cs.phhsnews.com


cs.phhsnews.com / Použití tunelu SSH pro přístup k omezeným serverům a procházení bezpečně

Použití tunelu SSH pro přístup k omezeným serverům a procházení bezpečně


Klient SSH se připojí k serveru Secure Shell, který umožňuje spouštět příkazy terminálu, jako byste seděli před jiným počítač. Ale klient SSH také umožňuje "tunelovat" port mezi místním systémem a vzdáleným SSH serverem.

Existují tři různé typy SSH tunelování a všechny jsou použity pro různé účely. Každý zahrnuje použití serveru SSH k přesměrování provozu z jednoho síťového portu do jiného. Trasa je odeslána přes šifrované připojení SSH, takže ji nelze sledovat ani měnit při přechodu.

Můžete to provést pomocí příkazusshobsaženého v systémech Linux, MacOS a dalších systémech UNIX operační systémy. V systému Windows, který neobsahuje vestavěný příkaz ssh, doporučujeme bezplatný nástroj PuTTY pro připojení k SSH serverům. Podporuje také tunelování SSH

Přesměrování lokálních portů: Využívání vzdálených zdrojů na vašem lokálním systému

"Místní předávání portů" umožňuje přístup k lokálním síťovým zdrojům, které nejsou vystaveny Internetu. Například řekněme, že chcete mít přístup k databázovému serveru v kanceláři z vašeho domova. Z bezpečnostních důvodů je tento databázový server konfigurován pouze pro přijímání připojení z lokální kancelářské sítě. Pokud však máte přístup k serveru SSH v kanceláři a SSH server umožňuje připojení mimo kancelářskou síť, můžete se připojit k tomuto serveru SSH z domova a přistupovat k databázovému serveru, jako byste byli v kanceláři. To je často případ, jelikož je snazší zabezpečit jeden SSH server proti útokům než zajistit různé síťové prostředky.

Provedete to vytvoření SSH spojení se serverem SSH a řekněte klientovi, z konkrétního portu z místního počítače - například portu 1234 - na adresu serveru databáze a jeho port v kancelářské síti. Když se tedy pokusíte o přístup k databázovému serveru na portu 1234 svého současného počítače "localhost", je tato návštěvnost automaticky "tunelována" přes připojení SSH a odeslána na databázový server. SSH server sedí uprostřed a přesměruje přenosy zpět a dozadu. Pomocí libovolného příkazového řádku nebo grafického nástroje můžete přistupovat k databázovému serveru, jako kdyby byl spuštěn na vašem místním počítači.

Chcete-li použít místní přesměrování, připojte se k serveru SSH normálně, ale také dodávejte-Largument. Syntaxe je:

ssh -L local_port: remote_address: remote_port [email protected]

Řekněme například, že databázový server ve vaší kanceláři je umístěn v kancelářské síti 192.168.1.111. Máte přístup k SSH serveru v kancelářissh.youroffice.coma váš uživatelský účet na serveru SSH jebob. V takovém případě by váš příkaz vypadal takto:

ssh -L 8888: 192.168.1.111: 1234 [email protected]

Po spuštění tohoto příkazu byste měli přístup k databázovému serveru na adrese port 8888 na localhost. Takže, pokud databázový server nabídl přístup na web, můžete k němu připojit // localhost: 8888 do svého webového prohlížeče. Máte-li nástroj příkazového řádku, který potřebuje síťovou adresu databáze, ukažte na localhost: 8888. Celý provoz odeslaný do portu 8888 v počítači bude tunelován na vaši kancelářskou síť.

Je to trochu více matoucí, pokud se chcete připojit k serverové aplikaci běžící na stejném systému jako samotný server SSH . Řekněme například, že máte server SSH spuštěný v portu 22 v počítači v kanceláři, ale také máte databázový server spuštěný na portu 1234 ve stejném systému na stejné adrese. Chcete mít přístup k databázovému serveru z domova, ale systém přijímá pouze připojení SSH na portu 22 a jeho firewall neumožňuje žádné jiné externí připojení.

V tomto případě můžete spustit příkaz, jako je následující:

ssh -L 8888: localhost: 1234 [email protected]

Při pokusu o přístup k databázovému serveru na portu 8888 na vašem současném počítači bude přenos přes SSH připojení odeslán. Když dorazí do systému spuštěného SSH serverem, SSH server jej pošle na port 1234 na "localhost", což je ten samý počítač s SSH serverem samotným. Takže "localhost" ve výše uvedeném příkazu znamená "localhost" z pohledu vzdáleného serveru

Chcete-li to provést v aplikaci PuTTY v systému Windows, zvolte Připojení> SSH> Tunely. Vyberte možnost Místní. Pro "Zdrojový port" zadejte místní port. Pro "Cíl" zadejte cílovou adresu a port ve tvaru remote_address: remote_port.

