ССХ клијент се повезује са сервером Сецуре Схелл,што вам омогућава да покрећете команде терминала као да седите испред другог рачунара. Али ССХ клијент вам такође омогућава да „тунелирате“ порт између вашег локалног система и удаљеног ССХ сервера.
Постоје три различите врсте ССХ тунелирања,и сви се користе у различите сврхе. Свака укључује употребу ССХ сервера за преусмеравање саобраћаја са једног мрежног порта на други. Саобраћај се шаље преко шифроване ССХ везе, па га није могуће надгледати или мењати у транзиту.
То можете учинити помоћу ssh команда укључена у Линук, мацОС и другеОперативни системи слични УНИКС-у. У оперативном систему Виндовс, који не садржи уграђену ссх наредбу, препоручујемо бесплатни алат ПуТТИ за повезивање са ССХ серверима. Подржава и ССХ тунелирање.
Прослеђивање локалног порта: Учините приступ удаљеним ресурсима на вашем локалном систему
„Локално прослеђивање портова“ вам омогућава приступресурсе локалне мреже који нису изложени Интернету. На пример, рецимо да желите да приступите серверу базе података у својој канцеларији од куће. Из сигурносних разлога, тај сервер базе података конфигурисан је само да прихвата везе из локалне канцеларијске мреже. Али ако имате приступ ССХ серверу у канцеларији, а тај ССХ сервер дозвољава везе изван канцеларијске мреже, тада се можете повезати са тим ССХ сервером од куће и приступити серверу базе података као да сте у канцеларији. То је често случај, јер је једноставније заштитити један ССХ сервер од напада него осигурати низ различитих мрежних ресурса.
Да бисте то урадили, успоставите ССХ везу саССХ сервера и реците клијенту да проследи саобраћај са одређеног порта са вашег локалног рачунара - на пример порта 1234 - на адресу сервера базе података и његовог порта у канцеларијској мрежи. Дакле, када покушате да приступите серверу базе података на порту 1234 вашег тренутног рачунара, „лоцалхост“, тај саобраћај се аутоматски „тунелира“ преко ССХ везе и шаље серверу базе података. ССХ сервер се налази у средини и прослеђује промет напред-назад. Можете користити било коју командну линију или графички алат за приступ серверу базе података као да је покренут на вашем локалном рачунару.
Да бисте користили локално прослеђивање, нормално се повежите са ССХ сервером, али такође испоручите и -L расправа. Синтакса је:
ssh -L local_port:remote_address:remote_port username@server.com
На пример, рецимо да се сервер базе података у вашој канцеларији налази на 192.168.1.111 у канцеларијској мрежи. Имате приступ канцеларијском ССХ серверу на ssh.youroffice.com , а ваш кориснички налог на ССХ серверу је bob . У том случају, ваша наредба би изгледала овако:
ssh -L 8888:192.168.1.111:1234 bob@ssh.youroffice.com
Након покретања те наредбе, могли бистеприступите серверу базе података на порту 8888 на лоцалхост. Дакле, ако сервер базе података нуди веб приступ, можете да прикључите хттп: // лоцалхост: 8888 у свој веб прегледач да бисте му приступили. Да имате алатку за командну линију којој је потребна мрежна адреса базе података, усмерили бисте је на лоцалхост: 8888. Сав саобраћај упућен на порт 8888 на рачунару биће подешен на 192.168.1.111:1234 на вашој канцеларијској мрежи.
Збуњујуће је ако желитеповежите се са серверском апликацијом која ради на истом систему као и сам ССХ сервер. На пример, рецимо да имате ССХ сервер који ради на порту 22 на вашем канцеларијском рачунару, али такође имате сервер базе података који ради на порту 1234 на истом систему на истој адреси. Желите да приступите серверу базе података од куће, али систем прихвата ССХ везе само на порту 22 и његов заштитни зид не дозвољава никакве друге спољне везе.
У овом случају можете покренути наредбу попут ове:
ssh -L 8888:localhost:1234 bob@ssh.youroffice.com
Када покушате да приступите серверу базе података напорт 8888 на вашем тренутном рачунару, саобраћај ће се слати преко ССХ везе. Када стигне на систем на којем је покренут ССХ сервер, ССХ сервер ће га послати на порт 1234 на „лоцалхост“, што је исти ПЦ који покреће сам ССХ сервер. Дакле, „лоцалхост“ у наредби изнад значи „лоцалхост“ из перспективе удаљеног сервера.
