Како користити ССХ тунелирање за приступ ограниченим серверима и безбедно претраживање
ССХ клијент се повезује са Сецуре Схелл сервером, који вам омогућава да покренете команде терминала као да седите испред другог рачунара. Али ССХ клијент вам такође дозвољава да "тунелирате" порт између вашег локалног система и удаљеног ССХ сервера.
Постоје три различита типа ССХ тунелирања и сви се користе за различите сврхе. Сваки од њих подразумева коришћење ССХ сервера за преусмеравање са једног мрежног порта на други. Саобраћај се шаље преко шифроване ССХ везе, тако да се не може пратити или модификовати у транзиту.
То можете урадити са ссх
наредба укључена у Линук, МацОС и друге оперативне системе сличне УНИКС-у. У Виндовс-у, који не укључује уграђену ссх наредбу, препоручујемо бесплатну алатку ПуТТИ за повезивање на ССХ послужитеље. Подржава и ССХ тунелирање.
Прослеђивање локалног порта: Омогућите приступ удаљеним ресурсима на вашем локалном систему
“Лоцал порт форвардинг” вам омогућава приступ локалним мрежним ресурсима који нису изложени Интернету. На пример, рецимо да желите да приступите серверу базе података у вашој канцеларији од куће. Из сигурносних разлога, тај послужитељ базе података је конфигуриран само за прихваћање веза из локалне уредске мреже. Али ако имате приступ ССХ серверу у канцеларији, и да ССХ сервер дозвољава везе изван канцеларијске мреже, онда се можете повезати на тај ССХ сервер од куће и приступити серверу базе података као да сте у канцеларији. То је често случај, јер је лакше осигурати један ССХ сервер од напада него осигурати различите мрежне ресурсе.
Да бисте то урадили, успоставите ССХ везу са ССХ сервером и реците клијенту да проследи саобраћај из одређеног порта са вашег локалног ПЦ-а - на пример, порт 1234-на адресу сервера базе података и његовог порта у канцеларији. Дакле, када покушате да приступите серверу базе података на порту 1234 ваш тренутни ПЦ, “лоцалхост”, тај саобраћај се аутоматски “тунелира” преко ССХ везе и шаље серверу базе података. ССХ сервер се налази у средини, преусмеравајући саобраћај напред-назад. Можете користити било коју командну линију или графички алат за приступ серверу базе података као да је покренут на вашем локалном рачунару.
Да бисте користили локално прослеђивање, нормално се повежите са ССХ сервером, али и доставите -Л
расправа. Синтакса је:
ссх -Л лоцал_порт: ремоте_аддресс: ремоте_порт усернаме@сервер.цом
На пример, рецимо да се сервер базе података у вашој канцеларији налази на адреси 192.168.1.111 у канцеларији мреже. Имате приступ ССХ серверу у канцеларији ссх.иоуроффице.цом
, и ваш кориснички налог на ССХ серверу је боб
. У том случају, ваша наредба би изгледала овако:
ссх -Л 8888: 192.168.1.111: 1234 боб@ссх.иоуроффице.цом
Након покретања те наредбе, моћи ћете приступити послужитељу базе података на порту 8888 на лоцалхост. Дакле, ако послужитељ базе података нуди веб приступ, можете укључити хттп: // лоцалхост: 8888 у ваш веб прегледник да бисте му приступили. Ако имате алат за командну линију коме је потребна мрежна адреса базе података, требало би да је усмерите на лоцалхост: 8888. Сав саобраћај који је послат у порт 8888 на вашем рачунару биће тунелиран на 192.168.1.111:1234 у вашој канцеларијској мрежи.
Мало је више збуњујуће ако желите да се повежете са серверском апликацијом која ради на истом систему као и сам ССХ сервер. На пример, рецимо да имате ССХ сервер који ради на порту 22 на вашем канцеларијском рачунару, али такође имате сервер базе података који ради на порту 1234 на истом систему на истој адреси. Желите да приступите серверу базе података од куће, али систем прихвата само ССХ везе на порту 22 и његов заштитни зид не дозвољава никакве друге спољашње везе.
