কীভাবে বিপরীত এসএসএইচ টানেলিং কাজ করে?

আমি এটি বুঝতে পেরে ফায়ারওয়ালস (ডিফল্ট সেটিংস ধরে ধরে) আগত সমস্ত ট্র্যাফিকের অস্বীকার করে যা পূর্বে সম্পর্কিত বহির্গামী ট্র্যাফিকের নয়।

একটি এসএসএস সংযোগ এবং এসএসএইচ টানেলিং মেড ইজিকে রিভার্সিংয়ের ভিত্তিতে , বিপরীত এসএসএইচ টানেলিংটি পেস্কি ফায়ারওয়াল বিধিনিষেধের কাছাকাছি পেতে ব্যবহার করা যেতে পারে।

আমি একটি দূরবর্তী মেশিনে শেল কমান্ডগুলি কার্যকর করতে চাই। রিমোট মেশিনটির নিজস্ব ফায়ারওয়াল রয়েছে এবং একটি অতিরিক্ত ফায়ারওয়াল (রাউটার) এর পিছনে রয়েছে। এটির আইপি ঠিকানা রয়েছে 192.168.1.126 (বা এর মতো কিছু)। আমি কোনও ফায়ারওয়ালের পিছনে নেই এবং ইন্টারনেট থেকে দেখা হিসাবে আমি দূরবর্তী মেশিনের আইপি ঠিকানা জানি (192.168.1.126 ঠিকানা নয়)। অতিরিক্তভাবে, আমি কাউকে ssh (something)প্রথমে রিমোট মেশিনে রুট হিসাবে চালিত করতে বলতে পারি ।

কেউ আমাকে ধাপে ধাপে কীভাবে ব্যাখ্যা করতে পারে, কীভাবে বিপরীত এসএসএইচ টানেলিং ফায়ারওয়ালগুলি (স্থানীয় এবং দূরবর্তী মেশিনগুলির ফায়ারওয়ালগুলি এবং তাদের মধ্যে অতিরিক্ত ফায়ারওয়াল) কাছাকাছি পেতে কাজ করে?

সুইচ (ভূমিকা কী -R, -f, -L, -N)?

আমি ভিজ্যুয়ালাইজেশনের মাধ্যমে এই জাতীয় জিনিসটি ব্যাখ্যা করতে পছন্দ করি। :-)

আপনার এসএসএইচ সংযোগগুলি টিউব হিসাবে ভাবেন। বড় টিউব। সাধারণত, আপনি এই টিউবগুলির মাধ্যমে একটি রিমোট কম্পিউটারে শেল চালানোর জন্য পৌঁছে যাবেন। শেলটি ভার্চুয়াল টার্মিনালে চালিত হয় (tty)। তবে আপনি এই অংশটি ইতিমধ্যে জানেন।

একটি নল মধ্যে নল হিসাবে আপনার টানেল মনে। আপনার কাছে এখনও বড় এসএসএইচ সংযোগ রয়েছে, তবে -L বা -R বিকল্পের সাহায্যে আপনি এর ভিতরে একটি ছোট টিউব সেট আপ করতে পারেন।

প্রতিটি নলের শুরু এবং শেষ থাকে। বড় টিউব, আপনার এসএসএইচ সংযোগটি আপনার এসএসএইচ ক্লায়েন্টের সাথে শুরু হয়েছিল এবং আপনি যে এসএসএইচ সার্ভারের সাথে সংযুক্ত হয়েছিলেন তা শেষ হয়। সমস্ত ছোট টিউবগুলির একই সমাপ্তি রয়েছে, "স্টার্ট" বা "শেষ" এর ভূমিকা নির্ধারিত হয় আপনি সেগুলি তৈরি করতে -Lবা -R(যথাক্রমে) ব্যবহার করেছেন কিনা by

(আপনি বলেন নি, তবে আমি ধরে নিচ্ছি যে আপনি যে "রিমোট" মেশিনটি উল্লেখ করেছেন, ফায়ারওয়ালের পেছনের একটি, নেটওয়ার্ক অ্যাড্রেস ট্রান্সলেশন (এনএটি) ব্যবহার করে ইন্টারনেট অ্যাক্সেস করতে পারে This এটি একরকম গুরুত্বপূর্ণ, তাই তাই মিথ্যা হলে অনুমানটি সংশোধন করুন))

