Centro di Conoscenza DevOps
Centro di Conoscenza DevOps

Demistificare il Port Forwarding SSH: Tunnels Locali, Remoti e Dinamici Spiegati

Sblocca la potenza del port forwarding SSH con questa guida completa. Impara a creare tunnel sicuri utilizzando il forwarding locale, remoto e dinamico. Comprendi i casi d'uso pratici, dall'accesso a database ristretti alla navigazione sicura su Wi-Fi pubblico, e padroneggia i comandi essenziali per migliorare la sicurezza della tua rete e le capacità di accesso.

41 visualizzazioni

Decifrare il Port Forwarding SSH: Tunnel Locali, Remoti e Dinamici Spiegati

Secure Shell (SSH) è un pilastro fondamentale per l'accesso remoto sicuro, fornendo canali di comunicazione crittografati per la gestione dei server e il trasferimento di file. Oltre alla sua funzionalità principale, SSH offre una caratteristica potente ma spesso sottoutilizzata: il port forwarding (inoltro di porta). Questa tecnica consente di creare tunnel sicuri, estendendo la crittografia SSH ad altro traffico di rete, accedendo a servizi che non sono direttamente esposti a Internet o creando ponti sicuri tra segmenti di rete.

Questo articolo approfondisce le complessità del port forwarding SSH, analizzando le sue tre forme principali: locale, remoto e dinamico. Esploreremo come funziona ciascun tipo, i suoi specifici casi d'uso e forniremo esempi pratici per aiutarti a sfruttare questa capacità avanzata di SSH per una maggiore sicurezza e flessibilità di rete.

Comprendere le Basi: Cos'è il Port Forwarding?

Fondamentalmente, il port forwarding SSH, noto anche come tunneling SSH, reindirizza il traffico di rete da un'interfaccia e porta di rete a un'altra. Invece di stabilire una connessione diretta a un servizio su una macchina remota, si stabilisce una connessione SSH e quindi si dice a SSH di inoltrare il traffico inviato a una porta locale a una specifica porta di destinazione su una macchina remota (o viceversa), tutto all'interno del canale SSH crittografato.

Ciò offre diversi vantaggi:

  • Sicurezza: Crittografa il traffico che altrimenti non sarebbe crittografato tra il client e il servizio di destinazione.
  • Controllo degli Accessi: Consente l'accesso a servizi in esecuzione su reti private o dietro firewall che non sono direttamente accessibili dalla tua posizione attuale.
  • Collegamento di Reti (Bridging): Collega segmenti di rete diversi in modo sicuro.

1. Port Forwarding Locale (-L)

Il port forwarding locale è il tipo più comune. Consente di inoltrare le connessioni da una porta sulla macchina locale a una porta sulla macchina remota, tramite un server SSH. In sostanza, si fa sembrare che un servizio in esecuzione sulla rete remota sia in esecuzione sulla propria macchina locale.

Come funziona:

  1. Avvii un client SSH sulla tua macchina locale.
  2. Specifichi una porta locale (local_port) su cui SSH si metterà in ascolto.
  3. Qualsiasi connessione effettuata a local_port sulla tua macchina locale viene inoltrata attraverso la connessione SSH a remote_host e remote_port.

Sintassi:

ssh -L [local_bind_address:]local_port:remote_host:remote_port [user@]ssh_server_host
  • local_bind_address: (Opzionale) L'indirizzo sulla tua macchina locale a cui associare la porta di ascolto. Il valore predefinito è localhost.
  • local_port: La porta sulla tua macchina locale su cui SSH si metterà in ascolto.
  • remote_host: Il nome host o l'indirizzo IP della macchina di destinazione a cui si connetterà il server SSH.
  • remote_port: La porta su remote_host a cui verrà diretto il traffico.
  • user@ssh_server_host: Il tuo nome utente e il nome host/indirizzo IP del server SSH a cui ti stai connettendo.

Caso d'Uso Pratico: Accesso a un server di database in esecuzione sull'indirizzo IP privato di un server remoto.

