ssh tunneling ερώτηση

[johnyb98]

Ας υποθέσουμε ότι θέλω να συνδεθώ από το γραφείο στο σπίτι με remote desktop, και πως η πόρτα 3389 για remote desktop, ας υποθέσουμε ότι είναι μπλοκαρισμένη στο γραφείο από firewall. Οπότε θέλω να το κάνω με ssh tunnelling.
Έχω φτιάξει ssh server στο σπίτι με ip π.χ. 192.168.1.185, και τρέχει ο ssh server.
Ας πούμε ότι θα χρησιμοποιήσω στο γραφείο την πόρτα 9191 σε windows με εντολές σε command prompt.

Οπότε, βγαίνω σε command prompt, και δίνω

ssh -L 9191:192.168.1.185:3389 username_remote_computer@192.168.1.185

δίνω password και γίνεται η σύνδεση

Αυτό που θέλω να ρωτήσω, και μάλλον είναι προφανές αλλά ήθελα μία επιβεβαίωση είναι πως, αρχικά, τα πακέτα από τον υπολογιστή στο γραφείο στέλνονται στην πόρτα 22 τού ssh server στο σπίτι, και εκείνος τα προωθεί (port forwarding) στην πόρτα που του λες (στο παράδειγμά μας 3389). Ο ssh server κάνει port forwarding.

α. Αυτό γίνεται;

β. Εφόσον (εάν είναι σωστό το α.) έτσι λειτουργεί ο ssh server (κάνει port forwarding στην πόρτα που του λες), τί παραπάνω μπορείς να κάνεις με την πόρτα 22, που είναι η official port τού ssh; Πώς θα μπορούσες να τη χρησιμοποιήσεις;

[johnyb98]

Ελπίζω να κάνω καλύτερα την ερώτηση.

Σε video που είδα για να φτιαχτεί για ασφάλεια στην επικοινωνία το ssh tunnel με την εντολή ssh -L, το σχεδιάγραμμα είναι το παρακάτω:





Αυτό που θέλουμε να γίνει είναι το terminal (απλός χρήστης στα αριστερά - μαύρο pc), να συνδεθεί με τον μπλε web server στα δεξιά.

Να δώσω τις πληροφορίες που δε φαίνονται στο σχεδιάγραμμα, και ακούγονται στο video:

IP web server: 192.168.0.28
ip SSH Server: 192.168.0.49

Αυτό που δε βλέπω πουθενά στην εντολή (και είναι αυτό που προσπαθώ να καταλάβω) είναι πως δεν πληκτρολογείται WAN IP!!! Τί γίνεται; Σε όσα βίντεο έχω δει μέχρι τώρα, και αρθρα με σχεδιαγράμματα έχω διαβάσει, κάτι local IPs δίνονται, σαν αυτή του σχεδιαγράμματος. Μήπως αυτό γίνεται για να καταλάβουν όσοι ξεκινούν τη μελέτη SSH, με τοπικά δίκτυα, και κατ' επέκταση τοπικές IPs, ή εγώ δεν καταλαβαίνω κάτι;

Εάν δε δώσει κάπου στην εντολή WAN IP το μαύρο remote terminal αριστερά, πώς θα φτιάξει connection με τον SSH server???

[codezero]

Ας υποθέσουμε ότι θέλω να συνδεθώ από το γραφείο στο σπίτι με remote desktop, και πως η πόρτα 3389 για remote desktop, ας υποθέσουμε ότι είναι μπλοκαρισμένη στο γραφείο από firewall. Οπότε θέλω να το κάνω με ssh tunnelling.
Έχω φτιάξει ssh server στο σπίτι με ip π.χ. 192.168.1.185, και τρέχει ο ssh server.
Ας πούμε ότι θα χρησιμοποιήσω στο γραφείο την πόρτα 9191 σε windows με εντολές σε command prompt.

Οπότε, βγαίνω σε command prompt, και δίνω

ssh -L 9191:192.168.1.185:3389 username_remote_computer@192.168.1.185

δίνω password και γίνεται η σύνδεση

Αυτό που θέλω να ρωτήσω, και μάλλον είναι προφανές αλλά ήθελα μία επιβεβαίωση είναι πως, αρχικά, τα πακέτα από τον υπολογιστή στο γραφείο στέλνονται στην πόρτα 22 τού ssh server στο σπίτι, και εκείνος τα προωθεί (port forwarding) στην πόρτα που του λες (στο παράδειγμά μας 3389). Ο ssh server κάνει port forwarding.

α. Αυτό γίνεται;

β. Εφόσον (εάν είναι σωστό το α.) έτσι λειτουργεί ο ssh server (κάνει port forwarding στην πόρτα που του λες), τί παραπάνω μπορείς να κάνεις με την πόρτα 22, που είναι η official port τού ssh; Πώς θα μπορούσες να τη χρησιμοποιήσεις;

α. Αυτή

ssh -L 9191:192.168.1.185:3389 username_remote_computer@192.168.1.185

θα είναι η IP, του υπολογιστή στον οποίο θέλεις να συνδεθείς με remote desktop. Και αυτή

ssh -L 9191:192.168.1.185:3389 username_remote_computer@192.168.1.185

η WAN IP (στην οποία έχεις κάνει στο router/firewall σου, port forward την εσωτερική/Local IP του SSH Server).

Στο remote desktop, για να συνδεθείς θα βάλεις localhost:9191 ή 127.0.0.1:9191, σαν IP και πόρτα.

Εσύ συνδέεσαι μέσω ssh, στον Server και σου προωθεί "τοπικά" στον υπολογιστή (localhost) τα πακέτα της απομακρυσμένης υπηρεσίας που θέλεις (μόνο πρωτόκολλο TCP) από την πόρτα και διεύθυνση που του ορίζεις.

β. Μπορείς μέσω SSH, να προωθήσεις και να συνδεθείς για παράδειγμα σε έναν openvpn server, που μπορεί να μπλοκάρει το firewall ή να το χρησιμοποιείς σαν proxy για να συνδέεσαι σε ιστοσελίδες που δεν μπορείς.

*Προϋπόθεση να μην μπλοκάρει και την πόρτα 22 το firewall στο γραφείο. Μπορείς να αλλάξεις την πόρτα του SSH στην 443 ή να βάλεις το sslh αν στην 443 τρέχεις κάποιον web server, παράλληλα.

**Να δώσεις μεγάλη προσοχή στην ασφάλεια φυσικά του Server σου, με κλειδιά και fail2ban αν τον τρέξεις στην πόρτα 22 ή 443.

***Επίσης προτού χρησιμοποιήσεις με δική σου ευθύνη στην δουλεία μια τέτοια υπηρεσία για πρόσβαση σε κάτι που έχουν μπλοκάρει, να αναλογιστείς πιθανούς κινδύνους από κάποιο δικό σου λάθος.