LINUX.ORG.RU
ФорумAdmin

Проброс SSH через firewall.

 , , ,


0

1

Доброго времени суток.Нужен совет более опытных админов. Есть сервер (на базе ubuntu), который располагается за нат и фаерволом. На этом фаерволе для сервера открыты порты vpn- 444, служебные - 9876, 7654. Был доступ по ВПН. Но по какой-то причине,связь пропала, админы фаервола утверждаю, что по нашей вине. Физический доступ к серверу, получить очень не просто.Поэтому сначала необходимо попробовать все в возможные варианты решить вопрос удалено.

На сервере так же крутится скрипт, который в случае потери связи пытается пробросить обратный SSH тунель.

autossh -f -N $USER@$HOST -R $SSH_PORT:127.0.0.1:22 -vvv

Но для нас открыли 22 порт, только на исходящие соединения, от сервера, который за натом.

Есть задача, если не поднять сервер исключительно по удаленке, то по крайней мере сделать так что бы в будущем иметь резервный канал подключения, помимо VPN. Вопрос к знатокам. 1)Если предположить, что сервер просто вырубился, хватит ли, тех доступов, которые сейчас есть, для того, что бы подключаться удалено по ssh? Будет ли пробрасываться ssh Тунель, на лабораторном стенде не получилос, но есть опасение, что я что-то не так сделал. 2)Какие еще доступы необходимо запросить, что бы обратный SSH тунель, корректно работал ? 3)Можно ли что бы ssh слушал несколько портов, и команда заворачивал тунель на порт отличный от 22 ? Как себя поведет autossh, если будет слушаться несколько портов. И команда будет типа. autossh -f -N $USER@$HOST -R $SSH_PORT:127.0.0.1:55555 -vvv

Очень интересно послушать, как вы реализовывали подобные решения. Спасибо.

Есть сервер (на базе ubuntu), который располагается за нат и фаерволом.

На этом фаерволе для сервера открыты порты vpn- 444, служебные - 9876, 7654.

Я так понимаю, что порты Вам не просто открыли, а пробросили (раз Ваш сервер за NAT).

Можно ли что бы ssh слушал несколько портов, и команда заворачивал тунель на порт отличный от 22?

На счет нескольких портов не знаю, скорее всего, на каждый порт нужно будет свой sshd запускать. А зачем это нужно? А так sshd на любом порту запустить можно.

так что бы в будущем иметь резервный канал подключения, помимо VPN.

На мой взгляд, сомнительное резервирование. В случае падения сервера оба канала окажутся недоступными.

Очень интересно послушать, как вы реализовывали подобные решения.

Я бы на Вашем месте подумал бы о приобретении сервера, поддерживающего технологию IPMI или ее аналоги. В крайнем случае об установке IP-KVM - это по крайней мере, всегда даст Вам доступ к консоли сервера, что позволит поднимать его и решать любые проблемы удаленно (кроме аппаратных проблем). Ну и, соответственно, договариваться о пробросе портов, необходимых для подключения к IPMI или IP-KVM.

autossh -f -N $USER@$HOST -R $SSH_PORT:127.0.0.1:55555 -vvv

Меня в этой команде смущает адрес 127.0.0.1. Я бы указывал серый адрес, который присвоен сетевому интерфейсу Вашего сервера, вместо локального адреса.

Serge10 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.