Wyobraź sobie, że mamy serwer SSH zlokalizowany na samym routerze lub na serwerze w sieci LAN, w tym drugim przypadku musimy wykonać popularne „przekierowanie portów” lub „przekierowanie portów” na routerze, ponieważ zwykle będziemy za NATem domu lub firmy. Po połączeniu się z serwerem SSH routera lub z serwerem z otwartym portem SSH (nie ma znaczenia czy port 22 jest domyślny, czy jakikolwiek inny, ważne, że jest on dostępny przez internet) możemy połączyć się z drugim serwerem SSH , który początkowo jest dostępny tylko w sieci lokalnej. Umożliwi nam to pośredni dostęp do serwera SCP lub SFTP opartego na SSH.
Na poniższym schemacie możesz zobaczyć, jak ta sieć zostanie utworzona, gdy skomentujemy:
- Użytkownik próbuje połączyć się z SERWEREM 2 (IP: 192.168.1.3 i port 22 otwiera się lokalnie). Nie udało się nawiązać tego połączenia, ponieważ nie mamy otwartego portu na tym serwerze, więc można uzyskać do niego dostęp tylko przez sieć lokalną. Jeśli ten serwer 2 ma zaporę ogniową, która blokuje wszystkie połączenia z wyjątkiem lokalnych połączeń sieciowych IP, możemy również się połączyć.
- Korzystając z dostępnego przez Internet SERWERA 1, z którym możemy połączyć się przez SSH, ponieważ router ma otwarty port i zapora sieciowa serwera 1 na to pozwala, utworzymy tunel SSH, aby połączyć się z SERWEREM 2 później tak, jakby był dostępny z Internetu. Zamiast robić wszystko w jednym połączeniu, użyjemy dwóch połączeń SSH.
Taka architektura może się również zdarzyć, jeśli router integruje serwer SSH, w którym to przypadku nie będziemy potrzebować SERWERA 1 jako „bramy”, ponieważ sam router będzie działał jako „brama”, tak jak w sieci. serwer 2, z którym chcemy się połączyć. ten
Aby wykonać tę technikę tunelowania SSH, użyjemy programu Windows o nazwie WinSCP, chociaż możemy również użyć popularnego Putty, aby zrobić to samo, ale masz już kompletny samouczek RedesZone na ten temat. Ważnym szczegółem jest to, że Putty ma bardziej zaawansowane opcje, takie jak wiele przeskoków SSH, dopóki nie osiągniemy naszego celu.WinSCP pozwala tylko na jeden przeskok, ale będzie nam służyć w zdecydowanej większości przypadków, w których wystarczy „zakręcić” tylko raz, nie kilka.
Pierwszą rzeczą, którą musimy zrobić, to pobierz WinSCP z oficjalnej strony internetowej to oprogramowanie jest całkowicie bezpłatne i ma bardzo przyjazny dla użytkownika graficzny interfejs użytkownika. Bardzo ważnym szczegółem jest to, że język WinSCP można ustawić na angielski lub hiszpański. Umieściliśmy to w języku hiszpańskim, abyś mógł zobaczyć, jak łatwo jest skonfigurować nowy serwer SSH / SFTP / FTP za pomocą programu i jak łatwo skonfigurować tunel SSH.
Inne cechy tego programu to możliwość przesyłania plików całkowicie graficznie przez SFTP i SCP, co czyni go bardzo dobrą alternatywą dla typowych poleceń terminalowych.
W menu głównym widzimy wszystkie zapisane wcześniej profile „Połączenia”, możemy korzystać z różnych protokołów, takich jak SFTP, SCP, FTP, WebDAV i Amazon S3. Tutaj musimy podać adres IP (prywatny adres IP serwera 2 na schemacie) i port, a także uwierzytelnienie za pomocą nazwy użytkownika / hasła lub kluczy SSH. Aby utworzyć tunel SSH i połączyć się ze zdalnym serwerem, musisz kliknąć „ Zaawansowany … Dostęp do dodatkowych opcji konfiguracyjnych.
Na Wydziale ” Połączenie/tunel „Musimy skonfigurować dostęp do dostępnego serwera SSH, czyli SERWERA 1 w naszej architekturze sieciowej. Musimy wprowadzić publiczny adres IP zdalnego serwera wraz z portem, nazwą użytkownika i hasłem. WinSCP umożliwia łączenie się za pomocą prywatnego klucza RSA/DSA, dzięki czemu również będziemy mieli dostęp do tej opcji.
Uwaga: Jeśli łączymy się z SERWEREM 1 i działa on jako brama, musimy podać prywatny adres IP samej bramy.
Po wprowadzeniu danych musimy kliknąć „Akceptuję”, aby później skorzystać z tego linku.
Po wykonaniu powyższych kroków w sekcji „Sesje”, kliknij dwukrotnie wcześniej zapisany profil, aby przesłać go jako połączenie pierwszego przeskoku. Na ekranie sesji wprowadzimy adres IP, port i dane dostępowe na SERWERZE 2. Łącząc się przez SERWER 1 bez problemu będziemy mogli ustawić adres prywatny tzn. możemy powiedzieć, że możemy wpisać 192.168 . 1.3, co odpowiada SERWER 2 w sieci lokalnej, do której mamy dostęp.
Po zakończeniu kliknij „Zaloguj się”, a połączymy się z SERWEREM 2 przez połączenie SSH SERWERA 1. Na poniższym zrzucie ekranu pliku dziennika możesz sprawdzić następujące aspekty:
- Otwieramy tunel i przeprowadzamy prawidłowe uwierzytelnienie na serwerze SSH SERVER 1.
- Po zainstalowaniu tunelu na SERWERZE 1 łączymy się z USŁUGĄ 2, która w tym przykładzie ma prywatny adres IP 10.10.2.14, ale równie dobrze może być 192.168.1.3 SERWER 2. Jak widać, użyliśmy prywatnego adresu IP, ponieważ po utworzeniu tunelu jest to jak bycie w samej sieci lokalnej.
Do tej pory udostępniliśmy nasz samouczek, jak zbudować tunel SSH za pomocą WinSCP, aby uzyskać dostęp do zdalnych serwerów, które nie będą dostępne przez Internet, ale dostępne z samej sieci lokalnej. Ta technika jest szeroko stosowana, ponieważ pozwoli nam „przełączyć się” na wysoce bezpieczny serwer zarządzania, a później łatwo i szybko połączyć się z serwerami wewnętrznymi organizacji, co jest powszechnie stosowane w firmach do ochrony całej infrastruktury wewnętrznej. zawiera wszystko, co jest niezbędne do maksymalnego bezpieczeństwa, takie jak zapora ogniowa, IDS / IPS, kompletny system rejestrowania w celu przeglądania i wykrywania wszelkich powiązanych zdarzeń bezpieczeństwa itp.