SSH के ऊपर डेटा टनलिंग बहुत सीधा-आगे है:

ssh -D9999 username@example.com

पोर्ट 9999 localhostको एक सुरंग के रूप में अपने ऊपर सेट करता है example.com, लेकिन मुझे इसकी अधिक विशिष्ट आवश्यकता है:

• मैं स्थानीय स्तर पर काम कर रहा हूं localhost
• host1 के लिए सुलभ है localhost
• host2 से केवल कनेक्शन स्वीकार करता है host1
• मुझे से एक सुरंग बनाने की जरूरत localhostहैhost2

प्रभावी रूप से, मैं "मल्टी-हॉप" एसएसएच सुरंग बनाना चाहता हूं। मैं यह कैसे कर सकता हूँ? आदर्श रूप में, मैं किसी भी मशीन पर सुपरयुसर होने की आवश्यकता के बिना ऐसा करना चाहूंगा ।

आपके पास मूल रूप से तीन संभावनाएँ हैं:

1. से सुरंग localhostके लिए host1:

   ssh -L 9999:host2:1234 -N host1
   

   जैसा कि ऊपर बताया, से कनेक्शन host1के लिए host2सुरक्षित नहीं किया जाएगा।

2. से सुरंग localhostके लिए host1और से host1करने के लिए host2:

   ssh -L 9999:localhost:9999 host1 ssh -L 9999:localhost:1234 -N host2
   

   इस से एक सुरंग खुल जाएगा localhostकरने के लिए host1और से एक और सुरंग host1के लिए host2। हालाँकि पोर्ट 9999का host2:1234उपयोग किसी के द्वारा किया जा सकता है host1। यह समस्या हो सकती है या नहीं भी।

3. से सुरंग localhostके लिए host1और से localhostकरने के लिए host2:

   ssh -L 9998:host2:22 -N host1
   ssh -L 9999:localhost:1234 -N -p 9998 localhost
   

   इस से एक सुरंग खुल जाएगा localhostकरने के लिए host1, जिसके माध्यम से SSH सेवा पर host2इस्तेमाल किया जा सकता। फिर पहली सुरंग से दूसरी सुरंग खोली जाती localhostहै host2।

आम तौर पर, मैं विकल्प 1 के साथ जाऊंगा। यदि कनेक्शन को सुरक्षित host1करने की host2आवश्यकता है, तो विकल्प 2 के साथ जाएं। विकल्प 3 मुख्य रूप से host2उस सेवा तक पहुंचने के लिए मुख्य रूप से उपयोगी है जो केवल host2स्वयं से पहुंच योग्य है।

SSH के लिए विन्यास निर्देश के उपयोग की व्याख्या करनेProxyCommand वाला एक उत्कृष्ट उत्तर है :

इसे अपने साथ जोड़ें ~/.ssh/config( man 5 ssh_configविवरण देखें):

Host host2
  ProxyCommand ssh host1 -W %h:%p

फिर ssh host2स्वचालित रूप से host1(X11 अग्रेषण आदि के साथ भी काम करता है) के माध्यम से सुरंग जाएगा ।

यह डोमेन द्वारा पहचाने गए मेज़बान की एक पूरी श्रेणी के लिए भी काम करता है:

Host *.mycompany.com
  ProxyCommand ssh gateway.mycompany.com -W %h:%p

अपडेट करें

ओपनएसएसएच 7.3 एक ProxyJumpनिर्देश का परिचय देता है , जिसका पहला उदाहरण सरल है

Host host2
  ProxyJump host1

OpenSSH v7.3 आगे एक -Jस्विच और एक ProxyJumpविकल्प का समर्थन करता है , जो एक या एक से अधिक अल्पविराम से अलग होने वाले मेजबान की अनुमति देता है, इसलिए, आप बस अब यह कर सकते हैं:

ssh -J jumpuser1@jumphost1,jumpuser2@jumphost2,...,jumpuserN@jumphostN user@host

हमारे निजी नेटवर्क में एक ssh गेटवे है। अगर मैं बाहर हूं और निजी नेटवर्क के अंदर एक मशीन पर एक रिमोट शेल चाहता हूं, तो मुझे गेटवे और वहां से निजी मशीन में भेजना होगा।

इस प्रक्रिया को स्वचालित करने के लिए, मैं निम्नलिखित स्क्रिप्ट का उपयोग करता हूं:

#!/bin/bash
ssh -f -L some_port:private_machine:22 user@gateway "sleep 10" && ssh -p some_port private_user@localhost

क्या हो रहा है:

