Як стварыць тунэль SSH паміж серверам Linux і кліентам Windows

Ідэя пабудовы а Тунэль SSH заключаецца ў шыфраванні ўсіх злучэнняў (незалежна, напрыклад, пры пераходзе на старонку https альбо http) і падключэнні да інтэрнэт праз a бяспечны канал. Гэты "бяспечны" канал - не што іншае, як сервер настроены для гэтай мэты. Гэты сервер можа знаходзіцца, напрыклад, у вас дома.


"Недахопам" гэтага метаду з'яўляецца тое, што вам заўсёды трэба ўключыць і правільна наладзіць гэтую машыну, каб працаваць як сервер SSH, але гэта дазваляе значна палепшыць бяспеку вашага злучэння і нават пазбегнуць абмежаванняў на злучэнне, накладзеных адміністратарамі сеткі ( напрыклад, ваша праца).

Чую, вы пытаецеся: ці сапраўды гэта можа мне дапамагчы? Ну, давайце возьмем наступны сцэнар: вы знаходзіцеся ў Інтэрнэт-кавярні ці рэстаране з бясплатным Wi-Fi, і вам трэба зрабіць банкаўскі пераклад альбо іншую важную аперацыю. Зразумела, заўсёды рэкамендуецца ажыццяўляць падобныя аперацыі ў бяспечных умовах. Аднак ёсць рашэнне: SSH-тунэль. Такім чынам, мы можам падключыцца да Інтэрнэту праз наш "бяспечны" сервер.

Гэты метад таксама карысны для абыходу абмежаванняў, накладзеных на сувязі многіх працоўных асяроддзяў. Не можаце атрымаць доступ да YouTube з працы? Ну, SSH-тунэль можа быць рашэннем, бо ўсе запыты будуць зроблены праз ваш "бяспечны" сервер. Іншымі словамі, паколькі IP вашага бяспечнага сервера не заблакаваны (так, з іншага боку, YouTube), вы зможаце "ўхіліцца" ад гэтага абмежавання (не зможаце атрымаць доступ да YouTube), так як для адміністратара сеткі вашай кампаніі ваша машына размаўляла толькі з вашым "бяспечным" серверам і не ўяўляе, што праз яго вы на самой справе праглядаеце шмат старонак.

У гэтым уроку мы растлумачым "тыповы" выпадак: сервер Linux, кліент Windows.

Наладзьце сервер Linux

1. - Усталюйце сервер SSH. Для гэтага я адкрыў тэрмінал і запусціў:

En Ubuntu:

sudo apt-get install installsh-server

En арка:

pacman -S openssh

En Мяккая фетравы капялюш:

ням -y ўсталяваць openssh-сервер

Гатовы. Цяпер вы зможаце атрымаць доступ да Ubuntu (сервер SSH) з кліентам SSH.

2. - Пасля ўстаноўкі карысна праглядзець файл канфігурацыі:

sudo nano / etc / ssh / sshd_config

З гэтага файла вы зможаце лёгка наладзіць свой SSH-сервер. Мая рэкамендацыя - змяніць толькі 2 параметры: порт і карыстальнікі.

Каб пазбегнуць магчымых нападаў, пажадана змяніць порт, які будзе выкарыстоўваць SSH. Па змаўчанні ён пастаўляецца са значэннем 22, вы можаце выбраць іншае, якое вам больш за ўсё падыходзіць (для мэт гэтага падручніка мы абралі 443, але можа быць і любым іншым).

Параметр Allowusers дазваляе абмежаваць доступ карыстальніка і, пры жаданні, хаста, з якога вы можаце падключыцца. У наступным прыкладзе абмежаваны доступ да сервера SSH, так што толькі так і таму карыстальнікі могуць рабіць гэта з хастоў 10.1.1.1 і 10.2.2.1.

AllowUsers так і так@10.1.1.1 mengano@10.1.1.1 так і так@10.2.2.1 mengano@10.2.2.1

Наладзьце маршрутызатар

У выпадку, калі ваш сервер знаходзіцца за маршрутызатарам, неабходна наладзіць апошні, каб ён не блакаваў ўваходныя злучэння. Больш канкрэтна, вам трэба наладзіць.