Да бисте то урадили у апликацији ПуТТИ на Виндовс-у,изаберите Веза> ССХ> Тунели. Изаберите опцију „Локално“. За „Изворни порт“ унесите локални порт. За „Одредиште“ унесите адресу одредишта и порт у облику ремоте_аддресс: ремоте_порт.
На пример, ако желите да поставите исти ССХ тунел као горе, ушли бисте 8888 као изворни порт и localhost:1234 као одредиште. Затим кликните на „Додај“, а затим на „Отвори“ да бисте отворили ССХ везу. Такође ћете морати да унесете адресу и порт самог ССХ сервера на главном екрану „Сессион“ пре повезивања, наравно.
Даљинско прослеђивање порта: Учините локалне ресурсе доступним на удаљеном систему
„Даљинско прослеђивање порта“ је супротно од локалногпрослеђивање и не користи се тако често. Омогућава вам да ресурс на вашем локалном рачунару буде доступан на ССХ серверу. На пример, рецимо да користите веб сервер на локалном рачунару пред којим седите. Али ваш рачунар се налази иза заштитног зида који не дозвољава долазни саобраћај до серверског софтвера.
Под претпоставком да можете приступити удаљеном ССХ серверуможе да се повеже са тим ССХ сервером и користи даљинско прослеђивање портова. Ваш ССХ клијент ће рећи серверу да проследи одређени порт - рецимо, порт 1234 - на ССХ серверу на одређену адресу и порт на вашем тренутном рачунару или локалној мрежи. Када неко приступи порту 1234 на ССХ серверу, тај саобраћај ће аутоматски бити „тунелиран“ преко ССХ везе. Свако ко има приступ ССХ серверу моћи ће да приступи веб серверу покренутом на вашем рачунару. Ово је ефективан начин проласка кроз заштитни зид.
Да бисте користили даљинско прослеђивање, користите ssh команда са -R расправа. Синтакса је углавном иста као код локалног прослеђивања:
ssh -R remote_port:local_address:local_port username@server.com
Рецимо да желите да омогућите апликацију сервера која преслушава на порту 1234 на вашем локалном рачунару на порта 8888 на удаљеном ССХ серверу. Адреса ССХ сервера је ssh.youroffice.com а ваше корисничко име на ССХ серверу је боб. Покренули бисте следећу команду:
ssh -R 8888:localhost:1234 bob@ssh.youroffice.com
Тада би неко могао да се повеже са ССХ сервером на порту 8888 и та веза би била тунелирана до серверске апликације која се изводи на порту 1234 на локалном рачунару са којег сте успоставили везу.
Да бисте то урадили у ПуТТИ на Виндовс-у, изаберите Цоннецтион> ССХ> Тунели. Изаберите опцију „Ремоте“. За „Изворни порт“ унесите удаљени порт. За „Одредиште“ унесите адресу одредишта и порт у облику лоцал_аддресс: лоцал_порт.
На пример, ако желите да подесите горњи пример, унели бисте 8888 као изворни порт и localhost:1234 као одредиште. Затим кликните на „Додај“, а затим на „Отвори“ да бисте отворили ССХ везу. Такође ћете морати да унесете адресу и порт самог ССХ сервера на главном екрану „Сессион“ пре повезивања, наравно.
Људи би се тада могли повезати на порт 8888 на ССХ серверу и њихов промет би био тунелиран на порт 1234 на вашем локалном систему.
Подразумевано, удаљени ССХ сервер ће самослушајте везе са истог домаћина. Другим речима, само људи на истом систему као и сам ССХ сервер моћи ће да се повежу. Ово је из сигурносних разлога. Мораћете да омогућите опцију „ГатеваиПортс“ у ссхд_цонфиг на удаљеном ССХ серверу ако желите да замените ово понашање.
Динамичко прослеђивање порта: Користите ССХ сервер као прокси
ПОВЕЗАН: Каква је разлика између ВПН-а и прокија?
Постоји и „динамичко прослеђивање порта“, којеради слично проксију или ВПН-у. ССХ клијент ће створити СОЦКС проки који можете да конфигуришете за употребу. Сав саобраћај послат преко проки сервера слао би се преко ССХ сервера. Ово је слично локалном прослеђивању - он узима локални саобраћај послат на одређени порт на вашем рачунару и шаље га преко ССХ везе на удаљену локацију.