У овом случају, можете покренути наредбу попут сљедеће:
ссх -Л 8888: лоцалхост: 1234 боб@ссх.иоуроффице.цом
Када покушате да приступите серверу базе података на порту 8888 на вашем тренутном рачунару, саобраћај ће бити послат преко ССХ везе. Када стигне на систем који покреће ССХ сервер, ССХ сервер ће га послати на порт 1234 на "лоцалхост", који је исти рачунар који покреће сам ССХ сервер. Дакле, "лоцалхост" у наредби изнад значи "лоцалхост" из перспективе удаљеног сервера.
Да бисте то урадили у апликацији ПуТТИ у оперативном систему Виндовс, изаберите Цоннецтион> ССХ> Туннелс. Изаберите опцију “Лоцал”. За “Соурце Порт”, унесите локални порт. За “Дестинатион”, унесите адресу одредишта и порт у облику ремоте_аддресс: ремоте_порт.
На пример, ако желите да подесите исти ССХ тунел као горе, ушли бисте 8888
као извор и лоцалхост: 1234
као одредиште. Кликните “Адд” након тога и затим кликните “Опен” да бисте отворили ССХ везу. Наравно, потребно је да унесете и адресу и порт ССХ сервера на главни "Сессион" екран пре повезивања, наравно.
Ремоте Порт Форвардинг: Направите приступ локалним ресурсима на удаљеном систему
“Ремоте порт форвардинг” је супротно од локалног прослеђивања и не користи се тако често. Омогућава вам да ресурс на вашем локалном ПЦ-у буде доступан на ССХ серверу. На пример, рецимо да покрећете веб сервер на локалном рачунару који седите испред. Али ваш ПЦ је иза заштитног зида који не дозвољава долазни саобраћај за серверски софтвер.
Под претпоставком да можете да приступите удаљеном ССХ серверу, можете се повезати на тај ССХ сервер и користити даљинско прослеђивање портова. Ваш ССХ клијент ће рећи серверу да проследи одређени порт-саи, порт 1234-на ССХ серверу на одређену адресу и порт на вашем тренутном ПЦ-ју или локалној мрежи. Када неко приступи порту 1234 на ССХ серверу, тај саобраћај ће се аутоматски "тунелирати" преко ССХ везе. Свако ко има приступ ССХ серверу ће моћи да приступи веб серверу који ради на вашем рачунару. Ово је у ствари начин да се тунелује кроз заштитне зидове.
Да бисте користили даљинско прослеђивање, користите ссх
команду са -Р
расправа. Синтакса је углавном иста као код локалног прослеђивања:
ссх -Р ремоте_порт: лоцал_аддресс: лоцал_порт усернаме@сервер.цом
Рецимо да желите да серверску апликацију слушате на порту 1234 на вашем локалном рачунару доступном на порту 8888 на удаљеном ССХ серверу. Адреса ССХ сервера је ссх.иоуроффице.цом
и ваше корисничко име на ССХ серверу је боб. Покренули бисте следећу команду:
ссх -Р 8888: лоцалхост: 1234 боб@ссх.иоуроффице.цом
Неко би се онда могао повезати са ССХ сервером на порту 8888 и та веза би била тунелирана на серверску апликацију која је покренута на порту 1234 на локалном рачунару који сте успоставили везу од.
Да бисте то урадили у програму ПуТТИ на Виндовс-у, изаберите Цоннецтион> ССХ> Туннелс. Изаберите опцију "Ремоте". За “Соурце Порт”, унесите удаљени порт. За “Дестинатион”, унесите адресу одредишта и порт у облику лоцал_аддресс: лоцал_порт.
На пример, ако желите да подесите горњи пример, ушли бисте 8888
као извор и лоцалхост: 1234
као одредиште. Кликните “Адд” након тога и затим кликните “Опен” да бисте отворили ССХ везу. Наравно, потребно је да унесете и адресу и порт ССХ сервера на главни "Сессион" екран пре повезивања, наравно.
Људи би се онда могли повезати на порт 8888 на ССХ серверу и њихов промет би био тунелиран у порт 1234 на вашем локалном систему.
По дефаулту, удаљени ССХ сервер ће само слушати везе са истог хоста. Другим речима, само људи на истом систему као ССХ сервер ће моћи да се повежу. Ово је из сигурносних разлога. Мораћете да омогућите опцију "ГатеваиПортс" у ссхд_цонфиг на удаљеном ССХ серверу ако желите да поништите ово понашање.
