Центр знаний DevOps
Центр знаний DevOps

Реализация локальной и удаленной переадресации портов SSH для туннелирования

Откройте защищенный сетевой доступ и обходите брандмауэры с помощью переадресации портов SSH. Это исчерпывающее руководство подробно описывает практическую реализацию как локальных (`-L`), так и удаленных (`-R`) методов туннелирования SSH. Изучите основной синтаксис, поймите ключевые различия между доступом к удаленным службам и предоставлением доступа к локальным службам, и ознакомьтесь с наглядными примерами для таких задач, как защита подключений к базам данных или совместное использование сред разработки. Включает важнейшие рекомендации по созданию постоянных, безопасных фоновых туннелей с использованием аутентификации на основе ключей.

29 просмотров

Реализация локального и удаленного перенаправления портов SSH для туннелирования

SSH (Secure Shell) — незаменимый протокол для безопасного удаленного управления системами. Помимо основной функции предоставления зашифрованного терминального доступа, SSH предлагает мощную функцию, известную как перенаправление портов (port forwarding), часто называемую SSH-туннелированием. Этот метод позволяет пользователям создавать безопасные зашифрованные каналы для маршрутизации произвольного сетевого трафика через SSH-соединение.

SSH-туннелирование в основном используется для обхода ограничивающих брандмауэров, защиты протоколов открытого текста (таких как HTTP или соединения с базами данных) путем их инкапсуляции в зашифрованный SSH-поток или для доступа к внутренним сетевым ресурсам, которые не имеют публичного доступа. Понимание различий между локальным и удаленным перенаправлением портов имеет решающее значение для развертывания эффективных и безопасных решений для туннелирования в сложных сетевых архитектурах.

В этом руководстве рассматриваются механизмы, синтаксис и практическое применение как локального, так и удаленного перенаправления портов SSH, предоставляя необходимые знания для безопасной маршрутизации сетевого трафика через различные границы.

Основы понимания SSH-туннелирования

SSH-туннель устанавливает безопасное соединение «точка-точка», при котором определенный порт на одной машине сопоставляется с определенным портом на другой машине с использованием SSH-сервера в качестве ретранслятора. Все данные, проходящие через этот туннель, автоматически шифруются протоколом SSH, что обеспечивает конфиденциальность и целостность.

Существует три основных типа перенаправления портов: локальное (Local), удаленное (Remote) и динамическое (SOCKS Proxy). В этой статье основное внимание уделяется двум наиболее распространенным методам прямого туннелирования: локальному (-L) и удаленному (-R).

1. Локальное перенаправление портов (L-туннелирование)

Локальное перенаправление портов является наиболее распространенной формой туннелирования. Оно позволяет локальной клиентской машине (где инициируется туннель) получить доступ к службе на целевом хосте, который доступен только через SSH-сервер.

Представьте Локальное перенаправление как обеспечение безопасности доступа внутрь удаленной сети.

Сценарий использования: Защита доступа к базе данных

Предположим, вам нужно получить доступ к базе данных MySQL (порт 3306), работающей в частной сети (10.0.0.5). Ваша локальная машина не может напрямую достичь этого частного IP-адреса, но может это сделать SSH-сервер-бастион (bastion.example.com). Локальное перенаправление сопоставляет порт на вашей локальной машине с портом удаленной базы данных через хост-бастион.

Синтаксис локального перенаправления (-L)

Структура команды выглядит следующим образом:

ssh -L [LocalPort]:[DestinationHost]:[DestinationPort] [SSHUser]@[SSHServer]
Параметр Описание
LocalPort Порт, к которому вы будете подключаться на своей локальной машине.
DestinationHost Имя хоста/IP-адрес конечной службы, к которой вы хотите получить доступ.
DestinationPort Порт конечной службы на DestinationHost.
SSHServer Промежуточный сервер, который управляет туннелем (хост-бастион).

Практический пример локального перенаправления

Чтобы получить доступ к удаленному серверу MySQL (10.0.0.5:3306), подключившись к порту 9999 на вашей локальной машине:

ssh -L 9999:10.0.0.5:3306 [email protected]

После установления соединения любое подключение, сделанное локально к localhost:9999, будет безопасно туннелироваться через bastion.example.com и выходить на 10.0.0.5:3306.

Для подключения к службе:

# Подключите ваше приложение (например, клиент MySQL) к:
Хост: 127.0.0.1
Порт: 9999

2. Удаленное перенаправление портов (R-туннелирование)

Удаленное перенаправление портов менее интуитивно. Оно позволяет удаленному SSH-серверу получить доступ к службе, работающей на локальной клиентской машине, где был инициирован туннель.

