Визуальное руководство по туннелям SSH: Локальная и удаленная переадресация портов.
SSH – это еще один пример древней технологии, которая широко используется и сегодня. Вполне возможно, что освоение пары трюков с SSH в долгосрочной перспективе более выгодно, чем освоение дюжины инструментов Cloud Native, которым суждено устареть в следующем квартале.
Одна из моих любимых особенностей этой технологии – туннели SSH. Не имея ничего, кроме стандартных инструментов, и часто используя всего одну команду, вы можете добиться следующего:
- Доступ к внутренним конечным точкам VPC через публичный экземпляр EC2.
- Открыть порт с локального хоста виртуальной машины разработчика в браузере хоста.
- Открыть любой локальный сервер из домашней/частной сети внешнему миру.
И многое другое
Но несмотря на то, что я ежедневно использую SSH-туннели, мне всегда требуется время, чтобы найти нужную команду. Должен ли это быть локальный или удаленный туннель? Какие должны быть флаги? Должен ли это быть локальный_порт:удаленный_порт или наоборот? Итак, я решил наконец разобраться с этим, и в результате получилась серия лабораторных работ и наглядная шпаргалка.
Необходимые условия
Туннели SSH – это соединение хостов по сети, поэтому в каждой из приведенных ниже лабораторных работ, как ожидается, будет задействовано несколько “машин”. Однако мне лень создавать полноценные экземпляры, особенно когда вместо них можно использовать контейнеры. Поэтому в итоге я использовал только одну виртуальную машину vagrant с установленным на ней Docker.
Теоретически, подойдет любая Linux-машина с установленным на ней Docker Engine. Однако запустить приведенные ниже примеры как есть с помощью Docker Desktop не удастся, поскольку предполагается возможность доступа к контейнерам машин по их IP-адресам.
В качестве альтернативы, лабораторные работы можно выполнить с помощью Lima (QEMU + nerdctl + containerd + BuildKit), но не забудьте сначала выполнить limactl shell bash
.
Каждый пример требует наличия на хосте действующей пары ключей без парольной фразы, которая затем монтируется в контейнеры для упрощения управления доступом. Если у вас нет такой пары, сгенерировать ее можно просто с помощью ssh-keygen
на хосте.
Важно: демоны SSH в контейнерах здесь предназначены исключительно для образовательных целей — контейнеры в этом посте предназначены для представления полноценных «машин» с SSH-клиентами и серверами на них. Имейте в виду, что использование SSH в реальных контейнерах редко бывает хорошей идеей!
Переадресация локального порта
Начнем с того, что я использую чаще всего. Часто бывает, что есть служба, прослушивающая localhost или частный интерфейс машины, к которому я могу подключиться только по SSH через его публичный IP. И мне крайне необходимо получить доступ к этому порту извне. Несколько типичных примеров:
- Доступ к базе данных (MySQL, Postgres, Redis и т.д.) с помощью причудливого пользовательского интерфейса с вашего ноутбука.
- Использование браузера для доступа к веб-приложению, открытому только для частной сети.
- Доступ к порту контейнера с вашего ноутбука без публикации его на публичном интерфейсе сервера.
Все вышеперечисленные случаи использования могут быть решены с помощью одной команды ssh
:
ssh -L [local_addr:]local_port:remote_addr:remote_port [user@]sshd_addr
Флаг -L
указывает на то, что мы запускаем локальную проброску портов. На самом деле это означает следующее:
- На вашей машине клиент SSH начнет слушать
local_port
(скорее всего, наlocalhost
, но это зависит от ситуации – проверьте настройкиGatewayPorts
).
- Любой трафик на этот порт будет перенаправлен на
remote_private_addr:remote_port
на машине, к которой вы подключились по SSH.
Вот как это выглядит на схеме:
Профессиональный совет: Используйте ssh -f -N -L
для запуска сеанса переадресации портов в фоновом режиме.