Перш чым перайсці да сутнасці і паказаць неабходную канфігурацыю, уяўляецца разумным растлумачыць крыху, з чаго складаецца пераадрасацыя партоў.

Дапусцім, у вас ёсць лакальная сетка з 3 машын, усе яны знаходзяцца за маршрутызатарам. Як уваходнае злучэнне (ад SSH, як гэта было б у нашым выпадку) ажыццяўляе сувязь з машынай 1 у нашай лакальнай сетцы? Не забывайце, што "звонку" гэтыя 3 машыны, хаця і маюць лакальныя IP-адрасы, маюць агульны IP-адрас, праз які яны падключаюцца да Інтэрнэту.

Рашэннем вышэйзгаданай праблемы з'яўляецца пераадрасацыя партоў. Такім чынам, пры паступленні ўваходных злучэнняў у порт X нашага агульнадаступнага IP маршрутызатар накіроўвае яго на адпаведную машыну. Такім чынам, кожны раз, калі мы падключаемся праз гэты порт, мы ведаем, што маршрутызатар збіраецца перанакіраваць нас (такім чынам, перанакіраванне порта) на адпаведную машыну. Усё гэта, відавочна, трэба наладзіць у маршрутызатары.

Канфігурацыя перанакіравання порта некалькі змяняецца ў залежнасці ад маршрутызатара, які вы выкарыстоўваеце. Найбольш практычным з'яўляецца наведванне portforward.com, абярыце мадэль маршрутызатара, якую вы выкарыстоўваеце, і выканайце апісаныя там дзеянні.

Наладзьце кліент Windows

Каб падключыцца з Windows, практычна выкарыстоўваць інструмент PuTTY у якасці кліента SSH.

1. - Першы крок - загрузка PuTTY

Як вы можаце бачыць на старонцы загрузкі PuTTY, даступна некалькі версій. Я рэкамендую загрузіць партатыўную версію праграмы: putty.exe. Перавага выбару партатыўнай версіі заключаецца ў тым, што вы заўсёды можаце насіць яе з сабой на пендзеры і запускаць праграму з любога кампутара, дзе б вы ні знаходзіліся.

2. - Адкрыйце PuTTY і ўкажыце IP (агульны) і порт сервера, да якога павінен падключыцца кліент SSH. Як даведацца агульнадаступны IP вашага сервера? Проста пашукайце "што такое мой агульнадаступны ip", каб знайсці тысячы старонак, якія прапануюць гэтую паслугу.

3. - Калі "кліент" стаіць за проксі, не забудзьцеся правільна яго наладзіць. Калі вы не ведаеце, якія дадзеныя трэба ўвесці, адкрыйце Internet Explorer і перайдзіце ў раздзел Інструменты> Падключэння> Налады LAN> Дадатковыя. Скапіруйце і ўстаўце дадзеныя, якія з'яўляюцца там у PuTTY, як відаць на малюнку ніжэй. У некаторых выпадках можа спатрэбіцца ўвесці імя карыстальніка і пароль.

4. - Для пабудовы тунэля SSH неабходна ўвесці "лакальныя" дадзеныя перанакіравання партоў. Перайдзіце ў раздзел Злучэнне> SSH> Тунэлі. Ідэя заключаецца ў наступным: мы павінны сказаць PuTTY, якія злучэнні трэба "перанакіраваць" на наш абаронены сервер. Для гэтага трэба выбраць порт.

Мая рэкамендацыя, асабліва калі машына стаіць за проксі-серверам, заключаецца ў тым, што вы выбіраеце порт 443, паколькі ён выкарыстоўваецца SSL для бяспечнага злучэння, што ўскладніць адміністратару магчымасць даведацца, што вы робіце. З іншага боку, порт 8080 выкарыстоўваецца HTTP (які не з'яўляецца "бяспечным" злучэннем), таму дасведчаны адміністратар сеткі можа быць падазроным і нават заблакаваць порт для іншых тыпаў злучэнняў.

У пункце прызначэння паўторна ўвядзіце IP-адрас бяспечнага сервера, за ім двукроп'е і порт, які вы адкрылі, у кропцы пад назвай "Наладзіць маршрутызатар" і ў файле ~ / .ssh / config. Напрыклад, 192.243.231.553:443.