Například pokud chcete nastavit stejný tunel SSH jako výše, zadáte8888jako zdrojový port alocalhost: 1234jako cíl. Pak klikněte na "Přidat" a pak na "Otevřít" otevřete připojení SSH. Budete také muset zadat adresu a port samotného SSH serveru na hlavní obrazovce "Session" před připojením, samozřejmě.

Vzdálený port Forwarding: Make Local Resources Accessible na vzdáleném systému

"Vzdálený port forwarding "Je opakem místní zasílání a není používán tak často. Umožňuje vytvořit zdroj na místním počítači dostupný na serveru SSH. Řekněme, že například používáte webový server na místním počítači, který sedíte před. Váš počítač však stojí za bránou firewall, která neumožňuje příchozí přenosy do serverového softwaru.

Za předpokladu, že máte přístup ke vzdálenému serveru SSH, můžete se připojit k tomuto serveru SSH a použít vzdálené přesměrování portů. Váš klient SSH oznámí serveru, že přesměruje určitý port - řekněme, port 1234 - na server SSH na konkrétní adresu a port na vašem současném počítači nebo místní síti. Když někdo přistupuje k portu 1234 na serveru SSH, bude tento přenos automaticky "tunelován" přes připojení SSH. Každý, kdo má přístup na server SSH, bude mít přístup k webovému serveru spuštěnému v počítači. Toto je efektivní způsob tunelu přes firewally.

Chcete-li použít vzdálené přesměrování, použijte příkazsshs argumentem-R. Syntaxe je do značné míry stejná jako u místního přesměrování:

ssh -R remote_port: local_address: local_port [email protected]

Řekněme, že chcete, aby serverová aplikace poslouchala na portu 1234 v místním počítači dostupném v portu 8888 na vzdáleném serveru SSH. Adresa serveru SSH jessh.youroffice.coma vaše uživatelské jméno na serveru SSH je bob . Byl byste spustit následující příkaz:

ssh -R 8888: localhost: 1234 [email protected]

Někdo by se mohl připojit k SSH serveru na portu 8888 a toto spojení bude tunováno na serverovou aplikaci který běží na portu 1234 na místním počítači, ze kterého jste spojení založili.

Chcete-li to provést v systému PuTTY v systému Windows, zvolte Připojení> SSH> Tunely. Vyberte možnost "Vzdálený". Pro "Zdrojový port" zadejte vzdálený port. Pro "Cíl" zadejte cílovou adresu a port ve formuláři local_address: local_port.

Například pokud chcete nastavit výše uvedený příklad, zadáte8888jako zdrojový port alocalhost: 1234jako cíl. Pak klikněte na "Přidat" a pak na "Otevřít" otevřete připojení SSH. Budete také muset zadat adresu a port serveru SSH samotného na hlavní obrazovce "Session" před připojením, samozřejmě.

Lidé by se pak mohli připojit k portu 8888 na serveru SSH a jejich provoz by byl tunelován do portu 1234 ve vašem lokálním systému.

Ve výchozím nastavení vzdálený SSH server bude poslouchat pouze připojení z jednoho hostitele. Jinými slovy, mohou se připojit pouze lidé ve stejném systému jako samotný server SSH. To je z bezpečnostních důvodů. Pokud chcete toto chování přepsat, musíte povolit možnost "GatewayPorts" v sshd_config na vzdáleném SSH serveru.

Dynamické přesměrování portů: Použijte server SSH jako proxy

SOUVISEJÍCÍ: Co je to Rozdíl mezi sítí VPN a serverem proxy?

Existuje také "dynamické předávání portů", které funguje podobně jako proxy nebo VPN. Klient SSH vytvoří proxy serveru SOCKS, který můžete konfigurovat pro použití aplikací. Celý provoz odeslaný prostřednictvím serveru proxy bude odeslán prostřednictvím serveru SSH. Podobně jako při místní přesměrování - místní komunikace je odesílána do konkrétního portu na vašem počítači a pošle jej přes SSH spojení na vzdálené místo.

SOUVISEJÍCÍ: Proč používání veřejné sítě Wi-Fi může být nebezpečné, a to i při přístupu ke kódovaným webům

Například řekněme, že používáte veřejnou síť Wi-Fi. Chcete procházet bezpečně, aniž byste se snoopovali. Pokud máte doma přístup k serveru SSH, můžete se k němu připojit a použít dynamické přesměrování portů. Klient SSH vytvoří proxy server SOCKS v počítači. Veškerý provoz odeslaný tomuto serveru proxy bude odeslán přes připojení SSH serveru. Nikdo, kdo sleduje veřejnou síť Wi-Fi, nebude moci sledovat vaše procházení nebo cenzurovat webové stránky, ke kterým máte přístup. Z pohledu webových stránek, které navštívíte, bude to, jako byste seděli před počítačem doma. To také znamená, že byste mohli použít tento trik na přístup k webům v USA pouze mimo USA - za předpokladu, že máte přístup k SSH serveru v USA samozřejmě.

