Dnes je 18. prosince 2017  02:12
nepřihlášen  Neznámý   zaregistruj se
"Každý program má dva účely: Jeden, pro který byl sestaven, a druhý, pro který nebyl."

SSH a forwardování portů

V tomto článku si ukážeme jednoduché forwardování portů s využitím SSH. Uvedu zde také příklady komprimovaného SSH kanálu použitelného u pomalého modemového připojení k stahování pošty či použití komprimovaného VNC spojení.

SSH port forwarding

SSH může spojení pro jakýkoliv TCP/IP port přesměrovat na zabezpečený kanál pomocí port forwardingu.
U port forwardingu můžeme buď namapovat lokální port na klientovi na vzdálený port na serveru či jakýkoliv port na serveru na jakýkoliv port na klientovi - čísla portů nemusí být shodná.

Pro vytvoření SSH kanálu který naslouchá na lokálním portu:
ssh -L local-port:remote-hostname:remote-port username@hostname

Tedy například pro stažení pošty ze serveru mail.domain.com:
ssh -L 1100:mail.domain.com:110 mail.domain.com

Poštu nyní můžete stahovat z localhostu připojením se na port 1100, poté bude vše forwardováno zabezpečeným kanálem na server mail.domain.com. Pokud nám na serveru mail.domain.com neběží SSH server, ale v síti, v které je mail.domain.com máme jiný server s SSH daemonem, můžeme forwardovat přes něj, tedy:
ssh -L 1100:mail.domain.com:110 other.domain.com

U tohoto příkladu je naše POP3 žádost forwardována z portu 1100 localhostu přes SSH spojení na portu 22 na other.domain.com. Server other.domain.com se připojí na port 110 serveru mail.domain.com a tento zareaguje na naši žádost. Zabezpečené spojení je vytvořeno pouze mezi Vaším systémem a other.domain.com.

SSH port forwarding může být použit (zneužit) u sítě s firewallem, kdy firewall umožňuje ssh komunikaci zatímco ostatní porty jsou zavřené, je možno připojit se na některý se zavřených portů přesměrováním komunikace přes SSH kanál, což může být nežádoucí zhlediska bezpečnosti systému.
Proto, pokud nechcete mít port forwarding dostupný na vašem systému, použijte parametr AllowTcpForwarding v /etc/ssh/sshd_config a restartujte ssh daemona.

Volby:

-f Požaduje, aby ssh po provedení autentizace a zahájení forwardování přešel do pozadí. Tato volba je vhodná, pokud uživatel chce, aby ssh běžel v pozadí, ale ssh bude ještě ptát na přihlašovací nebo přístupová hesla. Může být vhodná také ve skriptech. Implikuje volbu -n. Doporučený způsob pro start X11 programů na vzdáleném počítači je "ssh -f počítač xterm".
-q Tichý režim. Potlačí výpis varování a diagnostických zpráv. Jsou vypisovány pouze fatální chyby.
-v Upovídaný režim. Způsobí, že program ssh bude vypisovat ladící zprávy o své činnosti. Lze použít při ladění spojení a při autentizačních a konfiguračních problémech.
-g Povolí vzdáleným strojům připojování na lokální forwardované porty. Implicitně se může na tyto porty připojovat pouze localhost.
-x Zakáže X11 forwardování. V konfiguračním souboru lze nastavit i pro jednotlivé počítače.
-C Bude komprimovat všechna data (včetně stdin, stdout, stderr, a dat pro forwardované X11 a TCP/IP spojení). Komprimační algoritmus je týž jako v programu gzip. Úroveň komprese může být zadána volbou CompressionLevel volba (viz dále). Komprese je žádoucí na modemových linkách a pro jiná pomalá
spojení, ale přes rychlou síť bude zpomalovat činnost. Implicitní hodnota může být nastavenu pro jednotlivé počítače v konfiguračním souboru; viz volba Compress dále.
-L port:počítač:vzdálport
Určuje, že zadaný port na lokálním počítači (tj. ssh klientovi) má být forwardován přes bezpečný kanál na ssh server a z něj má být navazováno TCP spojení na zadaný vzdálený počítač a port. Alokuje soket, který bude naslouchat na zadaném portu na lokálním počítači, a kdykoli bude vytvořeno spojení na tento port, bude forwardováno přes bezpečný kanál, a ze vzdáleného stroje bude navázáno spojení na zadaný počítač:vzdálport. Forwardování portu může být také nastaveno v konfiguračním souboru.
Privilegované porty může forwardovat pouze root.
-R port:počítač:vzdálport
Určuje, že zadaný port na vzdáleném počítači (tj. serveru) má být forwardován na lokální počítač a odtud na další zadaný počítač a port. Alokuje soket, který bude naslouchat na zadaném portu na vzdálené straně, a kdykoli je navázáno spojení na tento port, spojení bude forwardováno přes bezpečný kanál na lokální stroj, a z něj bude navázáno spojení na zadaný počítač:vzdálport. Forwardování portů může být zadáno v konfiguračním souboru. Privilegované porty mohou být forwardovány pouze při přihlášení jako root na vzdáleném stroji.

