Centro de Conhecimento DevOps
Centro de Conhecimento DevOps

Desmistificando o Encaminhamento de Porta SSH: Explicação dos Túneis Local, Remoto e Dinâmico

Desbloqueie o poder do encaminhamento de porta SSH com este guia abrangente. Aprenda a criar túneis seguros usando encaminhamento local, remoto e dinâmico. Entenda casos de uso práticos, desde o acesso a bancos de dados restritos até a navegação segura em Wi-Fi público, e domine comandos essenciais para aprimorar sua segurança de rede e capacidades de acesso.

43 visualizações

Desmistificando o Encaminhamento de Portas SSH: Tunnels Locais, Remotos e Dinâmicos Explicados

O Secure Shell (SSH) é um pilar do acesso remoto seguro, fornecendo canais de comunicação criptografados para gerenciar servidores e transferir arquivos. Além de sua funcionalidade principal, o SSH oferece um recurso poderoso, porém muitas vezes subutilizado: o encaminhamento de portas. Essa técnica permite criar túneis seguros, estendendo a criptografia do SSH a outro tráfego de rede, acessando serviços que não estão diretamente expostos à internet ou conectando segmentos de rede de forma segura.

Este artigo investiga as complexidades do encaminhamento de portas SSH, detalhando suas três formas principais: local, remota e dinâmica. Exploraremos como cada tipo funciona, seus casos de uso específicos e forneceremos exemplos práticos para ajudá-lo a alavancar essa capacidade avançada do SSH para maior segurança e flexibilidade de rede.

Entendendo o Básico: O que é Encaminhamento de Portas?

Em sua essência, o encaminhamento de portas SSH, também conhecido como tunelamento SSH, redireciona o tráfego de rede de uma interface de rede e porta para outra. Em vez de estabelecer uma conexão direta com um serviço em uma máquina remota, você estabelece uma conexão SSH e, em seguida, instrui o SSH a encaminhar o tráfego enviado para uma porta local para uma porta de destino específica em uma máquina remota (ou vice-versa), tudo dentro do canal criptografado do SSH.

Isso oferece várias vantagens:

  • Segurança: Criptografa o tráfego que, de outra forma, seria não criptografado entre seu cliente e o serviço de destino.
  • Controle de Acesso: Permite o acesso a serviços em execução em redes privadas ou atrás de firewalls que não são diretamente acessíveis de sua localização atual.
  • Conectando Redes: Conecta diferentes segmentos de rede de forma segura.

1. Encaminhamento de Porta Local (-L)

O encaminhamento de porta local é o tipo mais comum. Ele permite encaminhar conexões de uma porta em sua máquina local para uma porta em uma máquina remota, através de um servidor SSH. Essencialmente, você faz com que um serviço em execução na rede remota pareça estar rodando em sua máquina local.

Como funciona:

  1. Você inicia um cliente SSH em sua máquina local.
  2. Você especifica uma porta local (local_port) na qual o SSH irá escutar.
  3. Qualquer conexão feita à local_port em sua máquina local é encaminhada através da conexão SSH para o remote_host e remote_port.

Sintaxe:

ssh -L [endereço_bind_local:]porta_local:host_remoto:porta_remota [usuário@]servidor_ssh_host
  • endereço_bind_local: (Opcional) O endereço em sua máquina local ao qual vincular a porta de escuta. O padrão é localhost.
  • porta_local: A porta em sua máquina local na qual o SSH irá escutar.
  • host_remoto: O nome do host ou endereço IP da máquina de destino à qual o servidor SSH se conectará.
  • porta_remota: A porta no host_remoto para onde o tráfego será direcionado.
  • usuário@servidor_ssh_host: Seu nome de usuário e o nome do host/endereço IP do servidor SSH ao qual você está se conectando.

Caso de Uso Prático: Acessando um servidor de banco de dados em execução no endereço IP privado de um servidor remoto.

