La tunnellisation des données via SSH est assez simple:

ssh -D9999 [email protected]

configure le port 9999 sur votre localhosttunnel example.com, mais j’ai un besoin plus spécifique:

• Je travaille localement sur localhost
• host1 est accessible à localhost
• host2 accepte uniquement les connexions de host1
• Je dois créer un tunnel à partir localhostdehost2

Effectivement, je veux créer un tunnel SSH "multi-sauts". Comment puis-je faire ceci? Idéalement, j'aimerais le faire sans avoir besoin d'être superutilisateur sur aucune des machines.

Vous avez essentiellement trois possibilités:

1. Tunnel de localhostà host1:

   ssh -L 9999:host2:1234 -N host1
   

   Comme indiqué ci-dessus, la connexion de host1à host2ne sera pas sécurisée.

2. Tunnel de localhostla host1et de host1la host2:

   ssh -L 9999:localhost:9999 host1 ssh -L 9999:localhost:1234 -N host2
   

   Cela ouvrira un tunnel de localhostà host1et un autre tunnel de host1à host2. Cependant le port 9999à host2:1234peut être utilisé par tout le monde sur host1. Cela peut ou peut ne pas être un problème.

3. Tunnel de localhostla host1et de localhostla host2:

   ssh -L 9998:host2:22 -N host1
   ssh -L 9999:localhost:1234 -N -p 9998 localhost
   

   Cela ouvrira un tunnel de localhostà host1travers lequel le service SSH host2peut être utilisé. Ensuite, un deuxième tunnel est ouvert de localhostà host2travers le premier tunnel.

Normalement, je choisirais l'option 1. Si la connexion de host1à host2doit être sécurisée, choisissez l'option 2. L'option 3 est principalement utile pour accéder à un service host2accessible uniquement de host2lui-même.

Il existe une excellente réponse expliquant l'utilisation de la ProxyCommanddirective de configuration pour SSH :

Ajoutez ceci à votre ~/.ssh/config(voir man 5 ssh_configpour plus de détails):

Host host2
  ProxyCommand ssh host1 -W %h:%p

Puis ssh host2tunnel automatiquement à travers host1(fonctionne également avec le transfert X11, etc.).

Cela fonctionne également pour toute une classe d'hôtes, par exemple identifiée par le domaine:

Host *.mycompany.com
  ProxyCommand ssh gateway.mycompany.com -W %h:%p

Mise à jour

OpenSSH 7.3 introduit une ProxyJumpdirective, simplifiant le premier exemple pour

Host host2
  ProxyJump host1

OpenSSH v7.3 prend en charge un -Jcommutateur et une ProxyJumpoption, qui autorisent un ou plusieurs hôtes de saut séparés par des virgules. Vous pouvez donc le faire maintenant:

ssh -J jumpuser1@jumphost1,jumpuser2@jumphost2,...,jumpuserN@jumphostN user@host

Nous avons une passerelle SSH dans notre réseau privé. Si je suis à l'extérieur et que je veux un shell distant sur une machine à l'intérieur du réseau privé, je devrais me connecter à la passerelle et de là à la machine privée.

Pour automatiser cette procédure, j'utilise le script suivant:

#!/bin/bash
ssh -f -L some_port:private_machine:22 user@gateway "sleep 10" && ssh -p some_port private_user@localhost

Qu'est-ce qui se passe:

1. Établissez un tunnel pour le protocole ssh (port 22) vers la machine privée.
2. Seulement si cela réussit, ssh dans la machine privée en utilisant le tunnel. (L’opérateur && assure cela).
3. Après la fermeture de la session ssh privée, je souhaite également que le tunnel ssh se ferme. Cela se fait via l'astuce "sommeil 10". Habituellement, la première commande ssh se ferme au bout de 10 secondes, mais pendant ce temps, la deuxième commande ssh aura établi une connexion à l'aide du tunnel. Par conséquent, la première commande ssh maintient le tunnel ouvert jusqu'à ce que les deux conditions suivantes soient remplies: la mise en veille 10 est terminée et le tunnel n'est plus utilisé.