ПОВЕЗАН: Зашто употреба јавне Ви-Фи мреже може бити опасна, чак и када се приступа шифрованим веб локацијама
На пример, рецимо да користите јавниВи-Фи мрежа. Желите безбедно да прегледате, а да вас не прегледају. Ако имате приступ ССХ серверу код куће, можете се повезати са њим и користити динамичко прослеђивање портова. ССХ клијент ће створити СОЦКС проки на вашем рачунару. Сав саобраћај послат том прокси серверу биће послат преко везе ССХ сервера. Нико који надгледа јавну Ви-Фи мрежу неће моћи да надгледа ваше прегледање или цензурише веб локације којима можете да приступите. Из перспективе било које веб странице коју посетите, чиниће се као да сте седели испред рачунара код куће. То такође значи да бисте овај трик могли користити за приступ веб локацијама само за САД док сте изван САД-а - под претпоставком да имате приступ ССХ серверу у САД-у, наравно.
Као још један пример, можда ћете желети да приступите аапликација за медијски сервер коју имате на кућној мрежи. Из безбедносних разлога можда имате само ССХ сервер који је изложен Интернету. Не дозвољавате долазне везе са Интернета на апликацију за медијски сервер. Можете да подесите динамичко прослеђивање порта, да конфигуришете веб прегледач да користи проки СОЦКС, а затим да приступите серверима који се изводе у вашој матичној мрежи преко веб прегледача као да седите испред свог ССХ система код куће. На пример, ако се ваш медијски сервер налази на порту 192.168.1.123 у вашој кућној мрежи, можете да прикључите адресу 192.168.1.123 у било коју апликацију која користи проки СОЦКС и приступили бисте медијском серверу као да сте у матичној мрежи.
Да бисте користили динамичко прослеђивање, покрените ссх наредбу са -D аргумент, овако:
ssh -D local_port username@server.com
На пример, рецимо да имате приступ ССХ серверу на ssh.yourhome.com а ваше корисничко име на ССХ серверу је bob . Желите да користите динамичко прослеђивање да бисте отворили СОЦКС прокси на порту 8888 на тренутном рачунару. Покренули бисте следећу команду:
ssh -D 8888 bob@ssh.yourhome.com
Тада бисте могли да конфигуришете веб прегледач или другу апликацију да користи вашу локалну ИП адресу (127.0.01) и порт 8888. Сав саобраћај из те апликације биће преусмерен кроз тунел.
Да бисте то урадили у ПуТТИ на Виндовс-у, изаберите Цоннецтион> ССХ> Туннелс. Изаберите опцију „Динамиц“. За „Изворни порт“ унесите локални порт.
На пример, ако желите да направите СОЦКС прокси на порту 8888, ући ћете 8888 као изворни порт. Затим кликните на „Додај“, а затим на „Отвори“ да бисте отворили ССХ везу. Такође ћете морати да унесете адресу и порт самог ССХ сервера на главном екрану „Сессион“ пре повезивања, наравно.
Тада бисте могли да конфигуришете апликацију за приступ прокију СОЦКС на вашем локалном рачунару (то јест ИП адреси 127.0.0.1, која указује на ваш локални рачунар) и одредите тачан порт.
ПОВЕЗАН: Како конфигурирати проки сервер у Фирефоку
На пример, можете да конфигуришете Фирефок да користиСОЦКС проки. Ово је посебно корисно јер Фирефок може да има своја подешавања проксија и не мора да користи подешавања проксија широм система. Фирефок ће свој промет слати кроз ССХ тунел, док ће друге апликације нормално користити вашу Интернет везу.
Када то радите у Фирефок-у, изаберите „Ручни проксиконфигурација “, унесите„ 127.0.0.1 “у оквир хоста СОЦКС, а динамички порт унесите у поље„ Порт “. Оставите поља ХТТП проки, ССЛ проки и ФТП проки празна.
Тунел ће остати активан и отворен каосве док имате отворену везу ССХ сесије. Када завршите ССХ сесију и искључите се са сервера, тунел ће такође бити затворен. Само се поново повежите са одговарајућом командом (или одговарајућим опцијама у ПуТТИ) да бисте поново отворили тунел.