আপনি যখন কোনও টানেল তৈরি করেন, আপনি একটি ঠিকানা এবং পোর্ট নির্দিষ্ট করে দিন যার উপরে এটি উত্তর দেবে এবং একটি ঠিকানা এবং পোর্ট যার কাছে এটি সরবরাহ করা হবে specify -Lবিকল্প সুড়ঙ্গ সুড়ঙ্গ (হোস্ট আপনার ক্লায়েন্ট চলমান) স্থানীয় পাশ উত্তর দিতে বলে। -Rবিকল্প সুড়ঙ্গ দূরবর্তী সাইড (SSH সার্ভারের) এ উত্তর দিতে বলে।

সুতরাং ... ইন্টারনেট থেকে একটি ফায়ারওয়ালের পিছনে একটি মেশিনে এসএসএইচ করতে সক্ষম হতে আপনার বাইরের বিশ্বের সাথে একটি এসএসএইচ সংযোগ খোলার জন্য প্রশ্নযুক্ত মেশিনের প্রয়োজন এবং একটি -Rটানেল অন্তর্ভুক্ত করুন যার "প্রবেশ" পয়েন্টটি "রিমোট" পাশের তার সংযোগ।

উপরে প্রদর্শিত দুটি মডেলের মধ্যে আপনি ডানদিকে একটি চান want

আগুনওয়ালা হোস্ট থেকে:

ssh -f -N -T -R22222:localhost:22 yourpublichost.example.com

এটি আপনার ক্লায়েন্টকে -Rইমোট এন্ট্রি পয়েন্ট সহ একটি টানেল স্থাপন করতে বলে । টানেলের শেষ প্রান্তে 22222 বন্দরটির সাথে সংযুক্ত যে কোনও কিছুই আসলে "লোকালহোস্ট পোর্ট 22" এ পৌঁছে যাবে, যেখানে "লোকালহোস্ট" টানেলের প্রস্থান বিন্দুর (যেমন আপনার এসএস ক্লায়েন্ট) দৃষ্টিকোণ থেকে।

অন্যান্য বিকল্পগুলি হ'ল:

• -f এটি প্রমানের পরে এসএসএসকে ব্যাকগ্রাউন্ডে নিজেই বলে দেয়, তাই টানেলটি বেঁচে থাকার জন্য আপনাকে রিমোট সার্ভারে কিছু চালনা করে বসে থাকতে হবে না।
• -Nবলে যে আপনি একটি এসএসএইচ সংযোগ চান, তবে আপনি আসলে কোনও রিমোট কমান্ড চালাতে চান না। আপনার তৈরি করা সমস্ত কিছু যদি একটি টানেল হয় তবে এই বিকল্পটি সহ সম্পদ সংরক্ষণ করে।
• -T সিউডো-টিটি বরাদ্দ অক্ষম করে, যা উপযুক্ত কারণ আপনি কোনও ইন্টারেক্টিভ শেল তৈরি করার চেষ্টা করছেন না।

আপনি পাসওয়ার্ডবিহীন লগইনের জন্য ডিএসএ বা আরএসএ কী সেট আপ না করেই একটি পাসওয়ার্ড চ্যালেঞ্জ থাকবে।

মনে রাখবেন যে আপনি কেবল এই টানেল / গ্রাহক / সার্ভারের জন্য সেট আপ করেছেন এমন একটি নিক্ষেপ অ্যাকাউন্ট (আপনার নিজস্ব লগইন নয়) ব্যবহার করার জন্য এটি দৃ recommended়ভাবে প্রস্তাবিত।

এখন, আপনারপিউলিচোস্টে আপনার শেল থেকে , টানেলের মাধ্যমে ফায়ারওয়াল্ড হোস্টের সাথে একটি সংযোগ স্থাপন করুন:

ssh -p 22222 username@localhost

আপনি একটি হোস্ট কী চ্যালেঞ্জ পাবেন, কারণ আপনি সম্ভবত আগে কখনও এই হোস্টটিকে আঘাত করবেন না। তারপরে আপনি usernameঅ্যাকাউন্টের জন্য একটি পাসওয়ার্ড চ্যালেঞ্জ পাবেন (যদি না আপনি পাসওয়ার্ডবিহীন লগইনের জন্য কীগুলি সেট না করেন)।

