použití přesměrování portů v SSH

protokol SSH má schopnost předávat libovolná síťová (TCP) připojení přes šifrované připojení SSH, aby se zabránilo odesílání síťového provozu v jasném. Můžete to například použít k připojení z domácího počítače k serveru POP-3 na vzdáleném počítači, aniž by vaše heslo POP-3 bylo viditelné pro síťové sniffery.

Chcete – li použít přesměrování portů pro připojení z místního počítače k portu na vzdáleném serveru, musíte:

  • Vyberte číslo portu na místním počítači, kde by měl PuTTY poslouchat příchozí připojení. Je pravděpodobné, že bude spousta nevyužitých čísel portů nad 3000. (Můžete také použít místní loopback adresu zde; viz níže pro více informací.)
  • nyní, než spustíte připojení SSH, přejděte na panel tunely (viz bod 4.26). Ujistěte se, že je nastaveno přepínač „místní“. Do pole „zdrojový port“ zadejte číslo místního portu. Zadejte název cílového hostitele a číslo portu do pole „Cíl“, oddělené dvojtečkou (například popserver.example.com:110 pro připojení k serveru POP-3).
  • Nyní klikněte na tlačítko „Přidat“. Podrobnosti o přesměrování portů by se měly objevit v seznamu.

Nyní spusťte relaci a přihlaste se. (Přesměrování portů nebude povoleno, dokud se nepřihlásíte; jinak by bylo snadné provádět zcela anonymní síťové útoky a získat přístup k virtuální privátní síti někoho.) Chcete-li zkontrolovat, zda PuTTY správně nastavil předávání portů, můžete se podívat na protokol událostí PuTTY (viz oddíl 3.1.3.1). Mělo by to říkat něco takového:

2001-12-05 17:22:10 Local port 3110 forwarding to popserver.example.com:110

Nyní, pokud se připojíte k číslu zdrojového portu v místním počítači, měli byste zjistit, že vám odpoví přesně, jako by to byla služba běžící na cílovém počítači. Takže v tomto příkladu můžete nakonfigurovat e-mailového klienta tak, aby používal localhost:3110 jako server POP-3 místo popserver.example.com:110. (Přeposílání se samozřejmě zastaví, když se vaše relace tmelu zavře.)

můžete také přeposílat porty v opačném směru: zajistěte, aby konkrétní číslo portu na serverovém počítači bylo předáno zpět do počítače jako připojení ke službě v počítači nebo v jeho blízkosti. Chcete-li to provést, stačí vybrat přepínač „vzdálené“ místo „místní“. Pole „zdrojový port“ nyní určí číslo portu na serveru (všimněte si, že většina serverů vám k tomuto účelu nedovolí používat čísla portů pod 1024).

alternativním způsobem, jak předávat místní připojení vzdáleným hostitelům, je použití dynamic socks proxying. V tomto režimu PuTTY funguje jako server SOCKS, ke kterému se programy socks-aware mohou připojit a otevřít přeposílaná připojení k cíli podle svého výběru, takže to může být alternativa k dlouhým seznamům statických předávání. Chcete-li použít tento režim, budete muset vybrat přepínač „Dynamic“ místo „Local“ a pak byste neměli zadávat nic do pole „Destination“ (bude ignorováno). PuTTY pak bude poslouchat ponožky připojení na portu, který jste zadali. Většina webových prohlížečů lze nakonfigurovat pro připojení k této službě SOCKS proxy; můžete také předat další připojení tmelu nastavením ovládacího panelu Proxy (podrobnosti viz část 4.15).

zdrojový port pro přeposlané připojení obvykle nepřijímá připojení z žádného počítače kromě samotného SSH klienta nebo serveru (pro místní a vzdálené předávání). V panelu tunelů jsou ovládací prvky, které to změní:

  • volba „místní porty přijímají připojení od jiných hostitelů“ umožňuje nastavit předávání portů z lokálního na vzdálený port (včetně dynamických předávání portů) tak, aby se k předávanému portu mohly připojit jiné počítače než váš klientský počítač.
  • volba „vzdálené porty dělají totéž“ dělá totéž pro předávání vzdálených portů na místní port (aby se k předanému portu mohly připojit jiné stroje než server SSH.) Všimněte si, že tato funkce je k dispozici pouze v protokolu SSH-2 a ne všechny servery SSH-2 ji ctí (například v OpenSSH je ve výchozím nastavení obvykle zakázána).

můžete také zadat IP adresu, na které chcete poslouchat. Typicky může být počítač se systémem Windows požádán o poslech na jakékoli jediné IP adrese v rozsahu 127.*.*.* a všechny tyto adresy jsou dostupné pouze pro místní počítač. Pokud tedy předáte (například) 127.0.0.5:79 na port finger vzdáleného počítače, měli byste být schopni spouštět příkazy jako finger . To může být užitečné, pokud program připojující se k předanému portu neumožňuje změnit číslo portu, které používá. Tato funkce je k dispozici pro přeposlané porty lokálně na dálku; SSH-1 ji nemůže podporovat pro vzdálené na místní porty, zatímco SSH-2 ji může teoreticky podporovat, ale servery nemusí nutně spolupracovat.

(Všimněte si, že pokud používáte Windows XP Service Pack 2, Možná budete muset získat opravu od společnosti Microsoft, abyste mohli používat adresy jako 127.0.0.5 – viz otázka a. 7.17 . )

další možnosti týkající se předávání portů viz bod 4.26.

pokud je spojení, které přeposíláte přes SSH, samo o sobě druhým připojením SSH vytvořeným jinou kopií PuTTY, můžete najít možnost konfigurace „logického názvu hostitele“, která je užitečná pro varování PuTTY, který hostitelský klíč by měl očekávat. Podrobnosti viz bod 4.13.5.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.