Imagine um servidor de banco de dados (por exemplo, PostgreSQL em 192.168.1.100:5432) que só é acessível a partir da rede interna de sua empresa. Você pode usar o encaminhamento de porta local para acessá-lo de seu laptop em casa:

ssh -L 5433:192.168.1.100:5432 seu_usuario@seu_servidor_ssh.com
  • Este comando conecta você a seu_servidor_ssh.com.
  • Ele abre a porta 5433 em sua máquina local (padrão localhost).
  • Qualquer conexão a localhost:5433 será encaminhada através de seu_servidor_ssh.com para 192.168.1.100:5432.

Agora, você pode configurar seu cliente de banco de dados local para se conectar a localhost:5433, e o tráfego será tunelado de forma segura para o servidor de banco de dados remoto.

Dica: Use ssh -N para criar um túnel sem executar um comando remoto. Isso é útil para túneis em segundo plano.

ssh -N -L 5433:192.168.1.100:5432 seu_usuario@seu_servidor_ssh.com

2. Encaminhamento de Porta Remota (-R)

O encaminhamento de porta remota permite encaminhar conexões de uma porta no servidor SSH remoto para uma porta em sua máquina local ou outra máquina acessível a partir de sua máquina local. Isso é útil para tornar um serviço em execução em sua máquina local acessível ao servidor remoto ou à sua rede.

Como funciona:

  1. Você inicia um cliente SSH em sua máquina local.
  2. Você especifica uma porta remota (porta_remota) no servidor SSH na qual o SSH irá escutar.
  3. Qualquer conexão feita à porta_remota no servidor SSH é encaminhada de volta através da conexão SSH para sua máquina local e, em seguida, para um host_destino e porta_destino especificados.

Sintaxe:

ssh -R [endereço_bind_remoto:]porta_remota:host_destino:porta_destino [usuário@]servidor_ssh_host
  • endereço_bind_remoto: (Opcional) O endereço no servidor SSH ao qual vincular a porta de escuta. O padrão é localhost (significando que apenas o próprio servidor SSH pode se conectar a esta porta). Use 0.0.0.0 ou * para permitir que outras máquinas na rede remota se conectem.
  • porta_remota: A porta no servidor SSH na qual o SSH irá escutar.
  • host_destino: O nome do host ou endereço IP da máquina de destino à qual seu cliente SSH se conectará (geralmente localhost se o serviço estiver em sua máquina local).
  • porta_destino: A porta no host_destino para onde o tráfego será direcionado.
  • usuário@servidor_ssh_host: Seu nome de usuário e o nome do host/endereço IP do servidor SSH ao qual você está se conectando.

Caso de Uso Prático: Expondo um servidor web local para uma rede remota.

Suponha que você esteja desenvolvendo um aplicativo web em seu laptop e queira demonstrá-lo a um colega que só tem acesso à rede interna de sua empresa, e você tem um servidor SSH (seu_servidor_ssh.com) acessível a partir dessa rede.

Em seu laptop, você executaria:

ssh -R 8080:localhost:3000 seu_usuario@seu_servidor_ssh.com
  • Este comando conecta você a seu_servidor_ssh.com.
  • Ele instrui seu_servidor_ssh.com a escutar na porta 8080.
  • Qualquer conexão a seu_servidor_ssh.com:8080 será encaminhada de volta através do túnel SSH para seu laptop (localhost) na porta 3000 (onde seu servidor web está em execução).

Agora, seu colega pode acessar seu aplicativo web navegando para http://seu_servidor_ssh.com:8080 em seu navegador. O tráfego vai do navegador dele para o servidor SSH, através do túnel para seu laptop e, em seguida, para o seu servidor web.

Aviso: Por padrão, a porta_remota é vinculada ao localhost no servidor SSH. Para permitir que outras máquinas na rede remota acessem a porta encaminhada, você deve definir explicitamente endereço_bind_remoto como 0.0.0.0 ou * e garantir que a configuração do servidor SSH (GatewayPorts yes em sshd_config) permita isso.

ssh -R 0.0.0.0:8080:localhost:3000 seu_usuario@seu_servidor_ssh.com

3. Encaminhamento de Porta Dinâmico (-D)

O encaminhamento de porta dinâmico cria um proxy SOCKS em sua máquina local. Este é, sem dúvida, o tipo mais flexível, pois permite que você tunelize qualquer aplicativo que suporte proxies SOCKS através de sua conexão SSH. Em vez de encaminhar uma porta específica, o SSH escuta em uma porta local e atua como um servidor proxy SOCKS.