Лабораторная работа 1: Использование туннелей SSH для локальной переадресации портов
Лабораторная работа воспроизводит настройку из приведенной выше схемы. Во-первых, нам нужно подготовить сервер – машину с демоном SSH и простым веб-сервисом, прослушивающим 127.0.0.1:80:
$ docker buildx build -t server:latest -<<'EOD' # syntax=docker/dockerfile:1 FROM alpine:3 # Install the dependencies: RUN apk add --no-cache openssh-server curl python3 RUN mkdir /root/.ssh && chmod 0700 /root/.ssh && ssh-keygen -A # Prepare the entrypoint that starts the daemons: COPY --chmod=755 <<'EOF' /entrypoint.sh #!/bin/sh set -euo pipefail for file in /tmp/ssh/*.pub; do cat ${file} >> /root/.ssh/authorized_keys done chmod 600 /root/.ssh/authorized_keys # Minimal config for the SSH server: sed -i '/AllowTcpForwarding/d' /etc/ssh/sshd_config sed -i '/PermitOpen/d' /etc/ssh/sshd_config /usr/sbin/sshd -e -D & python3 -m http.server --bind 127.0.0.1 ${PORT} & sleep infinity EOF # Run it: CMD ["/entrypoint.sh"] EOD
Запускаем сервер и записываем его IP-адрес:
$ docker run -d --rm \ -e PORT=80 \ -v $HOME/.ssh:/tmp/ssh \ --name server \ server:latest SERVER_IP=$( docker inspect \ -f '{{range.NetworkSettings.Networks}}{{.IPAddress}}{{end}}' \ server )
Поскольку веб-служба прослушивает localhost, она не будет доступна извне (т.е. из хост-системы в данном конкретном случае):
$ curl ${SERVER_IP} curl: (7) Failed to connect to 172.17.0.2 port 80: Connection refused
Но изнутри “сервера” работает просто отлично:
$ ssh -o StrictHostKeyChecking=no root@${SERVER_IP} 7b3e49181769:$# curl localhost <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"> <html> <head> ...
И вот в чем хитрость: привяжите localhost:80
сервера к localhost:8080
хоста, используя локальную переадресацию портов:
$ ssh -o StrictHostKeyChecking=no -f -N -L 8080:localhost:80 root@${SERVER_IP}
Теперь вы должны иметь возможность получить доступ к веб-службе на локальном порту хост-системы:
$ curl localhost:8080 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"> <html> <head> ...
Несколько более многословный (но более явный и гибкий) способ достижения той же цели – использование формыlocal_addr:local_port:remote_addr:remote_port
form:
$ ssh -o StrictHostKeyChecking=no -f -N -L \ localhost:8080:localhost:80 \ root@${SERVER_IP}
Локальная переадресация портов с хостом Bastion
Это может быть неочевидно на первый взгляд, но команда ssh -L
позволяет перенаправить локальный порт на удаленный порт на любой машине, а не только на самом SSH-сервере. Обратите внимание, что remote_addr
и sshd_addr
могут иметь одинаковое значение, а могут и не иметь:
ssh -L [local_addr:]local_port:remote_addr:remote_port [user@]sshd_addr
Не уверен, насколько правомерно здесь использование термина bastion host , но именно так я представляю себе этот сценарий:
Я часто использую этот трюк для вызова конечных точек, которые доступны с хоста bastion, но не с моего ноутбука (например, использование экземпляра EC2 с частным и публичным интерфейсами для подключения к кластеру OpenSearch, развернутому полностью в VPC).
Лаборатория 2: Локальная переадресация портов с хостом Bastion
И снова лабораторная работа воспроизводит установку из приведенной выше схемы. Сначала нам нужно подготовить хост бастиона – машину, на которой установлен только демон SSH:
$ docker buildx build -t bastion:latest -<<'EOD' # syntax=docker/dockerfile:1 FROM alpine:3 # Install the dependencies: RUN apk add --no-cache openssh-server RUN mkdir /root/.ssh && chmod 0700 /root/.ssh && ssh-keygen -A # Prepare the entrypoint that starts the SSH daemon: COPY --chmod=755 <<'EOF' /entrypoint.sh #!/bin/sh set -euo pipefail for file in /tmp/ssh/*.pub; do cat ${file} >> /root/.ssh/authorized_keys done chmod 600 /root/.ssh/authorized_keys # Minimal config for the SSH server: sed -i '/AllowTcpForwarding/d' /etc/ssh/sshd_config sed -i '/PermitOpen/d' /etc/ssh/sshd_config /usr/sbin/sshd -e -D & sleep infinity EOF # Run it: CMD ["/entrypoint.sh"] EOD
Запускаем бастионный хост и записываем его IP:
$ docker run -d --rm \ -v $HOME/.ssh:/tmp/ssh \ --name bastion \ bastion:latest BASTION_IP=$( docker inspect \ -f '{{range.NetworkSettings.Networks}}{{.IPAddress}}{{end}}' \ bastion )
Теперь запускаем целевую веб-службу на отдельной “машине”:
$ docker run -d --rm \ --name server \ python:3-alpine \ python3 -m http.server 80 SERVER_IP=$( docker inspect \ -f '{{range.NetworkSettings.Networks}}{{.IPAddress}}{{end}}' \ server )
Представим, что вызов curl ${SERVER_IP}
непосредственно с хоста по какой-то причине невозможен (например, как если бы не было маршрута от хоста к этому IP-адресу). Значит, нам нужно запустить переадресацию портов:
$ ssh -o StrictHostKeyChecking=no -f -N -L 8080:${SERVER_IP}:80 root@${BASTION_IP}
Обратите внимание, что переменные SERVER_IP и BASTION_IP имеют разные значения в приведенной выше команде.