1. निजी मशीन के लिए ssh प्रोटोकॉल (पोर्ट 22) के लिए एक सुरंग स्थापित करें।
2. यह सफल होने पर ही, सुरंग का उपयोग करके निजी मशीन में ssh। (&& ऑपरेटर यह सुनिश्चित करता है)।
3. निजी ssh सत्र बंद करने के बाद, मैं ssh सुरंग को बंद करना चाहता हूं, भी। यह "स्लीप 10" ट्रिक के माध्यम से किया जाता है। आमतौर पर, पहला ssh कमांड 10 सेकंड के बाद बंद हो जाता है, लेकिन इस समय के दौरान, दूसरे ssh कमांड ने सुरंग का उपयोग करके एक कनेक्शन स्थापित किया होगा। परिणामस्वरूप, पहली ssh कमांड सुरंग को तब तक खुला रखती है जब तक कि निम्नलिखित दो स्थितियां संतुष्ट नहीं हो जाती हैं: नींद 10 समाप्त हो चुकी है और सुरंग का उपयोग नहीं किया जाता है।

ऊपर पढ़ने और सब कुछ एक साथ करने के बाद, मैंने निम्नलिखित पर्ल स्क्रिप्ट बनाई है (इसे mssh / usr / bin के रूप में सहेजें और इसे निष्पादन योग्य बनाएं):

#!/usr/bin/perl

$iport = 13021;
$first = 1;

foreach (@ARGV) {
  if (/^-/) {
    $args .= " $_";
  }
  elsif (/^((.+)@)?([^:]+):?(\d+)?$/) {
    $user = $1;
    $host = $3;
    $port = $4 || 22;
    if ($first) {
      $cmd = "ssh ${user}${host} -p $port -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no";
      $args = '';
      $first = 0;
    }
    else {
      $cmd .= " -L $iport:$host:$port";
      push @cmds, "$cmd -f sleep 10 $args";
      $cmd = "ssh ${user}localhost -p $iport -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no";
      $args = '';
      $iport ++;
    }
  }
}
push @cmds, "$cmd $args";

foreach (@cmds) {
  print "$_\n";
  system($_);
}

उपयोग:

HOSTC को HOSTA और HOSTB (समान उपयोगकर्ता) के माध्यम से एक्सेस करने के लिए:

mssh HOSTA HOSTB HOSTC

HOSTC को HOSTA और HOSTB के माध्यम से एक्सेस करने के लिए और गैर-डिफ़ॉल्ट SSH-portnumbers और विभिन्न उपयोगकर्ताओं का उपयोग करने के लिए:

mssh user1@HOSTA:1234 user2@HOSTB:1222 user3@HOSTC:78231

HOSTC को HOSTA और HOSTB के माध्यम से एक्सेस करने और X- फ़ॉरवर्डिंग का उपयोग करने के लिए:

mssh HOSTA HOSTB HOSTC -X

HOSTC पर HOSTC और HOSTB के माध्यम से पोर्ट 8080 तक पहुँचने के लिए:

mssh HOSTA HOSTB -L8080:HOSTC:8080

यह उत्तर कियान के समान है, क्योंकि इसमें ProxyCommand का उपयोग शामिल है। लेकिन IMO का उपयोग करना अधिक सुविधाजनक है।

यदि आपके पास अपने हॉप मशीनों में नेटकैट स्थापित है तो आप इस स्निपेट को अपने ~ / .ssh / config में जोड़ सकते हैं:

Host *+*
    ProxyCommand ssh $(echo %h | sed 's/+[^+]*$//;s/\([^+%%]*\)%%\([^+]*\)$/\2 -l \1/;s/:/ -p /') nc $(echo %h | sed 's/^.*+//;/:/!s/$/ %p/;s/:/ /')

फिर

ssh -D9999 host1+host2 -l username

जो तुमने पूछा, वह करोगे।

मैं यहाँ उस मूल स्थान की तलाश में आया था जहाँ मैंने यह ट्रिक पढ़ी थी। मैं एक लिंक पोस्ट जब मैं इसे मिल जाएगा।

मैंने वही किया जो मुझे लगता है कि आप करना चाहते थे

ssh -D 9999 -J host1 host2

मुझे दोनों पासवर्ड के लिए संकेत दिया गया है, तो मैं होस्ट 2 के लिए SOCKS प्रॉक्सी के लिए लोकलहोस्ट: 9999 का उपयोग कर सकता हूं। यह निकटतम है जो मैं आपके द्वारा पहले स्थान पर दिखाए गए उदाहरण के बारे में सोच सकता हूं।

ssh -L 9999:host2:80 -R 9999:localhost:9999 host1

-L 9999: host2: 80

इसका मतलब है लोकलहोस्ट के लिए बाइंडिंग: 9999 और लोकलहोस्ट को भेजा गया कोई भी पैकेट: 9999 इसे होस्ट 2: 80 पर फॉरवर्ड करें