Immagina un server di database (ad esempio, PostgreSQL su 192.168.1.100:5432) accessibile solo dalla rete interna della tua azienda. Puoi utilizzare il port forwarding locale per accedervi dal tuo laptop a casa:

ssh -L 5433:192.168.1.100:5432 your_user@your_ssh_server.com
  • Questo comando ti connette a your_ssh_server.com.
  • Apre la porta 5433 sulla tua macchina locale (localhost per impostazione predefinita).
  • Qualsiasi connessione a localhost:5433 verrà inoltrata tramite your_ssh_server.com a 192.168.1.100:5432.

Ora puoi configurare il tuo client di database locale per connettersi a localhost:5433, e il traffico sarà instradato in modo sicuro (tunneled) al server di database remoto.

Suggerimento: Usa ssh -N per creare un tunnel senza eseguire un comando remoto. Questo è utile per i tunnel in background.

ssh -N -L 5433:192.168.1.100:5432 your_user@your_ssh_server.com

2. Port Forwarding Remoto (-R)

Il port forwarding remoto consente di inoltrare le connessioni da una porta sul server SSH remoto a una porta sulla tua macchina locale o su un'altra macchina accessibile dalla tua macchina locale. Questo è utile per rendere un servizio in esecuzione sulla tua macchina locale accessibile al server remoto o alla sua rete.

Come funziona:

  1. Avvii un client SSH sulla tua macchina locale.
  2. Specifichi una porta remota (remote_port) sul server SSH su cui SSH si metterà in ascolto.
  3. Qualsiasi connessione effettuata a remote_port sul server SSH viene inoltrata attraverso la connessione SSH alla tua macchina locale e quindi a un destination_host e destination_port specificati.

Sintassi:

ssh -R [remote_bind_address:]remote_port:destination_host:destination_port [user@]ssh_server_host
  • remote_bind_address: (Opzionale) L'indirizzo sul server SSH a cui associare la porta di ascolto. Il valore predefinito è localhost (il che significa che solo il server SSH stesso può connettersi a questa porta). Usa 0.0.0.0 o * per consentire ad altre macchine sulla rete remota di connettersi.
  • remote_port: La porta sul server SSH su cui SSH si metterà in ascolto.
  • destination_host: Il nome host o l'indirizzo IP della macchina di destinazione a cui si connetterà il tuo client SSH (spesso localhost se il servizio è sulla tua macchina locale).
  • destination_port: La porta su destination_host a cui verrà diretto il traffico.
  • user@ssh_server_host: Il tuo nome utente e il nome host/indirizzo IP del server SSH a cui ti stai connettendo.

Caso d'Uso Pratico: Esporre un server web locale a una rete remota.

Supponi che tu stia sviluppando un'applicazione web sul tuo laptop e voglia dimostrarla a un collega che ha accesso solo alla rete interna della tua azienda, e tu abbia un server SSH (your_ssh_server.com) accessibile da quella rete.

Sul tuo laptop, eseguiresti:

ssh -R 8080:localhost:3000 your_user@your_ssh_server.com
  • Questo comando ti connette a your_ssh_server.com.
  • Dice a your_ssh_server.com di mettersi in ascolto sulla porta 8080.
  • Qualsiasi connessione a your_ssh_server.com:8080 verrà inoltrata tramite il tunnel SSH al tuo laptop (localhost) sulla porta 3000 (dove è in esecuzione il tuo server web).

Ora, il tuo collega può accedere alla tua applicazione web navigando su http://your_ssh_server.com:8080 nel proprio browser. Il traffico va dal loro browser al server SSH, attraverso il tunnel al tuo laptop e quindi al tuo server web.

Attenzione: Per impostazione predefinita, remote_port è associato a localhost sul server SSH. Per consentire ad altre macchine sulla rete remota di accedere alla porta inoltrata, devi impostare esplicitamente remote_bind_address su 0.0.0.0 o * e assicurarti che la configurazione del server SSH (GatewayPorts yes in sshd_config) lo permetta.

ssh -R 0.0.0.0:8080:localhost:3000 your_user@your_ssh_server.com

3. Port Forwarding Dinamico (-D)

Il port forwarding dinamico crea un proxy SOCKS sulla tua macchina locale. Questo è probabilmente il tipo più flessibile, poiché ti consente di instradare (tunnel) qualsiasi applicazione che supporti proxy SOCKS attraverso la tua connessione SSH. Invece di inoltrare una porta specifica, SSH si mette in ascolto su una porta locale e funge da server proxy SOCKS.

