SSHトンネルを使用してクラウドホストサービスのアクセス制限を突破する

SSHトンネルを使用してクラウドホストサービスのアクセス制限を突破する

1. 要約

職場では、パブリック クラウド ホスト上で実行される一連のサービスを維持する必要があることがよくあります。セキュリティ上の理由から、外部に開かれるポートは通常、SSH (ポート 22) サービスのみです。運用・保守時にセキュリティポリシーを変更することで、他のサービスポートを一時的に解放することは可能ですが、時間のかかるトラブルシューティング操作の場合、機密ポートを長時間公開するとセキュリティ上のリスクが高まります。 SSH トンネル テクノロジーにより、セキュリティ ポリシーを変更することなく、クラウド ホストのサービス ポートをローカル操作にマッピングできます。これにより、送信されるデータが暗号化されるだけでなく、ツールやブラウザを介してローカルで対象サービスにアクセスできるようになり、便利で安全になります。

2. SSHトンネルの原理

この記事における SSH トンネル技術の適用シナリオは次のとおりです。

写真

SSH トンネルを正常に確立するには、次の前提条件を満たす必要があります。

  • パーソナルコンピュータには SSH プロトコルをサポートするソフトウェアをインストールする必要があり、Windows システムには Cygwin などのソフトウェアをインストールする必要がある場合があります。
  • クラウド ホストのファイアウォール セキュリティ ポリシーでは、SSH プロトコルで使用されるデフォルト ポートであるポート 22 へのアクセスを許可する必要があります。
  • クラウド ホストでは、リモート ホストが SSH プロトコルを使用して正常にログインできるように、SSH プロトコルをサポートするソフトウェア パッケージもインストールする必要があります。

SSH トンネルは主にパソコンから確立されます。上図によると、SSH トンネルの確立プロセスは次のようになります。

  • パソコン上でカスタム ポートを開きます。ここではポート5478が選択されています。このポートには特別な要件はありません。他のポートと競合しない限り、実際の状況に応じて選択できます。ポート 5478 はトンネルの始まりと考えることができます。
  • トンネルリモート接続を確立するには、リモート ホストの SSH ログイン アカウントとパスワードを入力します。接続を正常に確立するには、ファイアウォールのポート 22 が開いている必要があります。ここでの SSH リモート ログインは、パーソナル コンピューターのポート 5478 から始まり、リモート クラウド ホストのポート 22 まで拡張されたトンネルの延長として見ることができます。
  • リモート ホストの実際のサービス ポートをローカル トンネルの開始ポート 5478 にマップします。マッピング関係は、トンネルの仕上げ作業と見なすことができます。クラウド ホストのポート 22 からトンネルが接続された後、リモート ホストのローカル サービス ポートとの接続を確立する必要があります。ローカル サービスにポート 3306 のデータベース サービスがあると仮定すると、最終的にはポート 5478 とパーソナル コンピューターのポート 3306 間の接続が開かれ、ファイアウォールの背後にあるクラウド ホスト サービスへのローカル アクセスが実現します。

3. 実用化

SSH トンネルを確立する上記のプロセスは、SSH ツールによって提供されるコマンドを使用して、パーソナル コンピューター上で完了できます。完全なコマンドは次のとおりです。

ssh -CfNg -L 5478:localhost:3306 [email protected]

コマンドパラメータの意味は次のとおりです。

-C: は圧縮伝送を意味し、伝送速度を上げることができます。

-f: SSH 転送をバックグラウンド実行に転送します。これにより、現在のシェルが占有されなくなります。

-N: サイレント接続を確立し、特定のセッションは表示されません

-g: リモートホストがローカルポート転送に接続できるようにする

-L: ローカルポート転送

5478:localhost:3306 このパラメータはポート マッピング関係を確立するために使用されます。 5478 はローカル ポートを表し、localhost:3306 はリモート ホストのポート 3306 を表します。

注意: localhost と xx.xx.177.122 は同じリモート マシンを表しますが、ここでは xx.xx.177.122 ではなく localhost を必ず記入してください。