Представьте Удаленное перенаправление как предоставление доступа к локальной службе наружу в удаленную сеть (через SSH-сервер).

Сценарий использования: Предоставление доступа к локальному серверу разработки

Предположим, вы запускаете локальный веб-сервер разработки на порту 3000 на своем ноутбуке, но вам нужно, чтобы коллега (или служба веб-перехвата/webhook) мог получить к нему доступ через ваш публичный SSH-сервер (public.example.com).

Синтаксис удаленного перенаправления (-R)

Структура команды выглядит следующим образом:

ssh -R [ServerPort]:[DestinationHost]:[DestinationPort] [SSHUser]@[SSHServer]
Параметр Описание
ServerPort Порт, который будет открыт на SSH-сервере.
DestinationHost Хост на локальной стороне (обычно localhost или 127.0.0.1).
DestinationPort Порт локальной службы, которую вы хотите открыть.
SSHServer Удаленный сервер, который будет размещать публично доступный порт.

Практический пример удаленного перенаправления

Чтобы открыть ваш локальный веб-сервер, работающий на порту 3000, через порт 8080 на публичном SSH-сервере:

ssh -R 8080:localhost:3000 [email protected]

После установления туннеля пользователь, подключающийся к public.example.com:8080, будет иметь свой трафик, безопасно туннелированный обратно на порт 3000 вашей локальной машины.

Примечание по настройке сервера: GatewayPorts

По умолчанию большинство SSH-серверов слушают удаленные перенаправленные соединения только на интерфейсе обратного вызова (127.0.0.1). Если вам нужно, чтобы перенаправленный порт на SSH-сервере был доступен внешним хостам (т.е. сделать вашу локальную службу по-настоящему публичной), вы должны настроить SSH-сервер (sshd_config) на включение GatewayPorts yes и перезапустить службу SSH. Без этой настройки соединение может использоваться только другими приложениями, запущенными непосредственно на самом SSH-сервере.

Рекомендации по SSH-туннелированию

Чтобы ваши туннели были надежными, безопасными и работали эффективно, рассмотрите следующие операционные советы.

Запуск туннелей в фоновом режиме

Для непрерывной работы туннели должны быть отсоединены от сеанса терминала и работать в фоновом режиме. Используйте следующие флаги:

  • -N: Не выполнять удаленную команду (используется строго для перенаправления портов).
  • -f: Запросить ssh перейти в фоновый режим непосредственно перед выполнением команды.

Пример (Локальный туннель в фоне):

ssh -Nf -L 80:internal.web.site:80 [email protected]

Использование аутентификации по ключу

Всегда используйте SSH-ключи вместо паролей, особенно для автоматизированных или длительных туннелей. Это предотвращает проблемы с таймаутом, связанные с запросами пароля, и по своей сути более безопасно.

Управление временем жизни туннеля

Если приложение, использующее туннель, не отправляет трафик часто, соединение может разорваться из-за бездействия или проблем с сетью. Чтобы предотвратить это, настройте клиент на отправку периодических сообщений «keep alive» (поддержания соединения).

# Отправлять нулевой пакет каждые 60 секунд для поддержания открытым соединения
ssh -o ServerAliveInterval=60 -L 9999:host:port user@server

Вопросы безопасности

  1. Принцип наименьших привилегий: Перенаправляйте только необходимые порты. Не создавайте туннели с неограниченным доступом.
  2. Аудит sshd_config: При использовании удаленного перенаправления будьте осторожны с установкой GatewayPorts yes, так как это делает внутренние службы общедоступными. Убедитесь, что соответствующие правила брандмауэра защищают SSH-сервер.
  3. Пользователь туннеля: Если возможно, создайте выделенную, строго ограниченную учетную запись пользователя на SSH-сервере специально для туннелирования, ограничив их доступ к оболочке (/sbin/nologin).

Сводка различий

Основное различие между локальным и удаленным перенаправлением заключается в расположении прослушиваемого порта и направлении потока трафика относительно SSH-сервера.

Функция Локальное перенаправление (-L) Удаленное перенаправление (-R)
Прослушиваемый порт На клиентской машине (Локально) На SSH-сервере (Удаленно)
Цель трафика Доступ к службе за сервером. Предоставление локальной службы через сервер.
Инициация Клиент подключается к собственному локальному порту. Удаленный хост подключается к порту сервера.
Направление (относительно сервера) Трафик течет от сервера к целевому хосту. Трафик течет от сервера обратно к инициирующему клиенту.

Перенаправление портов SSH предоставляет надежный, зашифрованный и очень гибкий метод безопасной навигации по сложным сетевым средам. Освоив флаги -L и -R, администраторы и разработчики могут обеспечить защиту конфиденциального трафика, достигая необходимой сетевой связности.