Après avoir lu ce qui précède et tout coller ensemble, j'ai créé le script Perl suivant (enregistrez-le sous le nom mssh dans / usr / bin et rendez-le exécutable):

#!/usr/bin/perl

$iport = 13021;
$first = 1;

foreach (@ARGV) {
  if (/^-/) {
    $args .= " $_";
  }
  elsif (/^((.+)@)?([^:]+):?(\d+)?$/) {
    $user = $1;
    $host = $3;
    $port = $4 || 22;
    if ($first) {
      $cmd = "ssh ${user}${host} -p $port -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no";
      $args = '';
      $first = 0;
    }
    else {
      $cmd .= " -L $iport:$host:$port";
      push @cmds, "$cmd -f sleep 10 $args";
      $cmd = "ssh ${user}localhost -p $iport -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no";
      $args = '';
      $iport ++;
    }
  }
}
push @cmds, "$cmd $args";

foreach (@cmds) {
  print "$_\n";
  system($_);
}

Usage:

Pour accéder à HOSTC via HOSTA et HOSTB (même utilisateur):

mssh HOSTA HOSTB HOSTC

Pour accéder à HOSTC via HOSTA et HOSTB et utiliser des numéros de port SSH autres que ceux par défaut et des utilisateurs différents:

mssh user1@HOSTA:1234 user2@HOSTB:1222 user3@HOSTC:78231

Pour accéder à HOSTC via HOSTA et HOSTB et utiliser le transfert X:

mssh HOSTA HOSTB HOSTC -X

Pour accéder au port 8080 sur HOSTC via HOSTA et HOSTB:

mssh HOSTA HOSTB -L8080:HOSTC:8080

Cette réponse est similaire à kynan, car elle implique l'utilisation de ProxyCommand. Mais il est plus pratique d'utiliser IMO.

Si vous avez installé netcat sur vos machines de saut, vous pouvez ajouter cet extrait à votre ~ / .ssh / config:

Host *+*
    ProxyCommand ssh $(echo %h | sed 's/+[^+]*$//;s/\([^+%%]*\)%%\([^+]*\)$/\2 -l \1/;s/:/ -p /') nc $(echo %h | sed 's/^.*+//;/:/!s/$/ %p/;s/:/ /')

ensuite

ssh -D9999 host1+host2 -l username

fera ce que vous avez demandé.

Je suis venu ici à la recherche du lieu d'origine où j'ai lu cette astuce. Je posterai un lien quand je le trouverai.

J'ai fait ce que je pense que tu voulais faire avec

ssh -D 9999 -J host1 host2

On me demande les deux mots de passe, puis je peux utiliser localhost: 9999 pour un proxy SOCKS vers host2. Je pense le plus près de l'exemple que vous avez montré en premier lieu.

ssh -L 9999:host2:80 -R 9999:localhost:9999 host1

-L 9999: hôte2: 80

Signifie bind to localhost: 9999 et tout paquet envoyé à localhost: 9999 le transfère à host2: 80

-R 9999: localhost: 9999

Désigne tout paquet reçu par host1: 9999 et renvoyé à localhost: 9999.

vous devriez pouvoir utiliser la redirection de port pour accéder à un service host2depuis localhost. Un bon guide se trouve ici . Extrait:

Il existe deux types de transfert de port: le transfert local et le transfert distant. Ils sont également appelés tunnels sortants et entrants, respectivement. La redirection de port local transfère le trafic arrivant sur un port local à un port distant spécifié.

Par exemple, si vous exécutez la commande

ssh2 -L 1234:localhost:23 username@host

tout le trafic arrivant sur le port 1234 du client sera transféré sur le port 23 du serveur (hôte). Notez que localhost sera résolu par le serveur sshdserver une fois la connexion établie. Dans ce cas, localhost fait donc référence au serveur (hôte) lui-même.

Le transfert de port distant a l'effet inverse: il transfère le trafic arrivant sur un port distant à un port local spécifié.

Par exemple, si vous exécutez la commande

ssh2 -R 1234:localhost:23 username@host

tout le trafic qui arrive au port 1234 sur le serveur (hôte) sera transféré au port 23 sur le client (localhost).

Dans votre distribution, remplacez localhostdans l'exemple avec host2et hostavec host1.

Dans cette réponse, je vais passer à travers un exemple concret. Il vous suffit de remplacer les noms d'hôte, noms d'utilisateur et mots de passe des ordinateurs par les vôtres.

Déclaration du problème

Supposons que nous ayons la topologie de réseau suivante:

our local computer <---> server 1 <---> server 2

Pour des raisons concrètes, supposons que nous possédons les noms d'hôte, noms d'utilisateur et mots de passe des ordinateurs suivants:

LocalPC            <--->  hostname: mit.edu         <---> hec.edu
                          username: bob                   username: john 
                          password: dylan123              password: doe456

Objectif: nous voulons configurer un proxy SOCKS qui écoute sur le port 9991de LocalPCsorte que chaque fois qu'une connexion LocalPCest établie à partir du port, 9991elle passe mit.eduensuite hec.edu.

