SSHトンネルを使用してクラウドホストサービスのアクセス制限を突破する

1. 要約

職場では、パブリッククラウドホスト上で実行される一連のサービスを維持する必要があることがよくあります。セキュリティ上の理由から、外部に開かれるポートは通常、SSH (ポート 22) サービスのみです。運用・保守時にセキュリティポリシーを変更することで、他のサービスポートを一時的に解放することは可能ですが、時間のかかるトラブルシューティング操作の場合、機密ポートを長時間公開するとセキュリティ上のリスクが高まります。 SSH トンネルテクノロジーにより、セキュリティポリシーを変更することなく、クラウドホストのサービスポートをローカル操作にマッピングできます。これにより、送信されるデータが暗号化されるだけでなく、ツールやブラウザを介してローカルで対象サービスにアクセスできるようになり、便利で安全になります。

2. SSHトンネルの原理

この記事における SSH トンネル技術の適用シナリオは次のとおりです。

写真

SSH トンネルを正常に確立するには、次の前提条件を満たす必要があります。

パーソナルコンピュータには SSH プロトコルをサポートするソフトウェアをインストールする必要があり、Windows システムには Cygwin などのソフトウェアをインストールする必要がある場合があります。
クラウドホストのファイアウォールセキュリティポリシーでは、SSH プロトコルで使用されるデフォルトポートであるポート 22 へのアクセスを許可する必要があります。
クラウドホストでは、リモートホストが SSH プロトコルを使用して正常にログインできるように、SSH プロトコルをサポートするソフトウェアパッケージもインストールする必要があります。

SSH トンネルは主にパソコンから確立されます。上図によると、SSH トンネルの確立プロセスは次のようになります。

パソコン上でカスタムポートを開きます。ここではポート5478が選択されています。このポートには特別な要件はありません。他のポートと競合しない限り、実際の状況に応じて選択できます。ポート 5478 はトンネルの始まりと考えることができます。
トンネルリモート接続を確立するには、リモートホストの SSH ログインアカウントとパスワードを入力します。接続を正常に確立するには、ファイアウォールのポート 22 が開いている必要があります。ここでの SSH リモートログインは、パーソナルコンピューターのポート 5478 から始まり、リモートクラウドホストのポート 22 まで拡張されたトンネルの延長として見ることができます。
リモートホストの実際のサービスポートをローカルトンネルの開始ポート 5478 にマップします。マッピング関係は、トンネルの仕上げ作業と見なすことができます。クラウドホストのポート 22 からトンネルが接続された後、リモートホストのローカルサービスポートとの接続を確立する必要があります。ローカルサービスにポート 3306 のデータベースサービスがあると仮定すると、最終的にはポート 5478 とパーソナルコンピューターのポート 3306 間の接続が開かれ、ファイアウォールの背後にあるクラウドホストサービスへのローカルアクセスが実現します。

3. 実用化

SSH トンネルを確立する上記のプロセスは、SSH ツールによって提供されるコマンドを使用して、パーソナルコンピューター上で完了できます。完全なコマンドは次のとおりです。

ssh -CfNg -L 5478:localhost:3306 [email protected]

コマンドパラメータの意味は次のとおりです。

-C: は圧縮伝送を意味し、伝送速度を上げることができます。

-f: SSH 転送をバックグラウンド実行に転送します。これにより、現在のシェルが占有されなくなります。

-N: サイレント接続を確立し、特定のセッションは表示されません

-g: リモートホストがローカルポート転送に接続できるようにする

-L: ローカルポート転送

5478:localhost:3306 このパラメータはポートマッピング関係を確立するために使用されます。 5478 はローカルポートを表し、localhost:3306 はリモートホストのポート 3306 を表します。

注意: localhost と xx.xx.177.122 は同じリモートマシンを表しますが、ここでは xx.xx.177.122 ではなく localhost を必ず記入してください。

[email protected] パラメータは、リモート SSH ログインのプロセスです。最終的にトンネル接続を完了するには、SSH パスワードを入力する必要があります。

コマンドの実行に失敗した場合は、図に示すように、まずローカルでポートが占有されているかどうかを確認できます。

写真

コマンド実行によってプロセス ID が返される場合、ローカル転送ポート 5478 がプロセスによって占有されていることを意味します。プロセス ID を強制終了するか、別のポートを変更してください。

コマンドを正常に実行すると、ssh のバックグラウンドプロセスが表示され、図に示すように、プロセスがトンネルが正常に確立されたことを示していることがわかります。

写真

データベースソフトウェアを介してローカルでポート 5478 に接続してみると、図に示すように、リモートデータベースが正常に接続されていることがわかります。

写真

<<: OWASP API セキュリティトップ 10 に新たな変更がありました。これは私たちにとって何を意味するのでしょうか?

>>: Helm とは何ですか?クラウドネイティブアプリケーションのプライベート展開の効率はどのように向上しますか?

Semoweb - 月額 5.99 ドル - 2GB RAM/2.5GB VSWAP/100GB HDD - QuadraNet データセンター

SSHトンネルを使用してクラウドホストサービスのアクセス制限を突破する

1. 要約

2. SSHトンネルの原理

3. 実用化

Semoweb - 月額 5.99 ドル - 2GB RAM/2.5GB VSWAP/100GB HDD - QuadraNet データセンター

Hujiang.com: 英語を「売る」組立ラインがB2Cによって推進されている

hiformance: 年間 12 ドル、4G メモリのハイエンド VPS、CN2、PayPal+Alipay

ウェブサイトタイトルの価値ポジショニング

大規模インターネットに不可欠なアーキテクチャ技術: 高性能 + 分散 + オープンソースフレームワーク + マイクロサービス

クラウドコンピューティングサービスの利点、欠点、種類

温かみのあるテクノロジーがデジタル中国の未来を描く、景東が清明節にアリペイ版「河畔」を披露

世界最大の教師向けソーシャルネットワークは、最大46%の利益率でとんでもない利益を上げている

Weibo、新しいトラフィックパスワード！

海外サーバー：安くて信頼できる商人が推奨

推薦する

Weibo APPマーケティングは新しく、まだ成熟しておらず、その正確性には疑問がある

CSDNから漏洩したデータを使って電子商取引アカウントから金を盗んだとして4人の男が逮捕された

古いウェブサイトの最適化方法についての簡単な説明

検索エンジンがより賢くなる方法

3SBの戦いを見て最終結果を予想しよう

ウェブサイトにリンクを追加する7つの簡単な方法

保険業界のクラウドコンピューティング標準が発表

chicagovps - すべての VPS が 50% オフ、年間支払いはわずか 6 ドル、データセンターは 6 か所

vsys: ウクライナ/オランダのオフショア VPS、オフショアサーバー、著作権侵害の申し立てなどを無視、最大 20Gbps の帯域幅

Java ヒープメモリオーバーフローの概要分析

ウェブサイトの「ランキングボトルネック」問題を解決する3つの方法を教えます

ウェブサイトの再設計とドメイン名の変更の悲しい歴史を語る

#スイスサーバー# lunarvps: 苦情反対、著作権なし、トラフィック大

QingCloud Technologyがクラウドネイティブを包括的に展開、KubeSphereがさらなるクラウドネイティブパワーをリリース

CtripはUnionPayのCVCコード記録禁止に違反したため重い罰則を受ける可能性がある