|
Idea membina a Terowong SSH adalah untuk menyulitkan semua sambungan (tidak kira, misalnya, jika anda pergi ke halaman https atau http) dan menyambung ke Internet melalui a saluran selamat. Saluran "selamat" ini tidak lebih daripada a pelayan dikonfigurasikan untuk tujuan ini. Pelayan ini mungkin, misalnya, di rumah anda. |
"Kelemahan" kaedah ini adalah bahawa anda selalu harus menghidupkan dan mengkonfigurasi mesin dengan betul agar berfungsi sebagai pelayan SSH, tetapi ia membolehkan anda meningkatkan keselamatan sambungan anda dan bahkan menghindari sekatan sambungan yang dikenakan oleh pentadbir rangkaian ( sebagai contoh, pekerjaan anda).
Saya dengar anda bertanya: bolehkah ini benar-benar membantu saya? Baiklah, mari kita anggap senario berikut: anda berada di kafe internet atau restoran dengan Wi-Fi percuma dan anda perlu membuat pindahan wang melalui bank atau operasi penting lain. Sudah tentu, selalu disyorkan untuk melakukan transaksi seperti ini dalam persekitaran yang selamat. Namun, ada jalan penyelesaian: terowong SSH. Dengan cara ini, kita dapat menyambung ke Internet melalui pelayan "selamat" kita.
Kaedah ini juga berguna untuk mengelakkan sekatan yang dikenakan pada sambungan di banyak persekitaran kerja. Tidak dapat mengakses YouTube dari tempat kerja? Nah, terowong SSH mungkin menjadi penyelesaiannya, kerana semua permintaan akan dibuat melalui pelayan "selamat" anda. Dengan kata lain, kerana IP pelayan selamat anda tidak disekat (ya, sebaliknya, YouTube), anda akan dapat "mengelakkan" sekatan ini (tidak dapat mengakses YouTube) kerana untuk pentadbir rangkaian syarikat anda mesin anda hanya bercakap dengan pelayan "selamat" anda dan tidak tahu bahawa melaluinya anda sebenarnya melayari banyak halaman.
Dalam tutorial ini kita akan menjelaskan kes "tipikal": pelayan Linux, klien Windows.
Konfigurasikan pelayan Linux
1.- Pasang pelayan SSH. Untuk melakukan ini, saya membuka terminal dan berlari:
En Ubuntu:
sudo apt-get install openssh-server
En Arch:
pacman -S terbuka
En Fedora:
yum -y pasang openssh-server
Sedia. Anda kini dapat mengakses Ubuntu (pelayan SSH) dengan klien SSH.
2.- Setelah dipasang, berguna untuk menyemak fail konfigurasi:
sudo nano / etc / ssh / sshd_config
Dari fail ini, anda akan dapat mengkonfigurasi pelayan SSH anda dengan selesa. Cadangan saya adalah untuk mengubah hanya 2 parameter: port dan allowusers.
Untuk mengelakkan kemungkinan serangan, disarankan untuk menukar port yang akan digunakan SSH. Secara lalai ia dilengkapi dengan nilai 22, anda boleh memilih yang lain yang paling sesuai dengan anda (untuk tujuan tutorial ini, kami memilih 443 tetapi boleh menjadi yang lain).
Parameter Allowusers membolehkan anda menyekat akses oleh pengguna dan, secara pilihan, host dari mana anda boleh menyambung. Contoh berikut menyekat akses ke pelayan SSH sehingga hanya pengguna yang boleh melakukannya dari hos 10.1.1.1 dan 10.2.2.1.
AllowUsers so and so@10.1.1.1 mengano@10.1.1.1 begitu dan begitu@10.2.2.1 mengano@10.2.2.1
Konfigurasikan penghala
Sekiranya pelayan anda berada di belakang penghala, perlu mengkonfigurasi yang terakhir agar tidak menyekat sambungan masuk. Lebih khusus lagi, anda perlu membuat konfigurasi.
Sebelum pergi ke inti dan menunjukkan konfigurasi yang diperlukan, nampaknya bijaksana untuk menjelaskan sedikit apa yang terdiri daripada pemajuan port.
