https://github.com/piroor/system-admin-girl-handson/blob/master/system-admin-girl-handson.md#case3-1
上は昨日やったハンズオン資料。
時間切れで、この資料のケース3が実践できなかったのと、
“user”がどこのユーザなのか明確じゃなくて、少し手こずったけど、たぶんこういうことか。
もし間違えていたら、ツッコミください>だれか。
===目標===
NATルータ配下に存在する、ポート開放していないサーバに、中継サーバ経由でssh接続する。
===環境===
※名前は解決できている物とする
●ホスト名
backendhost: NAT配下の最終目的地サーバ。インターネットの向こうにある。
サーバ側からはインターネットにつながる。
relayhost : グローバルIPを取得している中継サーバ。インターネットの向こうにある。
backendhost とは、別のネットワークに属している。
localhost : NAT配下の手元にある操作端末。
インターネットにつながる。
●ユーザ名
backuser : backendhost
に作成されているユーザ名
relayuser : 中継サーバに作成されているユーザ名
localuser : 手元の操作端末に作成されているユーザ名
●ポート
22 : backendhost が待ち受けるポート。最終的に到達するポート
20022 : relayhost から backendhost に転送される待ち受けポート
10022 : localhost から relayhost の 20022 に転送される待ち受けポート
===手順===
1.SSH リモートフォワード ( backendhost で実行 )
中継サーバに、backendhostの22番に転送する待ち受け用のポートを作成する。
$ ssh relayuser@relayhost -R 20022:backendhost:22
2.SSH ローカルフォワード ( 手元の操作端末で実行 )
手元の端末に、10022に接続すると、中継サーバの 20022 ポートに投げるポートを作る。
$ ssh relayuser@relayhost -L 10022:localhost:20022
※ ここで示している localhost は、「relayhost からみた localhost アドレス = relayhost の ループバックアドレス」
3.
別窓で、backendhostに接続する。(※項番1と2は実行したまま)
$ ssh -p 10022 backuser@localhost
※ ここで示している localhost は、手元にある操作端末からみた localhostアドレス。
===課題===
●課題
リモートポートフォワードが自動で作られるか、tunnelが崩落しても再構成してくれる仕組みを考えておかないと、使いたい時に使えない。
●問題点
試していないけど、たぶん問題点というかリスクとして、relayhostの20022にアクセスできる人はだれでも、backendhost の 22 まで到達してしまう。
●不明点
公開鍵交換式認証の場合、どこの鍵をどこに置けばいいのか、いまいちわからない。
課題がクリアしたら、またpostするかもしれない。
最近のコメント