Как да създам SSH тунел между Linux сървър и Windows клиент

Идеята за изграждане на a SSH тунел е да шифровате всички връзки (независимо, например, ако отидете на https или http страница) и да се свържете с Интернет чрез a защитен канал. Този "безопасен" канал не е нищо повече от a сървъра конфигуриран за тази цел. Този сървър може да бъде например във вашата къща.

„Недостатъкът“ на този метод е, че винаги трябва да имате тази машина включена и конфигурирана правилно, за да функционира като SSH сървър, но ви позволява значително да подобрите сигурността на връзката си и дори да избегнете ограниченията на връзката, наложени от мрежовите администратори (например вашата работа).

Чувам как питате: може ли това наистина да ми помогне? Е, нека приемем следния сценарий: намирате се в интернет кафене или ресторант с безплатен Wi-Fi и трябва да направите банков превод или друга важна операция. Разбира се, винаги се препоръчва извършването на този тип транзакции в безопасна среда. Има обаче решение: SSH тунел. По този начин можем да се свържем с интернет чрез нашия „сигурен“ сървър.

Този метод е полезен и за заобикаляне на ограниченията, наложени върху връзките на много работни среди. Не можете да получите достъп до YouTube от работа? Е, SSH тунел може да е решението, тъй като всички заявки ще бъдат направени чрез вашия "сигурен" сървър. С други думи, тъй като IP адресът на вашия защитен сървър не е блокиран (да, от друга страна, на YouTube), ще можете да "избегнете" това ограничение (да нямате достъп до YouTube), тъй като за администратора на мрежата на вашата компания вашата машина е разговаряла само с вашия "сигурен" сървър и няма представа, че чрез него всъщност разглеждате много страници.

В този урок ще обясним "типичния" случай: Linux сървър, Windows клиент.

Конфигурирайте Linux сървър

1.- Инсталирайте SSH сървъра. За да направя това, отворих терминал и пуснах:

En Ubuntu:

sudo apt-get инсталирайте openssh-сървър

En Арка:

Pacman -s Openssh.

En Fedora:

yum -y инсталиране openssh-сървър

Готов. Вече ще имате достъп до Ubuntu (SSH сървър) с SSH клиент.

2.- Веднъж инсталиран, е полезно да прегледате конфигурационния файл:

sudo nano / etc / ssh / sshd_config

От този файл ще можете лесно да конфигурирате вашия SSH сървър. Моята препоръка е да модифицирате само 2 параметъра: port и allowusers.

За да се избегнат възможни атаки, препоръчително е да смените порта, който SSH ще използва. По подразбиране той идва със стойността 22, можете да изберете друга, която ви подхожда най-добре (за целите на този урок избрахме 443, но може да бъде и всяка друга).

Параметърът Allowusers ви позволява да ограничите достъпа на потребителя и по избор на хоста, от който можете да се свържете. Следващият пример ограничава достъпа до SSH сървъра, така че само така и така потребителите могат да го правят от хостове 10.1.1.1 и 10.2.2.1.

AllowUsers така и така@10.1.1.1 mengano@10.1.1.1 така и така@10.2.2.1 mengano@10.2.2.1

Конфигурирайте рутера

В случай че вашият сървър е зад рутер, е необходимо да конфигурирате последния, така че да не блокира входящите връзки. По-конкретно, трябва да конфигурирате.

Преди да преминете към точката и да покажете необходимата конфигурация, изглежда разумно да обясните малко от какво се състои пренасочването на портове.

Да предположим, че имате локална мрежа от 3 машини, всички те зад рутер. Как входящата връзка (от SSH, какъвто би бил случаят ни) за комуникация с машина 1 в нашата локална мрежа? Не забравяйте, че „отвън“ 3-те машини, въпреки че имат локални IP адреси, споделят един публичен IP адрес, чрез който се свързват към Интернет.

Решението на гореспоменатия проблем е пренасочване на портове. По този начин, когато се получат входящи връзки към порт X на нашия публичен IP, рутерът ще го насочи към съответната машина. По този начин, когато се свързваме през този порт, знаем, че рутерът ще ни пренасочи (следователно пренасочване на портове) към съответната машина. Всичко това, очевидно, трябва да бъде конфигурирано в рутера.

Конфигурацията за пренасочване на портове варира малко в зависимост от маршрутизатора, който използвате. Най-практично е да посетите portforward.com., изберете модела на рутера, който използвате, и следвайте стъпките, описани там.

Конфигурирайте клиента на Windows

За да се свържете от Windows е практично да използвате инструмента PuTTY като SSH клиент.

1.- Първата стъпка е да изтеглите PuTTY

Както можете да видите на страницата за изтегляне на PuTTY, има няколко налични версии. Препоръчвам да изтеглите преносимата версия на програмата: putty.exe. Предимството на избора на преносима версия е, че винаги можете да я носите със себе си на висящо устройство и да стартирате програмата от всеки компютър, където и да се намирате.

2.- Отворете PuTTY и посочете IP (публичен) и порт на сървъра, към който SSH клиентът трябва да се свърже. Как да разберете публичния IP на вашия сървър? Лесно, просто потърсете в Google „какъв е моят публичен ip“, за да намерите хиляди страници, които предлагат тази услуга.

3.- В случай, че "клиентът" стои зад прокси, не забравяйте да го конфигурирате правилно. В случай че не сте сигурни какви данни да въведете, отворете Internet Explorer и отидете на Инструменти> Връзки> Настройки на LAN> Разширени. Копирайте и поставете данните, които се появяват там в PuTTY, както се вижда на изображението по-долу. В някои случаи може да се наложи да въведете потребителско име и парола.

4.- Трябва да въведете данните за "локално" пренасочване на портове, за да изградите SSH тунела. Отидете на Connection> SSH> Tunnels. Тук идеята е следната, трябва да кажем на PuTTY кои връзки да "пренасочим" към нашия защитен сървър. За целта трябва да изберем порт.

Моята препоръка, особено ако машината е зад прокси, е да изберете порт 443, тъй като той е този, използван от SSL за осъществяване на сигурни връзки, което ще затрудни администратора да открие какво правите. От друга страна, порт 8080 е този, използван от HTTP (който не е „сигурна“ връзка), така че опитен мрежов администратор може да е подозрителен и дори да е блокирал порта за други видове връзки.

В Destination въведете отново IP на защитения сървър, последвано от двоеточие и порта, който сте отворили в точката, озаглавена "Конфигуриране на рутера" и във файла ~ / .ssh / config. Например 192.243.231.553:443.

Изберете Dynamic (което ще създаде SOCKS връзка, която ще използваме в следващата точка) и щракнете върху Add.

5.- Върнах се на главния екран на PuTTY, щракнах върху Запазване и след това Отвори. При първото свързване със сървъра ще се появи предупредително съобщение като това по-долу:

6.- След това ще поиска вашето потребителско име и парола с достъп до сървъра.

Ако всичко е минало добре, след като влезете, трябва да видите нещо като това, което виждате по-долу ...

7. - И накрая, без да затваряте PuTTY, отворете и конфигурирайте Firefox (или вашия любим браузър) да се свързва с интернет чрез PuTTY.