt az előző feladatot, és mielőtt még a gyerekek. Az utak, amit valaha marad a legfurcsább szálloda (azt hiszem, ismeri ezeket), felszerelt még furcsa vezeték nélküli hozzáférési pontokat. Akarsz egy hotel csatlakozni olyan hozzáférési pontot, ahol az SSID van írva a helyesírási hibákat? Vagy a repülőtéren, ahol megtalálható számos nyitott kérdések? Ha nem vagyok otthon, én Jön HTTP-forgalom az alagútban között a készülék Android (root-hozzáféréssel) és az otthoni szerver. Ha dolgozom egy laptop, akkor nyissa meg az SSH tunnel-és HTTP-forgalom jön keresztül Socks5, hogy már minden titkosított útján SSH. Nem bízom a nyílt hozzáférési pontokat, amennyire csak tudok. Mi mást hozzáadni? Kellett „wrap” alagút SMTP-forgalom, amikor kaptam egy ilyen hely, ahol a blokk kimenő SMTP-csomag. Ugyanez volt a teendő, és a POP3, akivel nemrégiben áttért a IMAPS. Más példák SSH-alagutak közé továbbítás X11 alkalmazások és VNC. Korábban is említettük a fordított alagutakban. Ezek ... nos, érti - alagutak, amelyek célja az ellenkező irányba. Ebben az esetben csatlakoztatja bárhonnan, ahol nincs SSH szerver külső SSH-kiszolgálót. Ezután bejelentkezik a szerverre, beleértve a helyi, akkor visszaállíthatja a kapcsolatot. Mi haszna van, azt mondod? Nos, például a VPN-kiszolgáló cége „esett”, vagy a munka csak egy VPN-kliens Windows, de egyáltalán nem akar húzni haza egy laptop, hogy ellenőrizze, hogy a folyamat fut. Hazaért, akkor hozzon létre egy fordított alagútban. Ebben az esetben meg kell csatlakoztatni a „X” szerver az otthoni gépen. Hazaért, akkor visszaállítja a kapcsolatot a szerverrel „X”, így megkerülve a tűzfal vagy a VPN, és nézd meg folyamat működését anélkül, hogy szükség van egy VPN kapcsolatot. Én ezt nagyon ritka, mert véleményem szerint a kapcsolat a szerverrel, megkerülve a tűzfal vagy a VPN - a „rossz kung-fu”, és csak akkor lehet használni, mint egy utolsó lehetőség.

Szóval megvan számos példát SSH-alagút, és most lássuk, hogyan ez mind kész.

Mielőtt ásni a munkát az ügyfél, egy kis szerkesztés sshd_config fájlt a szerveren. Az / etc / ssh / sshd_config szoktam készítek néhány változtatást. De ne felejtsük el, mielőtt elkezdi a szerkesztéssel, hogy egy biztonsági abban az esetben valami kudarcba fullad.

Ne felejtsük el, hogy ha történt semmilyen változás a sshd_config, akkor újra kell indítani a sshd szolgáltatást ezek a változások érvénybe lépjenek.

És most a kulcsokat. Nem, nem a kulcsok kiválasztott Apa, amikor kitört az anyám kocsija, és a kulcsokat a SSH parancssorban.

Tipikus SSH-alagút átirányítás nélkül X néz ki:

Itt, a gombok a következők:

Szeretne néhány példát?

Továbbítása POP3 és SMTP SSH-n át:

Fuvarozási Google Talk SSH-n keresztül (-g kapcsoló lehetővé teszi a távoli gépek csatlakozni probroshennym helyi portok):

Majdnem minden elküldött szöveges formában, akkor tudja megvédeni az SSH-alagút

A HTTP-forgalom titkosítás

A másik dolog világos minden további nélkül. De ha a cég bármely politika az IT, ellenőrizze, hogy ha törik meg. Lövök HTTP-forgalom SSH-n keresztül, amennyiben nem bízom a hozzáférési pontot. Az Android használom SSHTunnel alkalmazása és egy laptop - ezt a parancsot:

Átirányítása X és VNC

Emlékszel, hogy hozzáadta «X11Forwarding igen» itt sshd_config? Ez az, amit lehetővé teszi továbbítjuk ülés X.

Amikor továbbítása a VNC, legyen óvatos. Ha az ügyfél, az MDM csatlakoztatja az alagútban futó VNC-szervert, például, a port 5900, győződjön meg róla, hogy nem adja meg a port, mint az átirányított, vagy csatlakozunk magad. Általában a VNC továbbítjuk ugyanúgy, mint bármely más szolgáltató:

Ebben a példában csatlakozik SSH-n keresztül a külső port 2022 szerver mylinuxserver.com nevében a felhasználó bob. Ez továbbítja a helyi port 5900 a port 5900 a szerveren. Ha a kapcsolat létrejött, akkor nyisson meg egy VNC-kliens és küldje el a localhost: 0 csatlakozni egy távoli gépen. Ha az üzeneteket a port 5901, adja «localhost: 1" , és így tovább.

Fordított SSH-alagút

Nos, ez itt az ideje kedvenc fajta SSH-alagút. Természetesen a hozzáférést minden olyan szolgáltatást keresztül SSH - ez jó, „drive” Web forgalom titkosítva az SSH-alagút - is, de a legkellemesebb meglepetés lehet tesztelni fordított alagútban. Ahogy korábban mondtam, hogy meg kell használni egy olyan helyzetben, ahol van egy autó nélkül SSH szerver, és úgy érzi, hogy szükség van hozzáférni a jövőben (pár perc, óra vagy nap), de nem akar, vagy nem tudja használni a VPN . Meg kell csatlakozni az SSH-szervert ezzel a géppel, majd telepítse a fordított SSH-alagút csatlakozik ehhez a kapcsolathoz. Miért kell alkalmazni? Időről időre - annak érdekében, hogy működjön együtt a távoli szerveren, vagy csak segíteni barátok és a család VNC SSH-n át. Az utóbbi esetben tudnak indítani Putty az elmentett munkamenet beállításai, és csatlakozni az SSH szerver a felhasználó nevében, nem rendelkezik jogokkal. Miután létrehozta az alagút tudok menni VNC gép. És mégis, nem kell konfigurálni a tűzfalat, és nem foglalkoznak a LogMeIn vagy más hasonló oldalak.

Tehát, hogy hozzon létre egy fordított SSH-alagút végre kell hajtania a következő elemeket Műveletek:

  1. A kliens gép:
  2. A szerver oldalon:

És te fordított alagút! Voila!

következtetés

Nos, most már megvan az alapvető ismeretek terén az SSH-alagút. Ne felejtsük el, hogy ez csak az alapokat, de valójában a hatálya az alagút korlátozott, csak a képzelet. Később fogom leírni a ssh_config fájlt a kliens oldalon a beállítás mentéséhez egyéni beállításokat kapcsolatokat. De ez - a következő alkalommal.

Kapcsolódó cikkek