GatewayPorts etkin olsa bile neden tersine bir SSH tünel bağlantı noktasına uzaktan bağlanamıyorum?


20

Bölümümüzde IP adresi dinamik olarak ayrılmış bir ana bilgisayara sürekli SSH erişimi istiyorum. Hedef ana bilgisayardan statik bir ip adresi içeren ana bilgisayarlarımızdan birine uzak bir SSH tüneli kurdum:

ssh -f -N -g -R :22223:localhost:22 tunnelhost

SSH'yi 22223tünel ana bilgisayarındaki yerel bağlantı noktasına doğrulttuğumda , tünel iyi çalışıyor. Benim sorunum olsa da, tünel localhost dışında bir şey bağlı almak için görünmüyor ki - yani uzaktan SSH çalıştığınızda tunnelhost:12323, onu almak için açık bir bağlantı noktası yok. Ayrıca denedim:

ssh -f -N -R :22223:localhost:22 tunnelhost -o GatewayPorts=yes

Ama hala şans yok. Netstat bana şunu gösteriyor:

[me@tunnel_host ~]$ netstat -an | grep 22223
tcp        0      0 127.0.0.1:22223         0.0.0.0:*               LISTEN
tcp6       0      0 ::1:22223               :::*                    LISTEN

Tünelin yalnızca localhost'a bağlı olduğunu doğrulamak. Firewalld-cmd ile tünel ana bilgisayarına bir bağlantı noktası istisnası ekledim ve hiçbir ağ donanımının bağlantıya müdahale etmediğinden emin oldum. Ne olabileceğine dair bir fikrin var mı?

Şerefe, James.

Yanıtlar:


29

Uzak bağlantı noktalarında geri döngü dışındaki arabirimlere bağlanmayı etkinleştirmek için istemciyi değil GatewayPorts=yesSSHd ( /etc/ssh/sshd_config) yapılandırmasını etkinleştirmeniz gerekir .

-o GatewayPorts=yes

Yalnızca sshkomuta iletildiğinde yerel bağlantı noktaları için çalışır .


Darth Android, Cevabınız için teşekkür ederim. Görünüşe göre -g ve -o GatewayPorts sadece (-L) okal tünelleri için çalışıyor. Tamlık uğruna, ileride başkalarının karşılaşması durumunda, bu sorun hakkında biraz daha bilgi. bugs.debian.org/cgi-bin/bugreport.cgi?bug=228064
James Paul Turner

3
GatewayPorts=clientspecifiedbiraz daha güvenli bir ayardır, bkz. askubuntu.com/questions/50064/reverse-port-tunnelling . Bu durumda, boş bağlama adresi (arkadaki iki nokta :22223:localhost:2) gereklidir.
Michael Goerz

1
GatewayPorts=clientspecifiedAyarın kendisinin daha güvenli olmadığını savunuyorum, aksine, hangi bağlantıların joker karaktere bağlanacağı konusunda daha fazla kontrole izin veriyor, aksine sadece joker karakterlere bağlı.
Nick

Ayrıca, sshd_config'i değiştirdikten sonra sshd'yi yeniden başlatın (unutmanız durumunda)
Nick

⚠️ Dünyaya GatewayPorts=yesiletilen limanları açacağını unutmayın.
ccpizza
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.