-R 9999: लोकलहोस्ट: 9999

होस्ट 1: 9999 द्वारा प्राप्त किसी भी पैकेट का मतलब है कि इसे वापस लोकलहोस्ट पर भेजें: 9999

host2से सेवा का उपयोग करने के लिए आपको पोर्ट फ़ॉरवर्डिंग का उपयोग करने में सक्षम होना चाहिए localhost। एक अच्छा गाइड यहाँ स्थित है । अंश:

पोर्ट अग्रेषण के दो प्रकार हैं: स्थानीय और दूरस्थ अग्रेषण। उन्हें क्रमशः आउटगोइंग और इनकमिंग टनल भी कहा जाता है। स्थानीय पोर्ट फॉरवर्डिंग ट्रैफ़िक एक निर्दिष्ट पोर्ट पोर्ट के लिए स्थानीय पोर्ट पर आने वाले ट्रैफ़िक।

उदाहरण के लिए, यदि आप कमांड जारी करते हैं

ssh2 -L 1234:localhost:23 username@host

क्लाइंट पर पोर्ट 1234 पर आने वाले सभी ट्रैफ़िक को सर्वर (होस्ट) पर पोर्ट 23 में भेज दिया जाएगा। ध्यान दें कि कनेक्शन स्थापित होने के बाद लोकलहोस्ट sshdserver द्वारा हल किया जाएगा। इस मामले में इसलिए लोकलहोस्ट सर्वर (मेजबान) को ही संदर्भित करता है।

रिमोट पोर्ट फ़ॉरवर्डिंग इसके विपरीत होता है: यह एक दूरस्थ पोर्ट पर आने वाले ट्रैफ़िक को एक निर्दिष्ट स्थानीय पोर्ट पर ले जाता है।

उदाहरण के लिए, यदि आप कमांड जारी करते हैं

ssh2 -R 1234:localhost:23 username@host

सर्वर (होस्ट) पर पोर्ट 1234 पर आने वाले सभी ट्रैफ़िक को क्लाइंट (लोकलहोस्ट) पर पोर्ट 23 पर भेज दिया जाएगा।

अपने कलाकारों localhostमें, उदाहरण के साथ host2और hostसाथ में बदलें host1।

इस उत्तर में मैं एक ठोस उदाहरण से गुजरूंगा। आपको बस अपने द्वारा कंप्यूटर के होस्टनाम, उपयोगकर्ता नाम और पासवर्ड बदलने की आवश्यकता है।

समस्या का विवरण

मान लेते हैं कि हमारे पास निम्नलिखित नेटवर्क टोपोलॉजी है:

our local computer <---> server 1 <---> server 2

सहमति के लिए, मान लें कि हमारे पास निम्नलिखित कंप्यूटर के होस्टनाम, उपयोगकर्ता नाम और पासवर्ड हैं:

LocalPC            <--->  hostname: mit.edu         <---> hec.edu
                          username: bob                   username: john 
                          password: dylan123              password: doe456

लक्ष्य: हम एक SOCKS प्रॉक्सी सेट करना चाहते हैं जो पोर्ट 9991के बारे में सुनता है LocalPCताकि हर बार जब यह LocalPCपोर्ट से शुरू होता है तब से एक कनेक्शन शुरू 9991किया जाता है ।mit.eduhec.edu

उपयोग के मामले का उदाहरण: hec.eduएक HTTP सर्वर है जो केवल सुरक्षा कारणों से http://127.0.0.1:8001 पर उपलब्ध है। हम एक वेब ब्राउज़र खोलकर http://127.0.0.1:8001 पर जा सकते हैं LocalPC।

विन्यास

में LocalPCजोड़ें ~/.ssh/config:

Host HEC
    HostName hec.edu
    User john
    ProxyCommand ssh bob@mit.edu -W %h:%p

फिर के टर्मिनल में LocalPC, चलाएं:

ssh -D9991 HEC

यह आप का पासवर्ड पूछेंगे bobपर mit.edu(यानी, dylan123), तो यह आप के पासवर्ड पूछेंगे johnपर hec.edu(यानी, doe456)।

उस बिंदु पर, SOCKS प्रॉक्सी अब पोर्ट पर चल रही 9991है LocalPC।

उदाहरण के लिए, यदि आप LocalPCSOCKS प्रॉक्सी का उपयोग करने पर एक वेबपेज पर जाना चाहते हैं, तो आप फ़ायरफ़ॉक्स में कर सकते हैं:

कुछ टिप्पणी:

• में ~/.ssh/config, HECकनेक्शन नाम है: आप इसे अपनी इच्छानुसार किसी भी चीज़ में बदल सकते हैं।
• -D9991बताता है sshबंदरगाह पर एक SOCKS4 प्रॉक्सी स्थापित करने के लिए 9991।

यदि आप दोनों मशीनों में SSH कर सकते हैं, तो ssh के ProxyCommand निर्देश पर एक नज़र डालें। यह आपको होस्टहोस्ट से सीधे host2 में जाने देगा (एक आसान कमांड में यदि आप सार्वजनिक कुंजी का उपयोग करते हैं !!)। तब आप host2 के साथ जो चाहें कर सकते हैं।

http://www.statusq.org/archives/2008/07/03/1916/

सबसे अच्छे उत्तर के विकल्प 2 को वर्तमान s aka: user @ host की तुलना में विभिन्न ssh उपयोगकर्ताओं के साथ प्रयोग किया जा सकता है

    export local_host_port=30000
    export host1_user=xyz
    export host1=mac-host
    export host1_port=30000
    export host2=192.168.56.115
    export host2_user=ysg
    export host2_port=13306

    # Tunnel from localhost to host1 and from host1 to host2
    # you could chain those as well to host3 ... hostn
    ssh -tt -L $local_host_port:localhost:$host1_port $host1_user@$host1 \
    ssh -tt -L $host1_port:localhost:$host2_port $host2_user@$host2

मेरे मामले में मैंने किया

localhost$ ssh -D 9999 host1
host1$ ssh -L 8890:localhost:8890 host2

जहां host2:8890एक बृहस्पति नोटबुक पर चल रहा है।

फिर मैंने फ़ायरफ़ॉक्स को localhost:9999SOCKS होस्ट के रूप में उपयोग करने के लिए कॉन्फ़िगर किया ।

तो अब मैं अपने मशीन पर host2फ़ायरफ़ॉक्स द्वारा सुलभ नोटबुक चला रहा localhost:8890हूँ।

स्वीकृत उत्तर में उल्लिखित तीन विकल्प मेरे लिए बिल्कुल भी काम नहीं करते थे। चूंकि मेरे पास दोनों मेजबानों पर अधिक अनुमति नहीं है, और ऐसा लगता है कि हमारी DevOps टीम के पास प्रमाणीकरण के लिए बहुत सख्त नियम हैं और एमएफए कर रहे हैं। किसी भी तरह ऊपर दिए गए आदेश हमारे प्रमाणीकरण के साथ अच्छा नहीं खेल सकते।

संदर्भ वास्तव में ऊपर दिए गए जवाबों के समान है: मैं सीधे उत्पादन सर्वर में ssh नहीं कर सकता, और एक कूद सर्वर का उपयोग करके 1 हॉप करना होगा।

फिर भी एक और समाधान - एक भोली

मैंने इसे बहुत ही भोले तरीके से पूरा किया: अपने लैपटॉप पर सभी कमांड चलाने की कोशिश करने के बजाय, मैं प्रत्येक मशीन पर कमांड को नीचे की तरह चलाता हूं :

1. SSH अपने जंप सर्वर में, फिर चलाएं ssh -v -L 6969:localhost:2222 -N your-protected.dest.server। यदि आपको किसी पासवर्ड इनपुट के साथ संकेत दिया गया है, तो उसे टाइप करें।
2. अब अपने लैपटॉप पर, भागो ssh -v -L 6969:localhost:6969 -N your-jump-server.host.name। यह आपके लैपटॉप पर पोर्ट 6969 पर आपके किसी भी अनुरोध को जंप सर्वर पर फॉरवर्ड कर देगा। फिर बदले में, चूंकि हमने अपने पिछले चरण में कॉन्फ़िगर किया था, इसलिए जंप सर्वर फिर से संरक्षित गंतव्य सर्वर पर पोर्ट 6969 के पोर्ट 2222 के अनुरोधों को आगे बढ़ाएगा।

आपको कुछ संदेश प्रिंट करने के बाद वहां कमांड "हैंग" देखना चाहिए - इसका मतलब है कि वे काम कर रहे हैं! एक अपवाद - आपको त्रुटि संदेश नहीं देखना चाहिए Could not request local forwarding., जैसे यदि आप देखते हैं, तो यह अभी भी काम नहीं कर रहा है :(। अब आप अपने लैपटॉप से ​​पोर्ट 6969 पर अनुरोध को आग लगाने की कोशिश कर सकते हैं, और देखें कि क्या यह काम कर रहा है।

उम्मीद है कि यदि आप ऊपर दिए गए सभी तरीकों को विफल कर रहे हैं, तो शायद आप यह कोशिश कर सकते हैं।