Проверяем, что все работает:
$ curl localhost:8080 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"> <html> <head> ...
Удаленная переадресация портов
Другой популярный (но скорее обратный) сценарий – когда вы хотите на время открыть локальную службу для внешнего мира. Разумеется, для этого вам понадобится публичный сервер входящего шлюза. Но не бойтесь! В качестве такого шлюза можно использовать любой сервер с публичным доступом, на котором установлен демон SSH:
ssh -R [remote_addr:]remote_port:local_addr:local_port [user@]gateway_addr
Приведенная выше команда выглядит не сложнее, чем ее аналог ssh -L
. Но есть один подводный камень…
По умолчанию вышеуказанный SSH-туннель позволяет использовать в качестве удаленного адреса только localhost шлюза. Другими словами, ваш локальный порт станет доступным только изнутри самого сервера шлюза, и, скорее всего, это не то, что вам действительно нужно. Например, я обычно хочу использовать публичный адрес шлюза в качестве удаленного адреса, чтобы открыть доступ к моим локальным службам в публичный интернет. Для этого SSH-сервер должен быть настроен с параметром GatewayPorts yes.
Вот для чего можно использовать удаленное перенаправление портов:
- Выставление службы dev с вашего ноутбука в публичный Интернет для демонстрации.
- Хм… Я могу придумать несколько эзотерических примеров, но сомневаюсь, что стоит делиться ими здесь. Любопытно услышать, для чего другие люди могут использовать удаленное перенаправление портов!
Вот как удаленное перенаправление портов выглядит на схеме:
Профессиональный совет: Используйте ssh -f -N -R
для запуска сеанса переадресации портов в фоновом режиме.
Лабораторная работа 3: Использование туннелей SSH для удаленной переадресации портов
Лабораторная работа воспроизводит установку, показанную на схеме выше. Сначала нам нужно подготовить “dev machine” – компьютер с SSH-клиентом и локальным веб-сервером:
$ docker buildx build -t devel:latest -<<'EOD' # syntax=docker/dockerfile:1 FROM alpine:3 # Install dependencies: RUN apk add --no-cache openssh-client curl python3 RUN mkdir /root/.ssh && chmod 0700 /root/.ssh # Prepare the entrypoint that starts the web service: COPY --chmod=755 <<'EOF' /entrypoint.sh #!/bin/sh set -euo pipefail cp /tmp/ssh/* /root/.ssh chmod 600 /root/.ssh/* python3 -m http.server --bind 127.0.0.1 ${PORT} & sleep infinity EOF # Run it: CMD ["/entrypoint.sh"] EOD
Запуск виртуальной машины:
$ docker run -d --rm \ -e PORT=80 \ -v $HOME/.ssh:/tmp/ssh \ --name devel \ devel:latest
Подготовка сервера шлюза – простой SSH-сервер с GatewayPorts
, установленным на yes
в sshd_config
:
$ docker buildx build -t gateway:latest -<<'EOD' # syntax=docker/dockerfile:1 FROM alpine:3 # Install the dependencies: RUN apk add --no-cache openssh-server RUN mkdir /root/.ssh && chmod 0700 /root/.ssh && ssh-keygen -A # Prepare the entrypoint that starts the SSH server: COPY --chmod=755 <<'EOF' /entrypoint.sh #!/bin/sh set -euo pipefail for file in /tmp/ssh/*.pub; do cat ${file} >> /root/.ssh/authorized_keys done chmod 600 /root/.ssh/authorized_keys sed -i '/AllowTcpForwarding/d' /etc/ssh/sshd_config sed -i '/PermitOpen/d' /etc/ssh/sshd_config sed -i '/GatewayPorts/d' /etc/ssh/sshd_config echo 'GatewayPorts yes' >> /etc/ssh/sshd_config /usr/sbin/sshd -e -D & sleep infinity EOF # Run it: CMD ["/entrypoint.sh"] EOD
Запуск сервера шлюза и запись его IP-адреса:
$ docker run -d --rm \ -v $HOME/.ssh:/tmp/ssh \ --name gateway \ gateway:latest GATEWAY_IP=$( docker inspect \ -f '{{range.NetworkSettings.Networks}}{{.IPAddress}}{{end}}' \ gateway )
Теперь изнутри dev-машины запустите удаленное перенаправление портов:
$ docker exec -it -e GATEWAY_IP=${GATEWAY_IP} devel sh / $# ssh -o StrictHostKeyChecking=no -f -N -R 0.0.0.0:8080:localhost:80 root@${GATEWAY_IP} / $# exit # or detach with ctrl-p, ctrl-q
И проверьте, что локальный порт машины dev стал открытым на публичном интерфейсе шлюза (с хост-системы):
$ curl ${GATEWAY_IP}:8080 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"> <html> <head> ...
