NAT yönlendirici arkasındaki ofis ana bilgisayarına SSH erişimi

Ofis linux sunucumun ssh portuna evden erişmek istiyorum. Maalesef, ana bilgisayar bir NAT yönlendiricisinin arkasında bulunur. Dolayısıyla, IP adresi halka açık değildir. Ancak, ne yazık ki sadece root olmayan erişim olan başka bir internet sunucusuna (Sunucu) erişim var. Bir süre aradıktan sonra uygun bir çözüm bulamıyorum.

Aşağıdaki kurulum:

• Office PC'si (linux, root erişimi) NAT'un arkasında (IP genel değil) ancak tam İnternet erişimi.
• Sunucu PC (linux, root erişimi yok) statik ve genel IP ve tam Internet erişimi.
• Ev arkasındaki PC (linux, root erişimi) NAT (IP herkese açık değil) fakat tam İnternet erişimi.

Olası bağlantılar: Office PC -> Server <- Home PC

Mümkün değil: Office PC <-X- Sunucu -X-> Ev Bilgisayarı

Ne Home PC ne de Sunucu, Office PC'ye erişimi başlatamaz. Ancak, hem Office PC hem de Home PC, Sunucuya bağlantılar başlatabilir.

Ters SSH tüneli mümkün değil: Ters ssh-tüneli adı verilen bir yöntem denedim. Maalesef bu, Sunucu üzerinde Ağ Geçidi seçeneğinin, / etc / ssh / sshd_config içinde "yes" olarak ayarlanmasını gerektirir;

Prensip olarak mümkün olmalıdır:

0) Sunucuda 2 bağlantı noktasını dinleyen bir kullanıcı alanı programı başlatıyorum (1 gelen, 1 giden)

1) Ofis bilgisayarımda, TCP bağlantısını sunucudaki giden bağlantı noktasına açık tutan başka bir program yürütüyorum.

2) Evden, Sunucunun gelen bağlantı noktasına bağlanıyorum.

Bunun için standart bir çözüm olmalı.

Bunu çözmek için en hızlı ve en temiz çözüm nedir?

dürüst

youatwork@officepc$ autossh -R 12345:localhost:22 notroot@serverpc

Sonra:

you@homepc$ autossh -L 23456:localhost:12345 notroot@serverpc

you@homepc$ ssh youatwork@localhost -p 23456

Yapabilecekleriniz şuydu: 1. adımda, ofis PC'den sunucuya uzak bir bağlantı noktası iletin ( 12345örnek olarak kullanılırsa,> 1024 herhangi bir bağlantı noktası yapmalıdır). Şimdi sunucuda 12345'e bağlanma sizi officepc'deki 22 numaralı bağlantı noktasına bağlamalıdır.

2. adımda, 23456 numaralı bağlantı noktasını ev makinenizden sunucuda 12345'e iletin (bu nedenle 1. adımda ayarlandığı gibi resmi program: 22'ye iletilir)

3. adımda, ofis PC giriş bilgilerinizle yerel 23456 numaralı bağlantı noktasına bağlanırsınız . Bu, 2. adımda sunucunuzdaki 12345 numaralı bağlantı noktasına ve 1. adımda ofis PC'nize iletilir.

Aktarımlar için otomatik olarak kullandığımı, bağlantının kesilmesi durumunda tüneli otomatik olarak yeniden bağlayan bir ssh sarmalayıcısı olduğunu unutmayın; ancak normal ssh, bağlantı kopmadığı sürece de işe yarayacaktır.

Olası bir güvenlik açığı vardır: serverpc üzerindeki localhost: 12345 ile bağlantı kurabilen herkes şimdi officepc: 22'ye bağlanabilir ve bunu hacklemeye çalışabilir. (Not Bir SSH sunucusuna çalıştırıyorsanız, zaten varsayılan olarak açık olan temel korumaları yukarıda sabitleyin gerektiğini; - örneğin bkz ben root giriş devre dışı bırakma ve şifre doğrulaması devre dışı bırakılması en azından tavsiye bu )

Düzenleme : Bunu aynı yapılandırma ile doğruladım ve işe yarıyor. GatewayPorts noyerel tünelleri değil yalnızca dünyaya açık olan limanları etkiler. İletilen bağlantı noktaları budur:

homepc:
  outgoing ssh to serverpc:22
  listening localhost:23456 forwarded through ssh tunnel
serverpc:
  listening ssh at *:22
  incoming localhost ssh tunnel (from homepc) forwarded to localhost:12345
  listening localhost ssh tunnel (from officepc) forwarded from localhost:12345
officepc:
  outgoing ssh to serverpc:22
  incoming localhost through ssh tunnel (from serverpc) forwarded to localhost:22

Yani, bildiğim kadarıyla ağ yığını söz konusu olduğunda, bu, ilgili döngü arayüzleri (artı ssh bağlantılarında bölgenin trafik var etmek serverpc); bu nedenle GatewayPortshiç kontrol edilmedi.

Bununla birlikte, yönerge vardır AllowTcpForwarding: öyleyse no, bu kurulum geridönüşüm arayüzünde bile değil, hiçbir yönlendirme yapılmasına izin vermediğinden başarısız olur.