আপনি যদি নিয়মিতভাবে এই হোস্টটিতে অ্যাক্সেস করতে চলেছেন তবে আপনি নিজের ~/.ssh/configফাইলে কয়েকটি লাইন যুক্ত করে অ্যাক্সেসও সহজ করতে পারেন :

host remotehostname
    User remoteusername
    Hostname localhost
    Port 22222

সামঞ্জস্য করুন remotehostnameএবং remoteusernameমামলা অনুসারে। remoteusernameক্ষেত্র দূরবর্তী সার্ভারে আপনার ব্যবহারকারী নাম মেলানো, কিন্তু remotehostnameকোনো হোস্টনাম আপনি suits যে হতে পারে, এটা কোন কিছুই সমাধানযোগ্য মেলে নেই।

(কোনও লোকালহোস্ট আইপিতে বিপরীত শেষ পয়েন্টটি প্রকাশ করতে , এই পোস্টটি দেখুন )

আমি কিছু স্কেচ আঁকা করেছি

মেশিন, যেখানে SSH টানেল কমান্ড টাইপ বলা হয় »আপনার হোস্ট« ।

ভূমিকা

1. স্থানীয়: -L Specifies that the given port on the local (client) host is to be forwarded to the given host and port on the remote side.

   ssh -L sourcePort:forwardToHost:onPort connectToHostএর অর্থ: ssh এর সাথে সংযোগ স্থাপন করুন এবং মেশিন থেকে পৌঁছানো যায় এমন মেশিনে পোর্ট connectToHostকরার জন্য স্থানীয়ভাবে সমস্ত সংযোগের প্রচেষ্টা sourcePortপ্রেরণ onPortকরুন ।forwardToHostconnectToHost

2. দূরবর্তী: -R Specifies that the given port on the remote (server) host is to be forwarded to the given host and port on the local side.

   ssh -R sourcePort:forwardToHost:onPort connectToHostএর অর্থ: ssh এর সাথে সংযোগ স্থাপন করুন এবং মেশিনের রিমোটে পোর্টে connectToHostসমস্ত সংযোগের প্রচেষ্টা প্রেরণ করুন , যা আপনার স্থানীয় মেশিন থেকে পৌঁছানো যেতে পারে। sourcePortonPortforwardToHost

অতিরিক্ত বিকল্প

• -f এটি প্রমানের পরে এসএসএসকে ব্যাকগ্রাউন্ডে নিজেই বলে দেয়, তাই টানেলটি বেঁচে থাকার জন্য আপনাকে রিমোট সার্ভারে কিছু চালনা করে বসে থাকতে হবে না।
• -Nবলে যে আপনি একটি এসএসএইচ সংযোগ চান, তবে আপনি আসলে কোনও রিমোট কমান্ড চালাতে চান না। আপনার তৈরি করা সমস্ত কিছু যদি একটি টানেল হয় তবে এই বিকল্পটি সহ সম্পদ সংরক্ষণ করে।
• -T সিউডো-টিটি বরাদ্দ অক্ষম করে, যা উপযুক্ত কারণ আপনি কোনও ইন্টারেক্টিভ শেল তৈরি করার চেষ্টা করছেন না।

আপনার উদাহরণ

তৃতীয় চিত্রটি এই টানেলের প্রতিনিধিত্ব করে। তবে »আপনার হোস্ট called নামক নীল কম্পিউটারটি এমন কম্পিউটারের প্রতিনিধিত্ব করে যেখানে কেউ এসএস টানেল শুরু করে, এক্ষেত্রে ফায়ারওয়াল্ড মেশিন।

সুতরাং, কাউকে আপনার মেশিনে একটি এসএসএস টানেল সংযোগ শুরু করতে বলুন । কমান্ডটি মূলত দেখতে হবে

ssh -R 12345:localhost:22 YOURIP

এখন টানেলটি খোলা হয়েছে। আপনি এখন কমান্ডটি দিয়ে টানেলের মাধ্যমে ফায়ারওয়াল্ড মেশিনের মাধ্যমে এসএসএসের মাধ্যমে সংযোগ স্থাপন করতে পারেন

ssh -p 12345 localhost

যা localhostবন্দরে আপনার নিজের (আপনার মেশিন) সাথে সংযুক্ত হবে 12345, তবে পোর্টটি 12345টানেলের মাধ্যমে ফায়ারওয়াল্ড কম্পিউটারের (যেমন ফায়ারওয়াল্ড কম্পিউটার নিজেই) লোকালহোস্টের 22 পোর্টে এগিয়ে দেওয়া হয়।

