Diferencia entre revisiones de «Tunneling Vía SSH»

De FJWiki
Saltar a: navegación, buscar
Línea 20: Línea 20:
 
== Ejemplos ==
 
== Ejemplos ==
  
=== Caso 1: Permitir entrada externa a una máquina detrás de un proxy ===
+
=== Caso 1: Permitir entrada externa a una máquina en una red privada ===
  
Digamos que estamos en "A", en una red privada detrás de un "proxy" (o gateway, o lo que hubiera), y necesitamos entrar desde una máquina externa "C".
+
Digamos que estamos en "A", en una red privada detrás de un "proxy" (o gateway, o lo que hubiera), y necesitamos copiar archivos y entrar desde una máquina externa "C". Se necesita tener acceso a C.
  
 
<source>
 
<source>
Línea 30: Línea 30:
 
</source>
 
</source>
  
En "A" podría ejecutarse el siguiente comando:
+
En "A" podría ejecutarse el siguiente comando (si el acceso es vía el puerto 22, si no fuera así usar la opción <tt>-p #puerto-para-llegar-a-C</tt>):
  
 
<source>
 
<source>
Línea 41: Línea 41:
 
[usuarioC@C ~]$ ssh -p 8022 usuarioA@127.0.0.1
 
[usuarioC@C ~]$ ssh -p 8022 usuarioA@127.0.0.1
 
</source>
 
</source>
 +
 +
Ahí lo que se hizo fue crear un túnel entre el puerto 8022 en C hacia el 22 en A.
  
 
Hay que tener en cuenta que al no especificar el <tt>bind_address</tt> en la opción <tt>-R</tt> se está abriendo el puerto remoto sólo en "localhost". Además, si se quieren abrir puertos privilegiados hay que tener los privilegios de root o que la configuración del sshd permita eso.
 
Hay que tener en cuenta que al no especificar el <tt>bind_address</tt> en la opción <tt>-R</tt> se está abriendo el puerto remoto sólo en "localhost". Además, si se quieren abrir puertos privilegiados hay que tener los privilegios de root o que la configuración del sshd permita eso.
  
 
[[Category:Tips]]
 
[[Category:Tips]]

Revisión del 16:13 28 abr 2009

Motivación

¿Cuántas veces hemos necesitado conectarnos a máquinas detrás de proxys en forma directa? ¿Sólo hay salida de algunos puertos y se necesitan pasar algunos servicios extra en un momento particular? Estas cuestiones se pueden resolver fácilmente con SSH, que usando la implementación de OpenSSH permite hacer túneles de puertos específicos hacia hosts específicos. Para hacer un proxy "genérico" pueden ver Proxy Vía SSH.

Sintáxis

La sintaxis que necesitamos conocer del SSH necesaria para el tunneling es la siguiente (sacada del man ssh(1)):

# ssh [-p port]
      [-L [bind_address:]port:host:hostport]
      [-R [bind_address:]port:host:hostport]
      [user@]hostname [command]

La opción -p nos permite especificar un puerto de conexión de ssh distinto al estándar.

La opción -L nos permite crear un puente entre el puerto local port (siempre visto desde el cliente) hacia host:hostport abierto en el servidor ssh.

La opción -R nos permite crear un puente entre el puerto remoto port hacia host:hostport abierto desde el cliente.

Ejemplos

Caso 1: Permitir entrada externa a una máquina en una red privada

Digamos que estamos en "A", en una red privada detrás de un "proxy" (o gateway, o lo que hubiera), y necesitamos copiar archivos y entrar desde una máquina externa "C". Se necesita tener acceso a C.

+-+                               +-+
|A| ---> Proxy <--> internet <--> |C|
+-+                               +-+

En "A" podría ejecutarse el siguiente comando (si el acceso es vía el puerto 22, si no fuera así usar la opción -p #puerto-para-llegar-a-C):

[usuarioA@A ~]$ ssh -R 8022:localhost:22 usuarioC@C

Esto permitirá que desde C se pueda ejecutar lo siguiente para copiar archivos o loguearse vía ssh en A:

[usuarioC@C ~]$ scp -P 8022 /origen usuarioA@127.0.0.1:/destino
[usuarioC@C ~]$ ssh -p 8022 usuarioA@127.0.0.1

Ahí lo que se hizo fue crear un túnel entre el puerto 8022 en C hacia el 22 en A.

Hay que tener en cuenta que al no especificar el bind_address en la opción -R se está abriendo el puerto remoto sólo en "localhost". Además, si se quieren abrir puertos privilegiados hay que tener los privilegios de root o que la configuración del sshd permita eso.