 

Příklady

Stažení pošty ze serveru mail.domain.com z portu 1100 localhostu:
ssh -L 1100:mail.domain.com:110 mail.domain.com

Stažení pošty ze serveru mail.domain.com z portu 1100 localhostu přes server other.domain.com:
ssh -L 1100:mail.domain.com:110 other.domain.com

Zasílání pošty z portu 2525 localhostu na smtp mailserver.com s použitím komprimovaného SSH kanálu:
ssh -C -L 2525:mailserver.com:25 mailserver.com

Forwardování VNC spojení ze serveru vncserver.com na localhost s použitím komprimovaného SSH kanálu a s povolením vzdálených strojů připojování se na lokální forwardovaný port:
ssh -C -L 5901:vncserver.com:5901 vncserver.com -g

Odkazy:

http://www.openssh.org - OpenSSH Homepage
http://www.ssh.com/products/ssh/ - SSH by Sentinel
http://heimhardt.com/htdocs/ssh.html - SSH Dokumentace



Autor: Roman Pěch
Vytvořeno: 03.06.2002
Oblast: Sítě




Související články:

25.02.2002  Generování autorizačních klíčů pro SSH přístup mezi dvěma stroji bez zadávání uživatelského hesla




Diskuse k článku "SSH a forwardování portů":

DatumAutorPředmět
    zobraz vše    přidej komentář

Krátké zprávy:

  • 04.04.2005 20:47:51
    LinuxExpo: IBM, Red Hat, Mozilla i OpenOffice.org 2.0

    Ve dnech 12. až 14. dubna 2005, se uskuteční pátý ročník veletrhu LinuxExpo, největší středoevropské konference a výstavy zaměřené především na operační systém Linux, Open Source software a související témata. Letos bude LinuxExpo hostit Hotel Olympik v Praze, jehož reprezentativní prostory poskytují nejen vysoký standard, ale přinesou i komfortní zázemí konferenční části, na kterou kladou pořadatelé akce stále větší důraz. V rámci konferenčního programu shlédnou návštěvníci nejen celou řadu odborných a popularizačních přednášek, ale budou se moci zúčastnit i několika specializovaných konferencí.

    Tajemství strategie společnosti IBM ve vztahu k Linuxu a otevřeným standardům nám poodhalí hned první z konferenčních bloků v úterý 12.4. Zasvěcené informace se dozvíme přímo od specialistů IBM z Česka i zahraničí. Linux nezanedbává ani legendární SILICON GRAPHICS. O jeho využití nejen pro náročné vizualizace, ale třeba jako platformu pro budování infrastruktur moderních podnikových řešení budou hovořit zástupci SILICON GRAPHICS s.r.o. během středečního konferenčního programu. Pokud se chcete dozvědět více o distribuci Red Hat, určitě si nenechte ujít čtvrteční konferenci s názvem "Red Hat - Prostředí pro Byznys". Přinese ji distributor Red Hat v ČR, firma Servodata.

    Z dalších prezentovaných distribucí jmenujme například Mandrakelinux, zastoupený společností QCM. Přes rostoucí komerční specializaci nezapomíná LinuxExpo ani na neziskové a vzdělávací projekty, které se představí v rámci Free Linux Zone, připravované ve spolupráci se serverem Linuxsoft. Vydržíte-li do čtvrtečního odpoledne, můžete být přítomni exkluzivní premiéry nové verze populárního kancelářského balíku OpenOffice.org 2.0. David Majda z týmu Czilla přednese přednášku Mozilla pro vývojáře, prezentovat se budou také známá česká live distribuce Danix, DTP řešení pro Linux aplikace Scribus, databáze Firebird a mnoho dalších zajímavých projektů.

    Kompletní přehled konferenčního programu, stejně jako aktuální a podrobné informace o veletrhu LinuxExpo najdete na internetové adrese www.linuxexpo.cz. Tam se také návštěvníci mohou registrovat a získat tak volnou vstupenku na dny pro veřejnost, nebo si dokonce rezervovat místa na jednotlivých přednáškách.[RP]


  • 07.11.2002 23:42:55
    Red Hat Linux Advisory: glibc
    Synopsis: Updated glibc packages fix vulnerabilities in resolver
    Issue date: 2002-09-10
    Updated on: 2002-11-06
    Product: Red Hat Linux 6.2 7.0 7.1 7.2 7.3
    Keywords: glibc resolv DNS
    Více na LinuxToday.[RP]


  • 28.10.2002 22:51:34
    Red Hat Linux Advisory: ypserv
    Synopsis: Updated ypserv packages fixes memory leak
    Advisory ID: RHSA-2002:223-07
    Product: Red Hat Linux 6.2 7.0 7.1 7.2 7.3
    Keywords: ypserv memory leak
    Více na LinuxToday.[RP]


  • 20.10.2002 22:58:22
    Vyšlo nové beta jádro 2.5.44. Changelog naleznete zde.[RP]


  • 20.10.2002 22:36:08
    Red Hat Linux Advisory: mozilla
    Synopsis: Updated Mozilla packages fix security vulnerabilities
    Advisory ID: RHSA-2002:192-13
    Product: Red Hat Linux 7.2 7.3 8.0
    Více na LinuxToday. [RP]

    Archiv krátkých zpráv

    Oblasti:

    Informace:

  • Pokud chcete pro nás psát čtěte zde.
  • e-mail redakce: redakce@linux.poweroff.cz

  • Umístěte si náš banner na stránku





  • H E A D L I N E S


    PHPBuilder:
  • PHP Web Blog - Part 2
  • Creating an Online Survey - Part 2
  • PHP Web Blog - Part 1
  • Preventing Web Attacks with Apache
  • phpwiki - The Wiki for PHP Developers
  • Developing a Ajax-driven Shopping Cart with PHP and Prototype, Part 2
  • Developing a Ajax-driven Shopping Cart with PHP and Prototype
  • PHP Form Validation System: An Object-Oriented Approach
  • Validating PHP User Sessions
  • Preventing Spam When Using PHP's Mail Function

    LinuxToday:
  • Phoronix Test Suite Brings Linux Benchmarking to the Desktop
  • Open Source Tour of Europe: Portugal
  • Linux On Mars!
  • Hey FOSS Project, What's Your Pedigree?
  • How Linux Could Better Market Itself
  • Measuring Open Source Adoption the Hard Way
  • Wine 1.0 Review
  • Cobbler Pieces Together Mass Red Hat Linux Installations
  • Open Source Solves UK Cancer Charity Challenges
  • Bash Arrays



    Hledání

    Zadejte (několik) klíčových slov oddělených mezerou.
  • Hledej v článcích
  • Hledej v krátkých zprávách
  • fulltextové vyhledávání

    Nejčtenější články:

  • QMAIL - přechod na Maildir a instalace kompletního poštovního systému (363896)
  • RShaper - omezení rychlosti síťového provozu (83253)
  • PHP v objetí objektů (převzato) (65464)
  • Copyright © 2001 PowerNET