Удаленная переадресация портов из домашней/частной сети
Подобно локальной переадресации портов, удаленная переадресация портов имеет свой собственный режим бастионного хоста. Но на этот раз в роли бастиона выступает машина с SSH-клиентом (например, ваш ноутбук dev). В частности, он позволяет открывать порты из домашней (или частной) сети, к которой имеет доступ ваш ноутбук, во внешний мир через входящий шлюз:
ssh -R [remote_addr:]remote_port:local_addr:local_port [user@]gateway_addr
Выглядит почти так же, как и простой удаленный SSH-туннель, но пара local_addr:local_port
становится адресом устройства в домашней сети. Вот как это можно изобразить на схеме:
Поскольку я обычно использую свой ноутбук в качестве тонкого клиента, а реальная разработка происходит на домашнем сервере, я полагаюсь на такую удаленную переадресацию портов, когда мне нужно выставить службу разработчика с домашнего сервера в публичный Интернет, и единственной машиной с доступом к шлюзу является мой ноутбук.
Лаборатория 4: Удаленная переадресация портов из домашней/частной сети
Как обычно, лаборатория воспроизводит установку из приведенной выше схемы. Сначала нам нужно подготовить “машину dev”:
$ docker buildx build -t devel:latest -<<'EOD' # syntax=docker/dockerfile:1 FROM alpine:3 # Install the dependencies: RUN apk add --no-cache openssh-client RUN mkdir /root/.ssh && chmod 0700 /root/.ssh # This time we run nothing (at first): COPY --chmod=755 <<'EOF' /entrypoint.sh #!/bin/sh set -euo pipefail cp /tmp/ssh/* /root/.ssh chmod 600 /root/.ssh/* sleep infinity EOF # Run it: CMD ["/entrypoint.sh"] EOD
Запуск “dev machine”:
$ docker run -d --rm \ -v $HOME/.ssh:/tmp/ssh \ --name devel \ devel:latest
Запуск частного dev-сервера с использованием отдельной “машины” и указанием ее IP-адреса:
$ docker run -d --rm \ --name server \ python:3-alpine \ python3 -m http.server 80 SERVER_IP=$( docker inspect -f '{{range.NetworkSettings.Networks}}{{.IPAddress}}{{end}}' \ server )
Подготовка сервера входящего шлюза:
$ docker buildx build -t gateway:latest -<<'EOD' # syntax=docker/dockerfile:1 FROM alpine:3 # Install the dependencies: RUN apk add --no-cache openssh-server RUN mkdir /root/.ssh && chmod 0700 /root/.ssh && ssh-keygen -A # Prepare the entrypoint that starts the SSH daemon: COPY --chmod=755 <<'EOF' /entrypoint.sh #!/bin/sh set -euo pipefail for file in /tmp/ssh/*.pub; do cat ${file} >> /root/.ssh/authorized_keys done chmod 600 /root/.ssh/authorized_keys sed -i '/AllowTcpForwarding/d' /etc/ssh/sshd_config sed -i '/PermitOpen/d' /etc/ssh/sshd_config sed -i '/GatewayPorts/d' /etc/ssh/sshd_config echo 'GatewayPorts yes' >> /etc/ssh/sshd_config /usr/sbin/sshd -e -D & sleep infinity EOF # Run it: CMD ["/entrypoint.sh"] EOD
И запустить его:
$ docker run -d --rm \ -v $HOME/.ssh:/tmp/ssh \ --name gateway \ gateway:latest GATEWAY_IP=$( docker inspect \ -f '{{range.NetworkSettings.Networks}}{{.IPAddress}}{{end}}' \ gateway )
Теперь, находясь внутри ” dev machine”, запустите удаленный проброс портов SERVER-GATEWAY:
$ docker exec -it -e GATEWAY_IP=${GATEWAY_IP} -e SERVER_IP=${SERVER_IP} devel sh / $# ssh -o StrictHostKeyChecking=no -f -N -R 0.0.0.0:8080:${SERVER_IP}:80 root@${GATEWAY_IP} / $# exit # or detach with ctrl-p, ctrl-q
Наконец, проверьте, что сервер dev стал доступен на публичном интерфейсе шлюза (из хост-системы):
$ curl ${GATEWAY_IP}:8080 <!DOCTYPE HTML> <html lang="en"> <head> ...
Подведение итогов
После выполнения всех этих лабораторных работ и рисунков я заметил следующее:
- Слово “local” может означать как машину клиента SSH, так и хост, доступный с этой машины.
- Слово “remote” может означать как машину сервера SSH (sshd), так и доступный с нее хост.
- Локальная проброска портов (
ssh -L
) подразумевает, что именно клиентssh
начинает прослушивать новый порт. - Удаленное перенаправление портов (
ssh -R
) подразумевает, что именно серверsshd
начинает прослушивать дополнительный порт.