เหตุใดฉันจึงไม่สามารถเชื่อมต่อกับพอร์ตทันเนล SSH ย้อนกลับจากระยะไกลได้แม้ว่าจะเปิดใช้งาน GatewayPorts แล้วก็ตาม


20

ฉันต้องการการเข้าถึง SSH อย่างต่อเนื่องไปยังโฮสต์ในแผนกของเราซึ่งมีการจัดสรรที่อยู่ IP แบบไดนามิก ฉันได้ตั้งค่าอุโมงค์ SSH ระยะไกลจากโฮสต์เป้าหมายเป็นหนึ่งในโฮสต์ของเราที่มีที่อยู่ ip แบบคงที่:

ssh -f -N -g -R :22223:localhost:22 tunnelhost

เมื่อฉันชี้ SSH ไปที่พอร์ตโลคัล22223บนโฮสต์อุโมงค์อุโมงค์ทำงานได้ดี ปัญหาของฉันคือฉันไม่สามารถรับอุโมงค์ที่ผูกติดกับสิ่งอื่นใดนอกจาก localhost แม้ว่า - เช่นเมื่อฉันพยายาม SSH จากระยะไกลtunnelhost:12323ไม่มีพอร์ตเปิดที่จะรับมัน ฉันยังลอง:

ssh -f -N -R :22223:localhost:22 tunnelhost -o GatewayPorts=yes

แต่ก็ยังไม่มีโชค Netstat แสดงให้ฉันเห็น:

[me@tunnel_host ~]$ netstat -an | grep 22223
tcp        0      0 127.0.0.1:22223         0.0.0.0:*               LISTEN
tcp6       0      0 ::1:22223               :::*                    LISTEN

ยืนยันว่าอุโมงค์ถูกผูกไว้กับ localhost เท่านั้น ฉันได้เพิ่มข้อยกเว้นพอร์ตในโฮสต์ทันเนลที่มี firewalld-cmd และทำให้มั่นใจได้ว่าไม่มีฮาร์ดแวร์เครือข่ายรบกวนการเชื่อมต่อ มีความคิดเกี่ยวกับสิ่งที่จะเป็นอย่างไร

ไชโยเจมส์

คำตอบ:


29

คุณต้องเปิดใช้งานGatewayPorts=yesในการกำหนดค่าสำหรับ SSHd ( /etc/ssh/sshd_config) ไม่ใช่ไคลเอนต์เพื่อเปิดใช้งานการเชื่อมโยงกับส่วนอื่นนอกเหนือจากลูปแบ็คบนพอร์ตระยะไกล

-o GatewayPorts=yes

ใช้งานได้เฉพาะพอร์ตท้องถิ่นเมื่อส่งผ่านไปยังsshคำสั่ง


Darth Android ขอขอบคุณสำหรับการตอบกลับของคุณ ดูเหมือนว่าคุณถูกต้องเกี่ยวกับ -g และ -o GatewayPort จะทำงานเฉพาะกับช่องสัญญาณ (-L) ocal tunnels เพื่อความสมบูรณ์ของข้อมูลต่อไปนี้เป็นข้อมูลเพิ่มเติมเล็กน้อยเกี่ยวกับปัญหานี้ในกรณีที่คนอื่นจะพบปัญหานี้ในอนาคต bugs.debian.org/cgi-bin/bugreport.cgi?bug=228064
James Paul Turner

3
GatewayPorts=clientspecifiedคือการตั้งค่าที่ค่อนข้างปลอดภัยมากขึ้นดูaskubuntu.com/questions/50064/reverse-port-tunnelling ในกรณีนี้:22223:localhost:2จำเป็นต้องใช้แอดเดรสการโยงที่ว่างเปล่า (ต่อท้ายโคลอนใน)
Michael Goerz

1
ฉันขอยืนยันว่าการGatewayPorts=clientspecifiedตั้งค่าตัวเองไม่ปลอดภัยมากขึ้น แต่จะช่วยให้สามารถควบคุมได้ว่าการเชื่อมต่อใดจะถูกแทนที่ด้วยไวด์การ์ด
นิค

นอกจากนี้ให้รีสตาร์ท sshd หลังจาก modding sshd_config (ในกรณีที่คุณลืม)
Nick

⚠️ระวังว่าGatewayPorts=yesจะเปิดพอร์ตที่ถูกส่งต่อไปยังโลก
ccpizza
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.