Exemple de cas d'utilisation: hec.edudispose d'un serveur HTTP uniquement accessible sur http://127.0.0.1:8001 , pour des raisons de sécurité. Nous aimerions pouvoir visiter http://127.0.0.1:8001 en ouvrant un navigateur Web sur LocalPC.

Configuration

Dans LocalPC, ajoutez dans ~/.ssh/config:

Host HEC
    HostName hec.edu
    User john
    ProxyCommand ssh [email protected] -W %h:%p

Puis dans le terminal de LocalPC, lancez:

ssh -D9991 HEC

Il vous demandera le mot de passe de bobon mit.edu(ie dylan123), puis il vous demandera le mot de passe de johnon hec.edu(ie doe456).

À ce stade, le proxy SOCKS s'exécute maintenant sur le port 9991de LocalPC.

Par exemple, si vous souhaitez visiter une page Web sur l’ LocalPCutilisation du proxy SOCKS, vous pouvez le faire dans Firefox:

Quelques remarques:

• in ~/.ssh/config, HECest le nom de la connexion: vous pouvez le changer en tout ce que vous voulez.
• Le -D9991dit sshde configurer un proxy SOCKS4 sur le port 9991.

Si vous pouvez utiliser SSH sur les deux machines, jetez un œil à la directive ProxyCommand de ssh. Cela vous permettra de passer directement de localhost à host2 (en une seule commande si vous utilisez des clés publiques !!). Ensuite, vous pouvez faire ce que vous voulez avec host2.

http://www.statusq.org/archives/2008/07/03/1916/

L'option 2 de la meilleure réponse pourrait être utilisée avec des utilisateurs de ssh différents de l'actuel aka: utilisateur @ hôte

    export local_host_port=30000
    export host1_user=xyz
    export host1=mac-host
    export host1_port=30000
    export host2=192.168.56.115
    export host2_user=ysg
    export host2_port=13306

    # Tunnel from localhost to host1 and from host1 to host2
    # you could chain those as well to host3 ... hostn
    ssh -tt -L $local_host_port:localhost:$host1_port $host1_user@$host1 \
    ssh -tt -L $host1_port:localhost:$host2_port $host2_user@$host2

Dans mon cas j'ai fait

localhost$ ssh -D 9999 host1
host1$ ssh -L 8890:localhost:8890 host2

où host2:8890est exécuté sur un ordinateur portable Jupyter.

Ensuite, j'ai configuré Firefox pour l'utiliser en localhost:9999tant qu'hôte SOCKS.

Alors maintenant, le cahier est host2accessible sous Firefox à localhost:8890partir de mon ordinateur .

Les trois options mentionnées dans la réponse acceptée ne fonctionnaient pas du tout pour moi. Étant donné que je n'ai pas beaucoup de permission sur les deux hôtes, et que mon équipe DevOps a des règles assez strictes en matière d'authentification et de MFA. D'une certaine manière, les commandes ci-dessus ne peuvent pas bien fonctionner avec notre authentification.

Cependant, le contexte est très similaire aux réponses ci-dessus: je ne peux pas directement entrer en ssh dans le serveur de production et je dois faire 1 saut en utilisant un serveur de saut.

Encore une autre solution - une solution naïve

J'ai fini par le faire d'une manière très naïve: au lieu d'essayer d'exécuter toutes les commandes sur mon ordinateur portable, je lance les commandes sur chaque ordinateur , comme ci-dessous:

1. SSH dans votre serveur de saut, puis exécutez ssh -v -L 6969:localhost:2222 -N your-protected.dest.server. Si vous êtes invité à entrer un mot de passe, tapez-le.
2. Maintenant, sur votre ordinateur portable, lancez ssh -v -L 6969:localhost:6969 -N your-jump-server.host.name. Cela transmettra toute votre demande sur le port 6969 de votre ordinateur portable au serveur de saut. Puis tour à tour, puisque nous avons configuré à notre étape précédente, le serveur de saut transférera à nouveau les demandes du port 6969 au port 2222 sur le serveur de destination protégé.

Vous devriez voir la commande "se bloquer" après avoir imprimé un message - cela signifie qu'ils fonctionnent! Une exception - vous ne devriez pas voir le message d'erreur comme Could not request local forwarding., si vous voyez ça, alors il ne fonctionne toujours pas :(. Vous pouvez maintenant essayer de lancer une requête sur le port 6969 à partir de votre ordinateur portable et voir si cela fonctionne.

Si tout va bien si vous êtes quelqu'un qui a échoué toutes les méthodes ci-dessus, peut-être que vous pouvez essayer ceci.