DevOpsナレッジハブ
DevOpsナレッジハブ

トンネリングを実現するためのローカルおよびリモートSSHポートフォワーディングの実装

SSHポートフォワーディングを使用して、安全なネットワークアクセスとファイアウォールトラバーサルを実現します。この包括的なガイドでは、ローカル (`-L`) およびリモート (`-R`) の両方のSSHトンネリング技術の実践的な実装について詳しく説明します。必須の構文を学び、リモートサービスへのアクセスとローカルサービスの公開の主な違いを理解し、データベース接続の保護や開発環境の共有などのタスクに関する明確な例を確認できます。鍵ベース認証を使用して、永続的で安全なバックグラウンドトンネルを作成するための重要なベストプラクティスも含まれています。

32 ビュー

トンネリングのためのローカルおよびリモートSSHポートフォワーディングの実装

SSH (Secure Shell) は、セキュアなリモートシステム管理に不可欠なプロトコルです。暗号化されたターミナルアクセスを提供するという中核的な機能を超えて、SSHはSSHトンネリングとも呼ばれるポートフォワーディングという強力な機能を提供します。この技術により、ユーザーはSSH接続を介して任意のネットワークトラフィックをルーティングするための、安全で暗号化されたチャネルを作成できます。

SSHトンネリングは、主に制限的なファイアウォールを回避したり、平文プロトコル(HTTPやデータベース接続など)を暗号化されたSSHストリーム内にカプセル化してセキュリティを確保したり、一般公開されていない内部ネットワークリソースにアクセスするために使用されます。ローカルおよびリモートポートフォワーディングの違いを理解することは、複雑なネットワークアーキテクチャで効果的かつ安全なトンネリングソリューションを展開するために不可欠です。

このガイドでは、ローカルおよびリモートSSHポートフォワーディングの両方のメカニズム、構文、および実用的なアプリケーションを探求し、異なる境界を越えてネットワークトラフィックを安全にルーティングするために必要な知識を提供します。

SSHトンネリングの基礎を理解する

SSHトンネルは、SSHサーバーを中継点として使用し、あるマシン上の特定のポートが別のマシン上の特定のポートにマッピングされる、安全なポイントツーポイント接続を確立します。このトンネルを通過するすべてのデータは、SSHプロトコルによって自動的に暗号化され、機密性と完全性が確保されます。

ポートフォワーディングには、ローカル、リモート、およびダイナミック(SOCKSプロキシ)の3つの主要なタイプがあります。この記事では、最も一般的な2つの直接トンネリング方法、ローカル (-L) とリモート (-R) に焦点を当てます。

1. ローカルポートフォワーディング (Lトンネリング)

ローカルポートフォワーディングは、最も一般的なトンネリングの形式です。これにより、ローカルクライアントマシン(トンネルが開始される場所)は、SSHサーバーからのみ到達可能な宛先ホスト上のサービスにアクセスできます。

ローカルフォワーディングは、リモートネットワークへのアクセスを保護するものだと考えてください。

ユースケース:データベースアクセスの保護

プライベートネットワーク (10.0.0.5) 上で実行されているMySQLデータベース(ポート3306)にアクセスする必要がある状況を想像してください。あなたのローカルマシンはこのプライベートIPに直接到達できませんが、踏み台SSHサーバー (bastion.example.com) は到達できます。ローカルフォワーディングは、あなたのローカルマシン上のポートを、踏み台ホストを介してリモートデータベースポートにマッピングします。

ローカルフォワーディング構文 (-L)

コマンドの構造は次のとおりです。

ssh -L [LocalPort]:[DestinationHost]:[DestinationPort] [SSHUser]@[SSHServer]
パラメータ 説明
LocalPort あなたのローカルマシン上で接続するポートです。
DestinationHost 到達したい最終サービスのホスト名/IPです。
DestinationPort DestinationHost上の最終サービスのポートです。
SSHServer トンネルを処理する中間サーバー(踏み台ホスト)です。

ローカルフォワーディングの実践例

あなたのローカルマシン上のポート9999に接続することで、リモートMySQLサーバー (10.0.0.5:3306) にアクセスするには:

ssh -L 9999:10.0.0.5:3306 [email protected]

接続が確立されると、localhost:9999に対してローカルで行われたすべての接続は、bastion.example.comを介して安全にトンネリングされ、10.0.0.5:3306に到達します。

サービスに接続するには:

# Connect your application (e.g., MySQL client) to:
Host: 127.0.0.1
Port: 9999

2. リモートポートフォワーディング (Rトンネリング)

リモートポートフォワーディングは、直感的に理解しにくいものです。これは、リモートSSHサーバーが、トンネルが開始されたローカルクライアントマシン上で実行されているサービスにアクセスできるようにします。

