1

У меня есть учетная запись на сервере внутри моей корпоративной сети. У меня также есть VPS от Linode. Я могу ssh с корпоративного сервера на Linode VPS или на свой домашний компьютер без проблем.

Но благодаря корпоративному брандмауэру я не могу подключиться к этой машине из Линоде, из дома или из любого места.

То есть:

corp --ssh--> home  // works fine

home --ssh--> corp  // blocked

Есть ли способ сделать обратный туннель, когда я на работе, чтобы я мог подключиться к этой машине, как только вернусь домой?

Обратите внимание, что я не спрашиваю, хорошая ли это идея или мои начальники взбесятся и уволят меня, просто ... это возможно?

Все компьютеры работают под управлением Ubuntu и сравнительно недавней версии SSHD. Я могу установить любое программное обеспечение, которое я хочу, на домашнюю машину или VPS, но, вероятно, ограничено SSH/SSHD и тем, что есть в стандартной установке Ubuntu для корпоративного сервера.

Изменить: сервер Corp имеет статический IP-адрес и публично виден как веб-сервер.

3 ответа3

2

Прежде всего, примите во внимание то, что сказал mdpc: не пытайтесь обойти корпоративную политику таким образом. Дело не только в том, что твой босс сходит с ума и увольняет тебя. Если вы оказались в ситуации, когда корпоративные секреты были раскрыты или сеть была взломана, это не поможет вашему делу, если вы обнаружите, что делаете подобные вещи. Вы можете получить иск.

Двигаемся дальше.

То, что вы действительно хотите, это обратный туннель SSH. Вы можете сделать это с запрещенной машины:

ssh -NR 8888:localhost:22 you@homemachine.lan

Затем на homemachine.lan вам нужно сделать это только для доступа к другому компьютеру:

ssh corpuser@localhost -p 8888

И вуаля, вы отправляетесь на запрещенную машину.

Это было чрезвычайно полезно для меня в течение последних нескольких лет, как способ прохождения NAT. У меня не было доступа к маршрутизатору, и мне нужно было получить доступ к машине, работающей за ним. Вот как я решил проблему - заставить машину установить соединение с доверенным хостом и подключиться оттуда локально.

Я предполагаю, что машина работает sshd , на порту 22. Замените имена пользователей соответствующим образом.

0

Хорошо, если ваш компьютер Corp не работает через nat с общедоступным ip, назначенным ему по умолчанию (что крайне маловероятно), вы можете создать правило с iptables. Однако ваш компьютер, вероятно, работает через брандмауэр и nat, которые не позволяют прослушивать любые соединения с вашего компьютера в Интернет.

0

Да, это называется обратным туннелированием SSH, просто Google "SSH Nat".

Если вы настроите обратный туннель, ваш корпоративный компьютер будет иметь исходящее соединение с вашим домашним ПК или другим сервером, но вы сможете использовать это соединение в обоих направлениях.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .