La mia macchina al lavoro è protetta da un firewall. Per connetterlo prima devo connettere (ssh) su un'altra macchina e poi attraverso questa macchina faccio l'ssh sulla mia macchina. In altre parole, c'è una macchina centrale tra il mio computer locale e il computer remoto finale. Come posso creare un tunnel criptato tra il mio computer locale e il mio computer al lavoro?
Nota: utilizzo di OpenSSH
Leggendo la tua domanda, devo supporre che "la mia macchina locale" sia al di fuori della rete aziendale, come a casa tua o da qualche parte su Internet. Luoghi più ben definiti, sistemi operativi in uso e una breve descrizione del proprio ambiente aziendale aiuterebbero coloro che tentano di rispondere alle domande. Ai fini di questa risposta, fornirò alcuni sistemi identificati nella tua domanda.
“my work machine” = work-machine
"my local machine” = home-machine
“another machine” = jumpbox
Questa è davvero una questione di politica di sicurezza aziendale. Le connessioni da Internet ai sistemi sulla rete interna di una società non sono generalmente consentite poiché forniscono un percorso che consente agli aggressori di accedere alle risorse interne e ai dati ex-filtrate. Posso solo presumere che la Jumpbox a cui ti stai collegando sia un dispositivo gateway (preferibilmente in una DMZ) che esiste per alcune combinazioni di autenticazione, autorizzazione e contabilità e potenzialmente ispezione.
Detto questo, se la politica lo consente, è necessario che l'amministratore del firewall permetta le connessioni dalla propria macchina domestica alla macchina da lavoro. Questo è in genere indesiderato se si proviene da un indirizzo IP dinamico che cambierà nel tempo, poiché l'amministratore del firewall dovrà consentire ampi intervalli di indirizzi IP alla rete. Idealmente, se le connessioni in entrata sono consentite alla rete aziendale, arriveranno sempre dallo stesso indirizzo IP quando ci si connette dalla propria macchina domestica.
In alternativa, potresti usare un tunnel inverso usando SSH; di nuovo, se la politica aziendale consente le connessioni SSH in uscita. L'opzione -R in SSH ti consente di costruire tunnel inversi. Per questo è necessario un metodo per connettere la macchina da lavoro alla macchina da casa. Dovrai considerare i seguenti elementi: 1. Risoluzione dei nomi (se il tuo IP cambia a casa tua): Ci sono molti provider DNS dinamici là fuori. 2. Port forwarding se sei dietro un dispositivo NAT, come un router DSL. 3. La tua home-machine o un altro sistema dedicato dovrebbe eseguire il server SSH per accettare le sessioni ssh provenienti dalla tua macchina da lavoro.
Dopo aver configurato i servizi richiesti in 1-3 sopra, puoi stabilire una connessione dalla tua macchina di lavoro al server SSH che gira a casa tua. Dalla tua macchina da lavoro, il comando potrebbe apparire come questo:
ssh -R 192.168.12.202:5556:127.0.0.1:22 [email protected]:4444
Se dovessi pronunciare il comando precedente, sarebbe come: Usa ssh per creare un tunnel inverso (-R), aprendo una porta elenco (5556) sul mio server ssh (192.168.12.202). Quando i client si connettono alla porta 5556, li inoltrano alla porta 22 sul mio server ssh (127.0.0.1), che viene successivamente reindirizzato alla macchina che ha originato il tunnel (macchina da lavoro).
Ci sono un sacco di tutorial tecnici là fuori che forniscono istruzioni per costruire tunnel inversi con SSH.
Leggi altre domande sui tag ssh