Тунелі SSH: Налаштування та практичні приклади використання ⋆ ALexHost SRL

Перевірте свої навички на всіх наших хостингових послугах та отримайте знижку 15%!

Use code at checkout:

Skills
10.12.2024

Тунелі SSH: Налаштування та практичні приклади використання

Secure Shell (SSH) – це широко використовуваний протокол, який забезпечує безпечний, зашифрований зв’язок між комп’ютерами. Окрім традиційного використання для входу у віддалені системи, SSH також пропонує потужні можливості тунелювання, які дозволяють безпечно перенаправляти трафік між мережами та системами. Ця техніка відома як тунелювання SSH і може бути безцінною для різних практичних випадків використання, таких як доступ до служб з обмеженим доступом або обхід брандмауерів.

У цій статті ми розглянемо, як працюють SSH-тунелі, як їх налаштовувати і як їх можна використовувати для різних сценаріїв в реальних додатках.

Що таке SSH-тунель?

SSH-тунель – це метод передачі довільних даних через зашифроване SSH-з’єднання між двома системами. По суті, він дозволяє безпечно перенаправляти мережевий трафік з однієї машини на іншу, створюючи тунель, через який проходять дані.

Тунелі SSH можна використовувати трьома основними способами:

  1. Локальне перенаправлення портів
  2. Віддалене перенаправлення портів
  3. Динамічне перенаправлення портів

Кожен з цих методів має свої специфічні випадки використання, і ми детально розглянемо кожен з них нижче.

1. Локальна переадресація портів

Переадресація локального порту є найбільш поширеною формою тунелювання SSH. Він дозволяє перенаправляти трафік з локального порту на вашому комп’ютері на віддалений сервіс через SSH-з’єднання.

Як працює переадресація локального порту

Коли ви створюєте локальний SSH-тунель, трафік, надісланий на певний порт на вашому локальному комп’ютері, перенаправляється на SSH-сервер, який потім надсилає його до потрібного місця призначення (наприклад, до бази даних або веб-сервера).

Приклад використання: Доступ до віддаленої бази даних

Уявіть, що вам потрібно отримати доступ до бази даних на віддаленому сервері, але порт бази даних заблоковано брандмауером. Замість того, щоб відкривати порт публічно, ви можете використати локальне перенаправлення портів для безпечного доступу до бази даних.

Команда для локального перенаправлення портів
ssh -L 5432:localhost:5432 user@remote-server

У цьому прикладі

  • -L 5432:localhost:5432: Вказує локальне перенаправлення портів. Перші 5432 – це порт на вашій локальній машині, localhost:5432 відноситься до віддаленої бази даних.
  • user@remote-server: Підключається до віддаленого SSH-сервера.

Тепер ви можете отримати доступ до віддаленої бази даних з вашої локальної машини, підключившись до localhost:5432.

2. Віддалене перенаправлення портів

Віддалене перенаправлення портів дозволяє перенаправляти трафік з віддаленого сервера на локальну машину. Це корисно, коли ви хочете надати доступ до служби, яка працює на вашому локальному комп’ютері, віддаленому серверу або його користувачам.

Як працює віддалене перенаправлення портів

За допомогою віддаленого перенаправлення портів будь-який трафік, який досягає вказаного порту на віддаленому комп’ютері, буде перенаправлено на порт на вашому локальному комп’ютері. Це налаштування часто використовується, коли вам потрібно надати віддаленому серверу сервіс, доступний лише у вашій локальній мережі.

Приклад використання: Надання доступу до локальної веб-програми на віддаленому сервері

Уявіть, що ви розробляєте веб-програму локально на своєму комп’ютері і хочете показати її колезі на віддаленому сервері. Замість того, щоб розгортати програму, ви можете скористатися віддаленим перенаправленням портів, щоб дозволити доступ до вашої локальної програми.

Команда для віддаленого перенаправлення портів
ssh -R 8080:localhost:3000 user@remote-server

У цьому прикладі

  • -R 8080:localhost:3000: Вказує переадресацію віддаленого порту. Порт 8080 на віддаленій машині буде переадресовано на localhost:3000 на вашій локальній машині, де запущено веб-додаток.
  • user@remote-server: Підключається до віддаленого SSH-сервера.

Тепер будь-хто на віддаленому сервері може отримати доступ до вашого веб-додатку через http://remote-server:8080.

3. Динамічне перенаправлення портів

Динамічне перенаправлення портів перетворює ваш SSH-клієнт на SOCKS-проксі-сервер, дозволяючи вам направляти трафік з вашого локального комп’ютера через SSH-тунель до будь-якого пункту призначення. Це особливо корисно, коли ви хочете тунелювати весь трафік (наприклад, веб-перегляд) через безпечне з’єднання.