Jako další příklad byste mohli chtít získat přístup k médiím které máte ve své domácí síti. Z bezpečnostních důvodů může být pouze server SSH vystaven Internetu. Nepovolujete příchozí připojení z Internetu do aplikace mediálního serveru. Můžete nastavit přesměrování dynamických portů, nakonfigurovat webový prohlížeč pro použití serveru proxy SOCKS a přístup k serverům spuštěným ve vaší domácí síti prostřednictvím webového prohlížeče, jako kdyby jste seděli před domem systému SSH. Například pokud je váš mediální server umístěn v portu 192.168.1.123 ve vaší domácí síti, můžete připojit adresu192.168.1.123do libovolné aplikace pomocí serveru proxy SOCKS a přístup k mediálnímu serveru, jako by

Chcete-li použít dynamické předávání, spusťte příkaz ssh s parametrem-D, například:

ssh -D local_port [email protected]

Pro Příklad: Řekněme, že máte přístup na server SSH na adresessh.yourhome.coma vaše uživatelské jméno na serveru SSH jebob. Chcete-li použít dynamické přesměrování, otevřete proxy server SOCKS v portu 8888 v aktuálním počítači. Byl byste spustit následující příkaz:

ssh -D 8888 [email protected]

Potom můžete nakonfigurovat webový prohlížeč nebo jinou aplikaci pro použití místní adresy IP (127.0.01) a portu 8888. Veškerá komunikace z této aplikace bude přesměrována přes tunel.

Chcete-li to provést v systému PuTTY v systému Windows, vyberte možnost Připojení> SSH> Tunely. Vyberte možnost "Dynamický". Pro "Zdrojový port" zadejte místní port.

Například pokud chcete vytvořit port pro 8888 proxy SOCKS, zadáte zdrojový port8888. Pak klikněte na "Přidat" a pak na "Otevřít" otevřete připojení SSH. Budete také muset zadat adresu a port serveru SSH samotného na hlavní obrazovce "Session" před připojením, samozřejmě.

Poté můžete nakonfigurovat aplikaci pro přístup k serveru proxy SOCKS na místním počítači (tj. IP adresa 127.0.0.1, která ukazuje na váš lokální počítač) a specifikujte správný port

SOUVISEJÍCÍ: Jak konfigurovat server proxy v Firefoxu

Například můžete nakonfigurovat Firefox pro použití proxy serverů SOCKS . To je obzvláště užitečné, protože Firefox může mít vlastní nastavení proxy a nemusí používat nastavení proxy pro celý systém. Firefox bude odesílat svou návštěvnost přes tunel SSH, zatímco ostatní aplikace budou používat vaše internetové připojení normálně.

Když to děláte ve Firefoxu, vyberte "Manual proxy configuration", zadejte "127.0.0.1" do pole host SOCKS a zadejte do portu "Port". Ponechte prázdné políčka HTTP proxy, SSL proxy a FTP proxy

Tunnel zůstane aktivní a otevřete tak dlouho, dokud nebude otevřeno připojení relace SSH. Po ukončení relace SSH a odpojení od serveru bude tunel také uzavřen. Stačí znovu připojit příslušný příkaz (nebo příslušné možnosti v PuTTY), abyste znovu otevřeli tunel.


Jak povolit rozhraní HDMI-CEC na vašem televizoru a proč byste měli>

Jak povolit rozhraní HDMI-CEC na vašem televizoru a proč byste měli>

"HDMI-CEC", zkratka pro ovládání spotřební elektroniky HDMI, je funkce HDMI mnoha televizorů a periferií. Tato funkce umožňuje, aby vaše zařízení fungovala lépe společně, ale je ve výchozím nastavení často zakázána. Aby se věci ještě více matoucí, výrobci často tuto funkci nevyzývají jako "HDMI-CEC".

(how-top)

Jak povolit Intel VT-x v systému BIOS nebo UEFI Firmware

Jak povolit Intel VT-x v systému BIOS nebo UEFI Firmware

Moderní procesory zahrnují funkce virtualizace hardwaru, které pomáhají urychlit virtuální stroje vytvořené v aplikacích VirtualBox, VMware, Hyper-V a dalších aplikacích . Ale tyto funkce nejsou vždy ve výchozím nastavení povoleny. Virtuální stroje jsou skvělé věci. Pomocí virtualizačních aplikací můžete v aktuálním systému spustit celý virtuální počítač v okně.

(how-top)