Прослеђивање порта путем ССХ тунела у Виндовс-у

У овом чланку ћемо показати како користити уграђени Виндовс ОпенССХ сервер за прослеђивање порта преко ССХ тунела (ССХ тунелирање). Преусмеравање портова у ССХ омогућава вам тунел (прослеђивање) портова апликација са локалног рачунара на удаљени сервер и обрнуто. Раније је прослеђивање портова кроз ССХ тунел коришћено само у Линук / Уник окружењу, али сада ове предности можете да искористите и у Виндовс-у. Погледајмо практичан пример како проследити РДП везу на Виндовс серверу преко ССХ сервера са отвореним ТЦП портом 22.

Најчешће се прослеђивање порта путем ССХ-а користи у сценаријима када требате да се повежете на удаљени рачунар који је заштићен заштитним зидом. На пример, имате сервер са Виндовс-ом на којем је отворен само ССХ порт (ТЦП 22). Све остале портове блокира хардверски фиревалл или Виндовс фиревалл. Ваш задатак је да се повежете на радну површину овог Виндовс сервера помоћу РДП клијента. То би изгледао немогућ задатак, јер РДП 3389 је блокиран заштитним зидом. Међутим, можете користити технологију за прослеђивање портова кроз ссх тунел..

Следеће ССХ скрипте за прослеђивање најчешће се користе:

  • Локално ТЦП прослеђивање - проследити локални порт на удаљени сервер;
  • Даљинско ТЦП прослеђивање - проследите удаљени порт локалном рачунару;
  • Двоструки ссх тунел - омогућава вам повезивање рачунара преко ССХ сервера без наменских белих ИП адреса или лоцираних иза НАТ (ако решење са ОпенВПН не одговара)

РДП приступ преко ССХ тунела (локално ТЦП прослеђивање)

У овом режиму, на рачунару креирате локални ТЦП порт, чије везе се преусмеравају преко ССХ тунела на одређени порт на удаљеном серверу. У овом примеру створићемо локални порт 8888, када је повезан на који се преусмеравање изводи са овог порта на РДП порт 3389 даљински рачунар. Општи дијаграм везе изгледа овако:

Да бисте креирали ССХ тунел помоћу уграђеног ССХ клијента (уграђеног у Виндовс 10 1809 и Виндовс Сервер 2019), покрените наредбу:

ссх -Л 8888: 192.168.1.90: 3389 роот@192.168.1.90

Да би ССХ тунел радио у позадини, морате додати параметар .

Сада, да бисте се повезали са удаљеним рачунаром преко ССХ тунела, морате да повежете мстсц.еке РДП клијент на локални порт 8888 вашег рачунара:

127.0.0.1:8888

Пријавите се на удаљени рачунар и можете сигурно радити у РДП сесији, док се сећате да је порт 3389 још увек затворен у фиревалл-у. Помоћу ТЦПВиев можете провјерити је ли РДП веза успостављена локално (РДП везу покреће локално покренут ССХ сервер).

Имајте на уму да ако на овај начин преусмјерите нешифрирани промет апликација, он се преноси у шифрираном облику путем мреже. Саобраћај у случају чела шифриран је на једном крају ССХ везе, а на другом се дешифрује.

У овом режиму ће се и остали рачунари у вашој локалној мрежи моћи повезати са удаљеним РДП сервером, чак и ако су у потпуности блокирали директан приступ удаљеном серверу (и путем ССХ и РДП). Да би то учинили, морају повезати РДП клијент на порт 8888 на рачунару на којем је створен ССХ тунел:

мстсц.еке / в 10.10.1.220:8888

Пренос удаљеног порта на локалну машину (даљинско ТЦП прослеђивање)

Постоји још један случај употребе за ССХ тунел - удаљено ТЦП прослеђивање. Кроз ССХ тунел, можете омогућити удаљени приступ серверу локалном порту на рачунару или луци на другом рачунару у вашој локалној мрежи. На пример, желите да спољни сервер (192.168.1.90) приступи вашој Интранет страници (није објављено на Интернету). Да бисте креирали обрнути тунел, користите ову наредбу:

ссх -Р 8080: интерни вебсевер: 80 корисник@192.168.1.90

Сада, да бисте приступили веб серверу интерног вебсевера на удаљеном ССХ серверу, само унесите адресу у прегледач хттп: // лоцалхост: 8080.

У свим верзијама оперативног система Виндовс можете да креирате правила за прослеђивање портова помоћу команде нетсх интерфејс портпроки.

Са ССХ тунелима, можете градити целе ланце за прослеђивање портова. Можете омогућити или онемогућити ССХ тунелирање у конфигурацијској датотеци ссхд_цонфиг директиве:

ДозволиСтреамЛоцалФорвардинг да

АлловТцпФорвардинг даљински