リモートフォワーディングは、ローカルサービスをリモートネットワーク(SSHサーバーを介して)に公開するものだと考えてください。

ユースケース:ローカル開発サーバーの公開

あなたのラップトップ上でポート3000でローカルのウェブ開発サーバーを実行しているとします。しかし、同僚(またはWebhookサービス)があなたの公開SSHサーバー (public.example.com) を介してそれにアクセスする必要がある場合を考えます。

リモートフォワーディング構文 (-R)

コマンドの構造は次のとおりです。

ssh -R [ServerPort]:[DestinationHost]:[DestinationPort] [SSHUser]@[SSHServer]
パラメータ 説明
ServerPort SSHサーバー上で開かれるポートです。
DestinationHost ローカル側のホスト(通常はlocalhostまたは127.0.0.1)です。
DestinationPort 公開したいローカルサービスのポートです。
SSHServer 公開アクセス可能なポートをホストするリモートサーバーです。

リモートフォワーディングの実践例

公開SSHサーバー上のポート8080を介して、あなたのローカルウェブサーバー(ポート3000で実行中)を公開するには:

ssh -R 8080:localhost:3000 [email protected]

トンネルが確立されると、public.example.com:8080に接続するユーザーのトラフィックは、あなたのローカルマシンのポート3000に安全にトンネリングされます。

サーバー設定に関する注意:GatewayPorts

デフォルトでは、ほとんどのSSHサーバーはループバックインターフェース (127.0.0.1) 上でのリモートフォワード接続のみをリッスンします。SSHサーバー上のフォワードされたポートが外部ホストからアクセス可能になるように(つまり、ローカルサービスを真に公開する場合)する必要がある場合は、SSHサーバー (sshd_config) を設定して GatewayPorts yes を有効にし、SSHサービスを再起動する必要があります。この設定がない場合、接続はSSHサーバー自体で直接実行されている他のアプリケーションによってのみ使用可能です。

SSHトンネリングのベストプラクティス

トンネルが信頼性が高く、安全で、効率的に実行されることを確実にするために、以下の運用上のヒントを考慮してください。

トンネルをバックグラウンドで実行する

継続的な運用のために、トンネルはターミナルセッションから切り離され、バックグラウンドで静かに実行されるべきです。以下のフラグを使用してください:

  • -N: リモートコマンドを実行しない(ポートフォワーディング専用)。
  • -f: コマンド実行直前にsshをバックグラウンドに移行するよう要求する。

例(バックグラウンドでのローカルトンネル):

ssh -Nf -L 80:internal.web.site:80 [email protected]

キーベース認証の使用

特に自動化されたトンネルや長時間実行されるトンネルでは、パスワードの代わりに常にSSHキーを使用してください。これにより、パスワードプロンプトに関連するタイムアウトの問題が防止され、本質的にセキュリティが高まります。

トンネルのライフタイム管理

トンネルを使用するアプリケーションが頻繁にトラフィックを送信しない場合、非アクティブまたはネットワークの問題により接続が切断される可能性があります。これを防ぐために、クライアントが定期的な「キープアライブ」メッセージを送信するように設定してください。

# 接続を維持するために60秒ごとにヌルパケットを送信する
ssh -o ServerAliveInterval=60 -L 9999:host:port user@server

セキュリティに関する考慮事項

  1. 最小特権の原則: 必要なポートのみをフォワードしてください。広範囲に開かれたトンネルを作成しないでください。
  2. sshd_configの監査: リモートフォワーディングを使用する場合、GatewayPorts yes の設定には注意してください。これは内部サービスを公開することになります。適切なファイアウォールルールがSSHサーバーを保護していることを確認してください。
  3. トンネルユーザー: 可能であれば、SSHサーバー上にトンネリング専用の、高度に制限されたユーザーアカウントを作成し、そのシェルのアクセス権を制限してください(/sbin/nologin)。

違いのまとめ

ローカルフォワーディングとリモートフォワーディングの根本的な違いは、リッスンポートの位置と、SSHサーバーに対するトラフィックフローの方向性にあります。

特徴 ローカルフォワーディング (-L) リモートフォワーディング (-R)
リッスンポート クライアントマシン上(ローカル) SSHサーバー上(リモート)
トラフィックの目的 サーバーの内側にあるサービスにアクセスする。 サーバーを介してローカルサービスを公開する。
開始元 クライアントが自身のローカルポートに接続する。 リモートホストがサーバーのポートに接続する。
方向(サーバーに対する) トラフィックはサーバーから宛先ホストへ流れる。 トラフィックはサーバーから開始元のクライアントへ戻る。

SSHポートフォワーディングは、複雑なネットワーク環境を安全にナビゲートするための堅牢で暗号化された、非常に柔軟な方法を提供します。-Lおよび-Rフラグを習得することで、管理者と開発者は、必要なネットワーク接続性を確保しつつ、機密トラフィックが保護された状態を維持できます。