Uyarılar :

• autossh ve en son ssh kullanıyorsanız, ssh kullanmak ServerAliveIntervalve ServerAliveCountMaxtüneli açık tutmak isteyebilirsiniz . Autossh'un yerleşik bir kontrolü var, ancak görünüşte Fedora'da bazı sorunları var. -M0bunu devre dışı bırakır ve -oServerAliveInterval=20 -oServerAliveCountMax=3bağlantının kurulup kurulmadığını kontrol eder - her 20 saniyede bir çalışır, arka arkaya 3x başarısız olursa, ssh'yi durdurur (ve autossh yeni bir tane yapar):

  autossh -M0 -R 12345:localhost:22 -oServerAliveInterval=20 -oServerAliveCountMax=3 notroot@serverpc
  
  autossh -M0 -L 23456:localhost:12345 -oServerAliveInterval=20 -oServerAliveCountMax=3 notroot@serverpc
  

• ileri başarısız olursa ssh tünelini yeniden başlatmak faydalı olabilir -oExitOnForwardFailure=yes- eğer bağlantı noktası zaten bağlıysa, çalışan bir SSH bağlantısı elde edebilirsiniz, ancak iletilen tünel yoktur.

• kullanarak ~/.ssh/configseçenekler (ve limanların) için başka komut satırları çok ayrıntılı olsun, tavsiye edilir. Örneğin:

  Host fwdserverpc
      Hostname serverpc
      User notroot
      ServerAliveInterval 20
      ServerAliveCountMax 3
      ExitOnForwardFailure yes
      LocalForward 23456 localhost:12345
  

Sonra sadece sunucu takma adını kullanabilirsiniz:

    autossh -M0 fwdserverpc

Dahili sunucuya evden ve dahili sunucudan ofis Linux makinenize ssh kurabiliyorsanız, o zaman evden ssh ProxyCommandkullanarak sunucudan iç makineye sessizce sıçramak için kullanabilirsiniz nc(netcat)

# ~/.ssh/config on your home machine:
Host internalpc 
   ForwardAgent yes 
   ProxyCommand ssh user@server.example.com exec nc internal.pc.example.com %p

O zaman siz ssh user@internalpcve sadece sessizce sunucu makinesine iletilirsiniz, iki tarafta da bağlantı noktası veya tünel açmaya gerek yoktur.

Robo-TiTO'ya SSH'ya uzaktan erişmek istediğiniz bilgisayara yükleyin.

• Bu, herhangi bir yerdeki Google Talk İstemci Uygulamalarından kullanarak SSH'ye erişmenize olanak sağlar.
• Genel bir IP adresine veya özel ayarlara gerek yoktur.
• Artık Ücretsiz ve Açık Kaynaklıdır, artık herhangi bir uygulama hizmetini ödememektedir.
• SSH portunu açmanıza gerek yok (bilgisayarınızı güvende tutun).
• Herhangi bir tünel açmaya gerek yok (örneğin, VPN veya buna benzer bir şey)

Aşağıdaki yükleme yönergeleri, site taşındığı için eskidir. Yeni URL, https://github.com/formigarafa/robotito şeklindedir.

Robo-TiTO'yı Raspberry Pi, Debian veya Ubuntu Box'a (Debian paket dağıtımı) kolayca yükleyebilmeniz için bir Raspbian işletim sistemimde Raspberry Pi’de test edildim. Linux kutunuzu uzaktan tanımak için atılacak adımlar budur:

1. Shell Command'ı açın veya Terminal'i çağırabilir, ana klasörünüze gidin, Installer komut dosyasını indirin:

   $ wget https://opengateway.googlecode.com/files/robotito
   

2. Bundan sonra komut dosyasını çalıştırarak komut dosyasını çalıştırın:

   $ sudo ./robotito
   

3. ve sonra credentials.rbGTalk hesabınızı kullanarak Robo-TiTO yapılandırma klasöründen dosyayı düzenleyebilir ve Ctrl+ Xve tuşlarına basarak kaydedebilirsiniz Y. Varsayılan nano editörü kullanıyor.

4. Robo-TiTO'yı Robo-TiTO klasöründen komut ile çalıştırmak

   $ cd robotito
   $ ./jabbershd start
   

5. Artık bu yapıldığında herhangi bir Google talk istemcisinden SSH kullanabilirsiniz. Robo-TiTO GTalk hesabını Google talk hesabınıza eklemeyi ve hesabı kullanmadan önce birbirleriyle sohbet ederek test etmeyi unutmayın.

Piskvor'un çözümü işe yarıyor ve çok hoş. Ancak, giriş kabukları asılıyken sarkan terminallerin açık kalmasını sağlar. Çok havalı değil.

Her zaman bir sunucuya bağlanmak ve cron'da çalıştırarak bağlantıda kalmak için yazdığım bu küçük betiği kullandım:

#!/bin/bash
TARGET_HOST=${1:-myserver.example.com}
TARGET_PORT=${2:-7777}
TUNNEL_PORT=${3:-22}
T_USER="odin"

#Check that we have an active connection to the remote system
ACTIVE_PROCESS=`ps -ef | \
    grep "ssh $TARGET_HOST -l $T_USER -R $TARGET_PORT:127.0.0.1:$TUNNEL_PORT" | \
    grep -v grep | \
    wc -l`
if [ $ACTIVE_PROCESS -lt 1 ]; then
    echo "`date` : establishing connection to $TARGET_HOST on port $TARGET_PORT"
    screen -m -d ssh $TARGET_HOST -l $T_USER -R $TARGET_PORT:127.0.0.1:$TUNNEL_PORT > /dev/null
fi

Bahse girerim Piskvor’un çözümünü belki ayrık bir ekranla birlikte daha zarif autossh kullanarak düzeltebiliriz ya da bağlantıyı arka planda tutmak için -NT ssh argümanlarını kullanabiliriz.

Bana göre, SSH tüneli yerine, bir VPN denemelisiniz: Hamachi gibi proxy yapmak için dışarıdan bir sunucu kullanarak çalışan bir tür . Bunun gibi başka özgür yazılımlar da var, ama Hamachi benim favorim.