Со своей машины я должен соединиться через узлы A , B и C , чтобы достичь target:
localhost -> A -> B -> C -> target
Машина A настроена на отказ от X11 Forwarding , поэтому, я думаю, я не смогу открывать графические интерфейсы через соединения, проходящие через ssh A
Однако, настроив файл ~/.ssh/config и добавив ProxyCommand с помощью netcat , я смог открыть графическое приложение в target , просто выполнив ssh -XY target . Настройка в ~/.ssh/config происходит следующим образом:
Host A
Hostname domainA
Host B
Hostname domainB
ProxyCommand ssh A nc %h %p
Host C
Hostname domainC
ProxyCommand ssh B nc %h %p
Host target
Hostname domain-target
ProxyCommand ssh C nc %h %p
Само соединение работает, и я очень хорошо с этим. Бывает, правда, я не совсем понял, что происходит за кулисами.
Когда я запускаю ssh -XY target , что на самом деле происходит, и почему я могу открыть GUI через этот туннель , даже если хост A не разрешает X11 Forwarding?
Я понимаю, что приятно продемонстрировать некоторые усилия, так что здесь все дальше, что я смог получить, пытаясь понять исполнение выше. Я заменил target на TARGET , а хост C на HOST_C .
$ ssh -vXY TARGET
OpenSSH_6.2p2, OpenSSL 1.0.1e 11 Feb 2013
debug1: Reading configuration data /home/rubens/.ssh/config
debug1: /home/rubens/.ssh/config line 20: Applying options for TARGET
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Executing proxy command: exec ssh HOST_C nc TARGET 22
debug1: permanently_drop_suid: 1000
debug1: identity file /home/rubens/.ssh/id_rsa type 1
debug1: identity file /home/rubens/.ssh/id_rsa-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.2
debug1: Remote protocol version 2.0,
remote software version OpenSSH_5.9p1 Debian-5ubuntu1.1
debug1: match: OpenSSH_5.9p1 Debian-5ubuntu1.1 pat OpenSSH_5*
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: RSA (some numbers...)
debug1: Host 'TARGET' is known and matches the RSA host key.
debug1: Found key in /home/rubens/.ssh/known_hosts:51
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /home/rubens/.ssh/id_rsa
debug1: Server accepts key: pkalg ssh-rsa blen 279
debug1: Authentication succeeded (publickey).
Authenticated to TARGET (via proxy).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: Requesting X11 forwarding with authentication spoofing.
Welcome to Ubuntu 12.04.2 LTS (GNU/Linux 3.2.0-48-generic x86_64)
...
rubens@TARGET:~
$ # prompt, and I'm able to open graphical apps, like gkrellm
Соединение, по-видимому, сначала выполняется с хостом C , которому требуются предыдущие соединения (зависимости стека обратной рекурсии и их решение в порядке LIFO).
На хосте A , который является первым уровнем соединения, применяется разрешение X11Forward ? Или же он просто создает туннель соединений nc до target машины и возвращает открытый сокет, который я позже использую, во что-то вроде:
ssh -XY (open socket resulting from connections A->B->C->target)
Если так, нормально ли я могу соединиться с X11Forwarding? Или может быть что-то не так с настройкой хоста A?