Centro de Conocimiento DevOps
Centro de Conocimiento DevOps

Implementación de reenvío de puertos SSH local y remoto para tunelización

Desbloquee el acceso seguro a la red y eludir firewalls utilizando el reenvío de puertos SSH. Esta guía completa detalla la implementación práctica de las técnicas de tunelización SSH local (`-L`) y remota (`-R`). Aprenda la sintaxis esencial, comprenda las diferencias clave entre acceder a servicios remotos y exponer servicios locales, y vea ejemplos claros para tareas como asegurar conexiones de bases de datos o compartir entornos de desarrollo. Incluye mejores prácticas críticas para crear túneles seguros y persistentes en segundo plano utilizando autenticación basada en claves.

36 vistas

Implementación del reenvío de puertos SSH local y remoto para tunelización

SSH (Secure Shell) es el protocolo indispensable para la gestión remota segura de sistemas. Más allá de su función principal de proporcionar acceso a terminal cifrado, SSH ofrece una potente característica conocida como reenvío de puertos, a menudo denominada Tunelización SSH. Esta técnica permite a los usuarios crear canales seguros y cifrados para enrutar tráfico de red arbitrario a través de la conexión SSH.

La tunelización SSH se utiliza principalmente para eludir firewalls restrictivos, asegurar protocolos de texto plano (como HTTP o conexiones a bases de datos) encapsulándolos dentro del flujo cifrado de SSH, o para acceder a recursos de red internos que no están expuestos públicamente. Comprender la diferencia entre el reenvío de puertos Local y Remoto es fundamental para implementar soluciones de tunelización efectivas y seguras en arquitecturas de red complejas.

Esta guía explora los mecanismos, la sintaxis y las aplicaciones prácticas tanto del reenvío de puertos SSH Local como Remoto, proporcionando el conocimiento necesario para enrutar de forma segura su tráfico de red a través de diferentes límites.

Comprensión de los fundamentos de la tunelización SSH

Un túnel SSH establece una conexión segura punto a punto donde un puerto específico en una máquina se mapea a un puerto específico en otra máquina, utilizando el servidor SSH como punto de retransmisión. Todos los datos que pasan a través de este túnel son cifrados automáticamente por el protocolo SSH, garantizando la confidencialidad y la integridad.

Existen tres tipos principales de reenvío de puertos: Local, Remoto y Dinámico (Proxy SOCKS). Este artículo se centra en los dos métodos de tunelización directa más comunes: Local (-L) y Remoto (-R).

1. Reenvío de puertos local (Tunelización L)

El reenvío de puertos local es la forma más común de tunelización. Permite que una máquina cliente local (donde se inicia el túnel) acceda a un servicio en un host de destino que es accesible solo por el servidor SSH.

Piense en el reenvío local como asegurar el acceso hacia una red remota.

Caso de uso: Asegurar el acceso a la base de datos

Imagine que necesita acceder a una base de datos MySQL (Puerto 3306) que se ejecuta en una red privada (10.0.0.5). Su máquina local no puede alcanzar esta IP privada directamente, pero el servidor SSH de bastión (bastion.example.com) sí puede. El reenvío local mapea un puerto en su máquina local al puerto de la base de datos remota a través del host de bastión.

Sintaxis del reenvío local (-L)

La estructura del comando es:

ssh -L [PuertoLocal]:[HostDestino]:[PuertoDestino] [UsuarioSSH]@[ServidorSSH]
Parámetro Descripción
PuertoLocal El puerto al que se conectará en su máquina local.
HostDestino El nombre de host/IP del servicio final al que desea acceder.
PuertoDestino El puerto del servicio final en el HostDestino.
ServidorSSH El servidor intermedio que gestiona el túnel (el host de bastión).

Ejemplo práctico de reenvío local

Para acceder al servidor MySQL remoto (10.0.0.5:3306) conectándose al puerto 9999 en su máquina local:

ssh -L 9999:10.0.0.5:3306 [email protected]

Una vez establecida la conexión, cualquier conexión realizada localmente a localhost:9999 se canalizará de forma segura a través de bastion.example.com y emergerá en 10.0.0.5:3306.

Para conectarse al servicio:

# Conecte su aplicación (ej. cliente MySQL) a:
Host: 127.0.0.1
Puerto: 9999

2. Reenvío de puertos remoto (Tunelización R)

El reenvío de puertos remoto es menos intuitivo. Permite que un servidor SSH remoto acceda a un servicio que se ejecuta en la máquina cliente local donde se inició el túnel.

Piense en el reenvío remoto como hacer que un servicio local sea accesible hacia afuera a la red remota (a través del servidor SSH).