Katakan anda mempunyai rangkaian 3 mesin tempatan, semuanya berada di belakang penghala. Bagaimana sambungan masuk (dari SSH, seperti halnya kita) untuk berkomunikasi dengan mesin 1 rangkaian tempatan kita? Jangan lupa bahawa "dari luar" 3 mesin tersebut, walaupun mereka mempunyai IP tempatan, berkongsi satu IP awam melalui mana mereka menyambung ke Internet.
Penyelesaian untuk masalah yang disebutkan di atas adalah penerusan port. Dengan cara ini, apabila sambungan masuk diterima ke port X IP awam kami, penghala akan merujuknya ke mesin yang sesuai. Dengan cara ini, setiap kali kita menyambung melalui port itu, kita tahu bahawa router akan mengarahkan kita (oleh itu port-forwarding) ke mesin yang sesuai. Semua ini, jelas, mesti dikonfigurasi dalam penghala.
Konfigurasi pemajuan port sedikit berbeza mengikut penghala yang anda gunakan. Yang paling praktikal adalah melawat portforward.com, pilih model penghala yang anda gunakan dan ikuti langkah-langkah yang dijelaskan di sana.
Konfigurasikan klien Windows
Untuk menyambung dari Windows, praktikal menggunakan alat PuTTY sebagai klien SSH.
1.- Langkah pertama ialah memuat turun PuTTY
Seperti yang anda lihat di halaman muat turun PuTTY, terdapat beberapa versi yang tersedia. Saya cadangkan memuat turun versi mudah alih program: putty.exe. Kelebihan memilih versi mudah alih ialah anda selalu dapat membawanya dengan pendrive dan menjalankan program dari komputer mana pun, di mana sahaja anda berada.
2.- Buka PuTTY dan tentukan IP (awam) dan port pelayan yang harus disambungkan oleh klien SSH. Bagaimana untuk mengetahui IP awam pelayan anda? Mudah, hanya google "apa ip awam saya" untuk mencari ribuan halaman yang menawarkan perkhidmatan ini.
3.- Sekiranya "pelanggan" berada di belakang proksi, jangan lupa untuk mengkonfigurasinya dengan betul. Sekiranya anda tidak pasti data apa yang hendak dimasukkan, buka Internet Explorer dan pergi ke Alat> Sambungan> Tetapan LAN> Lanjutan. Salin dan tampal data yang muncul di PuTTY, seperti yang terlihat pada gambar di bawah. Dalam beberapa kes, anda mungkin perlu memasukkan nama pengguna dan kata laluan.
4.- Perlu memasukkan data pemajuan pelabuhan "tempatan" untuk membina terowong SSH. Pergi ke Sambungan> SSH> Terowong. Inilah idea berikut, kita harus memberitahu PuTTY sambungan mana yang "dialihkan" ke pelayan selamat kita. Untuk melakukan ini, kita mesti memilih port.
Cadangan saya, terutamanya jika mesin berada di belakang proksi, adalah memilih port 443 kerana ia adalah yang digunakan oleh SSL untuk membuat sambungan selamat, yang akan menyukarkan pentadbir untuk mengetahui apa yang anda lakukan. Sebaliknya, port 8080 adalah yang digunakan oleh HTTP (yang bukan sambungan "selamat") jadi pentadbir rangkaian yang berpengalaman mungkin curiga dan bahkan telah menyekat port untuk jenis sambungan lain.
Di Destination, masukkan semula IP pelayan selamat, diikuti dengan titik dua dan port yang anda buka di titik bertajuk "Konfigurasikan penghala" dan dalam file ~ / .ssh / config. Contohnya, 192.243.231.553:443.
Pilih Dinamik (yang akan membuat sambungan SOCKS, yang akan kita gunakan pada titik seterusnya) dan klik Tambah.
5.- Saya kembali ke skrin PuTTY utama, mengklik Simpan dan kemudian Buka. Kali pertama anda menyambung ke pelayan, mesej amaran seperti yang di bawah akan muncul:
6.- Kemudian, ia akan meminta nama pengguna dan kata laluan anda dengan akses ke pelayan.
Sekiranya semuanya berjalan lancar, setelah log masuk selesai, anda akan melihat sesuatu seperti yang anda lihat di bawah ...
7.- Akhirnya, tanpa menutup PuTTY, buka dan konfigurasikan Firefox (atau penyemak imbas kegemaran anda) untuk menyambung ke Internet melalui PuTTY.