Абярыце дынамічны (які створыць злучэнне SOCKS, які мы будзем выкарыстоўваць у наступным пункце) і націсніце Дадаць.

5. - Я вярнуўся да галоўнага экрана PuTTY, націснуў "Захаваць", а потым "Адкрыць". Пры першым падключэнні да сервера з'явіцца папярэджанне, падобнае ніжэй:

6. - Затым ён запытае імя карыстальніка і пароль з доступам да сервера.

Калі ўсё прайшло нармальна, пасля ўваходу ў сістэму вы ўбачыце нешта накшталт таго, што бачыце ніжэй ...

7. - Нарэшце, не зачыняючы PuTTY, адкрыйце і наладзьце Firefox (альбо ваш любімы браўзэр) для падлучэння да Інтэрнэту праз PuTTY.


Змест артыкула адпавядае нашым прынцыпам рэдакцыйная этыка. Каб паведаміць пра памылку, націсніце тут.

12 каментарыяў, пакіньце свой

Пакіньце свой каментар

Ваш электронны адрас не будзе апублікаваны.

*

*

  1. Адказны за дадзеныя: Мігель Анхель Гатон
  2. Прызначэнне дадзеных: Кантроль спаму, кіраванне каментарыямі.
  3. Легітымнасць: ваша згода
  4. Перадача дадзеных: Дадзеныя не будуць перададзены трэцім асобам, за выключэннем юрыдычных абавязкаў.
  5. Захоўванне дадзеных: База дадзеных, размешчаная Occentus Networks (ЕС)
  6. Правы: у любы час вы можаце абмежаваць, аднавіць і выдаліць сваю інфармацыю.

  1.   Хасэ Даніэль Радрыгес сказаў

    пытанне на кроку 6, якое імя карыстальніка і які пароль мне паставіць

  2.   Хасэ сказаў

    выдатна, я паспрабую наладзіць яго з маім домам

  3.   Al сказаў

    каб атрымаць доступ у Інтэрнэт з майго дома:
    камутаванае злучэнне па мадэме 56k,
    Я запускаю файл .bat, які мае наступную канфігурацыю:
    @Echo выключана
    C:
    Cd C: \ Windows
    шпатлёўка -N -C -D 1080 -P 443 -сш карыстальнік@00.00.000.000 -pw пас
    Выхад
    і што звязана з шпатлёўкай, якая ў гэтым настроена
    форма: у опцыях, якія кантралююць выкарыстанне проксі, я змяшчаю яго ў http, у проксі
    Імя хаста Я паставіў проксі і порт 3128 і імя карыстальніка і пароль
    Я змяшчаю свае дадзеныя, пакідаючы ўсё астатняе некранутым і захоўваючы гэта
    канфігурацыя ўпершыню ў якасці налад па змаўчанні
    і для таго, каб выкарыстоўваць mozilla, yahoo messenger і г.д., мне трэба праксіфікаваць
    прыкладання з проксіфікатарам версіі 3, настроеным такім чынам:
    у проксі-серверы з адрасам 127.0.0.1 порт 1080 sock версіі 5,
    у правілы праксіфікацыі я дадаю нанясенне шпатлёўкі і ў дзеянні, якія я ўкладваю
    прамой, каб усе праграмы выходзілі праз гэта.
    Мне трэба ведаць, як я магу гэтага дасягнуць на сваім андроіда-тэлефоне
    Я падключаюся да майго ПК праз connectctify, і ён падзяляе маё злучэнне з
    доступ да тэлефона. Мне патрэбны падручнік і apk, каб вырашыць гэта для мяне
    дылема. Загадзя вітаю і дзякую

  4.   Клінт Іствуд сказаў

    Неабходна было растлумачыць, як сервер SSH чароўным чынам будзе выконваць запыты HTTP, якія кліент робіць ... слабы падручнік ...

    1.    Эррол Флін сказаў

      Няправільны Клінт Іствуд.

      З тым, што было растлумачана ў падручніку, "чароўна", гэта працуе!

      Зусім не слабы, хутчэй я б сказаў, справядлівы і канкрэтны.