Como funciona:

  1. Você inicia um cliente SSH em sua máquina local.
  2. Você especifica uma porta local (porta_local) na qual o SSH irá escutar como um proxy SOCKS.
  3. Você configura seus aplicativos (navegador web, etc.) para usar localhost:porta_local como seu proxy SOCKS.
  4. Quando um aplicativo faz uma solicitação através deste proxy, o SSH encaminha o tráfego para o servidor SSH, que então estabelece a conexão com o destino final em nome do seu aplicativo.

Sintaxe:

ssh -D [endereço_bind_local:]porta_local [usuário@]servidor_ssh_host
  • endereço_bind_local: (Opcional) O endereço em sua máquina local ao qual vincular a porta do proxy SOCKS de escuta. O padrão é localhost.
  • porta_local: A porta em sua máquina local na qual o SSH irá escutar como um proxy SOCKS.
  • usuário@servidor_ssh_host: Seu nome de usuário e o nome do host/endereço IP do servidor SSH ao qual você está se conectando.

Caso de Uso Prático: Navegando na web com segurança em uma rede Wi-Fi pública.

Ao se conectar a uma rede Wi-Fi pública não confiável, seu tráfego está vulnerável. Você pode usar o encaminhamento de porta dinâmico para tunelizar todo o tráfego de navegação da web através de uma conexão SSH criptografada para um servidor confiável.

Em seu laptop, execute:

ssh -D 1080 seu_usuario@seu_servidor_confiavel.com
  • Este comando conecta você a seu_servidor_confiavel.com.
  • Ele abre a porta 1080 em sua máquina local, atuando como um proxy SOCKS.

Em seguida, configure seu navegador web (ou outros aplicativos) para usar um proxy SOCKS em localhost na porta 1080.

Agora, todas as solicitações de internet do seu navegador serão enviadas ao seu servidor SSH, que buscará os dados e os enviará de volta para você, tudo dentro do túnel SSH criptografado. Isso efetivamente faz parecer que seu tráfego web se origina de seu_servidor_confiavel.com.

Dica: Você pode combinar -D com -C para compressão, o que pode ser benéfico em links de rede mais lentos.

ssh -C -D 1080 seu_usuario@seu_servidor_confiavel.com

Considerações Avançadas e Melhores Práticas

  • Configuração do Servidor SSH (sshd_config): Alguns recursos de encaminhamento de porta, especialmente o encaminhamento remoto que permite conexões externas (GatewayPorts), exigem configurações específicas no servidor SSH. Certifique-se de que GatewayPorts yes esteja descomentado e definido em /etc/ssh/sshd_config se você precisar que o encaminhamento remoto seja acessível de outras máquinas na rede do servidor SSH.
  • Firewalls: Lembre-se de que firewalls no cliente, servidor ou redes intermediárias podem bloquear conexões SSH ou as portas usadas para encaminhamento. Certifique-se de que as portas necessárias (geralmente 22 para o próprio SSH) estejam abertas.
  • Segurança: Embora o encaminhamento de porta criptografe o tráfego, a segurança do túnel depende da segurança do seu servidor SSH. Use chaves SSH fortes, desative a autenticação por senha e mantenha seu servidor SSH atualizado.
  • Persistência: Para túneis de longa execução, considere usar ferramentas como autossh, que podem monitorar e reiniciar automaticamente túneis SSH se eles caírem.

Conclusão

O encaminhamento de porta SSH é uma ferramenta versátil que estende significativamente a utilidade do protocolo Secure Shell. Ao dominar o encaminhamento local, remoto e dinâmico, você pode aumentar a segurança, acessar recursos restritos e criar pontes seguras entre redes. Se você precisa proteger tráfego não criptografado, acessar serviços internos ou simplesmente navegar com segurança em Wi-Fi público, o encaminhamento de porta SSH oferece uma solução elegante e poderosa.

Experimente essas técnicas para integrá-las ao seu fluxo de trabalho diário para operações de rede mais seguras e flexíveis.