Як працює динамічна переадресація портів

При динамічному перенаправленні портів SSH-клієнт прослуховує локальний порт і перенаправляє весь вихідний трафік через SSH-сервер. Таке налаштування дозволяє використовувати SSH-сервер як проксі-сервер для вашого інтернет-з’єднання, обходячи брандмауери і забезпечуючи безпеку трафіку.

Приклад використання: Обхід мережевих обмежень

Уявіть, що ви перебуваєте в публічній мережі Wi-Fi, а певні веб-сайти або сервіси заблоковані. Ви можете використовувати динамічне перенаправлення портів, щоб обійти ці обмеження і отримати безпечний доступ до інтернету через ваш SSH-сервер.

Команда для динамічного перенаправлення портів
ssh -D 8080 user@remote-server

У цьому прикладі

  • -D 8080: Вказує динамічну переадресацію портів. Ваш локальний комп’ютер буде діяти як SOCKS-проксі на порту 8080.
  • user@віддалений-сервер: Підключається до віддаленого SSH-сервера.

Коли тунель активовано, ви можете налаштувати ваш браузер або будь-яку програму на використання localhost:8080 як SOCKS-проксі, що дозволить вам безпечно перенаправляти весь трафік через віддалений сервер.

Налаштування SSH-тунелів за допомогою конфігураційного файлу

Якщо ви часто використовуєте SSH-тунелі, ви можете спростити цей процес, створивши файл конфігурації SSH. Конфігураційний файл дозволяє вам визначити ярлики для ваших SSH-з’єднань і налаштування переадресації портів, що полегшує налаштування тунелів без необхідності кожного разу вводити довгі команди.

Приклад файлу конфігурації SSH

Додайте наступну конфігурацію до ~/.ssh/config:

Хост remote-db Ім’я хоста remote-server Користувач user LocalForward 5432 localhost:5432

Тепер ви можете налаштувати переадресацію локального порту на віддалену базу даних за допомогою простої команди:

ssh remote-db

Практичні приклади тунелювання по SSH

1. Безпечний веб-трафік через SOCKS-проксі

Якщо ви працюєте в обмеженому середовищі і вам потрібно отримати доступ до заблокованих веб-сайтів, ви можете налаштувати динамічне перенаправлення портів, щоб спрямувати весь ваш трафік через захищений SSH-сервер.

ssh -D 9090 user@ssh-server

Потім налаштуйте ваш браузер на використання localhost:9090 як SOCKS-проксі.

2. Доступ до віддаленої внутрішньої служби

Припустимо, вам потрібно отримати доступ до внутрішньої служби, яка доступна лише у віддаленій приватній мережі. Ви можете скористатися локальним перенаправленням портів, щоб безпечно підключитися до цієї служби з вашого локального комп’ютера.

ssh -L 8080:internal-service:80 user@remote-server

Це дозволить вам отримати доступ до внутрішньої служби за адресою http://localhost:8080.

3. Виявлення локального сервера розробки

Якщо ви хочете поділитися локальним сервером розробки з колегами на віддаленому сервері, скористайтеся віддаленим перенаправленням портів:

ssh -R 4000:localhost:3000 user@remote-server

Тепер колеги на віддаленому сервері можуть отримати доступ до вашої локальної програми за адресою http://remote-server:4000.

Міркування щодо безпеки

Хоча SSH-тунелі забезпечують безпечні та зашифровані канали зв’язку, важливо дотримуватися найкращих практик безпеки:

  • Використовуйте надійну автентифікацію: Завжди використовуйте надійні паролі або автентифікацію на основі ключів SSH для захисту вашого SSH-сервера.
  • Обмежте доступ до переадресованих портів: Обмежте доступ до переадресованих портів за допомогою правил брандмауера або конфігурації SSH, щоб запобігти несанкціонованому доступу.
  • Моніторинг SSH-з’єднань: Регулярно переглядайте журнали SSH-з’єднань, щоб виявити будь-яку незвичайну активність або спроби несанкціонованого доступу.

Висновок

Тунелювання по SSH – це універсальний інструмент, який надає безпечні способи перенаправлення трафіку і доступу до сервісів через мережі. Якщо ви хочете отримати доступ до служб з обмеженим доступом, обійти брандмауери або безпечно відкрити внутрішні ресурси, SSH-тунелі – це потужне і гнучке рішення. Освоївши локальне, віддалене і динамічне перенаправлення портів, ви зможете підвищити безпеку своєї мережі і розширити можливості доступу до віддалених систем і ефективного управління ними.

Перевірте свої навички на всіх наших хостингових послугах та отримайте знижку 15%!

Use code at checkout:

Skills