254 votes

port-zero avatar

Comment rendre un tunnel SSH accessible au public ?

Demandé el 28 de Avril, 2013
Quand la question a-t-elle été
179003 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

En se référant à こん J'exécute le programme ci-dessous via OpenSSH. (Client : Mac OS X 10.6 | Serveur : Linux Mint) Cependant, le port qui fait l'objet du tunnelage ne fonctionne pas publiquement :

ssh -R 8080:localhost:80 -N root@example.com
  • Le but est que le port local puisse être ouvert sur l'ordinateur distant.
  • Il semble que le côté distant se lie seulement sur localhost au lieu de toutes les interfaces
  • Cela fonctionne en ouvrant le port sur localhost sur l'ordinateur distant, mais lorsque j'essaie d'accéder à l'IP publique de l'ordinateur distant depuis mon ordinateur local, le port ne semble pas être ouvert.

Comment rendre le tunnel public sur l'IP pour que tout le monde puisse y accéder ?

Demandé el 28 de Avril, 2013 par port-zero

0 votes

Avatar de harrymc

Que signifie l'IP public ? Si vous essayez de vous connecter à un ordinateur local par le biais du routeur et via Internet, la plupart des routeurs n'autorisent pas un tel bouclage.

Commenté el 30 de Avril, 2013 par harrymc

Réponses

Trop de publicités?

480voto

JJ Wille avatar
JJ Wille Points 21

Si vous consultez la page de manuel de ssh, vous constaterez que la syntaxe de l'option -R lit :

\-R \[_bind\_address_:\]_port_:_host_:_hostport_

Lorsque _bind_address_ est omis (comme dans votre exemple), le port est lié à l'interface de bouclage uniquement. Pour qu'il soit lié à toutes les interfaces, utilisez

ssh -R \*:8080:localhost:80 -N root@example.com

ou

ssh -R 0.0.0.0:8080:localhost:80 -N root@example.com

ou

ssh -R "[::]:8080:localhost:80" -N root@example.com

La première version se lie à toutes les interfaces individuellement. La deuxième version crée une liaison générale IPv4-only, ce qui signifie que le port est accessible sur toutes les interfaces via IPv4. La troisième version est probablement équivalente à la première d'un point de vue technique, mais là encore, elle ne crée qu'une seule liaison à l'adresse suivante :: ce qui signifie que le port est accessible via IPv6 en mode natif et via IPv4 par l'intermédiaire d'un système d'exploitation. Adresses IPv4 mappées IPv6 (ne fonctionne pas sous Windows, OpenBSD).  (Vous avez besoin des guillemets car [::] pourrait être interprété comme un glob, sinon).

Notez que si vous utilisez OpenSSH sshd du serveur, le GatewayPorts L'option doit être activée ( clientspecified ou, dans de rares cas, à yes ) pour que cela fonctionne (vérifier le fichier /etc/ssh/sshd_config sur le serveur). Sinon (la valeur par défaut de cette option est no ), le serveur forcera toujours le port à être lié sur l'interface de bouclage uniquement.

Répondu el 6 de Mai, 2013 par JJ Wille (21 Points )

17 votes

Avatar de port-zero

OH MON DIEU ÇA A MARCHÉ !!!!! J'ai fait exactement ça 1 million de fois ! !! J'ai juste oublié que * dans bash va donner des fichiers et j'avais besoin de \*

Commenté el 6 de Mai, 2013 par port-zero

1 votes

Avatar de port-zero

Je me sens tellement stupide maintenant ! Mais merci !

Commenté el 6 de Mai, 2013 par port-zero

6 votes

Avatar de JJ Wille

Ouais, c'est exactement pourquoi je préfère toujours 0.0.0.0 - c'est seulement IPv4, mais ça fera l'affaire la plupart du temps :)

Commenté el 6 de Mai, 2013 par JJ Wille
Afficher 20 autres commentaires

47voto

Kurt Pattyn avatar
Kurt Pattyn Points 1650

編集する。

-g fonctionne pour les ports transférés locaux, mais ce que vous voulez est un port transféré inverse/à distance, ce qui est différent.

Ce que vous voulez, c'est ce .

Essentiellement, sur example.com ensemble GatewayPorts=clientspecified en /etc/ssh/sshd_config .

--- réponse précédente (incorrecte) ---

Utilisez l'option -g. Extrait de la page de manuel de ssh :

-g     Allows remote hosts to connect to local forwarded ports.
Répondu el 28 de Avril, 2013 par Kurt Pattyn (1650 Points )

0 votes

Avatar de port-zero

Ça ne semble pas fonctionner... ça démarre mais je ne peux pas me connecter à distance.

Commenté el 28 de Avril, 2013 par port-zero

2 votes

Avatar de Kurt Pattyn

Essayez d'exécuter netstat -elnpt à partir d'un autre terminal pour savoir quels ports sont liés à quelle adresse. Sans -g un port doit être lié à 127.0.0.1:PORT . Avec -g il doit être lié à 0.0.0.0:PORT ce qui le rend accessible à distance.

Commenté el 28 de Avril, 2013 par Kurt Pattyn

0 votes

Avatar de port-zero

pastebin.com/q6f4kJyd

Commenté el 28 de Avril, 2013 par port-zero
Afficher 4 autres commentaires

19voto

Miguel Ping avatar
Miguel Ping Points 352

Voici ma réponse pour compléter :

J'ai fini par utiliser ssh -R ... pour le tunnelage, et en utilisant socat en plus de cela pour rediriger le trafic réseau vers 127.0.0.1 :

tunnel lié à 127.0.0.1 : ssh -R mitm:9999:<my.ip>:8084 me@mitm

socat : mitm$ socat TCP-LISTEN:9090,fork TCP:127.0.0.1:9999

L'autre option est de faire un tunnel local seulement par dessus, mais je trouve ceci beaucoup plus lent

mitm$ ssh -L<mitm.ip.address>:9090:localhost:9999 localhost

Répondu el 29 de Octobre, 2013 par Miguel Ping (352 Points )

0 votes

Avatar de Loke

J'aime le fait que je n'ai pas à m'occuper de la configuration de sshd et que je peux faire tout cela sans sudo. De plus, j'apprends que socat existe. Merci !

Commenté el 12 de Juin, 2014 par Loke

2 votes

Avatar de Jaime

+Allez-y, mon bon monsieur. J'ai essayé de dire à ssh de se lier à 0.0.0.0 sans succès puis j'ai vu la syntaxe *, j'ai essayé, sans succès. J'imagine qu'il peut s'agir d'une sorte de fonction de sécurité dans la configuration de sshd ou quelque chose qui ne l'autorise pas. J'ai finalement vu ce message et socat a fonctionné de manière impressionnante. Super utile, je le mets dans ma poche arrière ;]

Commenté el 25 de Juin, 2019 par Jaime

17voto

panticz avatar
panticz Points 271

Vous pouvez également utiliser un double forward si vous ne voulez ou ne pouvez pas modifier /etc/ssh/sshd_config.

Transférer d'abord vers un port temporaire (par exemple 10080) sur le périphérique loopback de la machine distante, puis utiliser le transfert local pour rediriger le port 10080 vers 80 sur toutes les interfaces :

ssh -A -R 10080:localhost_or_machine_from:80 user@remote.tld "ssh -g -N -L 80:localhost:10080 localhost"
Répondu el 2 de Août, 2016 par panticz (271 Points )

4 votes

Avatar de 夏期劇場

Cela fonctionne en fait pour contourner les règles de redirection !

Commenté el 3 de Décembre, 2016 par 夏期劇場

1 votes

Avatar de Grezzo

J'adore cette solution. C'est un excellent moyen de contourner le problème lorsque vous ne voulez pas modifier la configuration de la machine.

Commenté el 18 de Août, 2017 par Grezzo

0 votes

Avatar de Krishna Bear

Ça marche, mais je ne sais pas pourquoi ça marche.

Commenté el 30 de Janvier, 2022 par Krishna Bear

8voto

Breezeight avatar
Breezeight Points 499

Utilisez l'option "ports de passerelle".

ssh -g -R REMOTE_PORT:HOST:PORT ...

Pour l'utiliser, vous devrez probablement ajouter " GatewayPorts yes "dans le répertoire de votre serveur /etc/ssh/sshd_config .

Répondu el 28 de Avril, 2013 par Breezeight (499 Points )

0 votes

Avatar de E.T

En fait, ça a marché. Ce que je fais, c'est que j'utilise une instance EC2 comme transitaire vers mon serveur REST. De cette façon, je n'ai pas besoin de placer mon serveur dans la DMZ et je n'ai pas besoin d'une IP publique. C'est drôle, avec la première instance EC2 que j'ai créée, ssh -R remote_port:localhost:port xxx@ec2xxx a bien fonctionné, mais j'ai dû créer une autre instance plus tard pour une raison quelconque et à partir de ce moment-là, j'obtenais toujours : connexion refusée. J'ai utilisé tcpdump pour voir ce que je recevais et il n'y avait pas beaucoup d'informations. L'option -g plus GatewayPorts yes a fait l'affaire.

Commenté el 24 de Janvier, 2017 par E.T

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X