Caso de uso: Exponer un servidor de desarrollo local

Suponga que está ejecutando un servidor de desarrollo web local en el puerto 3000 en su computadora portátil, pero necesita que un colega (o un servicio webhook) pueda acceder a él a través de su servidor SSH de cara al público (public.example.com).

Sintaxis del reenvío remoto (-R)

La estructura del comando es:

ssh -R [PuertoServidor]:[HostDestino]:[PuertoDestino] [UsuarioSSH]@[ServidorSSH]
Parámetro Descripción
PuertoServidor El puerto que se abrirá en el servidor SSH.
HostDestino El host en el lado local (generalmente localhost o 127.0.0.1).
PuertoDestino El puerto del servicio local que desea exponer.
ServidorSSH El servidor remoto que alojará el puerto accesible públicamente.

Ejemplo práctico de reenvío remoto

Para exponer su servidor web local que se ejecuta en el puerto 3000 a través del puerto 8080 en el servidor SSH público:

ssh -R 8080:localhost:3000 [email protected]

Una vez establecido el túnel, un usuario que se conecte a public.example.com:8080 verá su tráfico canalizado de forma segura de vuelta al puerto 3000 de su máquina local.

Nota de configuración del servidor: GatewayPorts

Por defecto, la mayoría de los servidores SSH solo escuchan las conexiones reenviadas remotamente en la interfaz de bucle invertido (127.0.0.1). Si necesita que el puerto reenviado en el servidor SSH sea accesible por hosts externos (es decir, hacer que su servicio local sea verdaderamente público), debe configurar el servidor SSH (sshd_config) para habilitar GatewayPorts yes y reiniciar el servicio SSH. Sin esta configuración, la conexión solo es utilizable por otras aplicaciones que se ejecutan directamente en el propio servidor SSH.

Mejores prácticas para la tunelización SSH

Para garantizar que sus túneles sean fiables, seguros y se ejecuten de manera eficiente, considere estos consejos operativos.

Ejecutar túneles en segundo plano

Para un funcionamiento continuo, los túneles deben separarse de la sesión de terminal y ejecutarse silenciosamente en segundo plano. Utilice las siguientes banderas:

  • -N: No ejecutar un comando remoto (se utiliza estrictamente para el reenvío de puertos).
  • -f: Solicitar a ssh que pase al segundo plano justo antes de la ejecución del comando.

Ejemplo (Túnel local en segundo plano):

ssh -Nf -L 80:internal.web.site:80 [email protected]

Uso de autenticación basada en claves

Utilice siempre claves SSH en lugar de contraseñas, especialmente para túneles automatizados o de larga ejecución. Esto evita problemas de tiempo de espera relacionados con las indicaciones de contraseña y es inherentemente más seguro.

Controlar la vida útil del túnel

Si la aplicación que utiliza el túnel no envía tráfico con frecuencia, la conexión podría caer debido a la inactividad o problemas de red. Para evitar esto, configure el cliente para que envíe mensajes periódicos de "mantener activo".

# Enviar un paquete nulo cada 60 segundos para mantener abierta la conexión
ssh -o ServerAliveInterval=60 -L 9999:host:port usuario@server

Consideraciones de seguridad

  1. Principio de privilegio mínimo: Solo reenvíe los puertos necesarios. No cree túneles abiertos y amplios.
  2. Audite sshd_config: Al usar el reenvío remoto, tenga cuidado al establecer GatewayPorts yes, ya que esto expone servicios internos públicamente. Asegúrese de que las reglas de firewall apropiadas protejan el servidor SSH.
  3. Usuario de túnel: Si es posible, cree una cuenta de usuario dedicada y altamente restringida en el servidor SSH específicamente para la tunelización, limitando su acceso al shell (/sbin/nologin).

Resumen de diferencias

La distinción fundamental entre el reenvío local y remoto radica en la ubicación del puerto de escucha y la dirección del flujo de tráfico con respecto al servidor SSH.

Característica Reenvío local (-L) Reenvío remoto (-R)
Puerto de escucha En la máquina cliente (Local) En el servidor SSH (Remoto)
Objetivo del tráfico Acceder a un servicio detrás del servidor. Exponer un servicio local a través del servidor.
Inicio El cliente se conecta a su propio puerto local. El host remoto se conecta al puerto del servidor.
Dirección (Relativa al servidor) El tráfico fluye desde el servidor hacia el host de destino. El tráfico fluye desde el servidor de vuelta al cliente que inició.

El reenvío de puertos SSH proporciona un método robusto, cifrado y altamente flexible para navegar por entornos de red complejos de forma segura. Al dominar las banderas -L y -R, los administradores y desarrolladores pueden garantizar que el tráfico sensible permanezca protegido mientras logran la conectividad de red necesaria.