Korzystanie z przekierowania portów w SSH

protokół SSH ma możliwość przekazywania dowolnych połączeń sieciowych (TCP) przez zaszyfrowane połączenie SSH, aby uniknąć jasnego wysyłania ruchu sieciowego. Możesz na przykład użyć tego do połączenia z komputera domowego z serwerem POP-3 na zdalnym komputerze bez widocznego hasła POP-3 dla snifferów sieciowych.

aby użyć przekierowania portów do połączenia z komputera lokalnego do portu na zdalnym serwerze, musisz:

  • Wybierz numer portu na komputerze lokalnym, gdzie PuTTY powinien nasłuchiwać połączeń przychodzących. Istnieje prawdopodobieństwo, że liczba nieużywanych portów przekroczy 3000. (Możesz również użyć lokalnego adresu pętli zwrotnej tutaj; zobacz poniżej, aby uzyskać więcej informacji.)
  • teraz, zanim rozpoczniesz połączenie SSH, przejdź do Panelu tunele (patrz punkt 4.26). Upewnij się, że Przycisk opcji „lokalny” jest ustawiony. Wprowadź numer portu lokalnego w polu „port źródłowy”. Wprowadź nazwę hosta docelowego i numer portu w polu „Miejsce docelowe”, oddzielone dwukropkiem (na przykład popserver.example.com:110, aby połączyć się z serwerem POP-3).
  • teraz kliknij przycisk „Dodaj”. Szczegóły przekierowania portów powinny pojawić się w polu listy.

rozpocznij sesję i zaloguj się. (Przekierowanie portów nie będzie włączone, dopóki nie zalogujesz się; w przeciwnym razie łatwo byłoby przeprowadzić całkowicie anonimowe ataki sieciowe i uzyskać dostęp do czyjejkolwiek wirtualnej sieci prywatnej.) Aby sprawdzić, czy PuTTY poprawnie ustawiło przekierowanie portów, możesz zajrzeć do dziennika zdarzeń PuTTY (patrz sekcja 3.1.3.1). Powinno być coś takiego.:

2001-12-05 17:22:10 Local port 3110 forwarding to popserver.example.com:110

teraz, jeśli połączysz się z numerem portu źródłowego na lokalnym komputerze, powinieneś odkryć, że odpowiada on dokładnie tak, jakby była to usługa uruchomiona na komputerze docelowym. W tym przykładzie można skonfigurować klienta poczty e-mail tak, aby używał localhost:3110 jako serwera POP-3 zamiast popserver.example.com:110. (Oczywiście przekazywanie przestanie się odbywać po zamknięciu sesji PuTTY.)

możesz również przekazywać porty w innym kierunku: Ustaw konkretny numer portu na serwerze, który zostanie przekazany z powrotem do komputera jako połączenie z usługą na komputerze lub w jego pobliżu. Aby to zrobić, wystarczy wybrać przycisk radiowy „zdalny” zamiast „lokalny”. Okno 'port źródłowy’ będzie teraz określać numer portu na serwerze (zauważ, że większość serwerów nie pozwoli Ci używać numerów portów pod 1024 do tego celu).

alternatywnym sposobem przekazywania połączeń lokalnych do zdalnych hostów jest użycie dynamicznego proxy SOCKS. W tym trybie PuTTY działa jako serwer SOCKS, który programy obsługujące SOCKS mogą łączyć się i otwierać przekierowane połączenia do wybranego przez siebie miejsca docelowego, więc może to być alternatywa dla długich list statycznych forwardingów. Aby skorzystać z tego trybu, należy wybrać przycisk „dynamiczny” zamiast „lokalny”, a następnie nie należy niczego wpisywać w polu „Miejsce docelowe” (zostanie to zignorowane). PuTTY będzie nasłuchiwać połączeń SOCKS na określonym porcie. Większość przeglądarek internetowych można skonfigurować tak, aby łączyć się z tą usługą proxy SOCKS; możesz również przesyłać przez niego inne połączenia PuTTY, konfigurując Panel sterowania Proxy (szczegóły w sekcji 4.15).

port źródłowy dla przekierowanego połączenia zwykle nie akceptuje połączeń z dowolnego komputera z wyjątkiem samego klienta lub serwera SSH (odpowiednio dla lokalnego i zdalnego przesyłania). W Panelu tuneli znajdują się elementy sterujące, które mogą to zmienić:

  • opcja „porty lokalne akceptują połączenia z innych hostów” pozwala skonfigurować przesyłanie portów lokalnych do zdalnych (w tym przesyłanie dynamiczne) w taki sposób, aby Maszyny inne niż komputer kliencki mogły łączyć się z przekazywanym portem.
  • opcja 'zdalne porty robią to samo’ robi to samo w przypadku przesyłania zdalnego do lokalnego portu (tak, że Maszyny inne niż serwer SSH mogą łączyć się z przekazanym portem.) Zauważ, że ta funkcja jest dostępna tylko w protokole SSH-2 i nie wszystkie serwery SSH-2 ją honorują (na przykład w OpenSSH jest domyślnie wyłączona).

Możesz również określić adres IP do nasłuchiwania. Zazwyczaj komputer z systemem Windows może zostać poproszony o nasłuchiwanie na dowolnym pojedynczym adresie IP z zakresu 127.*.*.*, a wszystkie te adresy są adresami pętlowymi dostępnymi tylko dla komputera lokalnego. Jeśli więc przekierujesz (na przykład) 127.0.0.5:79 do portu finger zdalnej maszyny, powinieneś być w stanie uruchomić polecenia takie jak finger . Może to być użyteczne, jeśli program łączący się z przekazanym portem nie pozwala na zmianę numeru portu, którego używa. Funkcja ta jest dostępna dla portów przekazywanych od lokalnego do zdalnego; SSH – 1 nie jest w stanie obsługiwać jej dla portów zdalnie do lokalnego, podczas gdy SSH-2 może wspierać ją w teorii, ale serwery niekoniecznie będą współpracować.

(zwróć uwagę, że jeśli używasz dodatku Service Pack 2 systemu Windows XP, może być konieczne uzyskanie poprawki od firmy Microsoft, aby korzystać z adresów takich jak 127.0.0.5 – patrz pytanie A. 7.17.)

aby uzyskać więcej opcji dotyczących przekazywania portów, patrz punkt 4.26.

je ¶ li po3 ± czenie, które przesy3asz przez SSH jest drugim po3 ± czeniem SSH wykonanym przez inny egzemplarz PuTTY 'ego, mo ¿e siê przydaæ Opcja konfiguracji’ logical host name’, aby ostrzegaæ PuTTY ’ ego o tym, jakiego klucza hosta powinien siê spodziewaæ. Szczegółowe informacje na ten temat znajdują się w punkcie 4.13.5.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.