Come funziona:

  1. Avvii un client SSH sulla tua macchina locale.
  2. Specifichi una porta locale (local_port) su cui SSH si metterà in ascolto come proxy SOCKS.
  3. Configuri le tue applicazioni (browser web, ecc.) per utilizzare localhost:local_port come proxy SOCKS.
  4. Quando un'applicazione effettua una richiesta tramite questo proxy, SSH inoltra il traffico al server SSH, che poi stabilisce la connessione alla destinazione finale per conto della tua applicazione.

Sintassi:

ssh -D [local_bind_address:]local_port [user@]ssh_server_host
  • local_bind_address: (Opzionale) L'indirizzo sulla tua macchina locale a cui associare la porta del proxy SOCKS in ascolto. Il valore predefinito è localhost.
  • local_port: La porta sulla tua macchina locale su cui SSH si metterà in ascolto come proxy SOCKS.
  • user@ssh_server_host: Il tuo nome utente e il nome host/indirizzo IP del server SSH a cui ti stai connettendo.

Caso d'Uso Pratico: Navigazione web sicura da una rete Wi-Fi pubblica.

Quando sei connesso a una rete Wi-Fi pubblica non fidata, il tuo traffico è vulnerabile. Puoi utilizzare il port forwarding dinamico per instradare tutto il traffico di navigazione web attraverso una connessione SSH crittografata a un server fidato.

Sul tuo laptop, esegui:

ssh -D 1080 your_user@your_trusted_server.com
  • Questo comando ti connette a your_trusted_server.com.
  • Apre la porta 1080 sulla tua macchina locale, agendo come proxy SOCKS.

Quindi, configura il tuo browser web (o altre applicazioni) per utilizzare un proxy SOCKS su localhost sulla porta 1080.

Ora, tutte le richieste Internet del tuo browser verranno inviate al tuo server SSH, che quindi recupera i dati e te li rimanda, tutto all'interno del tunnel SSH crittografato. Questo fa sì che il tuo traffico web sembri provenire da your_trusted_server.com.

Suggerimento: Puoi combinare -D con -C per la compressione, il che può essere utile su collegamenti di rete più lenti.

ssh -C -D 1080 your_user@your_trusted_server.com

Considerazioni Avanzate e Migliori Pratiche

  • Configurazione del Server SSH (sshd_config): Alcune funzionalità di port forwarding, in particolare il forwarding remoto che consente connessioni esterne (GatewayPorts), richiedono configurazioni specifiche sul server SSH. Assicurati che GatewayPorts yes sia decommentato e impostato in /etc/ssh/sshd_config se hai bisogno che il forwarding remoto sia accessibile da altre macchine sulla rete del server SSH.
  • Firewall: Ricorda che i firewall sul client, sul server o sulle reti intermedie possono bloccare le connessioni SSH o le porte utilizzate per l'inoltro. Assicurati che le porte necessarie (di solito la 22 per SSH stesso) siano aperte.
  • Sicurezza: Sebbene il port forwarding crittografi il traffico, la sicurezza del tunnel dipende dalla sicurezza del tuo server SSH. Usa chiavi SSH forti, disabilita l'autenticazione tramite password e mantieni aggiornato il tuo server SSH.
  • Persistenza: Per tunnel a lunga esecuzione, considera l'utilizzo di strumenti come autossh che possono monitorare e riavviare automaticamente i tunnel SSH in caso di caduta della connessione.

Conclusione

Il port forwarding SSH è uno strumento versatile che estende in modo significativo l'utilità del protocollo Secure Shell. Padroneggiando il forwarding locale, remoto e dinamico, puoi migliorare la sicurezza, accedere a risorse con restrizioni e creare ponti sicuri tra le reti. Sia che tu debba proteggere il traffico non crittografato, accedere a servizi interni o semplicemente navigare in sicurezza su Wi-Fi pubblici, il port forwarding SSH offre una soluzione elegante e potente.