PLD-doc/queue/ssh_tunneling.txt
wolvverine
cvs at pld-linux.org
Tue Jan 10 18:36:36 CET 2006
Author: wolvverine
Date: Tue Jan 10 18:36:32 2006
New Revision: 6786
Added:
PLD-doc/queue/ssh_tunneling.txt
Log:
- tworzenie tuneli ssh z/do NAT
Added: PLD-doc/queue/ssh_tunneling.txt
==============================================================================
--- (empty file)
+++ PLD-doc/queue/ssh_tunneling.txt Tue Jan 10 18:36:32 2006
@@ -0,0 +1,50 @@
+Tunel zwrotny SSH
+
+CzÄsto istnieje potrzeba dostÄpu do komputerĂłw bÄdÄ
cych za bramkÄ
internetowÄ
typu NAT lub Masquarading, niestety bezpoĹrednie poĹÄ
czenie siÄ ze schowanym komputerem z zewnÄ
trz nie jest moĹźliwe. Z pomocÄ
przychodzi nam tak zwany tunel zwrotny. KtĂłry umoĹźliwia po zainicjowaniu poĹÄ
czenia z ukrytego komputera do naszego komputera i utworzeniu tunelu, zalogowanie siÄ na ukrytÄ
za NAT-em maszynÄ.
+
+Tunel tworzymy wywoĹujÄ
c na docelowym, schowanym komputerze nastÄpujÄ
ce polecenie:
+
+ssh user at server -R nowy_port:localhost:port_ssh
+
+Gdzie:
+ user â konto uĹźytkownika na naszym komputerze
+ server â adres naszego serwera
+ nowy_port - moĹźe byÄ to dowolny numer portu nieuĹźywany na komputerze server.
+ port_ssh â port na jakim nasĹuchuje ssh naszego servera, najczÄĹciej 22
+
+np. robak at 83.57.200.134 -R 7766:localhost:22
+
+Takie polecenie spowoduje utworzenie tunelu zwrotnego, na docelowy komputer moĹźna siÄ zalogowaÄ z komputera server przez wydanie polecenia:
+
+ssh -l user_zdalny localhost -p nowy_port
+
+gdzie:
+ user_zdalny â konto na ktĂłre chcemy siÄ zalogowaÄ na zdalnej maszynie
+
+np. ssh -l piotr localhost -p 7766
+
+OczywiĹcie o ile nie mamy logowania po kluczach to zostaniemy zapytani o hasĹo, po prawidĹowym zalogowaniu, moĹźemy przystÄ
piÄ do pracy.
+
+JeĹźeli tunel ma byÄ aktywny przez dĹuĹźszy czas, warto uruchamiajÄ
c tunel podaÄ dodatkowe polecenie, ktĂłrego aktywnoĹÄ zabezpieczy przez zerwaniem poĹÄ
czenia uznanego za nieuĹźywane. PrzykĹadowo:
+
+ssh user at server -R nowy_port:localhost:port_ssh "/bin/sh -c 'while true; do sleep 5; echo +; done'"
+
+Jeszcze lepszym rozwiÄ
zeniem jest uĹźycie programu autossh (obecnie znajdujÄ
cego siÄ w repozytoriach cvs PLD). Program ten pozwala na uruchomienie tunelu z wykorzystaniem dodatkowego portu monitorujacego - zerwane lub zablokowane poĹÄ
czenia sÄ
automatycznie wznawiane. PrzykĹadowe wywoĹanie autossh wyglÄ
da nastÄpujÄ
co:
+
+autossh -fN -M port_monitorujÄ
cy -R nowy_port:localhost:port_ssh user at server
+
+Opcja -f powoduje przejĹcie autossh w tĹo, opcja -N jest przekazywana do ssh - zakazuje wykonywania komend - tylko przekierowywanie portĂłw (zwiÄksza to bezpieczeĹstwo). Numer portu do monitorowania, tu przykĹadowo 7776, moĹźe byÄ rĂłwnieĹź dowolny, ale unikalny.
+
+Niestety aby zainicjowaÄ takie poĹÄ
czenia potrzebny jest ktoĹ kto wpisze odpowiednie komendy w terminalu uruchamiajÄ
c tunel, a co jeĹli takiego kogoĹ nie ma? MoĹźemy wczeĹniej dodaÄ odpowiednie wywoĹanie ssh np. do crontaba albo uruchomienie autossh przez skrypty startowe systemu.
+
+linki dodatkowo do opracowania:
+http://www.szarp.com.pl/howto/howto/html/ssh.html
+http://klub.chip.pl/grzegorz/linux/tunel_ssh.html
+
+http://www.ssh.com/support/documentation/online/ssh/winhelp/32/tunneling.html
+http://www.math.ualberta.ca/imaging/snfs/ - nfs and nis
+
+
+
+http://www.oi.pg.gda.pl/var/index.php?n=00024
+http://www.symplex.com.pl/www/pom/porady/ssh.htm
More information about the pld-cvs-commit
mailing list