      Вельмі добра патлумачыў для неспрактыкаваных.

      прывітанне

      1.    давайце выкарыстоўваць Linux сказаў

        Як добра, што яно вам паслужыла! Абдымкі! Павел.

  5.   DumasLinux сказаў

    Гэта працуе вельмі добра.

    Як паказана ніжэй, SSH-тунэль з WinSCP:

    http://www.sysadmit.com/2014/05/linux-tuneles-ssh-con-winscp.html

  6.   ДЖАМП'ЁРЫ ЗАМБРАНА-КУЕВА сказаў

    выдатна вельмі добра патлумачыў 5 * дзякуй

  7.   Радрыга сказаў

    Пытанне…
    Што рабіць, калі тое, што я хачу, - гэта тунэль паміж двума машынамі Linux? У мяне такая сітуацыя: У сваёй працы мы важдаемся з кампутарам, мы хочам праверыць праграмнае забеспячэнне для відэаканферэнцый, таму нам давялося ўсталяваць сервер на кампутары avandonado. Праблема ў тым, што пры ўсталёўцы праграмнага забеспячэння (bigbluebutton) ўстаноўка не атрымліваецца ... мы выявілі, што праблема ў тым, што загрузка кампанента ўстаноўкі блакуецца (я не інфарматык, я выкладчык, які пастаянна вучыцца ) ...
    Паколькі кампанія вялікая, магчымасці дапамогі нам з сетак менш чым нуль ...
    Такім чынам, я думаў падключыць сервер (сервер ubuntu) праз тунэль ssh з маім хатнім ПК (у якім ёсць ubuntu), а потым усталяваць праграмнае забеспячэнне ...
    Можна? Яны мне дапамагаюць?

  8.   Суан сказаў

    Добры дзень, у мяне ёсць запыт, я хачу падключыцца да прыкладання, якое ёсць на маім серверы Debian на віртуальнай машыне, якую я ўсталяваў у Windows, і я хачу атрымаць доступ да гэтага прыкладання з іншай сеткі.

  9.   Ананія сказаў

    Як усталяваць і наладзіць сервер SSH
    https://www.youtube.com/watch?v=iY536vDtNdQ

  10.   Тоска сказаў

    Добры дзень, у мяне ёсць пытанне, якое мяне вельмі раздражняе, і я вырашыў пракансультавацца з супольнасцю .. ну вось я і даведаюся, ці можаце вы мне дапамагчы .. Я "новы" ў свеце віртуалізацыі, Linux.

    Справа ў наступным. Я ўсталяваў віртуальную машыну з серверам Linux 14.04.5 LTS, я наладзіў сетку ў Vbox як "адаптар моста", выбраўшы свой сеткавы адаптар. Увайшоўшы ў свой сервер, я ўсталяваў некалькі рэчаў, гэта значыць у мяне ёсць доступ у Інтэрнэт .. сярод гэтых рэчаў я ўстанавіў службу SSH, пакінуўшы порт 22 па змаўчанні і службу ftp "vsftpd".

    Пры кансультацыі з камандай «ifconfig» мне адказваюць:
    Encap спасылкі: Ethernet-адрас HW 08: 00: 27: d5: 2c: 88
    Адрас inet: 192.168.0.13 Diffus.:192.168.0.255 Masc: 255.255.255.0
    ......

    Цяпер для падключэння з майго кампутара (Windows 10) з Putty да майго віртуальнага сервера з дапамогай ssh ​​(порт 22) я выкарыстоўваю ip "192.168.0.13" і тое ж самае з FTP, але калі я хачу, каб сябар падключыўся з дому да мой сервер альбо праз SSH, альбо па FTP нам немагчыма выкарыстоўваць ip, які я выкарыстоўваю на сваім кампутары.

    Я хацеў бы ведаць, чаму гэта таму, што ip "192.168.0.13", думаю, працуе лакальна, гэта значыць, ці варта я наладжваць нешта іншае, мадыфікаваць / і г.д. / сетку / інтэрфейсы, нешта змяняць у iptables?
    Ну, я хачу, каб мой сервер працаваў як агульнадаступны IP, да якога кожны можа падключыцца з доступам.

    Загадзя дзякуй!