Динамиц Порт Форвардинг: Користите ССХ сервер као проки
Ту је и "динамичко прослеђивање портова", које ради слично као проки или ВПН. ССХ клијент ће креирати СОЦКС проки који можете да конфигуришете за употребу. Сав саобраћај који се шаље преко проки сервера биће послат преко ССХ сервера. Ово је слично локалном прослеђивању - локални саобраћај шаље на одређени порт на рачунару и шаље га преко ССХ везе на удаљену локацију.
На пример, рецимо да користите јавну Ви-Фи мрежу. Желите да безбедно прегледате садржај без укључивања. Ако имате приступ ССХ серверу код куће, можете се повезати с њим и користити динамичко просљеђивање портова. ССХ клијент ће креирати СОЦКС проки на вашем рачунару. Сав саобраћај који је послат на тај проки ће бити послат преко ССХ везе са сервером. Нико ко надгледа јавну Ви-Фи мрежу неће моћи да прати ваше претраживање или цензурише веб странице којима можете приступити. Из перспективе било које веб странице коју посјећујете, то ће бити као да сједите испред свог рачунала код куће. То такође значи да можете користити овај трик да бисте приступили веб-локацијама само за САД док сте изван САД-а - под претпоставком да имате приступ ССХ серверу у САД-у, наравно.
Као други пример, можда ћете желети да приступите апликацији медијског сервера коју имате на кућној мрежи. Из безбедносних разлога, можете имати само ССХ сервер изложен Интернету. Не допуштате долазне везе са Интернета апликацији медијског сервера. Можете да подесите динамичко прослеђивање портова, конфигуришете веб претраживач да користи СОЦКС проки, а затим приступите серверима који се покрећу на вашој кућној мрежи преко веб прегледача као да седите испред ССХ система код куће. На пример, ако се ваш медијски сервер налази на порту 192.168.1.123 на вашој кућној мрежи, можете да укључите адресу 192.168.1.123
у било коју апликацију која користи СОЦКС проки и приступате медијском серверу као да сте на кућној мрежи.
Да бисте користили динамичко прослеђивање, покрените ссх наредбу са -Д
аргумент, као на пример:
ссх -Д лоцал_порт усернаме@сервер.цом
На пример, рецимо да имате приступ ССХ серверу на ссх.иоурхоме.цом
и ваше корисничко име на ССХ серверу је боб
. Желите да користите динамичко прослеђивање да бисте отворили СОЦКС проки у порту 8888 на тренутном рачунару. Покренули бисте следећу команду:
ссх -Д 8888 боб@ссх.иоурхоме.цом
Тада бисте могли да конфигуришете веб прегледач или другу апликацију да бисте користили вашу локалну ИП адресу (127.0.01) и порт 8888. Сав саобраћај из те апликације би био преусмерен кроз тунел.
Да бисте то урадили у програму ПуТТИ на Виндовс-у, изаберите Цоннецтион> ССХ> Туннелс. Изаберите опцију “Динамиц”. За “Соурце Порт”, унесите локални порт.
На пример, ако желите да креирате СОЦКС проки на порту 8888, ушли бисте 8888
као изворни извор. Кликните “Адд” након тога и затим кликните “Опен” да бисте отворили ССХ везу. Наравно, потребно је да унесете и адресу и порт ССХ сервера на главни "Сессион" екран пре повезивања, наравно.
Потом можете да конфигуришете апликацију за приступ СОЦКС прокију на вашем локалном рачунару (то јест, ИП адреса 127.0.0.1, који указује на ваш локални ПЦ) и наведите исправан порт.
На пример, можете да конфигуришете Фирефок да користи СОЦКС проки. Ово је посебно корисно зато што Фирефок може имати своје властите проки поставке и не мора користити проки поставке за цијели систем. Фирефок ће послати свој саобраћај кроз ССХ тунел, док ће друге апликације нормално користити вашу интернет везу.
Када то радите у Фирефок-у, изаберите “Мануал проки цонфигуратион”, унесите “127.0.0.1” у СОЦКС хост бок и унесите динамички порт у “Порт” кутију. Оставите празне кутије ХТТП прокија, ССЛ прокија и ФТП прокија.
Тунел ће остати активан и отворен све док имате отворену ССХ везу. Када завршите ССХ сесију и прекинете везу са сервером, тунел ће такође бити затворен. Само се поново повежите са одговарајућом командом (или одговарајућим опцијама у ПуТТИ) да бисте поново отворили тунел.