[email protected] パラメータは、リモート SSH ログインのプロセスです。最終的にトンネル接続を完了するには、SSH パスワードを入力する必要があります。

コマンドの実行に失敗した場合は、図に示すように、まずローカルでポートが占有されているかどうかを確認できます。

写真

コマンド実行によってプロセス ID が返される場合、ローカル転送ポート 5478 がプロセスによって占有されていることを意味します。プロセス ID を強制終了するか、別のポートを変更してください。

コマンドを正常に実行すると、ssh のバックグラウンド プロセスが表示され、図に示すように、プロセスがトンネルが正常に確立されたことを示していることがわかります。

写真

データベース ソフトウェアを介してローカルでポート 5478 に接続してみると、図に示すように、リモート データベースが正常に接続されていることがわかります。

写真

<<:  OWASP API セキュリティ トップ 10 に新たな変更がありました。これは私たちにとって何を意味するのでしょうか?

>>:  Helm とは何ですか?クラウドネイティブ アプリケーションのプライベート展開の効率はどのように向上しますか?

推薦する

Antsle を使用して 5 分で仮想マシンをデプロイする方法は?

[51CTO.com クイック翻訳] Antsle (https://antsle.com/) は、...

ウェブサイトのドメイン名変更への対処方法

ドメイン名の変更は、多くのベテラン個人ウェブマスターにとって目新しいことではありません。ここでのベテ...

ウェブマスターが背景データに基づいてコンテンツを構築する方法についての簡単な説明

すべてのウェブマスターにとって、訪問者や検索エンジンのスパイダーに新鮮で高品質なコンテンツを提供する...

cloudpowerall ロサンゼルス 1Gbps 帯域幅 cn2 gt ライン vps の簡単な評価

cloudpowerallはマレーシアに登録された新しい会社で、主に低コスト路線でVPS(US cn...

デザイナーの「バベルの塔」 - デザインコミュニケーションについての短い議論

以前、南部の子供たちは雪を見たことがないので、雪が何なのか知らなかったという話を聞いたことがあります...

SEOを多角的な視点から見ることによってのみ、ウェブサイトの最適化を効果的に実施することができる。

SEO は現在、急速な発展の時代を迎えています。大企業から草の根レベルのウェブマスターまで、あらゆる...

百度のランキングメカニズムの変化を解明

今回の百度の調整で多くのウェブサイト管理者が傷ついたと思います。特定のキーワードで長年トップ3にラン...

firstbyteはどうですか?フィンランドのデータセンターのVPSの簡単なレビュー

firstbyteはどうですか? firstbyte フィンランド VPS はどうですか? Firs...

Google が 18 個の「.中国」ドメイン名を登録: 大きなゲームをやっているのか?

Google は一連の行動を通じて、中国市場での将来の発展に対する潜在的な障害を取り除こうとしている...

greengeeks - 無制限のホスティング/無料ドメイン名/無制限のウェブサイト構築/SS/年間35ドルの支払い

米国の戦没将兵追悼記念日(北京時間5月29日午後1時から)に、greengeeksは1日間の仮想ホス...

クラウドホスティングは2018年に主流になる

1991 年にインターネットが誕生して以来、従来のホスティング モデルには多くの弱点があるにもかかわ...

医療ウェブサイト: 最適化とマーケティングのバランスをとる方法

医療ウェブサイトは、ネットワーク最適化とマーケティングの大規模な軍隊です。多数の SEO および S...

Bilibiliではライブ配信しながら商品を販売するという流れがある!

4月18日、「ビリビリの生放送部門が従業員を解雇する可能性」が話題となった。これに対しビリビリは「ラ...

あなたのウェブサイトはK-edでランク付けされていませんか?検索エンジンのホームページで自分のキーワードを1位にランク付けする

人は風雨の中で成長し、経験は常に経験を通じて蓄積されます。ブログの改訂期間中、私は考えるための自由な...

crissic - $10/年/2 コア/256MB メモリ/50GB ハードドライブ/750MB トラフィック

7 月 4 日の米国建国記念日には、多くの企業がプロモーションを実施しますが、Crissic も例外...