অতিরিক্ত ট্র্যাফিক প্রেরণের জন্য ইতিমধ্যে প্রতিষ্ঠিত ssh সংযোগটি ব্যবহার করে ssh টানেলিং কাজ করে।

আপনি যখন কোনও রিমোট সার্ভারের সাথে সংযুক্ত হন, আপনার সাধারণত সাধারণ ব্যবহারকারীর মিথস্ক্রিয়াটির জন্য কেবলমাত্র 1 টি চ্যানেল থাকে (বা আপনি STDIN / STDOUT / STDERR আলাদা বিবেচনা করলে 3 টি চ্যানেল)। যে কোনও সময় স্থানীয় বা দূরবর্তী ssh প্রক্রিয়া বিদ্যমান সংযোগে অতিরিক্ত চ্যানেল খুলতে পারে। এই চ্যানেলগুলি পরে টানেল ট্র্যাফিক প্রেরণ / গ্রহণ করে। কোনও ট্র্যাফিক প্রেরণ বা গ্রহণ করার সময়, ssh প্রক্রিয়াটি কেবল "এই ট্র্যাফিকটি চ্যানেল ফুবারের জন্য" বলে।

এটি মূলত এটির মতো কাজ করে:

1. আপনি ssh কে বলছেন যে XXXXX বন্দরটি শুনতে শুরু করুন এবং যে কোনও ট্র্যাফিকের সুরক্ষা তৈরি করা উচিত এবং তারপরে ZZZZ বন্দরে YYYY এ সেট করা উচিত।
2. স্থানীয় এসএসএক্স XXXX বন্দরটিতে শুনতে শুরু করে (সাধারণত চালু থাকে 127.0.0.1তবে পরিবর্তন করা যায়)।
3. কিছু অ্যাপ্লিকেশন স্থানীয় মেশিনে XXXX বন্দরটিতে একটি সংযোগ খোলে।
4. স্থানীয় ssh দূরবর্তী ssh এ একটি চ্যানেল খোলে এবং বলে "এই চ্যানেলে যে কোনও ট্র্যাফিক YYYY এ যায়: ZZZZ
5. রিমোট ssh YYYY এর সাথে সংযোগ স্থাপন করে: ZZZZ এবং "ওকে, চ্যানেলটি খোলা আছে" ফেরত পাঠায়
6. এখন স্থানীয় মেশিনে XXXX বন্দর সংযোগের সাথে প্রেরিত যে কোনও ট্র্যাফিকের সাথে ssh দ্বারা YYYY: ZZZZ এ প্রক্সড করা হবে।

এই প্রক্রিয়াটি উভয় ফরোয়ার্ড এবং বিপরীত টানেলিংয়ের জন্য হুবহু একই (উপরের পদ্ধতিতে কেবল 'স্থানীয়' এবং 'রিমোট' শব্দের পরিবর্তন করে)। উভয় পক্ষই টানেলটি শুরু করতে পারে। এমনকি আপনি যখন প্রথম ssh শুরু করবেন তখন এটিও হবে না। এসএসএস ইতিমধ্যে চলার সময় আপনি টানেলগুলি খুলতে পারেন (দেখুন ESCAPE CHARACTERS, বিশেষভাবে দেখুন ~C)।

ভূমিকার জন্য -R, -f, -L, এবং -N, আপনি কি সত্যিই মানুষের পৃষ্ঠা পরামর্শ করা উচিত, আপনার সম্ভাব্য সর্বোত্তম ব্যাখ্যা দেয়। তবে আমি উল্লেখ করব -Rএবং -L।
-Rদূরবর্তী ssh কে সংযোগ শোনার জন্য এবং স্থানীয় ssh কে আসল গন্তব্যের সাথে সংযুক্ত করার কথা বলে। -Lস্থানীয় ssh কে সংযোগ শোনার জন্য বলে, এবং সেই দূরবর্তী এসএসএসকে আসল গন্তব্যের সাথে সংযুক্ত করা উচিত।

দ্রষ্টব্য, এটি একটি অত্যন্ত অদ্ভুত বিবরণ, তবে এটি কী চলছে তা জানার জন্য আপনাকে যথেষ্ট তথ্য দেওয়া উচিত

এটি এসএসএইচ ম্যানুয়ালটিতে ব্যাখ্যা করা হয়েছে, বিশেষত -L(স্থানীয়) এবং -R(দূরবর্তী) মধ্যে পার্থক্য ।

-L

-L [bind_address:]port:host:hostport

নির্দিষ্ট করে যে স্থানীয় (ক্লায়েন্ট) হোস্টের প্রদত্ত পোর্টটি দূরবর্তী দিকের প্রদত্ত হোস্ট এবং পোর্টে ফরোয়ার্ড করতে হবে ।

এটি স্থানীয় দিকে পোর্ট শোনার জন্য একটি সকেট বরাদ্দ করে কাজ করে allyচ্ছিকভাবে নির্দিষ্ট বাইন্ড_ড্রেসের সাথে আবদ্ধ।

এই বন্দরের সাথে যখনই কোনও সংযোগ তৈরি করা হয়, সুরক্ষা চ্যানেলের মাধ্যমে সংযোগটি ফরোয়ার্ড করা হয়, এবং একটি সংযোগ দূরবর্তী মেশিন থেকে পোর্ট করারhosthostport জন্য তৈরি করা হয় ।

নিম্নলিখিত উদাহরণটি ক্লায়েন্ট মেশিন 127.0.0.1( localhost) থেকে দূরবর্তী সার্ভারে 1234 পোর্ট ব্যবহার করে একটি আইআরসি সেশনটি সুড়ঙ্গ করেছে server.example.com:

$ ssh -f -L 1234:localhost:6667 server.example.com sleep 10

^{দ্রষ্টব্য: -fঅপশন ব্যাকগ্রাউন্ড ssh এবং রিমোট কমান্ড sleep 10নির্দিষ্ট সময় নির্দিষ্টভাবে পরিষেবাটি শুরু করার জন্য নির্দিষ্ট করা হয়েছে যা টানেল করা হবে।}

উদাহরণ:

ssh `-N` -L 22000:localhost:11000 remote.server.com

• -N আপনি সেখানে সংযুক্ত হওয়ার পরে কেবল সেখানে স্তব্ধ হয়ে যান (আপনি কোনও শেল প্রম্পট পাবেন না)

  রিমোট কমান্ড প্রয়োগ করবেন না।

• -L 22000সংযোগটি আপনার ব্যক্তিগত, এল ocal মেশিনের 22000 পোর্টে উত্পন্ন হবে

• localhost:11000- remote.server.comসুরঙ্গটির অপর প্রান্তটি localhostবন্দর রয়েছে তা নিশ্চিত করবে11000

^{উত্স: এসএস টানেলিংয়ের একটি সচিত্র গাইড, টিউটোরিয়াল, কীভাবে ।}

-R

-R [bind_address:]port:host:hostport

নির্দিষ্ট করে যে দূরবর্তী (সার্ভার) হোস্টের প্রদত্ত পোর্টটি স্থানীয় দিকের প্রদত্ত হোস্ট এবং পোর্টে ফরোয়ার্ড করতে হবে ।

এটি portদূরবর্তী দিক থেকে শোনার জন্য একটি সকেট বরাদ্দ করে কাজ করে এবং যখনই এই বন্দরের সাথে কোনও সংযোগ করা হয়, তখন সংযোগটি সুরক্ষিত চ্যানেলের মাধ্যমে ফরোয়ার্ড করা হয় এবং স্থানীয় মেশিন থেকে পোর্ট করারhosthostport জন্য একটি সংযোগ তৈরি করা হয় ।

উদাহরণ:

ssh -N -R 22000:localhost:11000 remote.server.com

• -N আপনি সেখানে সংযুক্ত হওয়ার পরে কেবল সেখানে স্তব্ধ হয়ে যান (আপনি কোনও শেল প্রম্পট পাবেন না)

  রিমোট কমান্ড প্রয়োগ করবেন না।

• -R22000 সংযোগ বন্দর 22000 উপর উদ্ভূত হবে আর আবেগভরে কম্পিউটার (এই ক্ষেত্রে, remote.server.com)

• localhost:11000আপনার ব্যক্তিগত, স্থানীয় কম্পিউটারটি সুরঙ্গটির অপর প্রান্তটি localhostবন্দর রয়েছে তা নিশ্চিত করবে11000

^{উত্স: এসএস টানেলিংয়ের একটি সচিত্র গাইড, টিউটোরিয়াল, কীভাবে ।}